c - 为什么 Horspool 不适用于二进制文件？-6ren

c - 为什么 Horspool 不适用于二进制文件？

转载作者：塔克拉玛干更新时间：2023-11-03 05:52:03

25

4

我正在尝试用 C 编写一个快速简单的签名检测程序。它应该读取二进制文件(.exe、ELF、库等)并搜索二进制数据(有时是字符串，有时是字节);

我有一个简单的 C 测试程序:

#include <stdio.h>
#include <unistd.h>

const char *str = "TestingOneTwoThree";

int main()
{
    while(1)
    {
        fprintf(stdout, "%s %ld\n", str, (long)getpid());
        sleep(1);
    }

}

这是我正在使用的 horspool 算法。我直接从此处找到的维基百科伪代码对其进行了改编:https://en.wikipedia.org/wiki/Boyer%E2%80%93Moore%E2%80%93Horspool_algorithm

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define HORSPOOL_COUNT 256
#define BLOCK_SIZE 1024
#define MAX(a, b) a > b ? a : b

ssize_t horspool_find(const char *buf, size_t buflen, const char *egg, size_t egglen)
{
    int table[HORSPOOL_COUNT];
    ssize_t shift = 0, i, tmp;

    for(i = 0; i < HORSPOOL_COUNT; ++i)
    {
        table[i] = (int)egglen;
    }

    for(i = 0; i < egglen - 1; ++i)
    {
        table[(int)egg[i]] = egglen - i - 1;
    }

    while(shift <= buflen - egglen)
    {
        i = egglen - 1;
        while(buf[shift + i] == egg[i])
        {
            if(i == 0)
            {
                return shift;
            }
            i--;
        }
        shift += MAX(1, table[(int)buf[shift + egglen - 1]]);
    }
    return -1;
}

char *readfile(const char *filename, size_t *size)
{
    int ch;
    size_t used = 0, allocated = 0;
    char *buf = NULL, *tmp = NULL;
    FILE *f;

    if((f = fopen(filename, "rb")) == NULL)
    {
        if(size) *size = 0;
        return perror("fopen"), NULL;
    }

    while((ch=fgetc(f)) != EOF)
    {
        if(used >= allocated)
        {
            allocated += BLOCK_SIZE;
            tmp = realloc(buf, allocated);
            if(tmp == NULL)
            {
                free(buf);
                if(size) *size = 0;
                fclose(f);
                return perror("realloc"), NULL;
            }
            buf = tmp;
        }
        buf[used++] = (char)ch;
    }

    fclose(f);
    if(size) *size = used;
    return realloc(buf, used);
}

ssize_t naivealg_find(const char *buf, size_t buflen, const char *find, size_t findlen)
{
    size_t i, j, diff = buflen - findlen;
    for(i = 0; i < diff; ++i)
    {
        for(j = 0; j < findlen; ++j)
        {
            if(buf[i+j] != find[j])
            {
                break;
            }
        }
        if(j == findlen)
        {
            return (ssize_t)i;
        }
    }
    return -1;
}

int main()
{
    size_t size;
    char *buf = readfile("./a.out", &size);
    char *pat = "TestingOneTwoThree";
    ssize_t pos1 = horspool_find(buf, size, pat, strlen(pat));
    ssize_t pos2 = naivealg_find(buf, size, pat, strlen(pat));
    fprintf(stdout, "Offsets: %zd ~ %zd\n", pos1, pos2);
    return 0;
}

输出是这样的:

偏移量:-1 ~ 2052

注意事项:

相同的缓冲区和“egg”与朴素搜索实现一起工作。
horspool 实现似乎可以将普通字符串作为 buf 和 egg 参数正常工作。

最佳答案

代码使用了签名 char并且对于二进制数据，有时会使用负索引进行错误索引。

// table[(int)buf[shift + egglen - 1]]
table[(unsigned char )buf[shift + egglen - 1]]

这个问题也存在于egg模式。

// table[(int) egg[i]] = egglen - i - 1;
table[(unsigned char) egg[i]] = egglen - i - 1;

当 buflen < egglen 时出现其他标志问题

// while (shift <= buflen - egglen)
// change to avoid underflow
while (shift + egglen <= buflen)

还可以考虑以二进制方式打开文件，并且:

ssize_t shift,i; --> size_t shift,i;

int table[HORSPOOL_COUNT]; -- > size_t table[HORSPOOL_COUNT];

添加() s 至 #define MAX(a, b) (((a) > (b)) ? (a) : (b))

关于c - 为什么 Horspool 不适用于二进制文件？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/47723032/

25

4

0

文章推荐： algorithm - 展平二叉树的运行时间

文章推荐： PHP:使用foreach从多维数组中删除元素(按键)

文章推荐： C# Windows窗体算法计算

android - 未处理的异常 : Android. Views.InflateException:二进制 XML 文件行 #1:二进制 XML 文件行 #1:类 fragment 膨胀时出错
我正在尝试将谷歌地图集成到 Xamarin Android。但是，如标题中所写，收到错误。此错误出现在我的 SetContentView (Resource.Layout.Main); 上，如下所示:
Delphi读取非文本文件(二进制)
在 Delphi 中如何以非文本模式打开二进制文件？类似于 C 函数 fopen(filename,"rb") 最佳答案有几个选项。 1。使用文件流 var Stream: TFileStrea
计算段中的一个(二进制)
我现在正在处理一个问题，如下所示: 有两个数字 x1 和 x2 并且 x2 > x1。例如 x1 = 5; x2 = 10; 而且我必须在二进制表示中找到 x1 和 x2 之间的总和。 5 = 10
gcc - 二进制 AND (&) 的无效操作数
我有这个“程序集”文件(仅包含 directives ) // declare protected region as somewhere within the stack .equiv prot_s
Powershell 二进制 grep
有没有办法在powershell中确定指定的文件是否包含指定的字节数组(在任何位置)？就像是: fgrep --binary-files=binary "$data" "$filepath" 当然，
Delphi 二进制/文本文件必要性
我是一名工程师，而不是软件程序员，所以请原谅我的无知。我编写了一个 Delphi(7SE) 程序，用于从连接到两个数字温度计的 USB 端口读取“真实”数据类型。我已经完成了该计划的大部分内容。
c++ - 二进制 + 的无效操作数
我有一些代码，例如: u=(float *)calloc(n, sizeof(float)); for(i=1; i
c++ - 二进制 * 的无效操作数
typedef struct pixel_type { unsigned char r; unsigned char g; unsigned char b;
c++ - 二进制-十进制负位集
如何判断二进制数是否为负数？目前我有下面的代码。它可以很好地转换为二进制文件。转换为十进制时，我需要知道最左边的位是否为 1 以判断它是否为负数，但我似乎无法弄清楚该怎么做。此外，我如何才能让它返
c++ - 二进制 * 运算符未找到
我有一个带有适当重载的 Vect*float 运算符的 vector 类，我正在尝试创建全局/非成员 float*Vect 运算符，如下所示:(注意这是一个经过大量编辑的示例) class Vect
图像的转换--->二进制--->图像使用C
对于使用 C 编程的项目，我们正在尝试将图像转换为二进制数据，反之亦然。我们在网上找到的所有其他解决方案都是用 C++ 或 Java 编写的。这是我们尝试过的方法: 将图像转换为包含二进制数据的文本文
python - (二进制)对列表的元素求和
我需要对列表的元素求和，其中包含所有零或一，如果列表中有 1，则结果为 1，否则为 0。 def binary_search(l, low=0,high=-1): if not l: retu
python - 如何将浮点十进制转换为浮点八进制/二进制？
我到处搜索以找到将 float 转换为八进制或二进制的方法。我知道 float.hex 和 float.fromhex。是否有模块可以对八进制/二进制值执行相同的工作？例如:我有一个 float 1
c - 二进制 "|"的无效操作数
当我阅读有关 list.h 文件中的 hlist 的 FreeBSD 源代码时，我对这个宏感到困惑: #define hlist_for_each_entry_safe(tp, p, n, head,
c - 二进制 % 的操作数无效？
我不知道出了什么问题，也不知道为什么会出现此错误。我四处搜索，但我终究无法弄明白。 void print_arb_base(unsigned int n, unsigned int b) {
algorithm - 十进制转位(二进制)
在任何语言中都可以轻松地将十进制转换为二进制，反之亦然，但我需要一个稍微复杂一点的函数。给定一个十进制数和一个二进制位，我需要知道二进制位是开还是关(真或假)。示例: IsBitTrue(30,1
c - 为什么使用此代码创建的文本文件具有字符集 == 二进制？
在下面的代码中，我创建了两个文件，一个是文本格式，另一个是二进制格式。文件的图标显示相同。但是这两个文件的特征完全相同，包括大小、字符集(==二进制)和流(八位字节)。为什么没有文本文件？因为如果我明
Python 二进制 EOF
我想通读一个二进制文件。谷歌搜索“python binary eof”引导我here . 现在，问题: 为什么容器(SO 答案中的 x)不包含单个(当前)字节而是包含一大堆字节？我做错了什么？如果应
python - 二进制/十六进制浮点输入
为什么只允许以 10 为基数使用小数点？为什么以下会引发语法错误？ 0b1011101.1101 我输入的数字是否有歧义？除了 93.8125 之外，字符串似乎没有其他可能的数字同样的问题也适用于其
c++ - boost::二进制<>
boost 库中有二进制之类的东西吗？例如我想写: binary a; 我很惭愧地承认我曾尝试找到它(Google、Boost)但没有结果。他们提到了一些关于 binary_int<> 的内容，但我既

首页

博学

6Ren·AI

商城

c - 为什么 Horspool 不适用于二进制文件？