能力值:
( LV2,RANK:10 )
|
-
-
2 楼
加壳了,很有可能是ZP
|
能力值:
( LV9,RANK:140 )
|
-
-
3 楼
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text”
//IMAGE_SIZEOF_SHORT_NAME=8
union {
DWORD PhysicalAddress;//物理地址
DWORD VirtualSize;//真实长度,这两个值是一个联合结构,可以使用其中的任何一个,
//一般是节的数据大小
} Misc;
DWORD VirtualAddress;//RVA
DWORD SizeOfRawData;//物理长度
DWORD PointerToRawData;//节基于文件的偏移量
DWORD PointerToRelocations;//重定位的偏移
DWORD PointerToLinenumbers;//行号表的偏移
WORD NumberOfRelocations;//重定位项数目
WORD NumberOfLinenumbers;//行号表的数目
DWORD Characteristics;//节属性 如可读,可写,可执行等
}
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
才有2个人回复, 哎.
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
你没留意到r.size也是0吗?
BSS存放的是未初始化的全局变量和静态变量,也就是说这些变量只有在程序执行时才需要分配空间,赋值并使用,所以在文件中存储时完全没有必要为之分配空间,故文件中大小就是0,不存在。只有在执行时,Windows才会在内存中为此段分配空间,等到程序执行过程中用到这些变量了,就会向其中写入值。
|
能力值:
( LV9,RANK:280 )
|
-
-
6 楼
如果我没猜错,这应该是vs8.0以上版本编译出来的Debug版程序。
通过Flags可以判断出“.textbbs”与“.text”段都具有可执行权限,且“.textbbs”还具有写入权限,因此“.textbbs”的作用就很明显了,就是在程序运行之后在RVA 0x1000-0x10000 “托管”可执行代码与一些全局的未初始化数据。
因此其文件体积相关的信息基本可以被忽略,其真正有用的是描述内存空间的相关内容(也就是PEID里的V.Offset与V.Size)。
-------------------------------------------------------
在Release版中,“.textbbs”的作用被“.data”段超出文件大小但小于内存大小的那部分区域所替代,这点在段老师的《加密加密3》中有一句话提到过。
|
|
|
|
