Question

Допустим, я загрузил исполняемый файл PE в память и присвоил ему структуры dos, nt headers и теперь я хочу узнать его фактическое (не VA) смещение + размер сегмента .text / code, как мне это сделать? Есть ли Win32 API для поиска смещения начала .text или, возможно, указатель из структуры который указывает на начальное смещение этого сегмента

спасибо.

Vanessa MacDougal · Answer 1 · 11 февраля 2010

IMAGE_FILE_HEADER и IMAGE_OPTIONAL_HEADER содержат часть этой информации. Вы можете получить их с помощью функции GetNTHeaders (). Оттуда вы можете получить первый заголовок раздела с IMAGE_FIRST_SECTION (pNtHeaders). Заголовки разделов являются последовательными и содержат остальную информацию, которая вас интересует. Заголовок файла содержит количество разделов.

Stephen Kellett · Answer 2 · 12 мая 2010

Попробуйте использовать PE File Format DLL для получения информации. Полный исходный код поставляется с не-GPL обремененным, так что вы можете использовать его в своем коммерческом проекте просто отлично.

Также доступен (с источником) PE File Explorer , чтобы показать вам, как использовать DLL. про

ephemient · Answer 3 · 11 февраля 2010

Да, см. Пиринг внутри PE: обзор формата исполняемых файлов Win32 .

Исправление исполняемого файла PE

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Исправление исполняемого файла PE

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы