能力值:
( LV2,RANK:10 )
|
-
-
2 楼
Section table部分是PE代码和数据的结构数据,指示装载系统代码段在哪里,数据段在哪里等。对于不同的PE文件,设计者可能要求该文件包括不同的数据的Section。所以有一个Section Table 作为索引。Section多少可以根据实际情况而不同。但至少要有一个Section。如果一个程序连代码都没有,那么他也不能称为可执行代码。在Section Table后,Section数目的多少是不定的。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
http://hi.baidu.com/wangxinran/blog/item/95c60e24f7e97b31c89559a2.html
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
不懂楼主啥意思~,讲明白一点。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
section table是一个array
array长度由header里的NumberOfSections来定
把array读到头了就是data了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
不好意思我没有表达清楚。请问如何贴图?
|
能力值:
( LV3,RANK:20 )
|
-
-
7 楼
节表前面的是数据是固定的,若是没DIY过的话。
就是说每个PE结构的前面部分都是一样大小,就是里面的结构变量值不同而已。节表是根据前面的PE头里的一个节数目而定。有多少个数目就有多少个节表。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
是我写错了,是节表之后到第一个节数据之间的数据是什么?通常,在节表后面直接是节数据。但是看到的一些PE文件不是这样的,在节表之后到第一个节数据之间是有数据的。
|
能力值:
( LV3,RANK:20 )
|
-
-
9 楼
对了。节表大小是一样的。所有节节是连在一起的。
[只要是文件对齐]若是放节表区够大。节表后可以一些数据。也可以是全是0。[这些数据MS是没用的,或者是做校验之类用的吧。不太清楚]。
之后的就是节数据了。
[可以修改这个各节的偏移。从而加大节表区。]
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
块表和块中间填充的是0
磁盘文件中每个块占0.5K,也就是200H
内存映像中每个块占4K,也就是1000H
用不完的部分用0填充
看下面这张图
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
一般是使用0填充的,但是有一些文件是有数据的。从数据上看,有两部分组成,第一部分看不懂,第二部分是DLL集合。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
大哥!看清楚了,DLL信息不在块表和块中间,是在rdata块中,图上标的很明显啊 
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
不好意思。我说的不是你提供的图片中的内容。我不会上传图片,能发图的话,我可以发截图发上去。
|
|
|
|
