“未映射数据”中有什么？ PE 的一部分？

Question

有人知道吗？

在我看来， PE 的大部分空间都被 Unmapped Data 占用，在大多数情况下都是这种情况吗？

Answer 1

不，大多数情况并非如此。

尽管可以有，但最后一部分之后不应有任何数据。如果存在，则该数据不会加载到内存中，因此可执行文件可能在运行时对其自己的文件映像执行一些可疑操作。

Answer 2

通常会有一些未映射的数据，特别是在包含未初始化数据的.bss部分，但大多数PE都会映射到某些东西。例如，如果 .text 部分包含未映射的数据，则这是一个明显的迹象，表明您正在查看一个奇怪的二进制文件，该二进制文件可能已被防御性加壳工具混淆。

你的问题让我想知道你在用什么来查看二进制文件。我会推荐 OllyDbg 或 Ida Pro。程序的大部分地址空间将被取消映射，但 PE 加载到的内存不会被取消映射。