portable-executable - 系统二进制文件的 Dumpbin 文件偏移量

Question

因此对于 system32 二进制文件，dumpbin 将报告：

...
        6178 entry point (0000000140006178)
...
SECTION HEADER #1
   .text name
    63E6 virtual size
    1000 virtual address (0000000140001000 to 00000001400073E5)
    6400 size of raw data
     400 file pointer to raw data (00000400 to 000067FF)

但是 RVA 6178 处的入口点映射到文件偏移量 6178-1000+400 = 5578h (21,880)，但在十六进制编辑器中打开的文件仅上升到 4A00h (18,944)。

此外，shell 将文件大小报告为 38,400 字节。

所以似乎 .text 部分是加密的或系统二进制文件的其他一些魔法。有谁知道发生了什么？

score 0 · Accepted Answer

据我所知，入口点没有指向 .text 部分。这对于加密的二进制文件并不罕见。使用 CFF Explorer 或其他工具，如 PeStudio、PE Explorer 等，您可以查看入口点和指向部分的映射。

portable-executable - 系统二进制文件的 Dumpbin 文件偏移量

1 回答 1

Related

Reference