IWM Utilities:findep
- 書式
- findep command [option...] [file|string...]
- 説明
- バイナリからエントリーポイントを探す.
- c, check エントリーポイントが登録されているか確認する
- d, display 登録されているエントリポイントを表示する
- e, entry エントリーポイントを登録する
- f, find エントリーポイントを探す
- i, ignore 無視するエントリーポイントを登録する
- r, remove 登録されているエントリポイントを削除する
- -a, --align=BYTE セクションのアライメントのバイト数
- -b, --base=ADDRESS イメージのベースアドレス
- -d, --dump ファイルはメモリダンプ
- -r, --raw ファイルはバイナリ
- --dynamic 動的解析を行う
- --static 静的解析を行う
- 例
- findep c sample.exe
- findep d
- findep e sample.exe
- findep f sample.exe
- findep i sample.exe
- findep r call,jmp,mov
- findep r n0001
バイナリの解析方法は静的解析と動的解析がある. 静的解析では逆アセンブルを行ってニーモニックを得る. 動的解析では仮想環境で実行してニーモニックを得る. デフォルトは静的解析である. 静的解析と動的解析は同一のデータベースに登録される.
entryコマンドでは引数で与えられた複数の32ビットWindows実行可能ファイルのエントリーポイントのニーモニックを登録する. 最低でも8ステップのニーモニックが必要であり,最大で24ステップのニーモニックを登録する.
ignoreコマンドでは引数で与えられた複数の32ビットWindows実行可能ファイルのエントリーポイントのニーモニックを無視するために登録する. 登録されたニーモニックはentryコマンドで登録できない.
displayコマンドは登録されているエントリーポイントのニーモニックを表示する.
removeコマンドは登録されているニーモニックを削除する. 引数で先頭から一致した場合には,該当するニーモニックをすべて削除する.
checkコマンドでは引数で与えられた複数の32ビットWindows実行可能ファイルのエントリーポイントのニーモニックが登録されているか確認する.
findコマンドでは引数で与えられたファイルの中に登録されているエントリーポイントがあるか確認する. ファイルは32ビットWindows実行可能ファイルに限らない. また引数で2つ目のファイルを指定したときには,見つけたエントリーポイントに変更した32ビットWindows実行可能ファイルを書き出す. 入力ファイルが32ビットWindows実行可能ファイルではないときにはヘッダが先頭に付加される. --dumpおよび--rawオプションは入力ファイルが32ビットWindows実行可能ファイルか任意のバイナリかを明示的に指定する. どちらのオプションもないときには自動的に判定する. デフォルトのセクションアライメントは1000h,ベースアドレスは400000hである.
findコマンドはホームディレクトリの.maid.org/iwmutlis/findep.iniにデータを保存する. このファイルはWindows XPでは C:\Documents and Settings\<ユーザ名>\Local Settings\maid.org\iwmutlis\findep.ini であり,Windows Vista以降では C:\Users\<ユーザ名>\AppData\Local\maid.org\iwmutlis\findep.ini になる.
連絡先iwm@maid.org
