Помогите разобратся в структурах PE файла

Код (Text):

1.            HANDLE f=CreateFileA("C:\\windows\\notepad.exe",GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
2.     LARGE_INTEGER SZ;
3.     ZeroMemory(&SZ,sizeof(SZ));
4.     GetFileSizeEx(f,&SZ);
5.     char *buf=new char[SZ.QuadPart];
6.     DWORD rb;
7.     ReadFile(f,buf,SZ.QuadPart,&rb,0);
8.     CloseHandle(f);
9.     unsigned long offset=0;
10.     _IMAGE_DOS_HEADER stub;
11.     memcpy(&stub,buf,sizeof(_IMAGE_DOS_HEADER));
12.     offset=offset+stub.e_lfanew;
13.     buf+=stub.e_lfanew;
14.     _IMAGE_NT_HEADERS image;
15.     memcpy(&image,buf,sizeof(_IMAGE_NT_HEADERS ));
16.     printf("Signature:%d|IMAGE_NT_SIGNATURE:%d",image.Signature,IMAGE_NT_SIGNATURE);//тут совершенно разные значения
17.     delete []buf;

Подскажите что я не так понял из этой http://www.wasm.ru/article.php?article=green2red02 статьи?

 

_nic,

А у меня — одинаковые. Я просто завернул это в void main() {} и включил Windows.h / stdio.h. Странно. А на скомпилированный файл глянуть можно?

 

О_о хоть и работало без #include <stdio.h>,но действительно одинаковые значения появились только с этим инклудом.Мистика какая то.
ЗЫ:VS 2008

 

Ещё такой вопрос- что из себя представляет DWORD AddressOfEntryPoint в _IMAGE_OPTIONAL_HEADER,что это за цифра?Это смещение внутри файла,или это смещение внутри его промапленной копии в памяти?Или это что то другое?

 

Аналогично. Закомментарил stdio.h — не компилирует.

 

Это RVA точки входа. Добавь базу, будет адрес.

 

_nic,

А что показывало без stdio.h?

 

Уже какой раз у Вас ужасно оформленый код, когда Вы правильно оформлять свой код?

 

Да всякие произвольные значения.
ЗЫ:а как система определяет какому приложению(консоль,гуи) принадлежит точка входа?

 

Значение, идентифицирующее подсистему лежит в OptionalHeader.Subsystem

Рекомендуется к прочтению

http://www.microsoft.com/whdc/system/platform/firmware/pecoff.mspx

 

Консольные это MAGE_SUBSYSTEM_NATIVE ? А что же тогда за точки входа у сервисов??

 

XXX_CUI - консолька
PS: проверить никак?

 

>> А что же тогда за точки входа у сервисов??

какие точки входа? точка входа одна в OptionalHeader. Не понимаю, про какие вы сервисы (scm чтоли?)

 

Нет.Как обозначена точка входа у сервиса?

 

Речь про NT сервисы ?

 

Так же, как и у остальных исполняемых -- OptionalHeader::AddressOfEntryPoint. Точка входа одна, а экспортируемых ф-ий может быть много. Речь, наверное, про них.

 

Речь идет о том как понять,какие переменные "ожидает" точка входа.

 

Переменные "ожидают" функции, которые экспортируются вашим приложением. Читайте документацию.
К примеру это: http://www.rsdn.ru/article/baseserv/pe_coff.xml

 

Вы меня не правильно поняли.Выражусь максимально ясно.Как выяснить что нужно пихать в точку входа конкретного PE файла для его нормального запуска?

 

это бот )))