Question

因此对于system32二进制文件，dumpbin将报告：

...
        6178 entry point (0000000140006178)
...
SECTION HEADER #1
   .text name
    63E6 virtual size
    1000 virtual address (0000000140001000 to 00000001400073E5)
    6400 size of raw data
     400 file pointer to raw data (00000400 to 000067FF)

但是RVA 6178的入口点映射到文件偏移量6178-1000 + 400 = 5578h（21,880），但是在十六进制编辑器中打开的文件只能达到4A00h（18,944）。

此外，shell报告文件大小为38,400字节。

因此，似乎.text部分是加密的或系统二进制文件的其他魔法。有谁知道发生了什么事？

Answer 1

据我所知，入口点并未指向.text部分。这对加密的二进制文件来说并不罕见。使用CFF Explorer或PeStudio，PE Explorer等其他工具，您可以查看入口点和指向部分的映射。

系统二进制文件的Dumpbin文件偏移量

1 个答案: