首页
社区
课程
招聘
PE文件获取原始为什么会是0??
发表于: 2013-7-13 10:41 6146

PE文件获取原始为什么会是0??

2013-7-13 10:41
6146


PE文件获取原始为什么会是0??
如图所示

.RDATA
.DATA
这两个节原始大小为什么会是0??

求解?有何种办法可以手工计算一下他的节点大小吗??

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你拿stud_pe看看 http://tools.pediy.com/petools.htm
2013-7-13 11:09
0
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3


还是一样的,也还是0
我晕咧。。。。
上传的附件:
2013-7-13 11:36
0
雪    币: 627
活跃值: (663)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
4
加壳软件搞的鬼!典型的如VMP等。
它们被“挖”走了,放在壳的几个区段里,文件原来的位置就没有内容了,“原始大小”和“原始偏移”必然为0!
壳运行过程中,再“填”回去,解密/解压到对应的VA处。

注意PSFD00节(Executable),.axZ节(Readable&Writeable),.axL节和..idata节(Readable, Writeable&Executable)。
2013-7-13 11:39
0
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *

这个是用PEID查询出来的东西~~~~
2013-7-13 11:46
0
雪    币: 7048
活跃值: (3527)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
6
文件偏移为0,说明该区段在文件中并不存在,当程序被装载完成后,内存中该区段全是0x00,一般壳会把原始代码解压到空区段中。
2013-7-13 12:54
0
雪    币: 1042
活跃值: (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看你区段明显是被壳处理了。
2013-7-13 13:05
0
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
那这样的情况下,难道非得脱壳??
2013-7-13 17:21
0
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
你拿od运行起来后,再人工看嘛
2013-7-13 18:29
0
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
求解,该如何得知他这每个节点的位置?跟计算出他的大小呢??
2013-7-13 19:24
0
雪    币: 3279
活跃值: (1997)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
目测是一款 Delphi 程序。
2013-7-13 19:40
0
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
这个是游戏的客户端哟~~

delphi,应该不会吧??
2013-7-13 20:08
0
游客
登录 | 注册 方可回帖
返回
//