Кто-нибудь знает?
Мне кажется, что большую часть места PE
занимает Unmapped Data
, так ли это в большинстве случаев?
Кто-нибудь знает?
Мне кажется, что большую часть места PE
занимает Unmapped Data
, так ли это в большинстве случаев?
Нет, это не так в большинстве ситуаций.
За последним разделом не должно быть никаких данных, хотя они могут быть. Если есть, это будут данные, которые не загружены в память, и, следовательно, исполняемый файл может делать что-то подозрительное со своим собственным образом файла во время выполнения.
Часто есть некоторые несопоставленные данные, особенно в разделе .bss, который содержит неинициализированные данные, но большая часть PE будет сопоставлена с чем-то. Если, например, раздел .text содержит несопоставленные данные, это явный признак того, что вы видите странный двоичный файл, который, вероятно, был запутан защитным инструментом упаковщика.
Ваш вопрос заставляет меня задаться вопросом, с чем вы смотрите на двоичный файл. Я бы порекомендовал OllyDbg или Ida Pro. Большая часть адресного пространства программы будет неотображена, но не память, в которую загружается PE.