كيف يمكنني مشاهدة رمز التفكيك الكامل عند فتح PE Binary في Ollydbg؟

Question

أنا فتحت cstrike.exe(لصالح Game Counter Strike) مع Ollydbg ، ولكن رمز التفكيك لم يكتمل ، يبدأ في 01401000 ويتوقف في 0140BFFF(أعني أنه يجب أن يبدأ على الأقل من 00000000 لأكون مكتملًا ، ولا يمكنني القول على وجه اليقين 0140BFFF هي النهاية الدقيقة أو مجرد جزء تجريد)

01401000   . E8 05000000    CALL cstrike.0140100A
01401005   . E9 0A000000    JMP cstrike.01401014
0140100A   $ B9 90134101    MOV ECX,cstrike.01411390
...
0140BFFD     00             DB 00
0140BFFE     00             DB 00
0140BFFF     00             DB 00

كيف يمكنني جعل OD تظهر جميع التفاصيل الدقيقة للثنائي PE؟

Answer 1

أولاً ، لا يوجد شيء في 00000000

ثانياً ، يعرض OD منطقة ذاكرة واحدة في نافذة التفكيك. افتح نافذة الذاكرة (Alt+M) لرؤية جميع مناطق الذاكرة. أو استخدم CTRL-G للوصول إلى عنوان الذاكرة المطلوب.

Answer 2

عندما تبدأ ملف exe operation system تحليل الكود الخاص بك ووضعه على الذاكرة.

جزء من exe الخاص بك أخبر حجم نظام التشغيل الخاص بك من التعليمات البرمجية الخاصة بك وحجم بياناتك والمعلومات الأخرى. هذا الجزء في بداية الكود الخاص بك وسميته header section.

أيضا لديك code section, data section , import and export section و resource section.

تم تعيين عنوان 4000 بواسطة قسم الرأس.