我正在学习分析 pe 文件,并且了解了可执行映像中可选标头中的校验和以及如何使用它来检查驱动程序和系统 dll 的验证。我检查了一些 Windows 二进制文件,它们在校验和字段中具有一些值,然后我检查了使用 Visual Studio msvc 22 和 19 构建的可执行文件和 dll,但校验和字段中全部包含零。然后我检查了我在 Windows 上使用的软件中的其他二进制文件,它们的校验和字段似乎也为零。 我这个文件不是由 msvc 编译器为新的可执行文件设置的,还是仅针对 Microsoft 程序?
简短的回答是否定的。
图像文件校验和。计算校验和的算法被合并到 IMAGHELP.DLL 中。在加载时检查以下内容是否有效:所有驱动程序、启动时加载的任何 DLL 以及加载到关键 Windows 进程中的任何 DLL。
然后加载时似乎需要它,但我的系统上似乎也不存在。