So ermitteln Sie TimeDateStamp

Question

Ich habe etwas über Windows PE-Header codiert. Ich möchte den Timestamp-Wert ermitteln. Dies ist _IMAGE_FILE_HEADER Struktur

typedef struct _IMAGE_FILE_HEADER { 
    WORD Machine; 
    WORD NumberOfSections; 
    DWORD TimeDateStamp; 
    DWORD PointerToSymbolTable; 
    DWORD NumberOfSymbols; 
    WORD SizeOfOptionalHeader; 
    WORD Characteristics; 
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; 

Wert dieser Variablen TimeDateStamp ist: 0x58e451ac

Answer 1

I-Lösung so gefunden.

time_t TimeX = (time_t)header.TimeDateStamp; 
tm* pGMT = gmtime(&TimeX); 
char* pTime = asctime(pGMT); 

Answer 2

Nach MSDN: IMAGE_FILE_HEADER structure das TimeDateStamp Mitglied IMAGE_FILE_HEADER sind die niedrigen 32 Bits des Zeitstempels des Bildes. Es stellt die Zeit dar, in der das Bild vom Linker erstellt wurde. Der Wert wird als die Anzahl der Sekunden seit Beginn des 1. Januar 1970 in Universal Coordinated Time dargestellt.

FILETIME TimeDateStampToFileTime(DWORD timeDateStamp) 
{ 
    ULARGE_INTEGER ftu; 
    FILETIME ft; 

    ftu.QuadPart = (timeDateStamp + 11644473600ull) * 100000000ull; 
    ft.LowPart = ftu.u.LowPart; 
    ft.HighPart = ftu.u.Highpart; 
    return ft; 
} 

Dann können Sie die FILETIME auf eine kaputte SYSTEMTIME Struktur mithilfe der Windows-Funktion FileTimeToSystemTime konvertieren:

Es könnte mit der folgenden Funktion auf einen FILETIME Wert umgewandelt werden.