【问题标题】:loading Windows executable - unexpected data appended to sections after loading in memory加载 Windows 可执行文件 - 加载到内存后附加到部分的意外数据
【发布时间】:2013-12-14 15:00:22
【问题描述】:

我正在尝试编写一个分析 Windows 可执行文件的程序。我假设可执行文件中的部分直接映射到内存。我注意到几个程序中有奇怪的行为。一个例子是crackme12.exe。当我检查加载到内存中的调试器 .rdata 部分时,我可以看到由于某种原因,在加载到内存中的部分的开头添加了 96 个字节,而该部分在可执行文件中不存在。我花了 2 天时间尝试阅读 Windows 可执行文档,但我找不到解释为什么会发生这种情况。

【问题讨论】:

    标签: reverse-engineering disassembly


    【解决方案1】:

    一种解释可能是程序本身在内存部分放了一个流,这并不罕见。你不会在Portable Executable Documentation 中找到这种解释。一些(恶意软件)可执行文件也会替换或添加新部分。其他(混淆的)可执行文件会将现有的空文件部分扩展为非空内存部分。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2016-03-09
      • 1970-01-01
      • 2012-06-04
      • 1970-01-01
      • 1970-01-01
      • 2021-10-01
      • 1970-01-01
      相关资源
      最近更新 更多