4. Disassembler

Disassembler

  • ?

    Hi,

    ich wollte gestern ein sehr altes MS-Windows Programm disassemblieren.
    Dazu hab ich mir irgendeinen WinPE-Disassembler runtergeladen und
    wollte loslegen. Leider kannte dieser das Format nicht.
    Hab dann mal in die exe reingeschaut und gesehen, dass diese
    mit MPZ anfängt.
    Jetzt wollte ich mal fragen:
    I ) Was ist das für ein Format?
    II) Kennt jemand einen (free)-Disassembler, der das Format kennt?

    Danke schön,

    Jockel

    0
  • D

    also im Zweifelsfalle gibts immernoch den DEBUG.EXE
    Der ist nicht besonders komfortabel, aber man kann mit ihm arbeiten.

    und zwar so :

    C:\>debug NTDETECT.COM
-rcx
CX B9DC
:  <ENTER>
-q

C:\>

    im Register CX steht die Länge des Programms (wenn es größer als 64K ist auch noch im Register BX (glaub ich - hierzu die Hilfe befragen)

    Nun muss man etwas seinen Tastaturkünsten vertrauen.

    C:\>debug NTDETECT.COM >NTDETECT.ASM
<das nächste schreibt man blind>
-d 0100 BADC
<hier steht dann der Asemblercode>
-q
C:\>

    Nun steht der ASM-code in der ASM-Datei.
    Leider werden Literale nicht erkannt, man hat hier also einiges zu tun...

    0
  • C
    Mod

    das blindschreiben kann man ebenfalls noch vermeiden:
    einfach

    -d 0100 BADC
-q

    in eine datei (z.b. NTDETECT.TXT) schreiben und dann die standardeingabe umleiten:

    C:\>debug NTDETECT.COM <NTDETECT.TXT >NTDETECT.ASM

    ich bezweifle aber, dass man damit den windows teil erreicht, eigentlich sollte damit nur der dosstub teil der exe geladen und disassembliert werden.

    0
  • R

    Ich hätte gedacht, dass ein EXE, das nicht mit MZ anfängt, erst gar nicht ausgeführt wird. Aber abgesehen davon klingt es nach irgendeinem Packer. Probier halt mal, es zu zippen. Wenn das nur sehr schlecht geht, kannst du davon ausgehen, dass es gepackt ist.

    0
  • D

    @camper : ich bin doch ein selten dämliches Fast-Genie 😃
    Ich programmiere hobbymäßig auf diesem Wege, aber das Debuggen mit so einer TXT ist mir auch noch nicht in den Sinn gekommen *rofl*

    0
  • ?

    War ein paar Tage nicht da, deshalb konnte ich das
    obligatorische "Danke" nicht los werden.
    Hole ich hiermit nach!

    @Ringding: Hört sich gut an. Probier ich mal aus.
    Es ist nämlich auch so, dass zuerst ein Fenster erscheint, welches man
    wegklicken muss und erst danach erscheint die Anwendung in der Taskleiste.

    Jockel

    0
  • A

    Also alles schön und gut! Ihr habt auch mir somit geholfen nur ich hab jetzt die Ausgabe

    CX 4400

    so und nun was muss ich nun eingeben?

    0
Anmelden zum Antworten