问题描述
我有一个内存转储,里面有不同的 PE 文件。有两种类型的 PE 文件:
-
“原始”/未映射 - 与磁盘上的相同(可能,程序只是在内存中读取/解密了它)。
-
映射图像。在这里,我们对齐/增加了部分/标题大小。
我正在寻找使用签名 MZ + PE + PE 标头内的其他一些检查的此类 PE 文件。稍后,我将提取它们。但是,这对“原始”图像很有效,但如果虚拟大小与原始大小不同,则映射失败。
我的问题是:我如何才能最确定地确定我是在处理原始图像还是映射图像?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)
