誰でも知っていますか?
のほとんどのスペースがPEによって占められているように思えますUnmapped Dataが、これはほとんどの場合に当てはまりますか?
2 に答える
0
There is often some unmapped data, particularly in the .bss section which contains uninitialized data, but most of the PE will mapped to something. If, for example, the .text section contains unmapped data, it's a clear sign that you're looking at a weird binary that's probably been obfuscated by a defensive packer tool.
Your question makes me wonder what you're looking at the binary with. I would recommend OllyDbg or Ida Pro. Most of the program's address space will be unmapped, but not the memory that the PE loads into.
于 2011-10-06T22:38:41.943 に答える
0
いいえ、ほとんどの場合、そうではありません。
最後のセクションを過ぎたデータは存在しないはずですが、存在する可能性があります。存在する場合、それはメモリにロードされていないデータであるため、実行可能ファイルは実行時に独自のファイル イメージで何か怪しいことをしている可能性があります。
于 2010-09-26T20:55:18.440 に答える