另外，由于PNG文件是按照BigEndian格式进行存储的，所以我们要在脚本的第一行加入：

1. BigEndian(); 

至此终于大功告成。将编写好的010脚本进行保存，打开一个PNG文件，然后运行该脚本。可以看到类似于图17.3.3的解析结果。

从图17.3.3中可以看到，该PNG文件包含了6个Chunk：IHDR、gAMA、cHRM、PLTE、IDAT和IEND。当然，根据PNG文件的不同，解析结果也不尽相同。但是在任何PNG文件中，IHDR、PLET、IDAT和IEND这4个Chunk是必不可少的。

下面我们来做一个有趣的实验。首先介绍一下实验环境，如表17-3-2所示。

图17.3.3  PNG文件解析结果

表17-3-2  实验环境

题外话：GdiPlus.dll是GDI图像设备接口图形界面的相关模块，属于Microsoft GDI+，它会在安装一些软件或补丁时出现，并且出现在与所安装软件相同分区下。所以gdiplus.dll不一定在C:\WINDOWS\system32目录里，在实验前您可能有必要搜索一下它的位置。

在之前的PNG解析结果中找到IHDR Chunk的length位置，也就是第9～12字节，通常情况下其值应该是13(0x0D)。现在我们把它改为0xFFFFFFF4，并将文件另存为poc.png。如图17.3.4所示。

图17.3.4  将IHDR的length修改为0xFFFFFFF4