Кто-нибудь знает?
Мне кажется, что большую часть места PE занимает Unmapped Data , так ли это в большинстве случаев?
Что находится в части Unmapped Data PE?
comment
большую часть места в PE занимают неотображенные данные — как вы пришли к такому выводу? Только по этой картинке или вы смотрите на сборку .NET?
- person Henk Holterman schedule 26.09.2010
comment
Я прихожу к выводу, просматривая доступные PE-файлы, а не сборку .NET.
- person wamp schedule 27.09.2010
comment
См. соответствующий [вопрос] [1] [1]: stackoverflow.com/questions/8954446/
- person mox schedule 09.05.2012
Ответы (2)
Нет, это не так в большинстве ситуаций.
За последним разделом не должно быть никаких данных, хотя они могут быть. Если есть, это будут данные, которые не загружены в память, и, следовательно, исполняемый файл может делать что-то подозрительное со своим собственным образом файла во время выполнения.
person
joveha
schedule
26.09.2010
Часто есть некоторые несопоставленные данные, особенно в разделе .bss, который содержит неинициализированные данные, но большая часть PE будет сопоставлена с чем-то. Если, например, раздел .text содержит несопоставленные данные, это явный признак того, что вы видите странный двоичный файл, который, вероятно, был запутан защитным инструментом упаковщика.
Ваш вопрос заставляет меня задаться вопросом, с чем вы смотрите на двоичный файл. Я бы порекомендовал OllyDbg или Ida Pro. Большая часть адресного пространства программы будет неотображена, но не память, в которую загружается PE.
person
Kevin
schedule
06.10.2011
