dumpbin.exeの使い方
ヘッダの抽出
dumpbin.exe /headers ***.exe
OPTIONAL HEADER VALUESセクションの
entry point (0040230E)
はアドレス空間内のエントリポイントアドレスを示す。
SECTION HEADERセクションの
314 virtual size
2000 virtual address (00402000 to 00402313)
400 size of raw data
200 file pointer to raw data (00000200 to 000005FF)
は仮想空間の 0x00402000 から 0x00402313 までが
ファイル上の 0x00000200 から 0x000005FF までと対応することを示す。
ちなみにとあるexeのエントリポイントを見てみた。
4A 00 FF 25 C4 26 4A 00
jmp 0x004A26C4
かな?
さらに詳しく見たければ以下を実行
dumpbin.exe /imports ***.exe
そうすると、
KERNEL32.dll
4A2094 Import Address Table
4C70B8 Import Name Table
0 time date stamp
0 Index of first forwarder reference
このように表示されたので、エントリポイントから
KERNEL32.dll内に飛んでいるらしいことがわかった・・・。
ちなみに一度に実行し、ファイルに出力するなら以下。
dumpbin.exe /headers /imports ***.exe /out:C:\***.txt
0 件のコメント:
コメントを投稿