1. 首页
  2. 问答
  3. DUMPBIN文件偏移

DUMPBIN文件偏移

2012-03-09 81 views
0

所以对于SYSTEM32二进制文件,DUMPBIN将报告:DUMPBIN文件偏移

... 
     6178 entry point (0000000140006178) 
... 
SECTION HEADER #1 
    .text name 
    63E6 virtual size 
    1000 virtual address (0000000140001000 to 00000001400073E5) 
    6400 size of raw data 
    400 file pointer to raw data (00000400 to 000067FF)

但在RVA的入口点6178名映射到文件偏移6178-1000 + 400 = 5578h(21,880),但文件在十六进制编辑器中打开只能达到4A00h(18,944)。

此外,文件大小由shell报告为38,400字节。

因此,看起来.text段被加密或系统二进制文件的其他魔术。任何人都知道发生了什么事?

来源

2012-03-09 grv grv

+0

a)CFF资源管理器将在地址转换器十六进制转储显示中正确读取该文件,以及b)如果使用Windows资源管理器将文件复制到桌面,则该副本中的所有内容都可以正常显示 - 它显示所有20,480字节该文件和部分以某种方式看起来是未加密的。我没有意识到Windows使用系统文件的任何PE加密。 – 2012-03-09 05:40:59

回答

0

就我所见,入口点并不指向.text部分。这对加密的二进制文件来说并不罕见。使用CFF资源管理器或PeStudio,PE资源管理器等其他工具,您可以查看入口点和尖角部分的映射。

来源

2012-03-12 01:52:15 mox

+0

我不关注。入口点VA 140006178位于.text部分VA地址(0000000140001000至00000001400073E5)的范围内。 EP不需要指向.text部分的开头。 – 2012-03-16 04:42:46

+0

我从来没有说过EP需要指出.text部分的开头。 – mox 2012-03-16 07:31:33

+0

好吧,我不确定你的意思是EP没有指向.text部分。 – 2012-03-17 19:48:09

相关问题

 相关问题