この記事http://msdn.microsoft.com/en-us/library/ms809762.aspx?ppud=4
によると、PE セクションにカスタム名を付けることができます。
したがって、作成者がセクション名を自分の名前に置き換えた PE ファイルでは、
たとえば「.pdata」セクションが「.pdata」と呼ばれなくなったため、その名前で見つけることができません。
「.pdata」を見つけるにはどうすればよいですか?
4802 次
1 に答える
3
Windows Portable Executable 仕様および Matt Pietrek のような他のソースによると、セクション Names are made for the human! 通常、コンパイラは特定の種類のセクション コンテンツに「標準」名を設定します (たとえば、コードの「.text」など)。ただし、これらの名前はローダーによって完全に無視されます。これらのセクション名は、さまざまな方法を使用して変更できます (プラグマまたはその他のツール (Peid など) を使用)。対象のセクション (.pdata) は、IMAGE_DIRECTORY_ENTRY_EXCEPTION ディレクトリに関連付けられています。
名前が変更されたときに .pdata セクション (ところで、イメージが 64 ビットであることを示す指標) を見つけるには、IMAGE_DIRECTORY_ENTRY_EXCEPTION ディレクトリを検索し、その内容に基づいて、それが配置されているセクションを取得するだけです。 (すべてのディレクトリに対してできるように)。
于 2013-01-20T09:42:51.623 に答える