-
-
[旧帖]
这样的PE文件为什么能正常运行?
0.00雪花
-
发表于:
2009-7-16 20:18
1377
-
[旧帖] 这样的PE文件为什么能正常运行?
0.00雪花
今天找到一个PE文件,用加密软件加密下,结果等了很久提示我加壳失败,原因是内存不足!
很不解,折腾半天才发现奇怪的地方。用LordPE查看该文件,如下图所示
划红线的2个,第一个(SizeOfImage是映像装入内存后的总尺寸)大小是480GB左右大小,
第二个(BaseOfDate是数据区块起始RVA)大小是2GB多。
很好奇,这个文件居然能正常运行,我是命令行运行的。想问下:这个程序有没有可能是编译器编译出来的?这2个值这样修改,为什么不出错呢?
这个加壳程序应该是取这2个值来作为压缩的参数所以出错了。那么想正确的取参数,我们应该取区块的对齐值大小,而不取实际大小吗?对文件总大小,也应该用GetFileSize函数取大小吗?
迷惑中,请高人指教。
[课程]Android-CTF解题方法汇总!