Suche nach HEX-Werten am Dateianfang

PMurschall · Post by *PMurschall » 2006-11-21, 09:21 UTC

Hallo werte NGler

ich habe mich - bisher erfolglos - mit den Regulären Ausdrücken rumgeschlagen, denn
ich möchte nach allen Dateien suchen, die mit 0x00 0x00 0x00 0x00 oder anderen
HEX-Werten BEGINNEN, d.h. die ersten 4 oder 8 Bytes.
Wie mache ich das ?

Hintergrund ist das letzte WINXP Update, welches mir eine XP-Installation mächtig "zerschossen" hat,
woraufhin ich (nach diversen Rettungsversuchen) etliche Dateien (DLLs/EXEs etc.) mit Inhalt "00" entdeckt habe.

TychoBarfy · Post by *TychoBarfy » 2006-11-21, 11:05 UTC

"Text Suchen" und dort "Reg. Ausdrücke" markieren.
Normalerweise müsste das gehen (allerdings zielt der Ausdruck nur auf den Zeilenanfang, nicht auf den Dateianfang):
^\x00{10,}
Das Beispiel oben macht folgendes: Finde am Zeilenanfang mindestens 10 mal hintereinander den Hex-Wert 00!

Hab dabei gerade nebenbei einen Bug in TC 7 Public Beta 1 entdeckt.
Wenn ich das so "^(\x00){10,}" mache und auf "Suche starten" klicke, schmiert TC ohne Fehlermeldung ab.

icfu · Post by *icfu » 2006-11-21, 11:27 UTC

Habe nochmal geprüft und festgestellt, daß TC generell beim Ausdruck (\x00){X,} abstürzt. Ich glaube nicht, daß TC bzw. die RegEx-Bibliothek für solche 0x00-Expeditionen gewappnet ist.

TC 6.55 schmiert übrigens auch ab und für ältere Versionen gilt vermutlich das gleiche.

Icfu

Sheepdog · Post by *Sheepdog » 2006-11-21, 16:27 UTC

Das Problem ist IIRC, dass die TC-Suchengine auch dann Text sucht, wenn man den Hexwert eingibt. Und 0x00 ist das Dateiendezeichen, weshalb danach eben nicht gesucht werden kann, weil es die Suche beendet.

sheepdog

Post by *ghisler(Author) » 2006-11-22, 13:51 UTC

Wenn ich das so "^(\x00){10,}" mache und auf "Suche starten" klicke, schmiert TC ohne Fehlermeldung ab.

Kann ich leider nicht reproduzieren! Eine Beispieldatei, bei der das passiert wäre nett!

icfu · Post by *icfu » 2006-11-22, 13:59 UTC

Du kannst jede x-beliebige Exe-Datei nehmen, z.b. die TC-Installationsdatei.

Icfu

Post by *ghisler(Author) » 2006-11-22, 14:30 UTC

Hmm, kann ich nicht reproduzieren. Als Suchtext benutze ich

^\x00{10,}

wie oben angegeben, und "Reg. Ausdruck (Regex 2)".

icfu · Post by *icfu » 2006-11-22, 14:47 UTC

Edit: Du hast die runden Klammern vergessen!

Textsuche, RexEx, ^(\x00){10,}
Suche starten => Crash

Unter XP SP2 immer reproduzierbar.

Icfu

PMurschall · Post by *PMurschall » 2006-11-22, 15:13 UTC

... unter W2K ebenfalls reproduzierbar, auch
mit 6.55: Sobald der Haken bei RegEx2 gesetzt
wird, ist TC sang&klanglos wesch ....

Sheepdog · Post by *Sheepdog » 2006-11-22, 17:35 UTC

Confirmed.

Bei diesem Suchstring

Code: Select all

^(\x00){10,}

im Feld 'Text suchen' und Regex ein, beendet sich der TC sang und Klanglos ohne jede Fehlermeldung.

[Edit]
Unter Win98 erhalte ich auch eine Fehlermeldung:

Totalcmd verursachte einen Fehler durch eine ungültige Seite
in Modul Totalcmd.EXE bei 0197:00449c8a.
Register:
EAX=00eaed88 CS=0197 EIP=00449c8a EFLGS=00010207
EBX=00000001 SS=019f ESP=0085fffc EBP=00860044
ECX=00000000 DS=019f ESI=00eaed88 FS=2737
EDX=00e94088 ES=019f EDI=7ffffffe GS=0000
Bytes bei CS:EIP:
53 56 57 33 c9 89 4d b8 8b f0 33 c0 55 68 4d a7
Stapelwerte:
[/edit]

sheepdog

Post by *ghisler(Author) » 2006-11-23, 10:48 UTC

Danke, ich werde den Autor der Regex-Library anschreiben.

Total Commander

Suche nach HEX-Werten am Dateianfang

Suche nach HEX-Werten am Dateianfang

YEP !