كيفية تحليل ثنائي الملف ؟

StackOverflow https://stackoverflow.com/questions/1026066

سؤال

لدي ملف ثنائي.أنا لا أعرف كيف انها مهيأ أنا أعرف فقط أنها تأتي من دلفي رمز.

هل توجد أي طريقة لتحليل ملف ثنائي?

لا توجد أي "نمط" تحليل تسلسل ثنائي محتوى ملف غير معروف تنسيق ؟

هل كانت مفيدة؟

المحلول

جرب هذه:

  1. إلغاء تسلسل البيانات:تحليل كيف جمعت exe الخاص بك (محاولة الملف محلل).محاولة إلغاء تسلسل البيانات الثنائية مع اللغة اكتشافها.ثم تسلسل في تنسيق xml (لغة المستقلة) أن كل لغة برمجة يمكن أن نفهم
  2. تحليل البيانات الثنائية:محاولة حفظ إصدارات مختلفة من ملف مع اختلاف بسيط واستخدام مهرجان دبي السينمائي الدولي برنامج لتحليل معنى كل بت مع محرر عرافة.استخدامه بالتزامن مع ثنائي تقنيات القرصنة (مثل كيفية الكراك تنسيق ملف ثنائي من قبل فرانس Faase)
  3. عكس مهندس التطبيق:حاول الحصول على التعليمات البرمجية باستخدام الهندسة العكسية أدوات لغة البرمجة المستخدمة في بناء التطبيق (وجدت مع الملف محلل).وإلا استخدام المجمع أداة تحليل مثل IDA Pro المجمع

نصائح أخرى

عن هوايتي كان المشروع إلى الهندسة العكسية بعض ملفات اللعبة.بلدي النهج:

  • جيد محرر عرافة.
  • البحث عن للقراءة الكلمات في ملف ثنائي.ملاحظة كيفية التوزيع.إذا كانت المسافة بينهما ثابتة تعرف أنها قائمة.
  • البحث عن 2-3 يترتب على ذلك من الأصفار.قد تشير إلى وجود int32 القيمة.
  • بعض dwords قد تكون مؤشرات في الملف.
  • في محاولة لتحديد أنماط متكررة في الملف.
  • رؤية الكثير من C0-CF قد تشير إلى RLE البيانات المضغوطة.

والهندسة العكسية ملف ثنائي عندما يكون لديك فكرة عن ما يمثل عملية تستغرق وقتا طويلا جدا. إذا كان لديك أي فكرة ما هو عليه بعد ذلك سوف يكون أكثر صعوبة.

ومن الممكن رغم ذلك، ولكن أن يكون لديك سبب وجيه جدا لذلك.

والخطوة الأولى ستكون لفتحه في محرر عرافة من اختيارك ومعرفة ما إذا كان يمكنك العثور على أي النص الانكليزي لتوجيهك في اتجاه ما حتى من المفترض الملف إلى يمثلونها. من هناك، وجوجل "الهندسة العكسية الملفات الثنائية"، وهناك أشخاص أكثر دراية مني بكثير التي أدلة مكتوبة حول هذا الموضوع.

وبرنامج "السلاسل" من بينوتيلس GNU مفيد جدا. وسوف طباعة سلاسل الأحرف القابلة للطباعة في ملف، في كثير من الأحيان يعطي دليلا على ما يحتوي على ملف أو برنامج لا.

إذا يمثل بيانات كائنات دلفي المتسلسلة، يجب أن تبدأ القراءة عن عملية التسلسل دلفي. إذا كان هذا هو الحال، وأعتقد أن أفضل رهان يكون لتحميله باستخدام دلفي ومواصلة تحليلك من IDE. بعض المعلومات حول دلفي التسلسل يمكن العثور هنا .

وتحرير: إذا كان الملف لا تحتوي على كائنات دلفي المتسلسلة، ثم يجب عليك كتابة برنامج دلفي الصغيرة التي يحمل عليها، و "تحويل" البيانات نفسك إلى شيء محايد، مثل أكس. إذا استطعت أن تفعل هذا، يجب عليك التحقق ومعرفة ما اذا دلفي يدعم تسلسل إلى XML. ثم، هل يمكن الوصول إلى تلك الكائنات من أي لغة.

ولقد وضعت Hexinator (وشبابيك لينكس) و <لأ href = "HTTPS: //www.synalysis صافي / "يختلط =" noreferrer "> Synalyze و! (ماك) بالضبط لهذا الغرض. هذه التطبيقات تسمح لك أن ترى الملفات الثنائية في مثل المحررين عرافة أخرى ولكن بالإضافة إلى ذلك يمكنك إنشاء "النحوي" مع خصوصيات تنسيق ملف ثنائي. النحوي يحتوي على جميع اللبنات ويستخدم لتحليل الملف تلقائيا.

وهكذا يمكنك الحفاظ على المعرفة التي تكتسبها في التحليل وتطبيقه على ملفات متعددة في وقت واحد. يمكنك أيضا رمز اللون اجزاء وقطع من صيغ الملفات لمحة سريعة في محرر عرافة. يتم عرض نتائج التحليل في طريقة عرض شجرة حيث يمكنك أيضا تعديل الملفات بسهولة (تطبيق endianness وهلم جرا).

وو"ملف" يونيكس الأمر مفيدا حقا - أنا لا أعرف إذا كان هناك أي شيء مثل ذلك في ويندوز. تشغيل مثل هذا: 

file myfile.ext

وكان يبصق على وصف النص استنادا إلى الأرقام السحرية والبيانات الواردة فيه.

وربما يرد في غضون سيغوين .

إذا كان لديك الوصول إلى التطبيق الذي يقوم بإنشاء ملفات, يمكنك تطبيق التغييرات على التطبيق ، ثم احفظ الملف و نرى آثار (نضع في اعتبارنا أن الأرقام ربما المخزنة في little endian):

  • أولا إنشاء ملف مرارا وتكرارا.إذا كانت الملفات غير الثنائية المتساوية ، التاريخ الحالي أو الوقت ربما المخزنة في المنطقة حيث إيرباص الخلافات تحدث.
  • ربما كنت ترغب في تكرار ذلك مع البرامج التي تعمل تحت بيئات مختلفة ، لمعرفة ما إذا كان إصدار نظام التشغيل الخ يتم تخزينها ولكن هذا غير عادية إلى حد ما.
  • القادم يمكنك محاولة تغيير واحد المتغيرات إنشاء العديد من الملفات التي تختلف فقط في قيمة هذا المتغير.هذا يساعدك على تحديد أين هذا المتغير يتم تخزينها.
  • بهذه الطريقة يمكنك أيضا استبعاد المتغيرات التي لا يتم تخزينها في الملف:إذا قمت بتغيير لهم ، ولكن الملفات التي تم إنشاؤها متطابقة ، لا يتم تخزينها.

من أجل اختبار فرضيات عملت مع الخطوات المذكورة أعلاه, تعديل أحد الملفات و قرأت تطبيق ذلك.

إذا لم يكن لديك الوصول إلى التطبيق نفسه ، أقترح عليك أن تنسي هذا و تجد طريقة أخرى لحل المشكلة.هناك احتمال كبير جدا أن يكون أسرع...

إذا لم file إعطاء إجابة ذات معنى، قد ترغب في محاولة TRID ماركو بونتللو لتحديد ما إذا كان يتم تخزين البيانات في شكل معروف.

هل تعرف البرنامج الذي يستخدم ذلك؟ إذا كان الأمر كذلك يمكنك ربط أن برامج الكتابة إلى ملف الوظيفة والحصول على فكرة عن ما هي البيانات كتابتها، وحجم البيانات وأين.

ومعلومات عن: http://www.codeproject.com/KB/DLL/ Win32APIHooking_Trouble.aspx

واحصل على تطبيق دلفي وفتحه في IDA برو مجانية نسخة ، وتجد فيها فإنه يكتب الملف، وترجم كيف يكتب ملف بهذه الطريقة.

وإذا لم انها نص الخطة.

وعلى عكس المحررين عرافة التقليدي الذي عرض فقط بايت عرافة الخام من ملف، 010 محرر ويمكن أيضا تحليل ملف في بنية هرمية باستخدام قالب ثنائي. نتائج تشغيل قالب ثنائي هي أسهل بكثير لفهم وتعديل من استخدام فقط بايت عرافة الخام.

http://www.sweetscape.com/010editor/

وحاول فتحه في محرر عرافة وتحليل.

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top