CaptainFlint
|
Posted: Sat Sep 14, 2013 19:48 Post subject: |
|
|
Serge Yolkin wrote: | Не специалист, но визуально (в hex) эта библиотека упомянута несколько отдельно, это может оказаться не секция импортов. |
Вики: Quote: | In a .NET executable, the PE code section contains a stub that invokes the CLR virtual machine startup entry |
Serge Yolkin wrote: | Не понял, что надо уточнить. |
Я имел в виду фразу: Quote: | Вроде, там после заголовка exe ещё заголовок среды исполнения идти должен, только визуально я его не распознал. Скрипт бы написал, и дело с концом. |
Там не надо ничего визуально распознавать. Надо просто посмотреть определения заголовков и пройти по цепочке смещений внутри EXE-файла. Соответственно, скриптом это делается не сложнее, чем плагином.
Serge Yolkin wrote: | Не-не-не, я имел в виду следующие варианты экспертных заключений плагина: dotNet, Win32, Win64, noPE. |
А, понятно. Ну, битность можно ExeFormat'ом различать. Впрочем, если писать плагин или скрипт с самостоятельным разбором заголовков, то добавить определение архитектуры очень просто.
Flasher wrote: | А как эту секцию предлагается искать скриптом? |
Я говорил не про самостоятельный скрипт, а про script_wdx. Искать так же, как и не-скриптовым плагином: считать заголовки файла, разобрать их и считать из файла данные по найденным смещениям.
Я, к сожалению, не помню структуру PE настолько подробно, чтобы сходу выложить готовую цепочку переходов, но в интернете информации полно, в том числе с примерами кода. _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|