1
.exe文件中的字符串(如对话框的内容/标题)存储在某种资源中。Windows PE - 如果不在资源中,字符串存储在哪里以及如何存储?
但是在最近的一些exes中,我反汇编/资源检查我找不到包含该字符串的任何资源,但它以某种方式硬编码为db的程序源代码。
如何提取和修改直接位于程序中的字符串?我认为这些与C++中的
const char*等价吗?为什么有人不把对话框,菜单等内容“外包”?
A
回答
1
字符串位于PE文件的资源或只读数据段中。其次,字符串不是控件的标题/标题时更常见。拆解时,它们只是一块记忆,没有特别标记。像IDA这样的智能反汇编程序可以注意到代码中地址的引用,并突出显示字符串定义。
- 提取和修改。如果你知道字符串的地址,很容易提取和修改它。你把字符串的地址,然后减去图像库,然后减去部分的RVA,然后添加部分的物理偏移量。这会给你文件中字符串的位置。在那里你可以用十六进制编辑器修改它。查找地址很难 - 您需要分析反汇编代码。
- 为什么有人不把对话框,菜单等内容“外包”?不知道。有人可能会声明const char *,然后将其设置为标题而不注意它真正存储在哪里。
3
得到串出一个PE的最简单的方法,到目前为止,是strings工具自带的每一个Linux发行版的标准,我曾经遇到过(甚至uCLinux操作系统)。它几乎只是贯穿整个二进制文件,寻找一系列以null结尾的,可打印的ascii字符......这是您的规范字符串。 strings --help显示可用参数,如要查找的最小长度字符串,编码,体系结构助手以及其他您可能不需要的内容。
如果您没有运行Linux,我建议您启动一个Ubuntu Live CD,只是为了提供一些简单而有效的命令行工具。
1
如果您想访问PE文件中的数据,请尝试此实用程序(附带源代码和友好(非GPL)许可证,以便您可以在自己的应用程序中使用该代码)。
你应该能够很容易地找到相应的部分(S)的地址,然后方式工作,你通过数据。还有一个使用DLL的PE文件资源管理器项目(带有源代码),因此您可以看到如何为您的应用程序调用DLL。
相关问题
- 1. Windows XP在哪里以及如何存储wep/wpa密钥?
- 2. 字符串数据存储在哪里?
- 3. MVC在哪里存储字符串
- 4. 在哪里以及如何在asp.net.vb中存储函数
- 5. 存储在内存中的字符串常量在哪里?
- 6. 会话变量存储在哪里以及我们如何看?
- 7. 比较字符串存储在Android的字符串资源?
- 8. wordpress在哪里存储域名以及何时“不保留”?
- 9. 如何在8086中存储字符串
- 10. 我的连接字符串在类库中存储在哪里?
- 11. 如何在谷歌云数据存储中存储字符串[] []
- 12. 如何存储资源
- 13. .NET“独立存储”存储在哪里?
- 14. Rails 5缓存,它在哪里存储以及如何清除它?
- 15. 如果本地存储库未设置,maven会在哪里下载资源?
- 16. 在黑莓应用程序中存储长字符串资源
- 17. 我们应该在资源中存储格式字符串吗?
- 18. Jenkins在哪里存储项目源
- 19. openwrt存储时间在哪里?它如何存储时间?
- 20. 在哪里存储数据?
- 21. 在字符串中存储字符串
- 22. 大数据去哪里以及它如何存储?
- 23. Windows在哪里存储“Open With”设置?
- 24. Windows服务状态存储在哪里?
- 25. git在哪里存储有关存储库的来源信息
- 26. 如何将字符串值存储在持久存储黑莓
- 27. 如何在(windows)tagVARIANT中存储字符串?
- 28. Xpages:如何将字符串作为资源包存储在文件中
- 29. Android - 在哪里以及如何保存个人资料图片
- 30. QDialog结果值存储在哪里?
我差点忘了补充一下:你也可以选择以十进制,八进制,十六进制等形式将每个字符串输出的偏移前缀加到二进制文件中 而且,一个模拟工具可用于WinNT/2K: http: //technet.microsoft.com/en-us/sysinternals/bb897439.aspx – Eric 2010-03-23 02:29:17