流水账笔记：PE文件格式（关于dump）

当一段代码被加密后，我们很难 静态分析 代码。但是我们知道，代码运行时一定会解密，这时候，可以通过分析内存中的数据，重写到文件中，文件中的代码就是解密后的代码，这种方式被叫做 内存dump。

OD 就有 dump 功能。我们将程序运行后，用 OD 附加，再使用 dump 功能就可以还原这个文件了。此时，加密后的代码就被还原了。

如何防止内存dump

OD 在 dump 时，实际上是根据节表来还原文件的。这是因为节表中记录了每个节区的数据，这样才能还原到文件中。但是节表只有在 加载 exe 文件 时使用一次，运行后节表就不会被使用了。如果要防止 dump，可以将内存中的 节表数据抹去。

节表在内存中抹去，OD 中的 dump 功能将失效。如将内存中节表的数据都抹成 0xFF，那么 dump 出来后，文件中节表的数据也将都是 0xFF，可知 OD 即是 通过内存中的节表 来 dump 的。

待续…