OEP是PE文件被加载时的起始地址，该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍，收 获不小，现在对PE文件的前两部分已经有一定的了解了。

下面的代码很简单，首先用CreateFile读取PE文件，PE文件的起始位置是DOS部分，DOS部分又分为DOS MS文件头和DOS块，在DOS MS文件头中包含了PE文件头的起始地址，而DOS块中的数据没啥用，该块的大小为112字节，通常其内容为“This program cannot be run in DOS mode.”。

所以我们现在要做的就是读取DOS MS 文件头，其存放于IMAGE_DOS_HEADER结构体中，用ReadFile函数来读取。

读取到IMAGE_DOS_HEADER结构体的数据后，直接获取结构体中e_lfanew成员的值，这个值就是PE文件头的地址。

现在已经到了PE文件头的位置，而我们要读取的OEP则是存放于PE文件头的IMAGE_DATA_HEADER32结构体中。在PE文件 头到IMAGE_DATA_HEADER32结构体之间包含PE文件标志和一个IMAGE_FILE_HEADER结构体。也就是说，说PE文件头走到 IMAGE_DATA_HEADER32的位置，首先要经过PE文件标志，接着再走到IMAGE_FILE_HEADER结构体的位置。

PE文件标志是一个DWORD类型，占4个字节。

IMAGE_FILE_HEADER结构体有4个WORD成员和3个DWORD成员，占20个字节。

现在到了IMAGE_DATA_HEADER32结构体，我们要获取的OEP在该结构体的第7个成员中，在其之前分别有2个BYTE成员、 1个WORD成员和3个DWORD成员，所以在该结构体的16个字节就是存放OEP的起始地址。

那么，我们在PE文件头的起始位置加上PE文件标志占用的字节，再加上OEP值之前6个成员占用的字节，也就是加40个字节。这样就到了 OEP的起始位置了。

现在用SetFilePointer函数定位文件读取的起始位置，然后用Read_File函数就可以读取OEP的值了。

下面的完整的代码：

#include <windows.h>
#include <stdio.h>

int main()
{
 HANDLE hFile;

//打开文件
 if ( ( hFile = CreateFile( "notepad.exe", GENERIC_READ, FILE_SHARE_READ, NULL,
  OPEN_EXISTING, FILE_FLAG_SEQUENTIAL_SCAN, NULL ) ) == INVALID_HANDLE_VALUE )
 {
  printf( "文件打开失败！/n" );
  return 0;
 }

//DOS MZ文件头
 IMAGE_DOS_HEADER dos_head[ sizeof( IMAGE_DOS_HEADER ) ];

DWORD dwRead; //读取到的字节大小

//读取文件
 if ( !ReadFile( hFile, &dos_head, sizeof( IMAGE_DOS_HEADER ), &dwRead, NULL ) )
 {
  printf( "读取IMAGE_DOS_HEADER失败！/n" );
  CloseHandle( hFile );
  return 0;
 }

//指向PE文件头
 int EntryPoint = dos_head->e_lfanew;

//批向IMAGE_NT_HEADERS结构体中的
 //IMAGE_OPTIONAL_HEADER32结构体的
 //第7 个成员AddressOfEntryPoint， 即程序执行入口RVA
 //RVA 偏移量 文件映射到内存的偏移地址
 EntryPoint += 40;

//设置文件读写地址
 SetFilePointer( hFile, EntryPoint, NULL, FILE_BEGIN );

DWORD dwOEP;

//读取AddressOfEntryPoint的值
 if ( !ReadFile( hFile, &dwOEP, sizeof( dwOEP ), &dwRead, NULL ) )
 {
  CloseHandle( hFile );
  return 0;
 }

//关闭文件
 CloseHandle( hFile );

printf( "OEP by file:%d/n", dwOEP );
 return 0;
}