0

したがって、system32 バイナリの場合、dumpbin は次のように報告します。

...
        6178 entry point (0000000140006178)
...
SECTION HEADER #1
   .text name
    63E6 virtual size
    1000 virtual address (0000000140001000 to 00000001400073E5)
    6400 size of raw data
     400 file pointer to raw data (00000400 to 000067FF)

しかし、RVA 6178 のエントリ ポイントはファイル オフセット 6178-1000+400 = 5578h (21,880) にマップされますが、16 進エディタで開いたファイルは 4A00h (18,944) までしか移動しません。

また、ファイル サイズはシェルによって 38,400 バイトと報告されます。

そのため、.text セクションは暗号化されているか、システム バイナリのその他の魔法のようです。何が起こっているか知っている人はいますか?

4

1 に答える 1

0

私が見る限り、エントリ ポイントは .text セクションを指していません。これは、暗号化されたバイナリでは珍しいことではありません。CFF エクスプローラーまたは PeStudio、PE エクスプローラーなどの他のツールを使用して、エントリ ポイントと指定されたセクションのマッピングを調べることができます。

于 2012-03-12T01:52:15.627 に答える