最近发现md5值命名的样本添加exe后缀之后,就有可以在属性---->详细信息处看到该样本的一些详细信息(包含原文件名在内)
详细信息这种数据不随文件名的变化而消失,应该是文件的一部分。
.text节区是存放代码的,不太可能;.data节区存放程序中用到的变量,也不太可能;.reloc就更不可能了。只有.rsrc节区,打开一个exe文件看看,左右两边的关系对应不一定很紧密
.rsrc节区在PE规范里面是有严格的数据结构的,在分析样本时.rsrc节区可能会存放一个PE文件或者关键字符串,不会要求对.rsrc节区数据结构了解很详细,即使在破解软件时有Resource Hacker这个神器,也没必要了解.rsrc节区数据结构。不过有兴趣的同学可以去看看、学习学习。