原理:
1、离线分析文件实际上是一个文件API字符解析,核心API分别是:CreateFileMappingA,MapViewOfFile,ImageRvaToVa,UnmapViewOfFile
CreateFileMappingA是创建一个新的文件映射内核对象
MapViewOfFile是计算机函数,功能是将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射。
ImageRvaToVa 函数的作用
ImageRvaToVa 这个函数我的理解是这样的 大家帮我看看有没有错:pe文件被内存映射文件映射到内存,然后要对其各个section
然后一顿逻辑循环……取出API判断关键API(但是加了强壳没办法分析了……)
