Hallo
Ich pfusch wiedermal irgendwo im pe-header herum.
Ich würde mich gerne an einer art ram editor versuchen.

Erstmal will ich nur die code section bzw. das reine image eines programms auslesen.
Mich interessieren also die dinge im data directory wie import oder export table nicht besonders.
es geht nur um das reine image der executeable im ram.

wo finde ich das bzw. wie kann ich das auslesen.
Eine simple string suche würde erstmal reichen.

Muss ich dazu den ganzen section header lesen und alle sections durchsuchen?
oder liegt das entpackte image ( upx oder morphine ) irgendwo als ganzes vor?

lg
Arnulf