现在网络上越来越流行.net和java写的客户端的小应用程序,而且后缀是exe。本文讨论的是如何从exe4j封装的exe文件中将自己想要的jar抽取出来。
exe4j一直是一种比较通用的java exe封装工具,但是其并没有将jar转换为本地文件,而是将jar文件通过特殊处理后,封装成的一个exe文件。因此只要我们了解了exe4j的原理, 就可以将jar文件从exe文件中提取出来,并通过反编译工具来查看程序代码。 1. 分析Exe4J,得知其在添加文件到.exe时,使用0x88将文件内容Xor,所以第一步,我们需要将原始的数据提取出来: import java.io. * ; import java.util. * ; public class gen { public static void main(String args[]) throws IOException { FileInputStream fin = new FileInputStream(args[ 0 ]); // 可以将整个exe文件解码 FileOutputStream fout = new FileOutputStream(args[ 1 ]); BufferedInputStream bin = new BufferedInputStream(fin); BufferedOutputStream bout = new BufferedOutputStream(fout); int in = 0 ; do { in = bin.read(); if (in == - 1 ) break ; in ^= 0x88 ; bout.write(in); } while ( true ); bin.close(); fin.close(); bout.close(); fout.close(); } }
2.分析提取出来的数据文件,使用WinHex查看其16进制代码。由于Jar文件的开头总是PK开头,并且总包含有manifest.mf文件,并且结尾总是有3个00,同时结尾段有整个Jar包文件的索引,我们可以根据这一特性来分析我们需要的片段。 1、搜索Jar的manifest,然后往前找,找到的第一个PK段,即为一个Jar的开头。 2、查看片段里Jar里的每个class信息,直到最后的文件索引片段。 3、一个Jar的结束片段位于索引片段之后,仍然包含着PK段,并且最后包含着3个00,且这3个00距离PK大概20个字节左右 根据以上3条准则,足以提取整个Jar数据段,然后导入新文件中,并且以zip字段命名,尝试用ZIP解压缩软件打开,看看是否抽取正确。 需要注意的是WinHex非注册版,只能保存280K大小的文件,更大的Jar文件,需要注册版的WinHex才行。