e_lfanew это word или dword?

сабж.
вроде бы поле объявлено как LONG e_lfanew;
но во многих исходниках я видел чтото вроде movzx eax,word[ebx+0x3C]

 

DWORD в x86 по крайней мере

 

GoldFinch
Смотри в то что написано в WinNt.h и при этом учитывай формат! есть PE32, 64 !!!

 

PE32

 

GoldFinch
И вообще поищи в у себя в мануалах слово sizeof

 

IMAGE_DOS_HEADER STRUCT
e_magic WORD ?
.....
e_lfanew DWORD ?
IMAGE_DOS_HEADER ENDS

 

IMAGE_DOS_HEADER не относится к PE, там всегда LONG e_lfanew;

 

могли бы PE64 уж без IMAGE_DOS_HEADER сделать =(

 

luckysundog
Какого фига все подсказываешь ? Блин, как народу ваще развиваться, если за них все решать ?
Идеальный вопрос содержит половину ответа. А идеальная подсказка содержит пинок к развитию дальше!

 

Код (Text):

1. могли бы PE64 уж без IMAGE_DOS_HEADER сделать =(

нахера выбрасывать код на свалку, который ничем не мешает и зачем тратить время на переписывание ? Ты думаешь что им там делать нефиг и они так и ищут чем бы еще заняться ? )))

 

dword так dword.
я вот увидел movzx eax,word[ebx+0x3C] и спросил %)
в документации тоже пишут что NumberRvaAndSizes<=0x10, а оно не всегда так.

 

GoldFinch
Млин, а не судьба почитать че такое movzx ? как она выполнится и как потом этот eax используется?

 

EvilsInterrupt
я в курсе что такое movzx
а о том что для получения PE-заголовка кое-где используется
movzx eax,word[ebx+0x3C] / add eax,ebx
вместо
mov eax,ebx / add eax,[ebx+0x3C]