IDA Pro: обратное проектирование временного хранилища

В исполняемом файле, который я реконструирую, есть несколько ссылок на путь в моем D:\ drive. Однако у меня нет подключенного D:\ drive. Возможно ли, что он создает сайт временного хранения в исполняемом файле?

Например, есть строка:

D:\BuildAgent\...\bin\...\fileIWantToSee.jpg

IDA даже считает, что информация о символе находится на диске D, и пытается ее найти, но безрезультатно. В этих строках есть много экземпляров ссылок на файлы, и многие из них заканчиваются на:

Line: **LINENUMBER**

Где я могу попытаться найти, где находится это хранилище? Спасибо!

РЕДАКТИРОВАТЬ: Может ли это быть в определенном разделе?


storage reverse-engineering temporary unpack ida
person Rob    schedule 01.05.2016    source источник
comment
Также может быть, что это ссылки на пути на машине разработчика (не используемые, только для целей отладки), особенно если они находятся в исполняемом файле, а не в памяти, созданной во время выполнения. Если мы действительно говорим о путях, установленных во время выполнения, и это смоделированное хранилище, как предложено в ответе Евгения, то вы можете либо просто сканировать память на наличие строк, которые встречаются в файлах JPEG (например, они часто содержат JFIF или Exif, начинаться с байтов FF D8 и заканчиваться байтами FF D9), или вы можете написать DLL, которая вызывает GetOpenFileName и экспортирует любой выбранный файл, [...]   -  person CherryDT    schedule 03.05.2016
comment
[...] ваш собственный код для записи содержимого в другой файл вне этого пути и внедрения DLL в процесс. Если предположить, что это система, как сказал Юджин, это должно позволить вам скопировать файл за пределы скрытой области.   -  person CherryDT    schedule 03.05.2016
comment
На самом деле, теперь, когда я снова прочитал ваш вопрос, наиболее вероятно, что это часть утверждений, которые содержат путь к файлу исходного файла на машине автора программы, а не на вашей и номер строки строки кода, в котором выполняется утверждение. Таким образом, у вас нет возможности добраться до этих файлов, их вообще нет на вашем компьютере. Скажите, действительно ли расширение файла, о котором идет речь, .jpg? Или, может быть, что-то вроде .pas или .cpp? Это подтвердит мою теорию.   -  person CherryDT    schedule 03.05.2016

Ответы (1)


arrow_upward
1
arrow_downward

Возможно ли, что он создает сайт временного хранения в исполняемом файле?

Это возможно. Существует как минимум один продукт (http://www.boxedapp.com/, что-то вроде нашего конкурента :) который позволяет приложению создать такой контейнер — вызовы файловых API перехватываются кодом, добавленным в приложение этим продуктом, и этот добавленный код обрабатывает определенные пути другим способом (эмулируя операции с файлами), пропуская все остальные вызовы к API Windows.

person Eugene Mayevski 'Callback    schedule 01.05.2016