首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
PE文件获取原始为什么会是0??
发表于: 2013-7-13 10:41 6187

PE文件获取原始为什么会是0??

ollaa 活跃值
2013-7-13 10:41
6187


PE文件获取原始为什么会是0??
如图所示

.RDATA
.DATA
这两个节原始大小为什么会是0??

求解?有何种办法可以手工计算一下他的节点大小吗??

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费
支持
分享
最新回复 (11)
boainfall
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
你拿stud_pe看看 http://tools.pediy.com/petools.htm
2013-7-13 11:09
0
ollaa
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3


还是一样的,也还是0
我晕咧。。。。
上传的附件:
2013-7-13 11:36
0
MistHill
雪    币: 627
活跃值: (668)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
私信
4
加壳软件搞的鬼!典型的如VMP等。
它们被“挖”走了,放在壳的几个区段里,文件原来的位置就没有内容了,“原始大小”和“原始偏移”必然为0!
壳运行过程中,再“填”回去,解密/解压到对应的VA处。

注意PSFD00节(Executable),.axZ节(Readable&Writeable),.axL节和..idata节(Readable, Writeable&Executable)。
2013-7-13 11:39
0
ollaa
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *

这个是用PEID查询出来的东西~~~~
2013-7-13 11:46
0
bxc
雪    币: 7068
活跃值: (3552)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
私信
6
文件偏移为0,说明该区段在文件中并不存在,当程序被装载完成后,内存中该区段全是0x00,一般壳会把原始代码解压到空区段中。
2013-7-13 12:54
0
Rookietp
雪    币: 1042
活跃值: (630)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
看你区段明显是被壳处理了。
2013-7-13 13:05
0
ollaa
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
那这样的情况下,难道非得脱壳??
2013-7-13 17:21
0
boainfall
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
你拿od运行起来后,再人工看嘛
2013-7-13 18:29
0
ollaa
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
求解,该如何得知他这每个节点的位置?跟计算出他的大小呢??
2013-7-13 19:24
0
chixiaojie
雪    币: 3411
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
目测是一款 Delphi 程序。
2013-7-13 19:40
0
ollaa
雪    币: 13
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
这个是游戏的客户端哟~~

delphi,应该不会吧??
2013-7-13 20:08
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》