CaptainFlint
|
 Posted: Sat Sep 14, 2013 19:48 Post subject: |
 |
|
| Serge Yolkin wrote: | | Не специалист, но визуально (в hex) эта библиотека упомянута несколько отдельно, это может оказаться не секция импортов. |
Вики: | Quote: | | In a .NET executable, the PE code section contains a stub that invokes the CLR virtual machine startup entry |
| Serge Yolkin wrote: | | Не понял, что надо уточнить. |
Я имел в виду фразу: | Quote: | | Вроде, там после заголовка exe ещё заголовок среды исполнения идти должен, только визуально я его не распознал. Скрипт бы написал, и дело с концом. |
Там не надо ничего визуально распознавать. Надо просто посмотреть определения заголовков и пройти по цепочке смещений внутри EXE-файла. Соответственно, скриптом это делается не сложнее, чем плагином.
| Serge Yolkin wrote: | | Не-не-не, я имел в виду следующие варианты экспертных заключений плагина: dotNet, Win32, Win64, noPE. |
А, понятно. Ну, битность можно ExeFormat'ом различать. Впрочем, если писать плагин или скрипт с самостоятельным разбором заголовков, то добавить определение архитектуры очень просто.
| Flasher wrote: | | А как эту секцию предлагается искать скриптом? |
Я говорил не про самостоятельный скрипт, а про script_wdx. Искать так же, как и не-скриптовым плагином: считать заголовки файла, разобрать их и считать из файла данные по найденным смещениям.
Я, к сожалению, не помню структуру PE настолько подробно, чтобы сходу выложить готовую цепочку переходов, но в интернете информации полно, в том числе с примерами кода.
_________________
Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Rules
Search
FAQ
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
