如何修改PE文件的创建时间？

用SetFileTime()或者直接用批处理命令不行么？

原理上难道不是修改文件的PE头么？

自己看看用函数改和你手动改的差别可能出在哪里

【 在 FFT 的大作中提到: 】 : 原理上难道不是修改文件的PE头么？ 应该是吧。。。 我原来发过一个PE格式图解，现在找不到了。。。。。=。= 重发一遍吧： 应该就是pe头的 08h处，不过pe头前面还有个长度不定的mz头（茫猪头，哈哈） ，是不是你改的是mz头？ 另外TimeDateStamp是联结器产生此一文件的时刻。是一个DWORD值，其格式是自从1969 年12 月31 日4:00 P.M. 之后的总秒数。是不是格式搞错了？

恩，刚才试了一下，复制了Flashfxp的2个副本并命名为1.exe和 2.exe，用右键属性查看，一个的创建时间是2007.2.25 19：27：46，另一个是2007.2.25 19：29：17 然后用fc /b 1.exe 2.exe，说找不到相异处。。。。因为准备回学校，笔记本收起来了，家里的机器没ue,不清楚fc的原理，但是这样看来估计windows的创建时间属性不是通过读PE头得到的 。。。。 以上纯属个人瞎猜 ，等猫哥或者猪来回答吧。。。。

pe头有明显pe标志。。。不可能错，TimeDateStamp那个是随便改的，可是属性上的创建时间不变 【 在 zwz 的大作中提到: 】 是不是你改的是mz头？ 另外TimeDateStamp是联结器产生此一文件的时刻。是一个DWORD值，其格式是自从1969 年12 月31 日4:00 P.M. 之后的总秒数。是不是格式搞错了？ 那个，怎么查看这个函数的原码，找不到它的cpp... 【 在 rebirthatsix 的大作中提到: 】 : 自己看看用函数改和你手动改的差别可能出在哪里

【 在 FFT 的大作中提到: 】 : pe头有明显pe标志。。。不可能错，TimeDateStamp那个是随便改的，可是属性上的创建时间不变 : 是不是你改的是mz头？ : : ................... 函数说明msdn里有。。。。。

PE中的TimeDateStamp只是一个标记。。。主要是用来区分文件版本的。。。 而你在属性上看到的创建时间是这个PE文件在文件系统上建立的时间。。。所以你如果下载就会看到是你下载时创建文件的时间。。。如果是从别的盘Copy就保留原文件系统上的建立时间~ SetFileTime改的是这个值。。。存在文件系统中的。。。

【 在 CNLAS 的大作中提到: 】 : PE中的TimeDateStamp只是一个标记。。。主要是用来区分文件版本的。。。 : 而你在属性上看到的创建时间是这个PE文件在文件系统上建立的时间。。。所以你如果下载就会看到是你下载时创建文件的时间。。。如果是从别的盘Copy就保留原文件系统上的建立时间~ : SetFileTime改的是这个值。。。存在文件系统中的。。。 嗯，看来我猜对了。。。。。