工具:PE Tree, PE Bear等…

• IMAGE_DOS_HEADER- 4D5A MZ
• DOS_STUB - !This program cannot be run in DOS mode.
• IMAGE_NT_HEADERS
  • Signature - 50 45 PE 單純表示是PE檔
  • FILE_HEADER
    • Machine - 用啥架構寫的
    • NumberOfSections - 有幾個section
    • TimeDateStamp - 編譯日+時
    • PointerToSymbolTable
    • NumberOfSymbols
    • SizeOfOptionalHeader - opt header有多大
    • Characteristics - 此檔案有什麼特性
  • OPTIONAL_HEADER
    • Magic - 表示32還是64位元
    • AddressOfEntryPoint - EntryPoint的位置
    • BaseOfCode - Code Section的位置
    • BaseOfData - Code Section的位置
    • ImageBase - PE 檔案希望被載入到記憶體中的預設位置
    • Subsystem - 表示執行此映像所需的子系統
    • DataDirectory - 包含 PE 檔案的import, export
• IMAGE_SECTION_HEADER - 顯示各個section內的資訊
• IMAGE_IMPORT_DESCRIPTOR - 顯示每個import進來的東西(如DLL)內的資訊

常見section