标签: dos portable-executable
我正在编写一个PE生成器,我需要知道DOS头部分中哪些条目是在基于NT的系统上执行所必需的。
我检查了驱动器上的一些exes,DOS标头中的大多数条目都是0,但我不确定这是不是常态。
答案 0 :(得分:0)
在NT系统上,加载器只检查开头MZ / 0x4d 0x5a处的幻数,然后检查成员e_lfanew以获取NT标头偏移量。
MZ / 0x4d 0x5a
e_lfanew