1
Что находится в разделе «Неотображаемые данные» PE?
Кто-нибудь знает?
Мне кажется, что большинство мест PE занято Unmapped Data, это в большинстве случаев?
A
ответ
0
В большинстве случаев это не так.
Данных не было в прошлом разделе, хотя может быть. Если есть, это будут данные, которые не загружаются в память, и, следовательно, исполняемый файл может делать что-то подозрительное со своим собственным файловым интерфейсом во время выполнения.
0
Часто есть некоторые неотображаемые данные, особенно в разделе .bss, который содержит неинициализированные данные, но большая часть PE будет отображаться на что-то. Если, например, раздел .text содержит несвязанные данные, это явный признак того, что вы смотрите на странный бинарный файл, который, вероятно, был запутан средством защиты от пакера.
Ваш вопрос заставляет меня задаться вопросом, что вы смотрите на двоичный код. Я бы порекомендовал OllyDbg или Ida Pro. Большая часть адресного пространства программы будет отключена, но не память, в которую загружается PE.
Смежные вопросы
- 1. О разделе кода PE-формата
- 2. Как сопоставить смещение файла в EXE в его разделе PE
- 3. Hibernate, запрашивающий неотображаемые таблицы
- 4. Что такое атрибут «Изолированное изображение» в PE?
- 5. Что означает -pe в отношении скриптов?
- 6. Что такое подпись MZ в PE-файле?
- 7. Что такое файл .PE в .NET framework?
- 8. Что делают альтернативы для диалога «Удалить неотображаемые таблицы и представления»?
- 9. Перемещение данных между разделами Portable Executable (PE)
- 10. Данные в разделе данных exe
- 11. Основные данные: изменения в разделе
- 12. Учетные данные OAuth в разделе secrets.yml в разделе разработки
- 13. Неотображаемые ссылки ошибка не определена
- 14. Разница между форматом файла delphi pe и файлом win32 pe
- 15. Breeze не отправляет неотображаемые свойства
- 16. Идентификация характеристики секции PE
- 17. Что означает «экспорт секретных ключей» (Makecert -pe)?
- 18. Верно ли, что файлы PE отображаются непосредственно в память?
- 19. Что такое CheckSum для файла заголовка PE?
- 20. Структуры, содержащиеся в разделе .pdata
- 21. Оператор case в разделе Join
- 22. Фильтровать право вступать в данные в разделе
- 23. данные проверяются в разделе правил в yii2
- 24. Извлечь все данные в файле C, который находится в .text (или другом) разделе
- 25. сканирование в файлах PE
- 26. Узнайте, где PE-файл заканчивается через PE-заголовок?
- 27. Данные в разделе ListView (native-native)
- 28. Как параметризуем данные в разделе CDATA
- 29. Что находится в стеке?
- 30. Понимание чисел в PE
«Самое большое место в PE занято Unmapped Data» - как вы к этому пришли? Из этого изображения в одиночку или вы смотрите на сборку .NET? –
Я получаю заключение, проверяя доступные файлы PE, а не сборку .NET. – wamp
См переферия [вопрос] [1] [1]: http://stackoverflow.com/questions/8954446/what-sections-are-not-loaded-by-the-pe-loader/9704773 # 9704773 – mox