• 1. Загрузочный файл программы FE23
• 2. Дежурные имена файлов
• 3. Исследуемый файл
• 4. Командный файл
• 5. Файл для записи протокола
• 6. Файлы проектов

1. Загрузочный файл программы FE23

Программа "FE23 Looch Disasm" состоит всего лишь из одного файла - исполняемого файла ( fe23.exe ). Обычно в имя этого файла вставляется еще и номер версии, например 1.0, тогда имя этого файла будет выглядеть так: ( fe23_10.exe ).

Программа не требует инсталляции. После того, как файл с программой переписан на компьютер, можно сразу запускать программу для работы.

Подробные полезные советы по первому запуску программы Вы можете найти на странице   "Быстрый старт. Урок первый".

Обратите внимание, что для программы FE23 важно, в какой директории она запущена. В самом начале работы программа определяет, которая директория является для нее "текущей рабочей директорией".

Для пользователя разумный выбор текущей рабочей директории помогает при задании имен файлов. Если файл находится в рабочей директории программы, то не требуется задавать полный путь к файлу.

2. Дежурные имена файлов

В программе есть понятие "дежурное имя файла". Дежурные имена задает пользователь. Программа запоминает заданные дежурные имена файлов, эти имена файлов сохраняются в реестре. Так что программа "помнит" прежние имена файлов, с которыми она работала в прошлый раз.

Дежурные имена задаются для следующих файлов:

• Исследуемый файл
• Командный файл
• Файл для записи протокола

После того, как пользователь задал новое дежурное имя, программа ничего не делает с самим этим файлом, она только запоминает его имя. Именно потому мы называем такие имена "дежурными".

Такой подход к заданию имен файлов имеет свои плюсы и минусы. Когда пользователь задает имя файла, программа не тратит время на проверку, существует ли на самом деле файл с таким именем. Но, когда этот файл действительно потребуется, может выясниться, что программа не может открыть этот файл для работы.

Чтобы задать имя дежурного файла, используются следующие команды главного меню:

( File --> File to Exam ) ( File --> File as Cmd_File ) ( File --> File for Report )

- исследуемый файл - командный файл - файл для записи протокола

По каждой из этих команд на экран вызывается один и тот же диалог для задания имени файла.

Если файл расположен в текущей рабочей директории, то можно задавать только имя файла, не указывая директорию. Если файл расположен в какой-нибудь другой директории, то нужно задавать полный путь к файлу, начиная с буквы диска.

Чтобы не набирать вручную длинный путь к файлу, можно вызвать по кнопке ">>" стандартный диалог Windows (диалог для выбора имени файла).

Примечание. Обратите внимание, когда Вы в этои стандартном диалоге Windows нажимаете стандартную кнопку "Open" (или даже кнопку "Save" при задании имени файла для протокола), то Вы всего лишь копируете имя файла из стандартного диалога в диалог программы FE23. Никакая работа с файлом еще не начинается. (И вообще, Вы ведь пока только задаете дежурное имя файла для будущей работы с этим файлом.)

Посмотреть имена дежурных файлов, которые установлены в программе в данный момент, можно по команде меню ( File --> Show File Names ). Результатом работы этой команды будет распечатка в главном окне, например, вот такая:

Дежурные имена для файлов Имя исследуемого файла C:\WINNT\system32\notepad.exe Имя командного файла cmd_08.cmd Имя файла для вывода протокола rep_05.txt

3. Исследуемый файл

В программе FE23 можно взять совершенно любой файл для исследования. С любым именем и любым расширением имени.

Другой вопрос, сможет ли программа FE23 сообщить что-либо полезное об этом файле. В любом случае, можно получить хотя бы типовую шестнадцатеричную распечатку для этого файла. И даже можно попытаться начать дизассемблировать этот файл, указав начальный адрес для дизасма. Все это на усмотрение пользователя программы FE23.

Дежурное имя для исследуемого файла задается заранее. Программа помнит имя файла, с которым шла работа в прошлый раз. При следующем запуске программы она сообщает (печатает в протоколе) имя последнего исследуемого файла.

Когда пользователь запросит выполнение какой-либо работы для исследуемого файла, а программа при этом обнаружит, что исследуемый файл еще не был приготовлен для работы, вот только тогда программа откроет на чтение тот самый файл, чье имя она запомнила в качестве дежурного имени файла.

Обратите внимание, что программа открывает исследуемый файл только на чтение. Нигде в программе нет случаев записи в этот файл. Программа FE23 не умеет вносить изменения в исследуемый файл.

Примечание. В некоторых случаях программа делает исправление в таблице секций PE файла, когда эта таблица содержит явную, но поправимую некорректность, препятствующую нормальной работе. Но это изменение производится только в копии файла в оперативной памяти и не затрагивает исходный исследуемый файл.

4. Командный файл

В командном файле пользователь может заранее запрограммировать выполнение некоторой последовательности команд главного меню.

О работе с командным файлом подробно рассказано на странице   Командный файл.

Командный файл - это простой текстовый ( ASCII ) файл. Один символ занимает один байт.

В программе FE23 для командного файла допустимо любое имя файла. Но рекомендуется использовать имена с раширением ( .cmd ).

Для командного файла может быть заранее задано дежурное имя файла. Это имя программа запоминает (имя сохраняется в реестре).

Когда пользователь даст из главного меню команду ( Start --> Cmd_File ) на выполнение задания из командного файла, программа откроет на чтение дежурный командный файл.

5. Файл для записи протокола

В программе FE23 протокол работы, выводимый на экран, может одновременно копироваться еще и в специальный файл - файл для записи протокола.

Про эту возможность подробно рассказано на странице   Протокол работы и распечатки .

Файл для записи протокола - это простой текстовый ( ASCII ) файл. Один символ занимает один байт.

В программе FE23 для файла протокола допустимо любое имя файла. Но рекомендуется использовать имена с раширением ( .txt ).

Для файла протокола может быть заранее задано дежурное имя файла. Это имя программа запоминает (имя сохраняется в реестре).

Когда пользователь потребует, чтобы выводимый на экран протокол работы стал параллельно выводиться еще и в файл (файл для записи протокола), то программа откроет на запись соответствующий дежурный файл.

6. Файлы проектов

В программе FE23 имеется возможность создавать проекты. Для каждого исследуемого файла создается свой проект.

Если работа выполняется в проекте, то перед началом исследования пользователь выполняет вход в уже существующий проект или создает новый проект, если такого проекта еще не было.

Проекты в программе FE23 были придуманы всего лишь для того, чтобы наладить сохранение данных, накапливаемых во время исследования. Эти данные сохраняются в файлах проекта.

Все подробности о работе с проектами изложены на странице   Работа с проектами.

В настоящей версии программы FE23 для каждого проекта имеется один файл проекта. В этот файл записываются данные, полученные во время первого прохода дизасма. Прежде всего это сведения о лучах и процедурах.

Имя этого файла данных составляется из имени проекта и расширения ( .mda ). Например, если имя проекта ( My_project ), то имя файла с данными будет ( My_project.mda ).

Файлы проекта программа записывает в свою текущую рабочую директорию.

Когда программа FE23 запускается, то она проверяет свою текущую рабочую директорию и отыскивает в ней все файлы ( .mda ). И таким образом программа составляет список проектов, которые имеются в ее рабочей директории.

Текущая рабочая директория H:\FE\C\23\PROBA В директории имеются проекты: PR_TRACE PR_NOTEPAD My_project Имя последнего проекта PR_NOTEPAD Имя последнего исследуемого файла C:\WINNT\system32\notepad.exe

При входе в проект программа загружает прежние данные проекта из соответствующего файла ( .mda ).

Когда происходит запись файла ( .mda ), а в директории уже имеется прежний такой файл, то старый файл ( .mda ) не затирается, он сохраняется, но расширение имени заменяется на ( .~md ). Таким образом, пользователь имеет возможность сделать откат назад - вернуться к прежнему варианту данных.

Все страницы инструкции