如何根據PE結構查看 32 或64位程序?
根據 IMAGE_OPTIONAL_HEADER中的magic 進行判斷:
magic = 0x10b ; //the file is a 32 bit application
magic = 0x20b ; // the file is a 64 bit application
如何根據pe結構查看EXE 或DLL程序:
根據IMAGE_FILE_HEADER 中的Characteristics ;
Characteristics = 0x010F ;//普通的exe的文件
Characteristics = 0x0210 ; //普通的dll的文件
64位傳參順序: rcx rdx r8 r9