工作结束后不应该吃点西瓜降降火吗？

几个要记住的节点:

.rdata   全局的只读 数据

.idata   导入函数信息  不存在说明在rdata

.edata  导出函数信息  不存在说明在rdata

.pdata  异常处理信息 64 only

LoadResource, FindResource, sizeofResource 表明恶意程序将从资源节中装载数据

如果发现资源节中含有二进制文件，并且可能存在 "! This program cannot be run in Dos mode." 表明这是个可执行文件，这是恶意程序惯用的方式。