PDA

View Full Version : section Names in pe files


zoncpp
دوشنبه 22 خرداد 1385, 14:15 عصر
آیا در یک فایل PE، در قسمت Sectionها ، Sectionهایی با نام text. یا CODE و data. یا DATA به ترتیب برای Sectionهای Code و Data می باشند؟
و تمام فایلهای PE به این صورت می باشند؟ ممکن است یک فایل PE نام Code Section یا Data Section متفاوت داشته باشد؟
Inprise
دوشنبه 22 خرداد 1385, 14:20 عصر
- عموما بله
- بله
zoncpp
دوشنبه 22 خرداد 1385, 14:23 عصر
ممکن است یک فایل PE نام Code Section یا Data Section متفاوت داشته باشد؟
Inprise
دوشنبه 22 خرداد 1385, 15:01 عصر
جوابی که در پست قبلی به این سوالت داده شد "بله" هست .
behzad-khazama
دوشنبه 22 خرداد 1385, 15:05 عصر
سلام عزیز

برنامه ای OpenSource برای آموزش عملکرد PE در فایلهای اجرایی

http://www.khazama.com/learn/maghalat.aspx?cat=201
zoncpp
سه شنبه 23 خرداد 1385, 11:40 صبح
مرسی
می خواستم مطمئن بشم که یک فایل PE حتما Sectionهایی با نام DATA و CODE یاdata. و text. داره و به ترتیب مر بوط به Data Section و Code Section می باشند
ابزارهایی وجود دارد که می توان با آنها نام هر Section در فایل PE را تغییر داد و یا همچنین می توان با کد نویسی مانند آنچه که Khazama در کد ویژوال بیسیک انجام داده نام یک Section را تغییر داد.
در این صورت ممکن است نام یک Code Section ، دیگر CODE یا text. نباشد. در این صورت چگونه Code Section را به طور مطئمن در فایل PE می توان پیدا کرد؟
Inprise
سه شنبه 23 خرداد 1385, 13:55 عصر
اینکار رو معمولا" با یک Disassembler Engine انجام میدن . باید سطح کدت رو برای مشاهدهء آپکدهای مورد نظرت بگردی تا به بخش کد برسی . مهمترین ریسک انجام اینکار خطا کردن بین تشخیص کد از دیتا هست که بستگی به Disasm engine و نوع بررسی ات داره . پیشنهاد میکنم برای شروع از lib ای که همراه Ollydbg منتشر میشه استفاده کنی . این در واقع موتور Disassembler‌ خود Ollydbg هم هست که تشخیص بین کد و دیتاش اونقدرها افتضاح نیست ؛ یک راه حل دیگه میتونه نوشتن پلاگین یا idc Script برای IDA Pro باشه . فراموش نکن که این روشها وقتی کدت بصورت جدی Pack و-یا Encrypt شده باشه مفید نیستند .