実行可能ファイルの内容を表示するobjdump、readelf、Dambinなどのツールがあります。
ただし、実行可能ファイルがメモリに読み込まれる (プロセスが作成される) とき、メモリ内のセグメントは通常、実行可能ファイル内のセグメントとは異なります。たとえば、ロードされると、スタックとヒープという 2 つの追加セグメントが割り当てられます (ここでは、ページ マッピングの詳細を見落としています)。
プロセスのインタイム メモリ セグメント/ステータスを表示するのに役立つツールはありますか?
Windows 実行可能ファイルは、Portable Executable形式を使用します。この形式は、プロセスのロード時に割り当てられるメモリのセクション.textと、オプションでそれらのセクションにロードされる生データ ( 、.dataセクション) を記述します。
通常、各セクションには、生ファイル内のデータの場所を指定するファイル オフセットと、データがロードされる仮想アドレスがあります。これらは互いに似ている場合と似ていない場合があります。
PE Explorer では、実行可能ファイルのセクション (および PE ファイルに関するその他すべて) の詳細を確認できます。
Immunity Debuggerを使用すると、実行中のプロセスにアタッチして、そのメモリ マップを確認できます。
