从.DLL中提取数据:未知文件偏移量

时间:2013-06-04 16:42:12

标签: dll extract offset

我正在尝试从.DLL库中提取一些数据 - 我已经找到了文件结构(有1039个数据块用zlib压缩,从偏移量0x3c00开始,最后一个是胖表)。胖表本身分为1038个“块”(8个字节+一个base64编码的字符串 - 文件名)。据我所见,字节5是文件名的长度。

我的问题是我似乎无法理解字节1-4用于什么:我的第一个猜测是它们是在.DLL中找到文件块的偏移量(主要是因为值在整个表),但是,例如,在这种情况下,第一个“块”是:

  1. 假设偏移量:2E 78 00 00
  2. 文件名长度:30 00 00 00
  3. Base64编码文件名:59 6D 46 30 64 47 78 6C 58 32 6C 75 64 47 56 79 5A 6D 46 6A 5A 56 78 42 59 33 52 70 64 6D 56 51 5A 58 4A 72 63 31 4E 6F 62 33 63 75 59 77 3D 3D

    4. 然而,正如我之前所说,块本身是0x3c00,所以事情不匹配。第二个块也一样(从0x3f0b开始,而表假设偏移量为0x167e)

    有什么想法吗?

1 个答案:

答案 0 :(得分:0)

回答我自己的问题lol

无论如何,这些数字 是文件块的实际偏移量,除了第一个从一些随机数而不是第一个块的实际位置开始的事实。除此之外,每对偏移之间的差异确实与相应块的长度相匹配。

相关问题
最新问题