【分享】用记事本将EXE按UTF-16打开的方法
acmilan2015/11/18软件综合 IP:四川
不知道大家有这种习惯,将.EXE改名为.TXT用记事本打开,然后就可以看到里边藏着的字符串了。但这种方法现在不怎么灵了,因为使用UTF-16编码保存字符串的程序越来越多了。

虽然reshacker等软件也可以读取rsrc段的字符串,但是它读不了硬编码的字符串。很多时候程序喜欢在代码里硬编码字符串,这些字符串一般是保存在text代码段的。

其实要查看EXE中的UTF-16字符串也可以用记事本,不过不要用改扩展名的方法,而是要用“打开”对话框直接打开EXE。首先,打开记事本,然后选文件-》打开,下边有编码选择选项,选择“Unicode”,文件类型选“所有文件 (*.*)”,然后打开EXE即可。注意这种方式可能会遍历所有的UCS-2字符,因此打开速度比ANSI要慢很多。

unicode.png

unicode2.png

由于UTF-16字符串一定是双字节对齐的,因此用这种方法便可以看到所有UTF-16字符串了,奇数地址不存在UTF-16字符串。
可以用以下命令变换为奇数地址再打开,你会发现那些字符串都消失了:
echo A>odd.txt (odd.txt内容为41 0D 0A,注意A和>之间不能有空格)
copy /b odd.txt+xxx.exe xxx.odd.txt

[修改于 9年1个月前 - 2015/11/18 14:09:34]

来自:计算机科学 / 软件综合
3
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
acmilan 作者
9年1个月前 IP:四川
797600
我的另一个帖子《高DPI的Win32程序示例》中的一个程序。它没有使用rsrc段储存字符串,而是硬编码的字符串。用上述方法打开后,按PageDown翻页几次就可以看到了:

unicode3.png
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
9zhmke
9年1个月前 IP:四川
797659
Notepad开文件的效率太低,还是用  WinHex吧。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
acmilan作者
9年1个月前 修改于 9年0个月前 IP:四川
797707
引用 9zhmke:
Notepad开文件的效率太低,还是用  WinHex吧。
用notepad只能查看字符串,修改字符串用的话还是要用winhex
notepad要对数据进行和谐(如将\u0000替换为\u0020等处理)之后才会进行显示,会破坏原有数据
我这里使用notepad只是因为任何电脑中都存在notepad,便于大家实践
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
所属分类
上级专业
同级专业
acmilan
进士 学者 笔友
文章
461
回复
2934
学术分
4
2009/05/30注册,5年10个月前活动
暂无简介
主体类型:个人
所属领域:无
认证方式:邮箱
IP归属地:未同步
文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
支持的图片格式:jpg, jpeg, png
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}