不知道大家有这种习惯,将.EXE改名为.TXT用记事本打开,然后就可以看到里边藏着的字符串了。但这种方法现在不怎么灵了,因为使用UTF-16编码保存字符串的程序越来越多了。
虽然reshacker等软件也可以读取rsrc段的字符串,但是它读不了硬编码的字符串。很多时候程序喜欢在代码里硬编码字符串,这些字符串一般是保存在text代码段的。
其实要查看EXE中的UTF-16字符串也可以用记事本,不过不要用改扩展名的方法,而是要用“打开”对话框直接打开EXE。首先,打开记事本,然后选文件-》打开,下边有编码选择选项,选择“Unicode”,文件类型选“所有文件 (*.*)”,然后打开EXE即可。注意这种方式可能会遍历所有的UCS-2字符,因此打开速度比ANSI要慢很多。
由于UTF-16字符串一定是双字节对齐的,因此用这种方法便可以看到所有UTF-16字符串了,奇数地址不存在UTF-16字符串。
可以用以下命令变换为奇数地址再打开,你会发现那些字符串都消失了:
echo A>odd.txt (odd.txt内容为41 0D 0A,注意A和>之间不能有空格)
copy /b odd.txt+xxx.exe xxx.odd.txt
200字以内,仅用于支线交流,主线讨论请采用回复功能。