最近發現md5值命名的樣本添加exe後綴之後,就有可以在屬性---->詳細信息處看到該樣本的一些詳細信息(包含原文件名在內)
詳細信息這種數據不隨文件名的變化而消失,應該是文件的一部分。
.text節區是存放代碼的,不太可能;.data節區存放程序中用到的變量,也不太可能;.reloc就更不可能了。只有.rsrc節區,打開一個exe文件看看,左右兩邊的關係對應不一定很緊密
.rsrc節區在PE規範裏面是有嚴格的數據結構的,在分析樣本時.rsrc節區可能會存放一個PE文件或者關鍵字符串,不會要求對.rsrc節區數據結構瞭解很詳細,即使在破解軟件時有Resource Hacker這個神器,也沒必要了解.rsrc節區數據結構。不過有興趣的同學可以去看看、學習學習。