嵌入的数字签名始终附加到可执行文件的末尾，无论是否附加了自定义数据。附加的数据包含在签名的散列中。
签名的位置和大小存储在PE头的安全目录中。提取这些信息是这样的：

• 找到并读取PE文件的IMAGE_OPTIONAL_HEADER。
• IMAGE_OPTIONAL_HEADER::DataDirectory是IMAGE_DATA_DIRECTORY结构的阵列。索引为IMAGE_DIRECTORY_ENTRY_SECURITY。您也可以使用dbghlp API ImageDirectoryEntryToDataEx()。
• IMAGE_DATA_DIRECTORY::VirtualAddress包含签名的 file offset（不是RVA），IMAGE_DATA_DIRECTORY::Size包含签名的大小。

参考文献：

• PE Format (MSDN)的
• Peering inside the PE（可读性更强，有示例）
• IMAGE_DATA_DIRECTORY values的
• The Case of the Missing Digital Signatures Tab

Microsoft记录了已签名PE文件的格式：
Windows Authenticode Portable Executable Signature Format[此链接下载WORD文档]