这就是所谓的“Rich header”，是微软的link.exe添加的（可以看到神秘块末尾的“Rich”字样）。它包含有关参与生成可执行代码的编译器和其他工具版本的信息。一些参考：

• 寻找针头：研究 PE32 富标头和相应的恶意软件分类
• 微软的丰富签名（未记录）

• 我的解析器基于本文中的代码（底部有更多参考）

  典型输出：

  PRODID   name            build count
        1   Import0             0   141
       95   Utc1310_C        4035     1
      110   Utc1400_CPP     50727    45
      125   Masm800         50727    17
      109   Utc1400_C       50727   105
      120   Linker800       50727     1
       93   Implib710        4035    19
      124   Cvtres800       50727     1
  Checksum valid