Цитата:
|
Сообщение от Vayrus
Мне неважно, шифрованные строки или нет, главное получить их так. как это делает дизассемблер PE Explorer'a, относительно быстро и без мусора.
|
Ну это нужно анализатор писать. Что-то типа сначала проверить флаги секций чтоб узнать в каких секциях есть данные. Если секция имеет не имеет кода а только данные, ну или ещё таблички импорта(релоков, прочего), то эти таблички пропускаем и ишем в остальном пространстве секции. Если же секция также имеет код (в делфи локальные константные типы используемые с ф-ях находятся ниже ф-ии) потому сначало проходим дизассемблером длин, это будет быстрее, этим отсеиваем участки от кода, оставшиеся проверяем на строкиэ Но это тоже не оптимальный ваниант, лучше было бы проверять все инструкции типа
Код:
PUSH <addr>
MOV r32, <addr>
А потом проверяешь эти адреса на строки.
Ну как-то так, но всё равно не выйдет хорошо анализатора. В идеале нужно с кода строить граф, но это уже другая история.
