有谁知道?
在我看来,大部分空间都PE
被 占用了Unmapped Data
,大多数情况下都是这样吗?
不,在大多数情况下并非如此。
尽管可以有,但不应有超过最后一部分的数据。如果有,它将是未加载到内存中的数据,因此可执行文件可能在运行时使用自己的文件映像做一些可疑的事情。
经常有一些未映射的数据,特别是在包含未初始化数据的 .bss 部分中,但大多数 PE 会映射到某些东西。例如,如果 .text 部分包含未映射的数据,这清楚地表明您正在查看可能被防御性打包工具混淆的奇怪二进制文件。
你的问题让我想知道你在看什么二进制文件。我会推荐 OllyDbg 或 Ida Pro。大多数程序的地址空间将被取消映射,但不是 PE 加载到的内存。