【发布时间】:2013-12-14 15:00:22
【问题描述】:
我正在尝试编写一个分析 Windows 可执行文件的程序。我假设可执行文件中的部分直接映射到内存。我注意到几个程序中有奇怪的行为。一个例子是crackme12.exe。当我检查加载到内存中的调试器 .rdata 部分时,我可以看到由于某种原因,在加载到内存中的部分的开头添加了 96 个字节,而该部分在可执行文件中不存在。我花了 2 天时间尝试阅读 Windows 可执行文档,但我找不到解释为什么会发生这种情况。
【问题讨论】:
标签: reverse-engineering disassembly