所以对于SYSTEM32二进制文件,DUMPBIN将报告:DUMPBIN文件偏移
...
6178 entry point (0000000140006178)
...
SECTION HEADER #1
.text name
63E6 virtual size
1000 virtual address (0000000140001000 to 00000001400073E5)
6400 size of raw data
400 file pointer to raw data (00000400 to 000067FF)
但在RVA的入口点6178名映射到文件偏移6178-1000 + 400 = 5578h(21,880),但文件在十六进制编辑器中打开只能达到4A00h(18,944)。
此外,文件大小由shell报告为38,400字节。
因此,看起来.text段被加密或系统二进制文件的其他魔术。任何人都知道发生了什么事?
a)CFF资源管理器将在地址转换器十六进制转储显示中正确读取该文件,以及b)如果使用Windows资源管理器将文件复制到桌面,则该副本中的所有内容都可以正常显示 - 它显示所有20,480字节该文件和部分以某种方式看起来是未加密的。我没有意识到Windows使用系统文件的任何PE加密。 – 2012-03-09 05:40:59