надёжный способ отличить код от данных в pe файле

хай всем

столкнулся с такой проблемой - надо отличить код от данных в pe файле
с visual c++ проблем нет, он разносит всё по секциям
а вот с c++ builder столкнулся с проблемой - он и код и данные суёт в .text,
разпихивая данные между функциями. есть ли какой-то надёжный способ отличить
код от данных в этом случае, не используя map файл ?

сенкс!

 

vladqq
Константы он распихивает.

 

Booster
не суть важно, константы это тоже данные. мне надо их отличить от кода как-то.

 

Студия тоже распихивает, если не указана опция Zi.

Дизассеблируйте Шура. А в общем задача не решаема.

 

Booster
анализ происходит автоматом, код я и так дизассемблирую, только проблемно отличить логичный код от белиберды. ида каким-то образом справляется с этой задачей...

 

Ну так надо отдизасмить и что не код то данные.

 

Один из приёмов ввода в ступор таких вумных как ида, условный переход в космос который никогда не сработает.

 

ну ида ориентируется по ссылкам в коде. все ссылки что на данные - то данные.

 

vladqq
0x90 это код или данные по вашему

 

Clerk
Смотря что было до 0x90...

 

Если дизасм обламывается, то либо нас дурят либо данные. Скорее всего данные..

 

punxer
Эту задачу даже аверам не всегда удаётся исполнить при эмуляции.. Часто без исполнения кода определить что данные являются кодом невозможно.

 

кто-нибудь в курсе - возможно ли заставить билдер держать в .text только код ?

 

не совсем. могут быть ссылки из данных на функции, которые напрямую нигде в коде не вызываются, ида их тоже определяет. собсно задача разделения кода/данных в общем то нерешаема, это ясно, но вот для конкретного компилятора решаема вполне.

 

vladqq

да но она берет на заметку, что там указатель на код (она же их не отображает как код). это тривиально. а вот если у вас в API функцию передается аргумент из .text, то он может быть как callback, так и const

 

В корне задача не решаема. Но зная компилятор, задача тоже не решаема..., и тд. можно с определённо высокой уверенностью сделать выводы.
например если рассматриваем переменную как константу, то по адресу на который она указывает скорее всего будет не push ebp... То есть задача с начальными условиями, которыми мы как раз распологаем, как раз таки вполне решаема. Готового варианта увы не предложу.

 

vladqq
А как ты в дизассемблере сам определяешь, что это код, а не данные ?
Думается, тебе надо писать анализатор, который смотрит на "бесмысленность" конструкций, до некоторой степени лажовости думаю можно написать, а под все случае жизни нее это затруднительно

 

ну можно еще посмотреть как что используется
например
push offset var_XXX
...
ret
var_XXX - это скорее всего код

push var_XXX
...
ret
var_XXX - это скорее всего данные

и т.д. и т.п

 

max7C4

код вполне можно использовать как данные. правда не знаю, как оно с билдером..

но вобщето задача поставлена некорректно. например в чем мы ищем? в обж, ехе или, например, закриптованном ехе? если в обж, то вполне можно попытаться. если в ехе с релоками, то большую часть можно найти проверив релоки. строки различить проще, чем числа. числа однозначно различить трудно. последовательности, массивы, структуры - еще сложнее. ссылки на функции можно отличить по заголовкам, если они не опущены. чтото может дать дизасм.

можно еще чтото выделить из факта, что оптимизация у билдера ниже плинтуса. можно использовать сигнатуры конструкций

 

код анализируется exe файла с релоками, которые я использую при анализе. единственная проблема это понять - когда указатель, находящийся в .data смотрит в .text - указывает ли он на код или на данные.