我用ollydbg打开了cstrike.exe
(对于游戏反恐精英),但反汇编代码不完整,它从01401000
开始,在0140BFFF
停止(我的意思是它应该在至少从00000000
开始完成,我无法确定0140BFFF
是确切的结尾还是仅仅是剥离的部分
01401000 . E8 05000000 CALL cstrike.0140100A
01401005 . E9 0A000000 JMP cstrike.01401014
0140100A $ B9 90134101 MOV ECX,cstrike.01411390
...
0140BFFD 00 DB 00
0140BFFE 00 DB 00
0140BFFF 00 DB 00
如何让OD显示PE二进制文件的所有细节?
答案 0 :(得分:0)
首先,00000000
没有任何内容其次,OD在反汇编窗口中显示一个内存区域。 打开内存窗口(alt + M)以查看所有内存区域。 或者使用ctrl-G获取所需的内存地址。
答案 1 :(得分:0)
当您启动exe文件时operation system
分析您的代码并将其放在内存中。
你的exe的一部分告诉代码的操作系统大小,数据大小和其他信息。这部分位于代码的开头,名为header section
。
您还有code section
,data section
,import and export section
和resource section
。
地址4000由标题部分设置。