如何解决检查内存转储中的 PE 文件是否已映射或“原始”的最合适方法
我有一个内存转储,里面有不同的 PE 文件。有两种类型的 PE 文件:
-
“原始”/未映射 - 与磁盘上的相同(可能,程序只是在内存中读取/解密了它)。
-
映射图像。在这里,我们对齐/增加了部分/标题大小。
我正在寻找使用签名 MZ + PE + PE 标头内的其他一些检查的此类 PE 文件。稍后,我将提取它们。但是,这对“原始”图像很有效,但如果虚拟大小与原始大小不同,则映射失败。
我的问题是:我如何才能最确定地确定我是在处理原始图像还是映射图像?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。