Основные форумы > RusMe - РусМи!
Удлинение "неудлиняемых" строк
миха04:
Всем добрый день. Давно мучает проблема - как удлинить строки не имеющие ни прямых, ни косвенных ссылок, ни лишних байт для замены в UTF-8. Файл iZotope RX7 https://yadi.sk/d/h7umphumB4NN9A
Krig:
Добрый день.
Строки не могут не иметь ссылок. Иначе такие строки не были бы показаны и использованы. Кроме прямых и не прямых ссылок могут быть еще регистровые, относительные и смешанные ссылки. Нужный тип адресации устанавливает компилятор в зависимости от представления, объявления и размещения строк в коде. Поэтому ссылки есть, вам нужно просто их найти.
миха04:
К сожалению у меня это не получается, не хватает опыта, а информации по данной теме абсолютный ноль.
Krig:
--- Цитата: миха04 от 10 Июня 2020, 10:11:59 ---К сожалению у меня это не получается, не хватает опыта, а информации по данной теме абсолютный ноль.
--- Конец цитаты ---
Это не удивительно, т.к. обычно дальше ресурсов и языковых файлов никто не лезет, а инструменты для работы с жесткими строками можно пересчитать на пальцах одной руки. Регистровые и смешанные (относительные) ссылки доступны только при выполнении программы, только в определенный момент времени и зависят от области памяти, в которой был развернут образ приложения. Поэтому при анализе программы в статике такие ссылки найти невозможно. Строки есть, а ссылок как-бы и нету.
Пример прямой ссылки: mov eax,009C44AC
Пример косвенной ссылки: lea eax,[014521FA]
В обоих вариантах используется прямое указание адреса, который ведет непосредственно к строке или к другой ссылке, которая уже в свою очередь указывает на строку. Такие ссылки легко определяют отладчики и утилиты для работы жесткими строками, что позволяет без особых трудностей перенести строки на новое место без участия отладчика.
Совсем другое дело остальные типы ссылок. Их адрес вычисляется в процессе работы приложения. Примеры регистровых ссылок:
1) mov eax,dword ptr ds:[rbx] - здесь адрес берется из регистра rbx.
2) lea rcx,qword ptr ds:[rax+rbx] - здесь адрес получается при суммировании значений регистров rax и rbx.
При этом могут быть задействованы любые доступные регистры. Относительные ссылки, это те же регистровые ссылки, но адрес строки вычисляется относительно другого адреса, используемого в качестве константы. Пример такой ссылки:
lea edx,dword ptr ds:[edi+5A39] - здесь регистр edi содержит адрес, относительно которого на величину определенного значения смещения 5A39 находится искомая строка. Чтобы перенести такую строку на новое место, необходимо изменить значение смещения, которое следует вычислить исходя из нового адреса строки (практический пример, автор Tekton).
Смешанные ссылки - это регистровые и относительные вместе. Примеры смешанных ссылок:
1) lea rсx,qword ptr ds:[rax+rbx*4]
2) mov rdx,qword ptr ds:[rdx+rcx*8+10F]
Как видите адрес получается путем вычисления. Вариантов вычисления адресов ссылок бесконечное множество и в каждом конкретном случае следует разбираться индивидуально.
С вашим примером программы ситуация аналогичная с той, которая рассмотрена здесь в одноименной теме, за авторством leserg73 (ответ #1, Рис. 1). Отличие лишь в типе ссылки: вместо косвенной задействована смешанная. Вам также нужно изменить только прямые ссылки переносимых строк, а код вычисления ссылочных адресов оставить без изменений.
Прямой адрес на строку можно узнать под отладчиком, установив бряк на чтение интересуемой строки (De-ess). Так вы найдете код, в котором вычисляется ссылочный адрес к данной строке. Или же, также используя отладчик, открыть дамп с этой строкой. Взять адрес начала строки (например, для строки De-ess адресом её начала является 00000001415CC1C0 (у вас может быть другое значение)), перевернуть адрес побайтово задом наперед (00000001415CC1C0 >> C0C15C4101000000) и задать в коде поиск полученной последовательности байт. Так вы найдете место размещения прямой ссылки на данную строку. Теперь переносите строку на новое место и изменяете её прямой адрес на тот, который показывает отладчик в месте нового размещения строки.
миха04:
Спасибо за подробный ответ. Буду разбираться.
Навигация
Перейти к полной версии