PE文件格式（文件头）

typedef struct _IMAGE_NT_HEADERS {    DWORD Signature;        // PE标识    IMAGE_FILE_HEADER FileHeader;        //文件头    IMAGE_OPTIONAL_HEADER32 OptionalHeader;        //可选头} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
Signature类型为DWORD，占用4个字节#define IMAGE_NT_SIGNATURE           0x00004550   // PE00

typedef struct _IMAGE_FILE_HEADER {    WORD    Machine;        // 2个字节，指明支持的CPU类型    WORD    NumberOfSections;        // 2个字节，指明节区数量    DWORD   TimeDateStamp;                // 4字节，编译器生成这个PE文件的时间    DWORD   PointerToSymbolTable;        // 4字节，调试符号相关，不作研究    DWORD   NumberOfSymbols;        // 4字节，调试符号相关，不作研究    WORD    SizeOfOptionalHeader;        // 2个字节，指明可选头 IMAGE_OPTIONAL_HEADER32 大小    WORD    Characteristics;        // 2个字节，表明文件属性，如DLL文件，SYS文件等} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

IMAGE_OPTIONAL_HEADER32是PE头结构体中最大的，定义如下
typedef struct _IMAGE_OPTIONAL_HEADER {    //    // Standard fields.    //
    WORD    Magic;        // 普通可执行文件为0x010B，PE32 （64位）值为0x020B    BYTE    MajorLinkerVersion;    BYTE    MinorLinkerVersion;    DWORD   SizeOfCode;        // 代码区块的大小，通常是.text区块大小    DWORD   SizeOfInitializedData;    DWORD   SizeOfUninitializedData;    DWORD   AddressOfEntryPoint;        // 程序入口点，RVA值    DWORD   BaseOfCode;        // 代码段的起始地址，RVA值，通常是.text区块的起始RVA    DWORD   BaseOfData;        // 数据段的起始地址，RVA值，通常是.data区块的起始RVA
    //    // NT additional fields.    //
    DWORD   ImageBase;                // PE文件在内存中首选的装载基地址    DWORD   SectionAlignment;        // PE文件装载到内存时区块的对齐大小，假设.text区块的大小为0x7748，而SectionAlignment的大小为0x1000，那么对齐后的大小为0x8000字节    DWORD   FileAlignment;                // 磁盘上PE文件中区块的对齐大小，对齐方式类似SectionAlignment    WORD    MajorOperatingSystemVersion;    WORD    MinorOperatingSystemVersion;    WORD    MajorImageVersion;    WORD    MinorImageVersion;    WORD    MajorSubsystemVersion;    WORD    MinorSubsystemVersion;    DWORD   Win32VersionValue;    DWORD   SizeOfImage;        // PE文件被装载到内存空间后总的大小，指从ImageBase到最后一个区块的大小    DWORD   SizeOfHeaders;                // Dos头、DosStub、PE头以及区块头的总大小，并进行FileAlignment对齐后的大小    DWORD   CheckSum;        // 校验和，一般的EXE文件通常为0，判断文件是否被修改    WORD    Subsystem;                // 子系统，区分系统驱动文件与普通可执行文件    WORD    DllCharacteristics;    DWORD   SizeOfStackReserve;    DWORD   SizeOfStackCommit;    DWORD   SizeOfHeapReserve;    DWORD   SizeOfHeapCommit;    DWORD   LoaderFlags;    DWORD   NumberOfRvaAndSizes;        // 指定最后一个成员是数组个数    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY {    DWORD   VirtualAddress;        // 数据块的起始RVA地址    DWORD   Size;                // 数据块的长度} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;