如何映射文件中的EXE其PE部分

Question

我已經打開了一個項目，我寫IMAGEHLP.DLL玩弄了一點偏差，我注意到，有似乎是在文件中較大的差距。據我所知，對於每個PE部，節頭給出了其在文件中的偏移爲PhysicalAddress，以及其作爲SizeOfRawData尺寸，從而一切從PhysicalAddress到PhysicalAddress + SizeOfRawData應該是該部分。但是有大量的EXE文件沒有被這些範圍所覆蓋，所以我必須錯過一些東西。

我知道我可以使用ImageRVAToSection，並給它一個RVA地址找出哪些節RVA位於請問有什麼辦法做到與文件偏移類似的東西？我怎樣才能找出哪個PE節字節$ ED178或其他屬於什麼？

Answer 1

編輯：對不起，我沒有看過你的問題不夠仔細。

做一些看，我發現了幾個文件，如你所說，在該節頭中的數據不包括文件的全部內容。目前爲止，我發現的大部分包含的調試記錄都沒有涉及。還有其他幾個我仍然無法解決的差異。當/如果我能弄清楚更多，我會添加它。

Answer 2

我在How does one use VirtualAllocEx do make room for a code cave?中發佈了一個代碼片段，用於檢查內存中的PE current loaded。如果您將內存中的DLL內容與磁盤上的內容（顯示ImageHlp.dll）進行比較，您可能會在您的問題中找到答案。