【发布时间】:2011-06-25 02:40:48
【问题描述】:
【问题讨论】:
标签: visual-c++ linker merge portable-executable coff
【发布时间】:2011-06-25 02:40:48
【问题描述】:
这是一件非常合理的事情。但是,如果您想让您的 PE 文件更易于分析,最好不要这样做,因为将它们分开会使这两个部分包含不同类型的代码/数据/元数据更加明显。通常,部分名称会提示它们包含的内容,合并两个部分会删除其中一个提示。除了文件大小和内存占用的微小减少之外,我想不出合并这些部分的任何好处。文件中的部分被填充到 FileAlignment 边界,内存中的部分被填充到页面大小边界,因此合并该部分会从第一个部分的末尾删除填充(这意味着您有一个部分条目而不是 2 ,仅节省 72 个字节)。
【讨论】:
主要缺点是某些防病毒软件会将文件标记为恶意软件。只是因为它不寻常,并且某些 AV 没有更好的恶意软件检测技术。
【讨论】:
-
您能否提供更多相关信息?为什么这不寻常,合并产生一个部分的潜在可能性在哪里?谢谢。
-
@mox,“不寻常”的意思是“不寻常”。 IE。如果您要参加 1000 个热门程序(未打包且未签名),您可能找不到包含合并部分的程序。
-
感谢您的回答。但是,一旦部分被合并(因为它们是兼容的),如何检测到它们已被合并?怎么知道这1000个热门节目没有一个栏目被合并?
-
-1,病毒扫描程序无法访问原始未合并的部分,那么他们如何确定两个部分已合并?
-
@MSalters 告诉 AV 开发人员。