PE文件获取原始为什么会是0？？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 2 楼你拿stud_pe看看 http://tools.pediy.com/petools.htm 2013-7-13 11:09 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 3 楼还是一样的，也还是0 我晕咧。。。。上传的附件： QQ截图20130713103714.jpg （67.62kb，1次下载） 2013-7-13 11:36 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 4 楼加壳软件搞的鬼！典型的如VMP等。它们被“挖”走了，放在壳的几个区段里，文件原来的位置就没有内容了，“原始大小”和“原始偏移”必然为0！壳运行过程中，再“填”回去，解密/解压到对应的VA处。注意PSFD00节(Executable)，.axZ节(Readable&Writeable)，.axL节和..idata节(Readable, Writeable&Executable)。 2013-7-13 11:39 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 5 楼 Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] * 这个是用PEID查询出来的东西~~~~ 2013-7-13 11:46 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 6 楼文件偏移为0，说明该区段在文件中并不存在，当程序被装载完成后，内存中该区段全是0x00，一般壳会把原始代码解压到空区段中。 2013-7-13 12:54 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 7 楼看你区段明显是被壳处理了。 2013-7-13 13:05 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 8 楼那这样的情况下,难道非得脱壳?? 2013-7-13 17:21 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 9 楼你拿od运行起来后，再人工看嘛 2013-7-13 18:29 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 10 楼求解，该如何得知他这每个节点的位置？跟计算出他的大小呢？？ 2013-7-13 19:24 0
chixiaojie 雪币： 3279 活跃值： (1997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 11 楼目测是一款 Delphi 程序。 2013-7-13 19:40 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 12 楼这个是游戏的客户端哟~~ delphi，应该不会吧？？ 2013-7-13 20:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 2 楼你拿stud_pe看看 http://tools.pediy.com/petools.htm 2013-7-13 11:09 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 3 楼还是一样的，也还是0 我晕咧。。。。上传的附件： QQ截图20130713103714.jpg （67.62kb，1次下载） 2013-7-13 11:36 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 4 楼加壳软件搞的鬼！典型的如VMP等。它们被“挖”走了，放在壳的几个区段里，文件原来的位置就没有内容了，“原始大小”和“原始偏移”必然为0！壳运行过程中，再“填”回去，解密/解压到对应的VA处。注意PSFD00节(Executable)，.axZ节(Readable&Writeable)，.axL节和..idata节(Readable, Writeable&Executable)。 2013-7-13 11:39 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 5 楼 Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] * 这个是用PEID查询出来的东西~~~~ 2013-7-13 11:46 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 6 楼文件偏移为0，说明该区段在文件中并不存在，当程序被装载完成后，内存中该区段全是0x00，一般壳会把原始代码解压到空区段中。 2013-7-13 12:54 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 7 楼看你区段明显是被壳处理了。 2013-7-13 13:05 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 8 楼那这样的情况下,难道非得脱壳?? 2013-7-13 17:21 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 9 楼你拿od运行起来后，再人工看嘛 2013-7-13 18:29 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 10 楼求解，该如何得知他这每个节点的位置？跟计算出他的大小呢？？ 2013-7-13 19:24 0
chixiaojie 雪币： 3279 活跃值： (1997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 11 楼目测是一款 Delphi 程序。 2013-7-13 19:40 0
ollaa 雪币： 13 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 172 粉丝 0 关注私信	ollaa 12 楼这个是游戏的客户端哟~~ delphi，应该不会吧？？ 2013-7-13 20:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复