根据这篇文章http://msdn.microsoft.com/en-us/library/ms809762.aspx?ppud=4
我们可以用自定义名称命名PE部分
所以在PE文件中,其创建者用自己的名字替换了部分名称,
现在,如果“.pdata”部分不再被称为“.pdata”,那么我找不到它的名字。
我怎样才能找到“.pdata”?
答案 0 :(得分:3)
根据Windows Portable Executable specification和Matt Pietrek的其他来源,正确的部分名称是为人类制作的!通常,编译器为特定类型的部分内容设置“标准”名称(例如,代码的“.text”等)。但是,加载器完全忽略了这些名称。可以使用不同的方法(使用编译指示或其他工具,例如Peid等)修改这些节名称。感兴趣的部分(.pdata)与IMAGE_DIRECTORY_ENTRY_EXCEPTION目录相关联。
要在重命名时找到.pdata部分(BTW是图像为64位的指示符),您需要做的就是搜索IMAGE_DIRECTORY_ENTRY_EXCEPTION目录,并根据其内容检索该部分位于(对所有目录都可以。)