如何使用.text模块从PE获取pefile部分(或任何其他部分)的内容?
答案 0 :(得分:11)
sections attr是部分列表,每个项目都有get_data函数:
>>> import pefile
>>> pe = pefile.PE('./psfile.exe')
>>> for section in pe.sections:
... print (section.Name, hex(section.VirtualAddress),
... hex(section.Misc_VirtualSize), section.SizeOfRawData )
...
('.text\x00\x00\x00', '0x1000', '0xd3e4', 57344)
('.rdata\x00\x00', '0xf000', '0x5504', 24576)
('.data\x00\x00\x00', '0x15000', '0x3684', 8192)
('.rsrc\x00\x00\x00', '0x19000', '0x444', 4096)
来自文本部分数据的10个第一个字节,例如:
>>> pe.sections[0].get_data()[:10]
'\x81\xec\x90\x00\x00\x00j>\x8dD'