CaptainFlint wrote: |
Думаю, это можно сделать даже на script_wdx. |
CaptainFlint wrote: |
Формат PE довольно простой, можно найти секцию импортов и поискать там mscoree.dll, чтобы весь файл не шерстить. |
CaptainFlint wrote: |
Уточни, в чём именно у тебя тут был затык. |
CaptainFlint wrote: |
Насчёт 32/64: а разве .NET поддерживает спец-сборку под 64 бита? |
CaptainFlint wrote: |
Думаю, это можно сделать даже на script_wdx. Формат PE довольно простой, можно найти секцию импортов и поискать там mscoree.dll |
Serge Yolkin wrote: |
раскраска файлов и поиск с плагинами, а не создание колонок. |
Serge Yolkin wrote: |
Не специалист, но визуально (в hex) эта библиотека упомянута несколько отдельно, это может оказаться не секция импортов. |
Quote: |
In a .NET executable, the PE code section contains a stub that invokes the CLR virtual machine startup entry |
Serge Yolkin wrote: |
Не понял, что надо уточнить. |
Quote: |
Вроде, там после заголовка exe ещё заголовок среды исполнения идти должен, только визуально я его не распознал. Скрипт бы написал, и дело с концом. |
Serge Yolkin wrote: |
Не-не-не, я имел в виду следующие варианты экспертных заключений плагина: dotNet, Win32, Win64, noPE. |
Flasher wrote: |
А как эту секцию предлагается искать скриптом? |
CaptainFlint wrote: |
Я говорил не про самостоятельный скрипт, а про script_wdx. |
Flasher wrote: |
Плагин сам ничего искать не может. Он только подхватывает имена файлов и возвращает полученные скриптом значения. |
CaptainFlint wrote: |
пусть выполняет всю работу по открытию файла и чтению нужных байтиков. |
CaptainFlint wrote: |
скриптом это делается не сложнее, чем плагином |
Quote: |
Структура PE содержит заголовки разделов данных. PE заголовки содержат заголовки NT (IMAGE_NT_HEADERS в WinNT.h), в которых инкапсулированы необязательные заголовки (IMAGE_OPTIONAL_HEADER в WinNT.h). Необязательный заголовок имеет массив записей IMAGE_DATA_DIRECTORY, называется DataDirectory. Запись IMAGE_DATA_DIRECTORY указывает фактическое расположение данных в PE-файле (так называемый модуль загрузки). Запись, в которой вы заинтересованы является индексом IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR. Эта запись указывает на данные .NET. Если эта запись существует и поле VirtualAddress указывает на действительную область в рамках одной из последующих секций, это означает, что компонент является управляемым. |
CaptainFlint wrote: |
пусть выполняет всю работу по открытию файла и чтению нужных байтиков. |
Serge Yolkin wrote: |
Болванку скрипта вчера пробовал сделать, но не дождался, когда он отработает на папке ~60Mb, прибил. |
Flasher wrote: |
Для поиска секций, как я понимаю, используются специальные API-функции, к которым без сторонних средств не подберёшься. |
Serge Yolkin wrote: |
Болванку скрипта вчера пробовал сделать, но не дождался, когда он отработает на папке ~60Mb, прибил. |
output generated using printer-friendly topic mod. All times are GMT + 4 Hours