PE

下图为某PE文件: title

EXE标志e_magic 固定值4D 5A,字符MZ,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等

入口字段e_lfanew: 指出了真正的PE文件头在文件中的位置,总是以8字节为单位对齐

NT文件头: 固定值50 45 00 00,字符PE,程序真正入口

把NT文件头前的值更改不影响程序正常打开! title