Beim Untersuchen der LNK-Lücke hat mir der
010 Hex Editor mit seinen Templates sehr geholfen, um das LNK-Format zu verstehen und zu analysieren.
Jupp. Den nutze ich auch schon seit Jahren (war auch in #8 erwähnt). In der letzten Version war sogar ein Feature drin welches ich mir gewünscht hatte. Da unsere Malware-Exemplare normalerweise nicht mit der ursprünglichen Endung gespeichert sind, war es immer umständlich ein Template (.bt) auf eine solche Datei anzuwenden. Seit der 3.1er kann man jetzt innerhalb eines Skripts genau das machen. Seitdem habe ich eine autodetect.1sc welche für die von mir am häufigsten genutzten Dateiformate das Template sofort auf die Datei anwendet, sobald sie geladen wird - unabhängig von der Dateiendung.
auf die Gefahr hin Dich volkommen falsch verstanden zu haben,
Der gute alte sourcerer (Disassembler) konnte so etwas halbautomatisch.
Das sah einer Makro-Assembler Datendefiition doch recht ähnlich.
Was meinst du?
DB, DW und DD usw? Kann mich nicht entsinnen, daß der Sourcerer auch Nicht-Programmdateien zerlegte (hab ihn aber nicht soooo lange benutzt). Aber es geht mir ohnehin darum daß ich mithilfe einer Sprache oder diverser Werkzeuge ein Dateiformat dokumentieren kann. Wenn die formale Beschreibung dann als Eingabe für Parser oder Dokumentationstools dienen könnte, wäre es perfekt.