PE总结5---PE文件结构NT头之文件头--IMAGE_FILE_HEADER

我们在上一篇中已经介绍了NT头相关的结构，接下来分别具体的介绍里面的数据。

首先介绍IMAGE_FILE_HEADER 的结构，如下：

typedef     struct _IMAGE_FILE_HEADER{WORD        Machine;                    // 运行平台 WORD        NumberOfSections;// 文件的区块数目 DWORD       TimeDateStamp;              // 文件创建日期和时间 DWORD       PointerToSymbolTable;       // 指向符号表(主要用于调试) DWORD       NumberOfSymbols;            // 符号表中符号个数(同上) WORD        SizeOfOptionalHeader;       // IMAGE_OPTIONAL_HEADER32 结构大小 WORD        Characteristics;            // 文件属性 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

      在010Editor中，文件头显示信息，如下：

       在LoadPE工具中，文件头显示信息，如下：

扩展头大小：一般32位程序中是0x00E0，64位程序中0x00F0
文件属性：dll一般是0x0210， exe一般是0x010