问题描述
PEView和HxD的结果不同。可能吗? 我认为应该一样,因为它是原始数据。
在PEveiw中:
在HxD中:
解决方法
根据我在Windows 10上所有工具(包括PEView 0.9.9)的正确值是“ F8”。您是否在完全相同的环境中运行这两个工具?在VM中?
F8是DOS标头中e_lfanew字段值的一部分,即与新的可执行标头的偏移量。用外行术语来说,它指向实际的NT标头(PEView中为IMAGE_NT_HEADERS)。 lfa的意思是long file address。它是一个32位(DWORD)相对虚拟地址(RVA)值。 IMAGE_NT_HEADERS位于DOS存根和Rich Signature标头(如果存在的话)之后(在notepad.exe中)。
有趣的是,在Windows 7 32位VN上使用PEView和notepad.exe,由于具有不同的Rich Signature标头,因此显示的值为D8。