检查 PE 标头中偏移 0xE8（32 位）或 0xF8（64 位）处的双字。如果它不为零，则它是指向 CLR 标头的指针。这是一个托管文件（您不能将随机数据放在那里，因为直接 .NET 解析支持内置于 XP 及更高版本中，因此如果数据无效，则不会加载该文件）。mscoree.dll 的存在本身是不够的，因为应用程序可能正在处理托管文件，但本身不受管理。

托管 DLL / 应用程序将主要依赖于 MSCOREE.dll ......因此，如果您在 Dependency Walker 中打开 DLL，您就可以将托管库与非托管库区分开来。

    http://www.dependencywalker.com/

从这里引用。

其他有用的 MSDN 链接：

• 如何判断一个函数是否是托管代码？
• 使用托管代码探索 pe 文件头

DataDirectory[IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR].VirtualAddress在 PE 标头的数据目录部分中检查非零值可能是最快的方法。

#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 // COM Runtime descriptor

参考：

• IMAGE_DATA_DIRECTORY 结构体
• .NET 程序集剖析——PE 标头

手动，我更喜欢在PE 标头中观察以下标志：

1- mscoree!_CorExeMain在导入表中的存在。

2-其VirtualAddress和大小的的CLR页眉/ *的COM描述符*数据目录被设置。大小设置为0x48。

3- Base Relocation数据目录的大小设置为0x0C，即只有一个修正。

此外，一个小标志是：

4- SectionAlignment设置为0x2000。