EXE文件型病毒 MZ文件头格式 令偏移大小 描述 00 2 bytes EXE文件类型标记:4d5ah 2 bytes 文件的最后一个扇区的字节数 04 2 bytes 文件的总扇区数 文件大小=(总扇区数-1)*512+最后一页字节数 2 byte 重定位项的个数 2 bytes exe文件头的大小(16 bytes* this value) 0a 2 bytes 最小分配数(16 bytes* this value 2 bytes 最大分配数(16 bytes* thisvalue) Oe 2 bytes 堆栈初始段址(SS) 10 2 bytes 堆栈初始指针(SP) 2 bytes 补码校验和 2 bytes 初始代码段指针(IP) 16 2 bytes 初始代码段段址(CS) 2 bytes 定位表的偏移地址 2 bytes 覆盖号 The overlay number make by linkEXE文件型病毒 ❖ MZ文件头格式 ❖ 偏移 大 小 描述 ❖ 00 2 bytes .EXE 文件类型标记：4d5ah ❖ 02 2 bytes 文件的最后一个扇区的字节数 ❖ 04 2 bytes 文件的总扇区数 文件大小=（总扇区数-1）*512+最后一页字节数 ❖ 06 2 bytes 重定位项的个数 ❖ 08 2 bytes exe文件头的大小 (16 bytes*this value) ❖ 0a 2 bytes 最小分配数(16 bytes*this value) ❖ 0c 2 bytes 最大分配数(16 bytes*this value) ❖ 0e 2 bytes 堆栈初始段址(SS) ❖ 10 2 bytes 堆栈初始指针(SP) ❖ 12 2 bytes 补码校验和 ❖ 14 2 bytes 初始代码段指针(IP) ❖ 16 2 bytes 初始代码段段址（CS） ❖ 18 2 bytes 定位表的偏移地址 ❖ 1a 2 bytes 覆盖号The overlay number make by link