Windows系統(tǒng)下的可執(zhí)行文件，是基于Microsoft設計的一種新的文件結構，此結構被稱之為PE結構。PE的意思是Portable Executable(可移植的執(zhí)行體)，所有Win32執(zhí)行體都是用PE文件格式，其中包括SYS、DLL、EXE、COM、OCX等。

不管是學習逆向、破解還是安全，了解PE文件格式都是非常必要的。

PE文件的第一個部分是IMAGE_DOS_HEADER，大小為64B，這里面有兩個重要的數據成員。第一個為e_magic，這個必須為MZ，即0x5A4D。當然，0x5A4D這是典型的小端格式（Little Endian）；另一個重要的數據成員是最后一個成員e_lfanew，這個成員的值為IMAGE_NT_HEADERS的偏移。

在IMAGE_DOS_HEADER和IMAGE_NT_HEADERS之間一個DOS Stub，這段程序用于在DOS環(huán)境中顯示一個字符串，“This program cannot be run in DOS mode”，現在DOS早已滅絕，這段數據由編譯器生成，可以用0填充或者刪除（刪除的話要移動很多數據）。

總結

以上是生活随笔為你收集整理的PE学习（二） IMAGE_DOS_HEADER的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。