Thursday, July 28, 2011

איך Windows יודעת את תאריך הקובץ.

LordPE%201.41.PNG

הייי

בכול קובץ PE קיים חלק שנקרא Resource Table , בחלק הזה מנגון הPE שומר פרטים על הקובץ כגון חתימת זמן ומספר הסיגמנטים סוג הלינקר בו השתמשתם כדי ליצור EXE וכדומה.

ובתוכו יש חלק שנקרא - TimeDateStamp

שבתוכו יש כתובת אשר מכילה את השינוי האחרון שהיה בקובץ (קריאה \ כתיבה)

היכרות עם LordPE:

במסך הראשוני אנו רואים את הפרוססים שרצים במערכת - לא רוולנטי לנו.

כאשר נלחץ על PE EDITOR תפתח בפננו תיבת דו שיח שמבקשת לפתוח קובץ אשר אותו אנו רוצים "לחקור" כביכול.

(במקרה הזה פתחתי קובץ רדומלי שהיה בתייקיה של Lordpe.)

המסך שלפננו מראה לנו ערכים של מגוון אופציות שנמצאות בResouce table.

כגון כתובת הכניסה או גודל הקובץ מספר המחלקות וכמובן אנו רואים את החלק החיוני לנו TimeDateStamp.


Read more: BnayaA
QR: windows.aspx

Posted via email from Jasper-Net