Exe mit Hex Editor Bearbeiten

[PC-Gonzo]

Hallo,

sagt mal wie macht man diese seltsamen Hieroglyphen zu lesbaren Wörtern, also das man sehen welche Dateien mit einer Exe verknüpft sind.
Ich hoffe ich habe es hier im richtigen Unterforum gepostet.

 

[Nilson]

Garnicht.

eine .exe ist compilierter Maschinencode. Da macht man nix mehr lesbar (zumindest nicht so einfach*).
Was willst du genau machen?

*Man kann versuchen das ganze zurück in Assembler zu übersetzen, aber das auch nur mit Aufwand.

 

[xxMuahdibxx]

Decompilieren ... ist das Stichwort ...

Dafür musst aber wissen mit was Compiliert wurde ansonsten bleibts Kauderwelsch.

 

[Zoldyck]

oder auch "reverse engineering"

 

[Berserker]

Mit einem HEX-Viewer kann man zu diesen "Hieroglyphen" die entsprechenden Byte-Werte sehen.
Ein Byte kann den Wert von 0 bis 255 annehmen und deine Hieroglyphen sind einfach nur das entsprechende Zeichen aus der ASCII-Tabelle dazu.
Daraus kannst du allerdings rein gar nichts herauslesen.
Du bräuchtest schon die entsprechenden Sourcen, alse den Quellcode zu deiner EXE-Datei, sowie Kenntnisse der verwendeten Programmiersprache.

 

[Smagjus]

Du kannst mit einem Hex Editor höchstens Strings nachträglich anpassen. Mehr geht meist nicht.

 

[Plaste]

Garnicht.

eine .exe ist compilierter Maschinencode. Da macht man nix mehr lesbar (zumindest nicht so einfach*).
Was willst du genau machen?

*Man kann versuchen das ganze zurück in Assembler zu übersetzen, aber das auch nur mit Aufwand.

Na du kennst dich ja aus! Auweia!!

wie macht man diese seltsamen Hieroglyphen zu lesbaren Wörtern, also das man sehen welche Dateien mit einer Exe verknüpft sind

wenn du schon mit einem Hex-Editor unterwegs bist, dann hoffentlich mit einem brauchbaren. Vernünftige Editoren können nach Hex oder ASCII Code suchen und anzeigen. Nach dem Codesegment kommt meisst ein Datensegment welches die Konstanten (z.B. Zeichenketten) als lesbaren Text enthält. Das Datensegment liegt oft ganz am Ende. Wurde der Debugmodus des Compilers an gelassen, dann befinden sich die Reloc-tabellen und Symbole am Ende, Das Datensegment liegt davor. Einfach mal durch den Code browsen/scrollen.

Mit einem Ressourcen Editor lassen sich noch weitere Infos entlocken.

 

[PC-Gonzo]

Aua, das kling alles so kompliziert.
Ich suche z.B. in einer Exe eine eingebundene Bilddatei z.B. "Screen.bmp". Doch wenn ich nach dem Wort oder der Dateiendung suche, bekomme ich keine Suchergebnisse.
Ich hatte es damals gewusst, da hatte es mir einer vor 3 Jahren erklärt wie es geht.
Ich weiß auch leider nicht mehr wie der Hex Editor hieß den ich damals benutze. Ich weiß nur noch so etwa, man lädt eine Datei, z.B. eine Exe, dann klickt man auf Konvertieren oder wie das war, gibt einen Wert ein und dann waren diese Hieroglyphen in lesbare Wörter umgewandelt. Man konnte danach "Screen.bmp" in "Screen.jpg" umschreiben und man knvertierte das ganze zurück und speichert das ganze ab.

 

[Arcturus]

Ich glaube aber, wenn ich die Frage so lese, denkt der TE eher, er kann da sowas wie lesbaren Quellcode sehen, wenn ers im Hexeditor anschaut.
So einfach ist das aber nicht.
Ist ja kein Basic.

 

[Nilson]

[...]Na du kennst dich ja aus! Auweia!![...]

Dann klär mich mal auf. Ich will will ja auch was dazu lernen, aber so bringt das weder mir, noch dem TE was.

BTT: Wie Smagjus bereits gesagt hat: Strings lassen sich (manchmal) direkt in ASCII darstellen und wenn dein Dateipfad als String gespeichert wurde kannst du den mit einem Hexeditor finden. Muss nur einen nehmen, bei dem man auch nach den ASCII Werten suchen kann.

 

[PC-Gonzo]

Na gut und wie sie es mit diesem IDA Pro Free aus?

 

[xxMuahdibxx]

könnte gehen muss aber nicht ...

 

[HominiLupus]

IDA Pro ist das falsche Werkzeug dafür. Der alte Borland Ressource Workshop sollte es können.

 

[[GP] mino]

falls borlands ressourcen workshop die exe nicht geladen bekommt, schau mal mit einem hex-editor wie dem HxD, ob du den begriff UPX in der nähe des headers findest. sollte das der fall sein, müsstest die exe vorher mit upx dekomprimieren.

 

[PC-Gonzo]

IDA Pro ist das falsche Werkzeug dafür. Der alte Borland Ressource Workshop sollte es können.

Das?
http://resource-workshop.software.informer.com/4.5/
Wenn ich auf Download klicke, komme ich auf diese komische Seite.
http://www.woodmann.com/crackz/Tools.htm

Also irgendwie finde ich nichts richtiges zu diesem Borland Resource Workshop und alt ist relativ. Ich weiß ja nicht mal welche Version.

 

[Tigerass 2.0]

Du kannst dir mit res edit oder sogar 7zip eingebundene ressourcen ganz einfach anschauen und austauschen.

Falls du nach einem ascii textstring suchst nimm einen hex editor (HxD) und überschreibe den. Das überschriebene darf nie länger sein als der aktuelle string!
Manchmal gibt es auch unicode strings, da befindet sich nach jedem zeichen ein nullbyte.
Ein normaler ascii string wird mit einem nullbyte beendet, ein unicode string mit zwei.

Das ist eigentlich alles was man wissen muss. Mehr kann man als anfänger auch nicht erreichen. Für den rest benötigt man spezielles wissen und es ist illegal

 

[PC-Gonzo]

Okay ich glaube ich habe es gefunden. Da kann ich lange suchen wenn es mit Punkten geschrieben wurde.
S.c.r.e.e.n.b.m.p.

 

[Jesterfox]

Das sind wahrscheinlich keine Punkte sondern die schon erwähnten Nullbytes bei Unicode-Strings. Solange die ersetzten Zeichen wieder rein ASCII sind (also keine Umlaute usw.) kannst (musst) du die Nullbytes einfach so lassen.

 

[PEASANT KING]

Lad dir einfach den Resource Hacker, damit kannst du die Exe öffnen und kannst auch die sogenannten Resourcen (Bilder, Icons) bearbeiten und kopieren was auch immer. Allerdings sollte man noch erinnern, das man damit gegen das Urheberrecht verstößt, wenn es properitäre Software ist, falls du die Exe veränderst.