一、dumpbin 工具
1、概述
dumpbin 是 Microsoft Visual Studio 工具链中提供的 COFF 二进制文件转储工具,属于 Microsoft COFF Binary File Dumper。它是分析 Windows 平台可执行文件、库文件和对象文件的瑞士军刀。基本命令格式:
2、打开dumpbin工具
- 打开 VS 开发者命令提示符:在开始菜单搜索 “Developer Command Prompt for VS 2022” (或对应VS版本)
- 基本命令格式:常见的分析文件有
.exe、.obj、.dlldumpbin [选项] 文件名 [> 输出文件.txt]
3、核心功能详解
3.1、文件头分析 (/HEADERS)
功能:显示PE文件头部信息
示例:
dumpbin /HEADERS notepad.exe
输出解析:
FILE HEADER VALUES
Machine: x64 // 目标架构,常见X86、ARM、X64
Number of Sections: 5 // PE文件中段(section)的总数
Time Date Stamp: 5e0a7a2f // 文件创建时间戳(UNIX时间格式)
Pointer to Symbol Table: 0 // 符号表偏移(主要用于调试,现代PE通常为0)
Number of Symbols: 0 // 符号表中的符号数量(现代PE通常为0)
Size of Optional Header: 240 // 可选头的大小(对于32位PE通常是0xE0,64位是0xF0)
Characteristics: 22 // 文件属性标志
Executable
Application can handle large (>2GB) addresses
SECTION HEADER #1
.textbss name // 段名称,标识段的用途,常见有:.text、.data
10000 virtual size // 段加载到内存后的实际大小
1000 virtual address (0000000140001000 to 0000000140010FFF) // 段在内存中的相对虚拟地址,即相对于PE镜像基址的偏移量
0 size of raw data // 段在磁盘文件中的大小(按文件对齐值FileAlignment填充后的尺寸,通常是512或4096字节的整数倍)
0 file pointer to raw data // 段数据在PE

6821

被折叠的 条评论
为什么被折叠?



