Карта сайта Kansoftware
НОВОСТИУСЛУГИРЕШЕНИЯКОНТАКТЫ
KANSoftWare

Разгадка старых исполняемых файлов: как идентифицировать файлы в формате NE, созданные с использованием Delphi 1.00

Delphi , ОС и Железо , Windows

Разгадка старых исполняемых файлов: идентификация файлов в формате NE, созданных с использованием Delphi 1.00

Пользователь столкнулся с необходимостью идентификации старых исполняемых файлов, которые, вероятно, были созданы с использованием языка программирования Delphi 1.00. Эти файлы не соответствуют современному формату PE (Portable Executable), который используется в Windows начиная с Windows NT. Вместо этого, они используют формат NE (New Executable), который характерен для более старых систем Windows, таких как Windows 3.x.

Идентификация файлов в формате NE

Файлы, созданные с использованием Delphi 1.00, могут иметь специфическое начало, которое отличается от стандартного формата PE. Например, стандартный PE-файл начинается с байт 4D 5A (ASCII "MZ"), за которыми следуют две 16-битные байтовые записи, содержащие размеры заголовного и начального файлов. Если файл начинается так и при этом он все еще запускается, то это может указывать на то, что перед нами файл в формате NE.

Пример анализа

В предоставленных данных видно, что файл начинается с 409 (HEX для "MZ"), что является стандартной меткой начала исполняемых файлов. Однако, после первых нескольких байтов идут данные, которые не соответствуют стандартному PE-заголовку. Вместо этого, после MZ следует последовательность байт, указывающих на 16-битное программирование, которое часто встречается в файлах NE.

Рекомендации

Для идентификации файлов в формате NE:

  1. Открой файл в hex-редакторе, например, xxd в Linux или Hiew на Windows.
  2. Проверьте байты в начале файла. Если они не соответствуют шаблону PE (например, если они отличаются от 4D 5A и не содержат байтов, характерных для нового PE-заголовка), скорее всего, вы имеете дело с NE.
  3. Проверьте наличие иконы и строку приложения, а также другие характерные для NE структуры, такие как отсутствие некоторых полей, присущих PE-файлам.

Заключение

Таким образом, если вы столкнулись с исполняемым файлом, который начинается с 409, но не запускается в инструментах для PE, таких как IDA Pro (IDA), и при этом файл запускается в старых версиях Windows, высок шанс, что это файл NE, созданный в Delphi 1.00.

Создано по материалам из источника по ссылке.

Пользователь пытается идентифицировать старые исполняемые файлы формата NE, созданные с использованием Delphi 1.00, чтобы различить их от современных файлов PE.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS




Материалы статей собраны из открытых источников, владелец сайта не претендует на авторство. Там где авторство установить не удалось, материал подаётся без имени автора. В случае если Вы считаете, что Ваши права нарушены, пожалуйста, свяжитесь с владельцем сайта.


:: Главная :: Windows ::

реклама
©KANSoftWare (разработка программного обеспечения, создание программ, создание интерактивных сайтов), 2007
Top.Mail.Ru

Время компиляции файла: 2024-12-22 20:14:06
2025-08-27 02:46:13/0.0032711029052734/0