我正在通过机器学习方法进行Windows恶意软件研究。我读了PE格式,使用dumpbin提取PE文件,发现里面有很多部分。例如:.idata .edata .pdata .data .rdata .sxdata .text .rscr .tls ...但并非所有这些都用于操作/行为。我只关心他们的行为并在下一步之前减少大数据。感谢
答案 0 :(得分:3)
由于您正在分析恶意软件,因此您不应该查看这些部分的名称。恶意软件开发人员不难更改部分的名称,msvc编译器还允许您创建自定义部分。
相反,您应该做的是查看各部分的特征。通过阅读IMAGE_SECTION_HEADER,您可以看到该部分是否包含可执行代码,静态数据,是否可写等。
答案 1 :(得分:1)
我找到了微软的官方文档。 Here只是单词文件。我读到.text是代码部分。
答案 2 :(得分:1)
我是@ user2073973想出来的。他的意思是该部分在标题部分中有“代码”一词。 像这样:
SECTION HEADER #1
.text name
522B9 virtual size
1000 virtual address (00401000 to 004532B8)
52400 size of raw data
400 file pointer to raw data (00000400 to 000527FF)
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
Execute Read
他不仅是正确的.text部分有代码。自定义名称部分也有代码。