1. 首頁
  2. 問答
  3. DUMPBIN文件偏移

DUMPBIN文件偏移

2012-03-09 89 views
0

所以對於SYSTEM32二進制文件,DUMPBIN將報告:DUMPBIN文件偏移

... 
     6178 entry point (0000000140006178) 
... 
SECTION HEADER #1 
    .text name 
    63E6 virtual size 
    1000 virtual address (0000000140001000 to 00000001400073E5) 
    6400 size of raw data 
    400 file pointer to raw data (00000400 to 000067FF)

但在RVA的入口點6178名映射到文件偏移6178-1000 + 400 = 5578h(21,880),但文件在十六進制編輯器中打開只能達到4A00h(18,944)。

此外,文件大小由shell報告爲38,400字節。

因此,看起來.text段被加密或系統二進制文件的其他魔術。任何人都知道發生了什麼事?

來源

2012-03-09 grv grv

+0

a)CFF資源管理器將在地址轉換器十六進制轉儲顯示中正確讀取該文件,以及b)如果使用Windows資源管理器將文件複製到桌面,則該副本中的所有內容都可以正常顯示 - 它顯示所有20,480字節該文件和部分以某種方式看起來是未加密的。我沒有意識到Windows使用系統文件的任何PE加密。 – 2012-03-09 05:40:59

回答

0

就我所見,入口點並不指向.text部分。這對加密的二進制文件來說並不罕見。使用CFF資源管理器或PeStudio,PE資源管理器等其他工具,您可以查看入口點和尖角部分的映射。

來源

2012-03-12 01:52:15 mox

+0

我不關注。入口點VA 140006178位於.text部分VA地址(0000000140001000至00000001400073E5)的範圍內。 EP不需要指向.text部分的開頭。 – 2012-03-16 04:42:46

+0

我從來沒有說過EP需要指出.text部分的開頭。 – mox 2012-03-16 07:31:33

+0

好吧,我不確定你的意思是EP沒有指向.text部分。 – 2012-03-17 19:48:09

相關問題

 相關問題