Discussion :

[al754]

Bonjour, je cherche a savoir ce que signifie la portion d'hexa ci dessous, issue d'un .exe qui s'exécute normalement sous windows 2000 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
 
0007E440                               46 4F 4E 43 54 53 2E            FONCTS.
0007E450   50 52 47 00 8F 12 95 04  36 01 00 8D 5F 2A 00 00   PRG..•.6.._*..
0007E460   28 00 01 2A 32 01 0F 96  04 A1 2F 01 00 2A 33 01   (..*2..–.¡/..*3.
0007E470   A2 37 01 00 65 1B 16 00  2A 34 01 13 34 01 01 0A   ¢7..e...*4..4...
0007E480   63 6C 69 65 6E 74 2E 64  62 74 00 27 01 00 2A      client.dbt.'..*

La visualisation ci-dessus provient d'un editeur j'ai laissé l'hexa à gauche et l'interpretation à droite pour faciliter la lecture.

Merci d'avance pour vos lumières !!!

[Stormy_Ordos]

Bonjour,

les 8 premiers octets sont vides, tu es sûr qu'il n'y a aucune valeur (au moins 00h)?

Sinon, les exécutables Windows sont des fichiers au format PE (Portable Executable), pour plus d'informations :
Tutoriel sur le format PE

[Mat.M]

Oui il y a des chances que cela soit l'entête de l'exe au format PE...si on commence à l'offset 0.
L'entête est de 128octets

[Stormy_Ordos]

Oui il y a des chances que cela soit l'entête de l'exe au format PE...si on commence à l'offset 0.

Question en-tête, on est dans une galaxie lointaine, très lointaine

[Neitsa]

Oui on est assez loin d'une en-tête PE : pas de MZ, ni signature IMAGE_NT_HEADER, l'en-tête n'abrite pas autant de chaînes, etc.

En gros, je dirais un bout de la section ressources (.rsrc) vu l'offset assez élevé.

Ca ne peut pas être la section d'import, ni la section d'export. Et les octets ne correspondent à aucun opcode définis, donc pas la section de code non plus... On peut enlever la section des relocations et celle de debug.

Reste une possibilité pour une section .bss ou .data

[al754]

merci de vos réponses, il semble que je me sois mal exprimé . La portion de code postée plus haut est un petit extrait au milieu d'un long .exe (ce qui explique l'absence d'entête et l'offset important), ce qui m'intéresse c'est de savoir (si possible) notamment si ce bout de code agit sur le fichier nommé à la fin (client.dbf), le cas échéant, qu'est-ce qu'il lui fait subir ...

[Stormy_Ordos]

il y a marqué "client.dbt", mais c'est à peu près tout ce que que l'on peut dire. Neitsa vient de dire qu'aucun octet ne correspond à un opcode particulier, donc aucun moyen de savoir avec ce bout de code si ce fichier est modifié.

Tu pourrais peut-être essayer de désassembler cet EXE, ou te renseigner sur ce fichier "client.dbt" en particulier.

[al754]

"Neitsa vient de dire qu'aucun octet ne correspond à un opcode particulier, donc aucun moyen de savoir avec ce bout de code si ce fichier est modifié.
" Merci c'est ce que je voulais savoir !