我正在通过机器学习方法进行 Windows 恶意软件研究。我看了PE格式,用dumpbin解压PE文件,发现里面有很多部分。例如:.idata .edata .pdata .data .rdata .sxdata .text .rscr .tls... 但并非所有这些都用于 Action /行为。我只关心他们的行为并在下一步之前减少大数据。谢谢
最佳答案
由于您正在分析恶意软件,因此不应查看部分的名称。恶意软件开发人员更改节的名称并不困难,而且 msvc 编译器还允许您创建自定义节。
您应该做的是查看各个部分的特征。通过读取IMAGE_SECTION_HEADER,可以看到section是否包含可执行代码、静态数据、是否可写等。
关于windows - PE 文件 (.exe .dll) 的哪些部分/部分包含它们的大部分行为?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42897034/