IMAGE_NT_HEADERS STRUCT
  Signature       DWORD    ?
  FileHeader      IMAGE_FILE_HEADER   <>
  OptionalHeader  IMAGE_OPTIONAL_HEADER32  <>
IMAGE_NT_HEADERS ENDS

这个就是重点内容了 IMAGE_NT_HEADERS 结构

它又分为3个子结构
PE头标志
映像文件头
映像可选头。

===================================
为方便起见，当需要写C代码的时候，一般都是写关键语句，到帖子最后，
会完整的附出代码。
===================================

lkd> dt _IMAGE_NT_HEADERS
nt!_IMAGE_NT_HEADERS
   +0x000 Signature        : Uint4B
   +0x004 FileHeader       : _IMAGE_FILE_HEADER
   +0x018 OptionalHeader   : _IMAGE_OPTIONAL_HEADER

上面就是在我电脑上用windbg显示的IMAGE_NT_HEADERS结构及内部偏移。




[ 本帖最后由 你们都要疼我哦 于 2011-2-14 16:18 编辑 ]

看不懂

学习了！！！

映像文件头 IMAGE_FILE_HEADER结构如下：

lkd> dt _IMAGE_FILE_HEADER
nt!_IMAGE_FILE_HEADER
   +0x000 Machine          : Uint2B
   +0x002 NumberOfSections : Uint2B
   +0x004 TimeDateStamp    : Uint4B
   +0x008 PointerToSymbolTable : Uint4B
   +0x00c NumberOfSymbols  : Uint4B
   +0x010 SizeOfOptionalHeader : Uint2B
   +0x012 Characteristics  : Uint2B

它又有七个子结构。
Machine          : Uint2B  指定本文件运行平台信息
NumberOfSections : Uint2B  指出本文件存在的节的数量
TimeDateStamp    : Uint4B  编译器创建此文件的时间
PointerToSymbolTable : Uint4B  指向符号表的指针
NumberOfSymbols  : Uint4B      符号表数量
SizeOfOptionalHeader : Uint2B  下一个结构IMAGE_OPTIONAL_HEADER32的长度
Characteristics  : Uint2B  文件属性字段 这是一个2字节16位字段，每一位都表示一个属性，比如第13位为0表示本文件是一般的可执行文件，为1表示是DLL文件。..

========================================================

pe文件结构 既称为结构 重点就是了解其结构布局，基本上没有任何困难，
无非就是一些固定的结构 然后再嵌套几个子结构 或者再嵌套 等等。
无论学到哪个部分 只要记住总的结构 就能达到提纲挈领的效果。

以上是PE结构中很简单的一部分，下面就是重点中的重点了 映像可选头 IMAGE_OPTIONAL_HEADER32 结构。