PE学习（二） IMAGE_DOS_HEADER

Windows系统下的可执行文件，是基于Microsoft设计的一种新的文件结构，此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体)，所有Win32执行体都是用PE文件格式，其中包括SYS、DLL、EXE、COM、OCX等。

不管是学习逆向、破解还是安全，了解PE文件格式都是非常必要的。

PE文件的第一个部分是IMAGE_DOS_HEADER，大小为64B，这里面有两个重要的数据成员。第一个为e_magic，这个必须为MZ，即0x5A4D。当然，0x5A4D这是典型的小端格式（Little Endian）；另一个重要的数据成员是最后一个成员e_lfanew，这个成员的值为IMAGE_NT_HEADERS的偏移。

在IMAGE_DOS_HEADER和IMAGE_NT_HEADERS之间一个DOS Stub，这段程序用于在DOS环境中显示一个字符串，“This program cannot be run in DOS mode”，现在DOS早已灭绝，这段数据由编译器生成，可以用0填充或者删除（删除的话要移动很多数据）。