господа!!! Вот интересный вопрос про это самое поле, оно устанавливается в заголовках, принадлежащих драйверам режима ядра. А как оно считается, по какому алгоритму и принципу ???

Если не ошибаюсь - сложить_все_байты xor 0xFFFF

win2k\private\ntos\rtl\checksum.c :)

Это из документации Microsoft по PE:
"The algorithm for computing is incorporated into IMAGHELP.DLL."
Не хочет Microsoft нам этот алгоритм раскрывать :). Если не ошибаюсь, контрольную сумму подсчитывает функция CheckSumMappedFile

\fasm\SOURCE\FORMATS.INC\calculate_checksum:

_http://board.win32asmcommunity.net/showthread.php?s=&threadid=1883

ssx

:)

USHORT
ChkSum(
    ULONG PartialSum,
    PUSHORT Source,
    ULONG Length
    )
{
    while (Length--) {
        PartialSum += *Source++;
        PartialSum = (PartialSum >> 16) + (PartialSum & 0xffff);
    }

return (USHORT)(((PartialSum >> 16) + PartialSum) & 0xffff);
}

volodya
Не дзенный какой-то вариант ;-)

В смысле?

Ну его на board.win32asmcommunity.net не хвалили - большой и медленный.
Кстати, в сорцах wine он тоже есть afaik.

Не дзенный какой-то вариант ;-)
Зато правильный, прямо "от производителя" :)

Всем бальшое спасиба !!!!

извините, но USHORT разве не 16 бит?
АФАИР, PE.OptionalHeader.Checksum - DWORD....

DarkK
извините, но USHORT разве не 16 бит?
АФАИР, PE.OptionalHeader.Checksum - DWORD...
Да 16 бит (2 байта). То что поле 32 бита еще ничего не значит.
S_T_A_S_
расшифруй afaik plz.

На сколько мне известно, это расшифровывается: As Far As I Know.

Соответственно, АФАИР, вероятно, сокращение от "As Far As I Remember",
но если мне не изменяет память, буржуи в таких случаях употребляют: IIRC - If I Recall Correctly

ЗЫ
Исходник-то из первых рук, там ошибки быть не может :)

S_T_A_S_
Спасибо за поднятие скилла =)

Исходник-то из первых рук, там ошибки быть не может :)

Да, кстати насчет 32 бит, кто-нить видел exe'шник, в котором старшие 16 бит не нули?