1
Que se trouvent dans la partie "Données non mappées" de PE?
Quelqu'un sait?
Il me semble que la plus grande partie de PE est occupée par Unmapped Data, est-ce le cas dans la plupart des cas?
A
Répondre
0
Non, ce n'est pas le cas dans la plupart des situations.
Il ne devrait pas y avoir de données après la dernière section, bien qu'il puisse y avoir. Si tel est le cas, il s'agira de données qui ne sont pas chargées en mémoire et, par conséquent, l'exécutable pourrait faire quelque chose de louche avec sa propre image de fichier lors de l'exécution.
0
Il existe souvent des données non mappées, en particulier dans la section .bss qui contient des données non initialisées, mais la plus grande partie du PE est mappée sur quelque chose. Si, par exemple, la section .text contient des données non mappées, c'est un signe clair que vous regardez un binaire bizarre qui a probablement été obscurci par un outil packer défensif.
Votre question me fait me demander ce que vous regardez avec le binaire. Je recommanderais OllyDbg ou Ida Pro. La plus grande partie de l'espace d'adressage du programme sera non mappée, mais pas la mémoire chargée par le PE.
"La plus grande partie de PE est occupée par des données non mappées" - comment arriver à cette conclusion? À partir de cette photo seule ou regardez-vous un assemblage .NET? –
J'arrive à la conclusion en inspectant les fichiers PE disponibles, pas l'assemblage .NET. – wamp
Voir [question] parascolaire [1] [1]: http://stackoverflow.com/questions/8954446/what-sections-are-not-loaded-by-the-pe-loader/9704773 # 9704773 – mox