PE的“未映射数据”部分有哪些内容?
有谁知道?
在我看来PE的大部分空间都被Unmapped Data占用,在大多数情况下是这种情况吗?
2 个答案:
答案 0 :(得分:0)
在大多数情况下,情况并非如此。
最后一节应该没有数据,尽管可以。如果存在,那么它将是未加载到内存中的数据,因此可执行文件可能在运行时使用自己的fileimage执行某些操作。
答案 1 :(得分:0)
通常会有一些未映射的数据,特别是在包含未初始化数据的.bss部分中,但大多数PE都会映射到某些内容。例如,如果.text部分包含未映射的数据,则清楚地表明您正在查看可能被防御性打包工具混淆的奇怪二进制文件。
你的问题让我想知道你在看二进制文件。我推荐OllyDbg或Ida Pro。大部分程序的地址空间将被取消映射,但不会被PE加载到的内存中。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?