Portable executable “文件”中有什么内容;“未映射数据”;体育的一部分?
有人知道吗Portable executable “文件”中有什么内容;“未映射数据”;体育的一部分?,portable-executable,Portable Executable,有人知道吗 在我看来,PE的大部分空间都被未映射的数据占据了,大多数情况下都是这样吗?不,大多数情况下都不是这样 应该没有超过最后一节的数据,尽管可以。如果有的话,将是未加载到内存中的数据,因此可执行文件在运行时可能会对其自己的文件映像进行可疑操作 通常会有一些未映射的数据,特别是在包含未初始化数据的.bss部分,但大多数PE将映射到某个对象。例如,如果.text部分包含未映射的数据,则表明您看到的是一个奇怪的二进制文件,该文件可能已被防御性打包工具混淆 你的问题让我想知道你在用什么看二进制。我
在我看来,
PE
的大部分空间都被未映射的数据占据了,大多数情况下都是这样吗?不,大多数情况下都不是这样
应该没有超过最后一节的数据,尽管可以。如果有的话,将是未加载到内存中的数据,因此可执行文件在运行时可能会对其自己的文件映像进行可疑操作 通常会有一些未映射的数据,特别是在包含未初始化数据的.bss部分,但大多数PE将映射到某个对象。例如,如果.text部分包含未映射的数据,则表明您看到的是一个奇怪的二进制文件,该文件可能已被防御性打包工具混淆
你的问题让我想知道你在用什么看二进制。我会推荐OllyDbg或Ida Pro。程序的大部分地址空间将被取消映射,但PE加载到的内存将被取消映射 “PE的大部分空间都被未映射的数据占据了”-你是如何得出这个结论的?仅从这张图片还是您正在查看.NET程序集?我是通过检查可用的PE文件而不是.NET程序集得出结论的。请参阅相关的[问题][1][1]: