windows – IDA Pro反汇编显示？而不是.data中的hex或plain asci

PE文件中的节具有物理大小(由节头的SizeOfRawData字段给出).这个物理大小(在磁盘上)可能与部分的大小不同,一旦它由Windows’加载器映射到进程内存(此大小由节头的VirtualSize字段给出).

因此,如果VirtualSize字段大于SizeOfRawData字段,则该部分的一部分没有物理存在,并且它仅存在于内存中(一旦将文件映射到进程地址空间).

在大多数情况下,在程序入口点,您可以假设此内存填充为0(但内存的某些部分可能由Windows加载程序写入).

要获取正在写入,读取或加载数据的位置,可以使用交叉引用(xref).这是一个例子：

单击要从中获取外部参照的数据的名称：

然后按’x’,您将看到所有已知(到ida)使用数据的位置：

第二列指示数据的使用方式：

> r表示它被读取> w表示它是写的> o表示它作为指针加载