下面是一个在二进制文件中执行十六进制搜索和替换的简短演示。我提取了一个32字节的数据片段;这是它的十六进制转储(在Linux上使用hd生成)。在00000000 00 00 00 00 00 00 00 00 77 8a 1c 22 00 00 00 21 |........w.."...!|
00000010 03 00 83 37 ee fb 00 08 00 00 00 b8 3d 00 00 00 |...7........=...|
00000020
代码如下:
^{pr2}$
注意文件模式是'r+b'。这样我们就可以读取文件并对其进行修改。如果以w模式打开文件,则文件将被截断,即,其以前的内容将被清除,文件大小将重置为零。如果以a模式打开它,则文件指针将位于文件末尾,以允许附加数据。在
下面是上面代码打印的输出:0000000000000000778a1c220000002103008337eefb0008000000b83d000000
0000000000000000e18a1c220000002103008337eefb0008000000b83d000000
我们不需要执行这些.encode('hex')和print步骤,它们纯粹是信息性的,所以我们可以看到程序在做什么。在
以下是修改后文件的十六进制转储:00000000 00 00 00 00 00 00 00 00 e1 8a 1c 22 00 00 00 21 |..........."...!|
00000010 03 00 83 37 ee fb 00 08 00 00 00 b8 3d 00 00 00 |...7........=...|
00000020
在上面的代码中,我将整个文件内容读入RAM;这当然不是必需的,您可以逐块扫描它,或者以您认为合适的方式进行扫描。但您必须在文件.read()和{}操作之间执行一个文件.seek()调用。在
另外,要非常小心,确保定位正确。不要不小心写错了数据长度。它不会改变文件的长度,但如果替换的数据不是您认为的长度,它仍然会使文件变得一团糟。在
下面是一个函数,它在给定的偏移量处修改文件数据。因为它的操作有潜在的危险,所以函数会提示用户确保正确的数据被覆盖。在测试代码中,我使用与之前相同的32字节文件,覆盖偏移量0x12处的3个字节'\x83\x37\xee'。在def binedit(fname, offset, newdata):
with open(fname, 'r+b') as f:
#Show current contents
f.seek(offset)
stringdata = f.read(len(newdata))
print 'Current data:'
print '%08X: %s\n' % (offset, stringdata.encode('hex'))
prompt = 'Replace with %s ? (y/N) ' % newdata.encode('hex')
s = raw_input(prompt)
if s != 'y':
print 'Aborting'
return
#Replace data at offset with newdata
f.seek(offset)
f.write(newdata)
fname = 'qdata'
offset = 0x12
newdata = 'dead42'.decode('hex')
binedit(fname, offset, newdata)
输出Current data:
00000012: 8337ee
Replace with dead42 ? (y/N) y
“前”和“后”十六进制转储:00000000 00 00 00 00 00 00 00 00 77 8a 1c 22 00 00 00 21 |........w.."...!|
00000010 03 00 83 37 ee fb 00 08 00 00 00 b8 3d 00 00 00 |...7........=...|
00000020
00000000 00 00 00 00 00 00 00 00 77 8a 1c 22 00 00 00 21 |........w.."...!|
00000010 03 00 de ad 42 fb 00 08 00 00 00 b8 3d 00 00 00 |....B.......=...|
00000020
免责声明:如果您使用此代码销毁有价值的数据,这不是我的错!在