- PVSM.RU - https://www.pvsm.ru -
В посте речь пойдет о консольной утилите ReadPE собственной разработки, которая парсит исполняемые файлы формата Portable Executable [1].
Отвечая на возможный вопрос: «Почему потребовался свой велосипед, если уже есть dumpbin?» скажу, что меня перестали удовлетворять многие известные утилиты подобного класса из-за их неспособности работать с хитровыдуманными и вручную созданными файлами. Взятые файлы входящие в известный набор Corkami [2] и поданные на вход dumpbin, идущая в поставке с Visual Studio или pedump Мэтта Питрека в большинстве случаев откажутся работать с подобным файлом. Это связано с тем, что очень часто при написании подобных утилит опираются исключительно на официальное описание этого формата предоставляемого Microsoft. Несмотря на то, что сам формат достаточно простой, он тем не менее обладает весьма большим количеством подводных камней и лучшим руководством по этому формату является листинг кода из системного загрузчика в IDA Pro.
Какие возможности может предложить моя утилита?
Тулза разрабатывалась с целью решить мои собственные задачи. Однако в данный момент уже используется не только мною, в связи с чем решил поделиться. Возможно, поможет решить задачи еще большему количеству системных программистов. При разработке утилита тестировалось на corkami-наборе, а также тех файлах, что использовались при тестировании PE Tools.
Тулзу можно взять у меня в репозитории research-toolchain [3] на bitbucket. Подробности об использовании можно почитать ru_ReadME [4].
Я всегда открыт для общения и буду рад рассмотреть ваши вопросы, возникшие при использовании моей утилиты. Особо буду благодарен за сообщения о багах.
Автор: EvilsInterrupt
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/55726
Ссылки в тексте:
[1] Portable Executable: http://en.wikipedia.org/wiki/Portable_Executable
[2] набор Corkami: https://code.google.com/p/corkami/
[3] research-toolchain: https://bitbucket.org/sys_dev/research-toolchain/src/fbb1a0277c7fdf5c30e6181beb796a3b25979485/readpe/?at=default
[4] ru_ReadME: https://bitbucket.org/sys_dev/research-toolchain/src/fbb1a0277c7fdf5c30e6181beb796a3b25979485/readpe/ru_ReadMe.txt?at=default
[5] Источник: http://habrahabr.ru/post/213567/
Нажмите здесь для печати.