我最近开始使用PE(Portable Executable)文件格式,更具体地说是PE/COFF。我正在阅读 Randy Kath here的教程。
当我阅读MZ DOS标头的结构时,我发现使用e_magic字段中的签名验证了MZ DOS标头。结构如下:
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header
USHORT e_magic; // Magic number
USHORT e_cblp; // Bytes on last page of file
USHORT e_cp; // Pages in file
USHORT e_crlc; // Relocations
USHORT e_cparhdr; // Size of header in paragraphs
USHORT e_minalloc; // Minimum extra paragraphs needed
USHORT e_maxalloc; // Maximum extra paragraphs needed
USHORT e_ss; // Initial (relative) SS value
USHORT e_sp; // Initial SP value
USHORT e_csum; // Checksum
USHORT e_ip; // Initial IP value
USHORT e_cs; // Initial (relative) CS value
USHORT e_lfarlc; // File address of relocation table
USHORT e_ovno; // Overlay number
USHORT e_res[4]; // Reserved words
USHORT e_oemid; // OEM identifier (for e_oeminfo)
USHORT e_oeminfo; // OEM information; e_oemid specific
USHORT e_res2[10]; // Reserved words
LONG e_lfanew; // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
并且教程说:
所有与MS-DOS兼容的可执行文件将此值设置为0x54AD, 表示ASCII字符MZ。
我的问题是一样的。
M和Z的ascii值分别为77和90,以十六进制转换为4D和5A。 0x54AD如何代表MZ?
这可能是一个愚蠢的问题。但是,请帮助我理解它是否过于愚蠢。
感谢。
答案 0 :(得分:1)
首先,声称签名为0x54AD的来源是错误的;十六进制中的MZ实际上是0x5A4D(对于小端架构),正如该程序的输出所证明的那样:
#include <Windows.h> // for the USHORT type
#include <stdio.h>
int main()
{
USHORT MZ = ('M' | 'Z' << 8);
printf("0x%.4X\n", MZ);
return 0;
}
输出:
0x5A4D
您可能仍有疑问,为什么'Z'(5A)的字节在签名实际为'MZ'时才会出现?
这与字节顺序有关,字节顺序是字节存储在单个半字,单词,双字等中的顺序。
Big-endian存储具有最高内存地址中最高有效字节的字节,而little-endian则相反,将最高有效字节存储在最低有效内存地址中。
x86和x64架构是little-endian,因此MZ中最重要的字节(即Z)首先出现。