U
|
����T�±d¥t��ã����������������g���@���s¾���d�Z�d�Z�d�Z�d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z d�d�l
|
Z
|
d�d�l�Z�d�d�l�Z�d�d�l�m Z ��d�d�l�m�Z���d�d�l�m�Z���d�d l�m�Z���d�d
|
l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�e� �d�e� �d ¡�¡���e�Z��d:d�d��Z�e�d�d��d�d���Z�e�d�d��d�d���Z�d�d��Z d�Z!d�Z"d�Z#d�Z$d�Z%d�Z&d�Z'd�Z(d�Z)d�Z*d�Z+d Z,d!Z-d"Z.d#Z/d$Z0d%Z1d&Z2d'Z3d(Z4d)Z5d*Z6d+d,�Z7d-d.d/d0d1d2d3d4d5d6d7d8d9d:d;d<g�Z8e7e8�Z9d=d>d?d@dAdBdCdDdEdFdGdHdIdJdKdLg�Z:e7e:�Z;dMdNdOdPdQdRdSdTdUdVdWdXdYdZd[d\d]d^d_d`dadbdcdddedfdgdhdidjdkdldmdndodpdqdrdsdtdudvdwdxdydzg.Z<e7e<�Z=d{d|d}d~ddddddd
dddddddg�Z>e7e>�Z?ddddddddddddddg�Z@e7e@�ZAdddddd d¡d¢d£d¤d¥d¦d§d¨d©dªd«d¬dd®d¯d°d±d²d³d´dµd¶d·d¸d¹dºd»d¼d½d¾g$ZBe7eB�ZCd¿dÀdÁdÂdÃdÄdÅdÆdÇdÈdÉdÊg�ZDe7eD�ZEdËdÌdÍdÎdÏdÐdÑdÒdÓdÔdÕdÖd×dØdÙg�ZFe7eF�ZGd�ZHdÚdÛdÜg�ZIe7eI�ZJdÝdÞdßdàdádâdãdädådædçdèdédêdëdìg�ZKe7eK�ZLd�ZMdíZNdîZOdïZPdðZQdñZRdòZSdóZTdôZUdõZVdöd÷dødùdúdûdüdýdþdÿ�d��d��d��d��d��d��d��d��d��d �d
|
g�ZWe7eW�ZX�d��d��d �d��d��d��d��d��d��d��d��d��d��d��d��d��d��d��d��d��d��d �d!�d"�d#�d$�d%�d&�d'�d(�d)�d*�d+�d,�d-�d.�d/�d0�d1�d2�d3�d4�d5�d6�d7�d8�d9�d:�d;�d<�d=�d>�d?�d@�dA�dB�dC�dD�dE�dF�dG�dH�dI�dJ�dK�dL�dM�dN�dO�dP�dQ�dR�dS�dT�dU�dV�dW�dX�dY�dZ�d[�d\�d]�d^�d_�d`�da�db�dc�dd�de�df�dg�dhg^ZYe7eY�ZZ�di�dj�dk�dl�dm�dn�do�dp�dq�dr�ds�dt�du�dv�dw�dx�dy�dz�d{�d|�d}�d~�d�d�d�d�d�d�d
�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d �d¡�d¢�d£�d¤�d¥�d¦�d§�d¨�d©�dª�d«�d¬�d�d®�d¯�d°�d±�d²�d³�d´�dµ�d¶�d·�d¸�d¹�dº�d»�d¼�d½�d¾�d¿�dÀ�dÁ�dÂ�dÃ�dÄ�dÅ�dÆ�dÇ�dÈ�dÉ�dÊ�dË�dÌ�dÍ�dÎ�dÏggZ[e7e[�Z\e]e[�Z\e[D�].\�Z^Z_e_e\k��r0e\e_�� `e^¡���n
|
e^g�e\e_<��q��dÐ�dÑ�Za�dÒ�dÓ�Zb�dÔ�dÕ�Zc�dÖ�d×�Zd�dØ�dÙ�Ze�dÚ�dÛ�ZfG��dÜ�dÝ��dÝeg�ZhG��dÞ�dß��dß�ZiG��dà�dá��dáej�ZkG��dâ�dã��dã�Zldídídídídîdîdðdðdðdðdðdódódódí�dä�Zme�d�d���då�dæ��Zne�d��dç�dè��dé�dê��ZoG��dë�dì��dì�ZpG��dí�dî��dîep�Zqe�d�d��dè��dï�dð��ZrG��dñ�dò��dòep�ZsG��dó�dô��dô�ZtG��dõ�dö��döet�ZuG��d÷�dø��døet�ZvG��dù�dú��dúet�ZwG��dû�dü��düet�ZxG��dý�dþ��dþet�ZyG��dÿ�d���d�et�ZzG��d��d���d�et�Z{G��d��d���d�et�Z|G��d��d���d�et�Z}G��d��d���d�et�Z~G��d �d
|
��d
|
et�ZG��d��d���d�et�ZG��d �d���d�et�ZG��d��d���d�et�ZG��d��d���d�et�ZG��d��d���d�et�ZG��d��d���d�es�Z
G��d��d���d��ZG��d��d���d�e�ZG��d��d���d�e�ZG��d��d���d�e�ZG��d��d ��d e�ZG��d!�d"��d"e�ZG��d#�d$��d$e�ZG��d%�d&��d&e�ZG��d'�d(��d(e�ZG��d)�d*��d*e�ZG��d+�d,��d,e�ZG��d-�d.��d.�Zefe
|
je
|
j��e
|
j���d/���Z�d0�d1�Zefe
|
je
|
j��e
|
j���Ze�d�d���d;e�eeef���ee�d2��d3�d4��ZG��d5�d6��d6�Z�d7�d8�Ze�d9k��rºe���d�S�(<���ab���pefile, Portable Executable reader module
|
|
All the PE file basic structures are available with their default names as
|
attributes of the instance returned.
|
|
Processed elements such as the import table are made available with lowercase
|
names, to differentiate them from the upper case basic structure names.
|
|
pefile has been tested against many edge cases such as corrupted and malformed
|
PEs as well as malware, which often attempts to abuse the format way beyond its
|
standard use. To the best of my knowledge most of the abuse is handled
|
gracefully.
|
|
Copyright (c) 2005-2023 Ero Carrera <ero.carrera@gmail.com>
|
z�Ero Carreraz�2023.2.7z�ero.carrera@gmail.comé����N)�Ú�Counter)�Ú�Union)�Ú�sha1)�Ú�sha256)�Ú�sha512)�Ú�md5Ú�backslashreplace_Ú�backslashreplaceé���Fc������������������������s"���|�s�t� ���¡�S���f�d�d��}�|�S�)�Nc������������������������s*���t� ���¡�|���t� �|�¡��f�d�d���}�|�S�)�Nc������������������������s����t� ��|�|��¡�S�©�N)�Ú�copymodÚ�copy)�Ú�argsÚ�kwargs©�Z�cached_func©�ú=d:\z\workplace\vscode\pyvenv\venv\Lib\site-packages\pefile.pyÚ�wrapper;���s������z-lru_cache.<locals>.decorator.<locals>.wrapper)�Ú functoolsÚ lru_cacheÚ�wraps)�Ú�fr����©�Ú�maxsizeÚ�typedr����r����Ú decorator8���s������������z�lru_cache.<locals>.decorator)�r����r����)�r����r����r ���r����r����r����r����r����4���s�����������
|
r�������)�r����c��������������������C���s����|�t�k�r�|�S�t�|�d����d���S�)�N���)��FILE_ALIGNMENT_HARDCODED_VALUE�int)��val�file_alignmentr����r����r�����cache_adjust_FileAlignmentE���s����������r"���c��������������������C���s,���|�d�k�r�|�}�|�r(|�|���r(|�t�|�|������S�|�S�)�N���)�r����)�r ����section_alignmentr!���r����r����r�����cache_adjust_SectionAlignmentL���s
|
�������������r%���c��������������������C���s
|
���|� �d�¡�S�©�Nr����)�Ú�count)�Ú�datar����r����r����Ú�count_zeroes\���s������r)���é����é� ��r����é���é ���iMZ��iZM��iNE��iLE��iLX��iVZ��iPE��é����ì����������l��������������i����i����c��������������������C���s����t�d�d��|�D��|����S�)�Nc��������������������S���s����g�|�]�}�|�d���|�d���f��q�S�)�é����r����r����©�Ú�.0Ú�er����r����r����Ú
|
<listcomp>���s��������z two_way_dict.<locals>.<listcomp>)�Ú�dict)�Ú�pairsr����r����r����Ú�two_way_dict���s������r7���)�Ú�IMAGE_DIRECTORY_ENTRY_EXPORTr����)�Ú�IMAGE_DIRECTORY_ENTRY_IMPORTr0���)�Ú�IMAGE_DIRECTORY_ENTRY_RESOURCEé����)�Ú�IMAGE_DIRECTORY_ENTRY_EXCEPTIONé����)�Ú�IMAGE_DIRECTORY_ENTRY_SECURITYé����)�Ú�IMAGE_DIRECTORY_ENTRY_BASERELOCé����)�Ú�IMAGE_DIRECTORY_ENTRY_DEBUGé����)�Z�IMAGE_DIRECTORY_ENTRY_COPYRIGHTé����)�Z�IMAGE_DIRECTORY_ENTRY_GLOBALPTRé����)�Ú�IMAGE_DIRECTORY_ENTRY_TLSé ���)�Ú!IMAGE_DIRECTORY_ENTRY_LOAD_CONFIGé
|
���)�Ú"IMAGE_DIRECTORY_ENTRY_BOUND_IMPORTé����)�Z�IMAGE_DIRECTORY_ENTRY_IATé����)�Ú"IMAGE_DIRECTORY_ENTRY_DELAY_IMPORTé ���)�Z$IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTORé����)�Z�IMAGE_DIRECTORY_ENTRY_RESERVEDé����)�Z�IMAGE_FILE_RELOCS_STRIPPEDr0���)�Ú�IMAGE_FILE_EXECUTABLE_IMAGEr;���)�Z�IMAGE_FILE_LINE_NUMS_STRIPPEDr?���)�Z�IMAGE_FILE_LOCAL_SYMS_STRIPPEDrE���)�Z�IMAGE_FILE_AGGRESIVE_WS_TRIMr.���)�Z�IMAGE_FILE_LARGE_ADDRESS_AWAREr-���)�Z�IMAGE_FILE_16BIT_MACHINEé@���)�Z�IMAGE_FILE_BYTES_REVERSED_LOr
|
���)�Z�IMAGE_FILE_32BIT_MACHINEé����)�Z�IMAGE_FILE_DEBUG_STRIPPEDr����)�Z"IMAGE_FILE_REMOVABLE_RUN_FROM_SWAPé����)�Z�IMAGE_FILE_NET_RUN_FROM_SWAPr����)�Z�IMAGE_FILE_SYSTEMr#���)�Ú�IMAGE_FILE_DLLr+���)�Z�IMAGE_FILE_UP_SYSTEM_ONLYé�@��)�Z�IMAGE_FILE_BYTES_REVERSED_HIr,���)�Z�IMAGE_SCN_TYPE_REGr����)�Z�IMAGE_SCN_TYPE_DSECTr0���)�Z�IMAGE_SCN_TYPE_NOLOADr;���)�Z�IMAGE_SCN_TYPE_GROUPr?���)�Z�IMAGE_SCN_TYPE_NO_PADrE���)�Z�IMAGE_SCN_TYPE_COPYr.���)�Z�IMAGE_SCN_CNT_CODEr-���)�Z�IMAGE_SCN_CNT_INITIALIZED_DATArR���)�Z IMAGE_SCN_CNT_UNINITIALIZED_DATAr
|
���)�Z�IMAGE_SCN_LNK_OTHERrS���)�Z�IMAGE_SCN_LNK_INFOr����)�Z�IMAGE_SCN_LNK_OVERrT���)�Z�IMAGE_SCN_LNK_REMOVEr����)�Z�IMAGE_SCN_LNK_COMDATr#���)�Z�IMAGE_SCN_MEM_PROTECTEDrV���)�Z�IMAGE_SCN_NO_DEFER_SPEC_EXCrV���)�Z�IMAGE_SCN_GPRELr,���)�Z�IMAGE_SCN_MEM_FARDATAr,���)�Z�IMAGE_SCN_MEM_SYSHEAPé����)�Z�IMAGE_SCN_MEM_PURGEABLEé����)�Z�IMAGE_SCN_MEM_16BITrX���)�Z�IMAGE_SCN_MEM_LOCKEDi����)�Z�IMAGE_SCN_MEM_PRELOADi����)�Z�IMAGE_SCN_ALIGN_1BYTESr*���)�Z�IMAGE_SCN_ALIGN_2BYTESi�� �)�Z�IMAGE_SCN_ALIGN_4BYTESi��0�)�Z�IMAGE_SCN_ALIGN_8BYTESi��@�)�Z�IMAGE_SCN_ALIGN_16BYTESi��P�)�Z�IMAGE_SCN_ALIGN_32BYTESi��`�)�Z�IMAGE_SCN_ALIGN_64BYTESi��p�)�Z�IMAGE_SCN_ALIGN_128BYTESi���)�Z�IMAGE_SCN_ALIGN_256BYTESi���)�Z�IMAGE_SCN_ALIGN_512BYTESi�� �)�Z�IMAGE_SCN_ALIGN_1024BYTESi��°�)�Z�IMAGE_SCN_ALIGN_2048BYTESi��À�)�Z�IMAGE_SCN_ALIGN_4096BYTESi��Ð�)�Z�IMAGE_SCN_ALIGN_8192BYTESi��à�)�Z�IMAGE_SCN_ALIGN_MASKi��ð�)�Z�IMAGE_SCN_LNK_NRELOC_OVFLi����)�Z�IMAGE_SCN_MEM_DISCARDABLEi����)�Z�IMAGE_SCN_MEM_NOT_CACHEDi����)�Z�IMAGE_SCN_MEM_NOT_PAGEDé����)�Z�IMAGE_SCN_MEM_SHAREDé����)�Ú�IMAGE_SCN_MEM_EXECUTEi��� )�Z�IMAGE_SCN_MEM_READi���@)�Ú�IMAGE_SCN_MEM_WRITEr/���)�Z�IMAGE_DEBUG_TYPE_UNKNOWNr����)�Z�IMAGE_DEBUG_TYPE_COFFr0���)�Z�IMAGE_DEBUG_TYPE_CODEVIEWr;���)�Z�IMAGE_DEBUG_TYPE_FPOr=���)�Z�IMAGE_DEBUG_TYPE_MISCr?���)�Z�IMAGE_DEBUG_TYPE_EXCEPTIONrA���)�Z�IMAGE_DEBUG_TYPE_FIXUPrC���)�Z�IMAGE_DEBUG_TYPE_OMAP_TO_SRCrD���)�Z�IMAGE_DEBUG_TYPE_OMAP_FROM_SRCrE���)�Z�IMAGE_DEBUG_TYPE_BORLANDrG���)�Z�IMAGE_DEBUG_TYPE_RESERVED10rI���)�Z�IMAGE_DEBUG_TYPE_CLSIDrK���)�Z�IMAGE_DEBUG_TYPE_VC_FEATURErL���)�Z�IMAGE_DEBUG_TYPE_POGOrN���)�Z�IMAGE_DEBUG_TYPE_ILTCGrO���)�Z�IMAGE_DEBUG_TYPE_MPXrP���)�Z�IMAGE_DEBUG_TYPE_REPROr.���)�Z&IMAGE_DEBUG_TYPE_EX_DLLCHARACTERISTICSé����)�Z�IMAGE_SUBSYSTEM_UNKNOWNr����)�Ú�IMAGE_SUBSYSTEM_NATIVEr0���)�Z�IMAGE_SUBSYSTEM_WINDOWS_GUIr;���)�Z�IMAGE_SUBSYSTEM_WINDOWS_CUIr=���)�Z�IMAGE_SUBSYSTEM_OS2_CUIrA���)�Z�IMAGE_SUBSYSTEM_POSIX_CUIrD���)�Ú�IMAGE_SUBSYSTEM_NATIVE_WINDOWSrE���)�Z�IMAGE_SUBSYSTEM_WINDOWS_CE_GUIrG���)�Z�IMAGE_SUBSYSTEM_EFI_APPLICATIONrI���)�Z'IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVERrK���)�Z"IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVERrL���)�Z�IMAGE_SUBSYSTEM_EFI_ROMrN���)�Z�IMAGE_SUBSYSTEM_XBOXrO���)�Z(IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATIONr.���)�Z�IMAGE_FILE_MACHINE_UNKNOWNr����)�Ú�IMAGE_FILE_MACHINE_I386iL���)�Z�IMAGE_FILE_MACHINE_R3000ib���)�Z�IMAGE_FILE_MACHINE_R4000if���)�Z�IMAGE_FILE_MACHINE_R10000ih���)�Z�IMAGE_FILE_MACHINE_WCEMIPSV2ii���)�Z�IMAGE_FILE_MACHINE_ALPHAi���)�Z�IMAGE_FILE_MACHINE_SH3i¢���)�Z�IMAGE_FILE_MACHINE_SH3DSPi£���)�Z�IMAGE_FILE_MACHINE_SH3Ei¤���)�Z�IMAGE_FILE_MACHINE_SH4i¦���)�Z�IMAGE_FILE_MACHINE_SH5i¨���)�Z�IMAGE_FILE_MACHINE_ARMiÀ���)�Z�IMAGE_FILE_MACHINE_THUMBiÂ���)�Z�IMAGE_FILE_MACHINE_ARMNTiÄ���)�Z�IMAGE_FILE_MACHINE_AM33iÓ���)�Z�IMAGE_FILE_MACHINE_POWERPCið���)�Z�IMAGE_FILE_MACHINE_POWERPCFPiñ���)�Ú�IMAGE_FILE_MACHINE_IA64r����)�Z�IMAGE_FILE_MACHINE_MIPS16if���)�Z�IMAGE_FILE_MACHINE_ALPHA64é���)�Z�IMAGE_FILE_MACHINE_AXP64rb���)�Z�IMAGE_FILE_MACHINE_MIPSFPUif���)�Z�IMAGE_FILE_MACHINE_MIPSFPU16if���)�Z�IMAGE_FILE_MACHINE_TRICOREi ���)�Z�IMAGE_FILE_MACHINE_CEFiï���)�Z�IMAGE_FILE_MACHINE_EBCi¼���)�Z�IMAGE_FILE_MACHINE_RISCV32i2P��)�Z�IMAGE_FILE_MACHINE_RISCV64idP��)�Z�IMAGE_FILE_MACHINE_RISCV128i(Q��)�Z�IMAGE_FILE_MACHINE_LOONGARCH32i2b��)�Z�IMAGE_FILE_MACHINE_LOONGARCH64idb��)�Ú�IMAGE_FILE_MACHINE_AMD64id��)�Z�IMAGE_FILE_MACHINE_M32RiA��)�Z�IMAGE_FILE_MACHINE_ARM64idª��)�Z�IMAGE_FILE_MACHINE_CEEiîÀ��)�Ú�IMAGE_REL_BASED_ABSOLUTEr����)�Ú�IMAGE_REL_BASED_HIGHr0���)�Ú�IMAGE_REL_BASED_LOWr;���)�Ú�IMAGE_REL_BASED_HIGHLOWr=���)�Ú�IMAGE_REL_BASED_HIGHADJr?���)�Z�IMAGE_REL_BASED_MIPS_JMPADDRrA���)�Z�IMAGE_REL_BASED_SECTIONrC���)�Z�IMAGE_REL_BASED_RELrD���)�Z�IMAGE_REL_BASED_MIPS_JMPADDR16rG���)�Z�IMAGE_REL_BASED_IA64_IMM64rG���)�Ú�IMAGE_REL_BASED_DIR64rI���)�Z�IMAGE_REL_BASED_HIGH3ADJrK���)�Z�IMAGE_LIBRARY_PROCESS_INITr0���)�Z�IMAGE_LIBRARY_PROCESS_TERMr;���)�Z�IMAGE_LIBRARY_THREAD_INITr?���)�Z�IMAGE_LIBRARY_THREAD_TERMrE���)�Z(IMAGE_DLLCHARACTERISTICS_HIGH_ENTROPY_VAr-���)�Z%IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASErR���)�Z(IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITYr
|
���)�Z"IMAGE_DLLCHARACTERISTICS_NX_COMPATrS���)�Z%IMAGE_DLLCHARACTERISTICS_NO_ISOLATIONr����)�Z�IMAGE_DLLCHARACTERISTICS_NO_SEHrT���)�Z IMAGE_DLLCHARACTERISTICS_NO_BINDr����)�Z%IMAGE_DLLCHARACTERISTICS_APPCONTAINERr#���)�Z#IMAGE_DLLCHARACTERISTICS_WDM_DRIVERr+���)�Z!IMAGE_DLLCHARACTERISTICS_GUARD_CFrV���)�Z.IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWAREr,���)�Ú�UNW_FLAG_EHANDLERr0���)�Ú�UNW_FLAG_UHANDLERr;���)�Ú�UNW_FLAG_CHAININFOr?���)�Z�RAXr����)�Z�RCXr0���)�Z�RDXr;���)�Z�RBXr=���)�Z�RSPr?���)�Z�RBPrA���)�Z�RSIrC���)�Z�RDIrD���)�Z�R8rE���)�Z�R9rG���)�Z�R10rI���)�Z�R11rK���)�Z�R12rL���)�Z�R13rN���)�Z�R14rO���)�Z�R15rP���r0���r;���r=���r?���rA���rC���rE���rG���rI���)�Z RT_CURSORr0���)�Z RT_BITMAPr;���)�Z�RT_ICONr=���)�Z�RT_MENUr?���)�Z RT_DIALOGrA���)�Ú RT_STRINGrC���)�Z
|
RT_FONTDIRrD���)�Z�RT_FONTrE���)�Z�RT_ACCELERATORrG���)�Z RT_RCDATArI���)�Z�RT_MESSAGETABLErK���)�Z�RT_GROUP_CURSORrL���)�Z RT_GROUP_ICONrO���)�Ú
|
RT_VERSIONr.���)�Z RT_DLGINCLUDE���)�Z�RT_PLUGPLAY���)�Z�RT_VXDr]���)�Z�RT_ANICURSOR���)�Z
|
RT_ANIICONé����)�Z�RT_HTMLé����)�Z�RT_MANIFESTé����)�Z�LANG_NEUTRALr����)�Z�LANG_INVARIANTé���)�Z�LANG_AFRIKAANSé6���)�Z LANG_ALBANIANé����)�Z�LANG_ARABICr0���)�Z LANG_ARMENIANé+���)�Z LANG_ASSAMESEéM���)�Z
|
LANG_AZERIé,���)�Z�LANG_BASQUEé-���)�Z�LANG_BELARUSIANé#���)�Z�LANG_BENGALIéE���)�Z�LANG_BULGARIANr;���)�Z�LANG_CATALANr=���)�Z�LANG_CHINESEr?���)�Z LANG_CROATIANé����)�Z
|
LANG_CZECHrA���)�Z�LANG_DANISHrC���)�Z�LANG_DIVEHIée���)�Z
|
LANG_DUTCHrp���)�Z�LANG_ENGLISHrG���)�Z LANG_ESTONIANé%���)�Z LANG_FAEROESEé8���)�Z
|
LANG_FARSIé)���)�Z�LANG_FINNISHrK���)�Z�LANG_FRENCHrL���)�Z LANG_GALICIANéV���)�Z LANG_GEORGIANé7���)�Z�LANG_GERMANrD���)�Z
|
LANG_GREEKrE���)�Z LANG_GUJARATIéG���)�Z�LANG_HEBREWrN���)�Z
|
LANG_HINDIé9���)�Z�LANG_HUNGARIANrO���)�Z�LANG_ICELANDICrP���)�Z�LANG_INDONESIANé!���)�Z�LANG_ITALIANr.���)�Z LANG_JAPANESEro���)�Z�LANG_KANNADAéK���)�Z LANG_KASHMIRIé`���)�Z
|
LANG_KAZAKé?���)�Z�LANG_KONKANIéW���)�Z�LANG_KOREANé����)�Z�LANG_KYRGYZrR���)�Z�LANG_LATVIANé&���)�Z�LANG_LITHUANIANé'���)�Z�LANG_MACEDONIANé/���)�Z
|
LANG_MALAYé>���)�Z�LANG_MALAYALAMéL���)�Z LANG_MANIPURIéX���)�Z�LANG_MARATHIéN���)�Z�LANG_MONGOLIANéP���)�Z�LANG_NEPALIéa���)�Z�LANG_NORWEGIANr]���)�Z
|
LANG_ORIYAéH���)�Z�LANG_POLISHrq���)�Z�LANG_PORTUGUESErr���)�Z�LANG_PUNJABIéF���)�Z LANG_ROMANIANrt���)�Z�LANG_RUSSIANé����)�Z LANG_SANSKRITéO���)�Z�LANG_SERBIANr~���)�Z�LANG_SINDHIéY���)�Z�LANG_SLOVAKé����)�Z�LANG_SLOVENIANé$���)�Z�LANG_SPANISHrI���)�Z�LANG_SWAHILIéA���)�Z�LANG_SWEDISHé����)�Z�LANG_SYRIACéZ���)�Z
|
LANG_TAMILéI���)�Z
|
LANG_TATARéD���)�Z�LANG_TELUGUéJ���)�Z LANG_THAIé����)�Z�LANG_TURKISHé����)�Z�LANG_UKRAINIANé"���)�Z LANG_URDUr-���)�Z
|
LANG_UZBEKéC���)�Z�LANG_VIETNAMESEé*���)�Z�LANG_GAELICé<���)�Z�LANG_MALTESEé:���)�Z
|
LANG_MAORIé(���)�Z�LANG_RHAETO_ROMANCErs���)�Z
|
LANG_SAAMIé;���)�Z�LANG_SORBIANé.���)�Z LANG_SUTUé0���)�Z�LANG_TSONGAé1���)�Z�LANG_TSWANAé2���)�Z
|
LANG_VENDAé3���)�Z
|
LANG_XHOSAé4���)�Z LANG_ZULUé5���)�Z�LANG_ESPERANTOé���)�Z
|
LANG_WALON��)�Z�LANG_CORNISH��)�Z
|
LANG_WELSHé���)�Z�LANG_BRETONé���)�Z�SUBLANG_NEUTRALr����)�Z�SUBLANG_DEFAULTr0���)�Z�SUBLANG_SYS_DEFAULTr;���)�Z�SUBLANG_ARABIC_SAUDI_ARABIAr0���)�Z�SUBLANG_ARABIC_IRAQr;���)�Z�SUBLANG_ARABIC_EGYPTr=���)�Z�SUBLANG_ARABIC_LIBYAr?���)�Z�SUBLANG_ARABIC_ALGERIArA���)�Z�SUBLANG_ARABIC_MOROCCOrC���)�Z�SUBLANG_ARABIC_TUNISIArD���)�Z�SUBLANG_ARABIC_OMANrE���)�Z�SUBLANG_ARABIC_YEMENrG���)�Z�SUBLANG_ARABIC_SYRIArI���)�Z�SUBLANG_ARABIC_JORDANrK���)�Z�SUBLANG_ARABIC_LEBANONrL���)�Z�SUBLANG_ARABIC_KUWAITrN���)�Z�SUBLANG_ARABIC_UAErO���)�Z�SUBLANG_ARABIC_BAHRAINrP���)�Z�SUBLANG_ARABIC_QATARr.���)�Z�SUBLANG_AZERI_LATINr0���)�Z�SUBLANG_AZERI_CYRILLICr;���)�Z�SUBLANG_CHINESE_TRADITIONALr0���)�Z�SUBLANG_CHINESE_SIMPLIFIEDr;���)�Z�SUBLANG_CHINESE_HONGKONGr=���)�Z�SUBLANG_CHINESE_SINGAPOREr?���)�Z�SUBLANG_CHINESE_MACAUrA���)�Z SUBLANG_DUTCHr0���)�Z�SUBLANG_DUTCH_BELGIANr;���)�Z�SUBLANG_ENGLISH_USr0���)�Z�SUBLANG_ENGLISH_UKr;���)�Z�SUBLANG_ENGLISH_AUSr=���)�Z�SUBLANG_ENGLISH_CANr?���)�Z�SUBLANG_ENGLISH_NZrA���)�Z�SUBLANG_ENGLISH_EIRErC���)�Z�SUBLANG_ENGLISH_SOUTH_AFRICArD���)�Z�SUBLANG_ENGLISH_JAMAICArE���)�Z�SUBLANG_ENGLISH_CARIBBEANrG���)�Z�SUBLANG_ENGLISH_BELIZErI���)�Z�SUBLANG_ENGLISH_TRINIDADrK���)�Z�SUBLANG_ENGLISH_ZIMBABWErL���)�Z�SUBLANG_ENGLISH_PHILIPPINESrN���)�Z�SUBLANG_FRENCHr0���)�Z�SUBLANG_FRENCH_BELGIANr;���)�Z�SUBLANG_FRENCH_CANADIANr=���)�Z�SUBLANG_FRENCH_SWISSr?���)�Z�SUBLANG_FRENCH_LUXEMBOURGrA���)�Z�SUBLANG_FRENCH_MONACOrC���)�Z�SUBLANG_GERMANr0���)�Z�SUBLANG_GERMAN_SWISSr;���)�Z�SUBLANG_GERMAN_AUSTRIANr=���)�Z�SUBLANG_GERMAN_LUXEMBOURGr?���)�Z�SUBLANG_GERMAN_LIECHTENSTEINrA���)�Z�SUBLANG_ITALIANr0���)�Z�SUBLANG_ITALIAN_SWISSr;���)�Z�SUBLANG_KASHMIRI_SASIAr;���)�Z�SUBLANG_KASHMIRI_INDIAr;���)�Z�SUBLANG_KOREANr0���)�Z�SUBLANG_LITHUANIANr0���)�Z�SUBLANG_MALAY_MALAYSIAr0���)�Z�SUBLANG_MALAY_BRUNEI_DARUSSALAMr;���)�Z�SUBLANG_NEPALI_INDIAr;���)�Z�SUBLANG_NORWEGIAN_BOKMALr0���)�Z�SUBLANG_NORWEGIAN_NYNORSKr;���)�Z�SUBLANG_PORTUGUESEr;���)�Z�SUBLANG_PORTUGUESE_BRAZILIANr0���)�Z�SUBLANG_SERBIAN_LATINr;���)�Z�SUBLANG_SERBIAN_CYRILLICr=���)�Z�SUBLANG_SPANISHr0���)�Z�SUBLANG_SPANISH_MEXICANr;���)�Z�SUBLANG_SPANISH_MODERNr=���)�Z�SUBLANG_SPANISH_GUATEMALAr?���)�Z�SUBLANG_SPANISH_COSTA_RICArA���)�Z�SUBLANG_SPANISH_PANAMArC���)�Z"SUBLANG_SPANISH_DOMINICAN_REPUBLICrD���)�Z�SUBLANG_SPANISH_VENEZUELArE���)�Z�SUBLANG_SPANISH_COLOMBIArG���)�Z�SUBLANG_SPANISH_PERUrI���)�Z�SUBLANG_SPANISH_ARGENTINArK���)�Z�SUBLANG_SPANISH_ECUADORrL���)�Z�SUBLANG_SPANISH_CHILErN���)�Z�SUBLANG_SPANISH_URUGUAYrO���)�Z�SUBLANG_SPANISH_PARAGUAYrP���)�Z�SUBLANG_SPANISH_BOLIVIAr.���)�Z�SUBLANG_SPANISH_EL_SALVADORro���)�Z�SUBLANG_SPANISH_HONDURASr���)�Z�SUBLANG_SPANISH_NICARAGUArp���)�Z�SUBLANG_SPANISH_PUERTO_RICOr]���)�Z�SUBLANG_SWEDISHr0���)�Z�SUBLANG_SWEDISH_FINLANDr;���)�Z�SUBLANG_URDU_PAKISTANr0���)�Z�SUBLANG_URDU_INDIAr;���)�Z�SUBLANG_UZBEK_LATINr0���)�Z�SUBLANG_UZBEK_CYRILLICr;���)�Z�SUBLANG_DUTCH_SURINAMr=���)�Z�SUBLANG_ROMANIANr0���)�Z�SUBLANG_ROMANIAN_MOLDAVIAr;���)�Z�SUBLANG_RUSSIANr0���)�Z�SUBLANG_RUSSIAN_MOLDAVIAr;���)�Z�SUBLANG_CROATIANr0���)�Z�SUBLANG_LITHUANIAN_CLASSICr;���)�Z�SUBLANG_GAELICr0���)�Z�SUBLANG_GAELIC_SCOTTISHr;���)�Z�SUBLANG_GAELIC_MANXr=���c��������������������C���s@���t� �|�d�¡�}�t� �|�g�¡�D�]�}�|�|�k�r�|�����S�q�t� �|�d�g�¡�d���S�)�Nú *unknown*r����)�Ú�LANGÚ�getÚ�SUBLANG)�Z
|
lang_valueÚ sublang_valueZ lang_nameÚ�sublang_namer����r����r����Ú�get_sublang_name_for_lang���s
|
|
�r¾���c��������������������C���sÚ���d�}�d�}�|�t�|��k�rÖ|�|�|�d���
���}�t�|��d�k�r2qÖt� �d�|�¡�d���}�|�d�7�}�|�d�k�rÌd�|�d�������k�rnt�|��k�rÌn���nZz&t�|�|�|�|�d�����
���� �d�¡�|�|�<�W�n���t�k
|
r´������|�d�7�}�Y�n�X�|�d�k�rÀqÖ|�|�d���7�}�|�d�7�}�q�d�S�)�Nr����r;���z�<hú�utf-16ler0���r=���)�Ú�lenÚ�structÚ�unpackÚ�bÚ�decodeÚ�UnicodeDecodeError)�r(���Ú�counterÚ�lÚ�iÚ�error_countZ
|
data_sliceZ�len_r����r����r����Ú parse_strings���s$���������������������(���&�������������rÊ���c������������������������s������f�d�d��� �¡�D��S�)�z´Read the flags from a dictionary and return them in a usable form.
|
|
Will return a list of (flag, value) for all flags in "flag_dict"
|
matching the filter "flag_filter".
|
c������������������������s0���g�|�](}�t�|�t�t�f��r�|� ��¡�r�|��|���f��q�S�r����)�Ú
|
isinstanceÚ�strÚ�bytesÚ
|
startswith)�r2���Ú�flag©�Z flag_dictZ�flag_filterr����r����r4���½���s����������
|
þz"retrieve_flags.<locals>.<listcomp>)�Ú�keysrÐ���r����rÐ���r����Ú�retrieve_flags¶���s���������þrÒ���c��������������������C���s0���|�D�]&\�}�}�|�|�@�r d�|�j�|�<�q�d�|�j�|�<�q�d�S�)�a
|
���Will process the flags and set attributes in the object accordingly.
|
|
The object "obj" will gain attributes named after the flags provided in
|
"flags" and valued True/False, matching the results of applying each
|
flag value from "flags" to flag_field.
|
TFN)�Ú�__dict__)�Ú�objZ
|
flag_fieldÚ�flagsrÏ���Ú�valuer����r����r����Ú set_flagsÄ���s������������r×���c��������������������C���s����|�d�k�o�|�|�d���@�d�k�S�)�Nr����r0���r����)�r ���r����r����r����Ú�power_of_twoÓ���s������rØ���c��������������������C���s0���t�|�t��r�|�S�t�|�t��r t�|��S�t� �|�d�¡�S�d�S�)�NÚ�cp1252)�rË���rÍ���Ú bytearrayÚ�codecsÚ�encode)�Ú�xr����r����r����rÃ���×���s
|
|
|
���rÃ���c������������������������s0���e�Z�d�Z��f�d�d��Z��f�d�d��Z�d�d��Z����Z�S�)�Ú
|
AddressSetc������������������������s����t�� �¡���d�|�_�d�|�_�d�S�r����)�Ú�superÚ�__init__Ú�minÚ�max©�Ú�self©�Ú __class__r����r����rà���á���s������
|
���z�AddressSet.__init__c������������������������sH���t�� �|�¡���|�j�d�k�r�|�n
|
t�|�j�|��|�_�|�j�d�k�r6|�n
|
t�|�j�|��|�_�d�S�r����)�rß���Ú�addrá���râ���©�rä���rÖ���rå���r����r����rç���æ���s����������z�AddressSet.addc��������������������C���s$���|�j�d�k�s�|�j�d�k�r�d�S�|�j�|�j���S�r&���)�rá���râ���rã���r����r����r����Ú�diffë���s������z�AddressSet.diff)�Ú�__name__Ú
|
__module__Ú�__qualname__rà���rç���ré���Ú __classcell__r����r����rå���r����rÞ���à���s����������rÞ���c��������������������@���s`���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
d��Z�d�d �Z d�d��Z
|
d�d��Z�d�d��Z�d�d��Z d�S�)�Ú!UnicodeStringWrapperPostProcessorzæThis class attempts to help the process of identifying strings
|
that might be plain Unicode or Pascal. A list of strings will be
|
wrapped on it with the hope the overlappings will help make the
|
decision about their type.c��������������������C���s����|�|�_�|�|�_�d�|�_�d�S�r����)�Ú�peÚ�rva_ptrÚ�string)�rä���rï���rð���r����r����r����rà���õ���s����������z*UnicodeStringWrapperPostProcessor.__init__c��������������������C���s����|�j�S�)�z�Get the RVA of the string.)�rð���rã���r����r����r����Ú�get_rvaú���s������z)UnicodeStringWrapperPostProcessor.get_rvac��������������������C���s����|� �d�d�¡�S�)�z6Return the escaped UTF-8 representation of the string.ú�utf-8r����)�rÄ���rã���r����r����r����Ú�__str__þ���s������z)UnicodeStringWrapperPostProcessor.__str__c��������������������G���s����|�j�s
|
d�S�|�j�j�|��S�)�NÚ�)�rñ���rÄ���)�rä���r����r����r����r����rÄ�������s����������z(UnicodeStringWrapperPostProcessor.decodec��������������������C���s����d�}�d�S�)�z>Make this instance None, to express it's no known string type.Nr����rã���r����r����r����Ú
|
invalidate����s������z,UnicodeStringWrapperPostProcessor.invalidatec���������������� ���C���sV���z |�j�j�|�j�d���|� �¡�d��|�_�W�n0��t�k
|
rP������|�j� �¡� �d� �|�j�d���¡�¡���Y�n�X�d�S�)�Nr;���©�Ú
|
max_lengthzCFailed rendering pascal string, attempting to read from RVA 0x{0:x}) rï���Ú�get_string_u_at_rvarð���Ú�get_pascal_16_lengthrñ���Ú PEFormatErrorÚ�get_warningsÚ�appendÚ�formatrã���r����r����r����Ú�render_pascal_16����s�������������ÿ����
|
����ÿ�ÿz2UnicodeStringWrapperPostProcessor.render_pascal_16c��������������������C���s����|� �|�j�¡�S�r����)�Ú9_UnicodeStringWrapperPostProcessor__get_word_value_at_rvarð���rã���r����r����r����rú�������s������z6UnicodeStringWrapperPostProcessor.get_pascal_16_lengthc��������������������C���sJ���z�|�j� �|�d�¡�}�W�n���t�k
|
r(������Y�d�S�X�t�|��d�k�r:d�S�t� �d�|�¡�d���S�)�Nr;���Fú�<Hr����)�rï���Ú�get_datarû���rÀ���rÁ���rÂ���)�rä���Ú�rvar(���r����r����r����Z�__get_word_value_at_rva����s������������������z9UnicodeStringWrapperPostProcessor.__get_word_value_at_rvac��������������������C���s&���|� �|�d���¡�d�k�r"|�|�j���|�_�d�S�d�S�)�zÙThe next RVA is taken to be the one immediately following this one.
|
|
Such RVA could indicate the natural end of the string and will be checked
|
to see if there's a Unicode NULL character there.
|
r;���r����TF)�r����rð���Ú�length)�rä���Z�next_rva_ptrr����r����r����Ú�ask_unicode_16$���s������������z0UnicodeStringWrapperPostProcessor.ask_unicode_16c��������������������C���sF���z�|�j� �|�j�¡�|�_�W�n,��t�k
|
r@������|�j� �¡� �d� �|�j�¡�¡���Y�n�X�d�S�)�NzDFailed rendering unicode string, attempting to read from RVA 0x{0:x})�rï���rù���rð���rñ���rû���rü���rý���rþ���rã���r����r����r����Ú�render_unicode_160���s������������
|
����ÿ�ÿz3UnicodeStringWrapperPostProcessor.render_unicode_16N)�rê���rë���rì���Ú�__doc__rà���rò���rô���rÄ���rö���rÿ���rú���r����r����r����r����r����r����r����rî���ï���s��������������������������rî���c��������������������@���s ���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�S�)�rû���z"Generic PE format error exception.c��������������������C���s
|
���|�|�_�d�S�r����)�r���r��r����r����r����r��=���s������z�PEFormatError.__init__c��������������������C���s
|
���t�|�j��S�r����)�Ú�reprrÖ���rã���r����r����r����rô���@���s������z�PEFormatError.__str__N)�rê���rë���rì���r����rà���rô���r����r����r����r����rû���:���s����������rû���c��������������������@���sN���e�Z�d�Z�d�Z�d�d��Z�d�d�d��Z�d�d�d��Z�d�d d
|
�Z�d�d��Z�d d��Z d�d��Z
|
d�S�)��Dumpz1Convenience class for dumping the PE information.c��������������������C���s
|
���g�|�_�d�S�r����)�Ú�textrã���r����r����r����rà���G���s������z Dump.__init__r����c��������������������C���s����|�D�]�}�|� �|�|�¡���q�d�S�)�zeAdds a list of lines.
|
|
The list can be indented with the optional argument 'indent'.
|
N©�Ú�add_line)�rä���Ú�txtÚ�indentÚ�liner����r����r����Ú add_linesJ���s��������z�Dump.add_linesc��������������������C���s����|� �|�d���|�¡���d�S�)�z\Adds a line.
|
|
The line can be indented with the optional argument 'indent'.
|
Ú�
|
N)�rç���©�rä���r ���r����r����r����r����r����R���s������z Dump.add_linec��������������������C���s����|�j� �d� �d�|���|�¡�¡���d�S�)�z|Adds some text, no newline will be appended.
|
|
The text can be indented with the optional argument 'indent'.
|
z�{0}{1}ú� N)�r
|
���rý���rþ���r����r����r����r����rç���Y���s������z�Dump.addc��������������������C���s����|� �d� �d�|�¡�¡���d�S�)�z�Adds a header element.z
|
{0}{1}{0}
|
z
|
----------N)�r����rþ���)�rä���r ���r����r����r����Ú
|
add_header`���s������z�Dump.add_headerc��������������������C���s����|�j� �d�¡���d�S�)�z�Adds a newline.r����N)�r
|
���rý���rã���r����r����r����Ú�add_newlined���s������z�Dump.add_newlinec��������������������C���s����d� �d�d��|�j�D��¡�S�)�z"Get the text in its current state.rõ���c��������������������s���s����|�]�}�d� �|�¡�V���q�d�S�)�ú�{0}N©�rþ���)�r2���rÃ���r����r����r����Ú <genexpr>j���s��������z Dump.get_text.<locals>.<genexpr>)�Ú�joinr
|
���r��r����r����r�����get_texth���s������z Dump.get_textN)�r����)�r����)�r����)�r��r��r��r����r��r����r����r��r����r����r����r����r����r����r����r ���D���s����������
|
|
|
�����r ���)�rÝ���Ú�crÃ���Ú�BÚ�hÚ�HrÈ���Ú�IrÇ���Ú�Lr����Ú�qÚ�QÚ�dÚ�sc��������������������C���sN���d�}�|�}�|�d���t�j�k�rBt�d� �d�d��|�D��¡��}�d� �d�d��|�D��¡�}�t�|���|���S�)�Nr0���r����rõ���c��������������������S���s����g�|�]�}�|�t�j�k�r�|��q�S�r����©�rñ���Ú�digits©�r2���r#���r����r����r����r4������s��������
|
�z�sizeof_type.<locals>.<listcomp>c��������������������S���s����g�|�]�}�|�t�j�k�r�|��q�S�r����r%���r'���r����r����r����r4������s��������
|
�)�rñ���r&���r����r����Ú�STRUCT_SIZEOF_TYPES)�Ú�tr'���Z�_tr����r����r����Ú�sizeof_type���s����������������r*���T)�r����r ���c������������ �����������sÔ���d�}�g�}�i�}�g�}�d�}�d�}�|�D�]}�d�|�k�r�|� �d�d�¡�\�}��|�|�7�}�|� �d�¡���� �d�¡�} g�}
|
| D�]F��|�k�r�f�d�d��|�D��}�|� ��¡�}�d� ��|�¡��|
|
��¡���|�|��<�q\|�t�|��7�}�|� �|
|
¡���q�t� �|�¡�}�|�|�|�|�|�f�S�)�Nú�<r����ú�,r0���c������������������������s����g�|�]�}�|�d�t���
����q�S�r����)�rÀ���)�r2���rÝ���©�Ú�elm_namer����r����r4������s��������z�set_format.<locals>.<listcomp>z {0}_{1:d})�Ú�splitrý���r'���rþ���r*���rÁ���Ú�calcsize) rþ���Ú�__format_str__Ú�__unpacked_data_elms__Ú�__field_offsets__Ú�__keys__Ú�__format_length__Ú�offsetÚ�elmÚ�elm_typeZ elm_namesÚ�namesZ�search_listZ occ_countr����r-���r����Ú
|
set_format���s:�������������������������
|
|
|
|
|
|
����������ûr:���c��������������������@���s���e�Z�d�Z�d�Z�d!d�d��Z�e�d��d�d��Z�d�d �Z�d
|
d��Z�d�d �Z d�d��Z
|
d�d��Z�d�d��Z�d�d��Z d�d��Z�d�d��Z�d�d��Z�d"d�d��Z�d�d �Z�d�S�)#Ú StructurezPrepare structure object to extract members from data.
|
|
Format is a list containing definitions for the elements
|
of the structure.
|
Nc��������������������C���sz���d�|�_�g�|�_�d�|�_�i�|�_�g�|�_�|�d���}�t�|�t��s8t�|��}�t�|��\�|�_�|�_�|�_�|�_�|�_�d�|�_�|�|�_ |�rl|�|�_
|
n
|
|�d���|�_
|
d�S�)�Nr+���r����r0���F)�r1���r4���r5���r3���r2���rË���Ú�tupler:���Ú�__all_zeroes__Ú�__file_offset__Ú�name)�rä���rþ���r?���Ú�file_offsetr#���r����r����r����rà���¾���s(�����������������
|
����ú��������������������z�Structure.__init__)�Ú�returnc��������������������C���s����|�j�S�r����)�r1���rã���r����r����r����Ú�__get_format__Ú���s������z�Structure.__get_format__c��������������������C���s����|�j�|�j�|�����S�)�zLReturn the offset within the field for the requested field in the structure.)�r>���r3���©�rä���Ú
|
field_namer����r����r�����get_field_absolute_offset���s������z#Structure.get_field_absolute_offsetc��������������������C���s
|
���|�j�|���S�)�z?Return the offset within the structure for the requested field.)�r3���rC���r����r����r����Ú�get_field_relative_offsetá���s������z#Structure.get_field_relative_offsetc��������������������C���s����|�j�S�r����©�r>���rã���r����r����r����Ú�get_file_offsetå���s������z�Structure.get_file_offsetc��������������������C���s
|
���|�|�_�d�S�r����rG���©�rä���r6���r����r����r����Ú�set_file_offsetè���s������z�Structure.set_file_offsetc��������������������C���s����|�j�S�)�z/Returns true is the unpacked data is all zeros.)�r=���rã���r����r����r����Ú
|
all_zeroes��s������z�Structure.all_zeroesc��������������������C���s����|�j�S�)�z�Return size of the structure.)�r5���r��r����r����r�����sizeof�s������z�Structure.sizeofc��������������������C���s���t�|��}�t�|��|�j�k�r&|�d�|�j�
���}�n�t�|��|�j�k�r<t�d���t�|��t�|��k�rRd�|�_�t� �|�j�|�¡�|�_ t
|
|�j �D�]$\�}�}�|�j�|���D�]�}�t�|�|�|����q~qld�S�)�Nz-Data length less than expected header length.T) rÃ���rÀ���r5���rû���r)���r=���rÁ���rÂ���r1���r2���Ú enumerater4���Ú�setattr)�rä���r(���Ú�idxr ���Ú�keyr����r����r����Ú
|
__unpack__õ���s��������������������������z�Structure.__unpack__c��������������������C���s^���g�}�t�|�j��D�]<\�}�}�d�}�|�j�|���D�]�}�t�|�|��}�|�|�k�r$��q@q$|� �|�¡���q�t�j�|�j�f�|���S�r����)�rM���r2���r4���Ú�getattrrý���rÁ���Ú�packr1���)�rä���Z
|
new_valuesrO���r ����new_valrP���r����r����r�����__pack__����s��������������
|
�������z�Structure.__pack__c��������������������C���s����d� �|� �¡�¡�S�)�Nr����©�r����Ú�dumprã���r����r����r����rô�������s������z�Structure.__str__c��������������������C���s����d�d� �d�d��|� �¡�D��¡���S�)�Nz�<Structure: %s>r����c��������������������S���s����g�|�]�}�d� �|� �¡�¡��q�S�)�r����)�r����r/���©�r2���r$���r����r����r����r4���!���s��������z&Structure.__repr__.<locals>.<listcomp>rV���rã���r����r����r����Ú�__repr__����s���������ÿz�Structure.__repr__r����c����������������
|
�������s@���g�}�|� �d� �|�j�¡�¡���d�d��t�j�D���|�j�D��]�}�|�D��]�}�t�|�|��}�t�|�t�t f��rÀ|�
|
d�¡�rjd� �|�¡�}�n
|
d� �|�¡�}�|�d�k�s|�d�k�r¾z�|�d t� �t� |�¡�¡���7�}�W�n���t�k
|
r¼������|�d
|
7�}�Y�n�X�nLt�|��}�|�
|
d�¡�rîd� �d d��|� �d�¡�D��¡�}�n�d� ��f�d�d��|� �d�¡�D��¡�}�|� �d�|�j�|���|�j���|�j�|���|�d���|�f���¡���q6q,|�S�)�z1Returns a string representation of the structure.z�[{0}]c��������������������S���s����g�|�]�}�|�t�j�k�r�t�|���q�S�r����)�rñ���Ú
|
whitespaceÚ�ord©�r2���rÈ���r����r����r����r4���+���s��������
|
�z"Structure.dump.<locals>.<listcomp>Z
|
Signature_z�{:<8X}z�0x{:<8X}Ú TimeDateStampÚ�dwTimeStampz [%s UTC]z� [INVALID TIME]Ú Signaturerõ���c��������������������S���s����g�|�]�}�d� �|�¡��q�S�)�z�{:02X}r����r\���r����r����r����r4���C���s��������ó�����c������������������������s&���g�|�]�}�|��k�r�t�|��n�d� �|�¡��q�S�)�z \x{0:02x})�Ú�chrrþ���r\���©�Z�printable_bytesr����r����r4���G���s�������þ�ÿ
|
�z�0x%-8X 0x%-3X %-30s %sú�:)�rý���rþ���r?���rñ���Ú printabler4���rR���rË���r����Ú�longrÎ���Ú�timeÚ�asctimeÚ�gmtimeÚ
|
ValueErrorrÚ���r����Ú�rstripr3���r>���)�rä���Ú�indentationrW���rÑ���rP���r ���Z�val_strr����rb���r����rW���$���sJ������������ÿ����
|
|
|
|
|
����ÿ����
|
��ü�ÿ� �����������ü�ÿ�ÿ�
|
z�Structure.dumpc����������������
|
���C���sÌ���i�}�|�j�|�d�<�|�j�D�]²}�|�D�]¨}�t�|�|��}�t�|�t�t�f��r|�d�k�sH|�d�k�r¢z�d�|�t� �t� �|�¡�¡�f���}�W�q¢��t k
|
r������d�|���}�Y�q¢X�n�d�
|
d�d��d d
|
�|�D��D��¡�}�|�j�|���|�j���|�j�|���|�d��|�|�<�q�q�|�S�)�z5Returns a dictionary representation of the structure.r;���r]���r^���z�0x%-8X [%s UTC]z�0x%-8X [INVALID TIME]rõ���c��������������������s���s,���|�]$}�t�|��t�j�k�r�t�|��n�d�|���V���q�d�S�)�z�\x%02xN©�ra���rñ���rd���r'���r����r����r����r����r���s�������ÿz&Structure.dump_dict.<locals>.<genexpr>c��������������������S���s"���g�|�]�}�t�|�t��s�t�|��n�|��q�S�r����©�rË���r����r[���©�r2���r����r����r����r����r4���t���s��������z'Structure.dump_dict.<locals>.<listcomp>)�Z
|
FileOffsetÚ�OffsetÚ�Value) r?���r4���rR���rË���r����re���rf���rg���rh���ri���r����r3���r>���)�rä���Ú dump_dictrÑ���rP���r ���r����r����r����rq���[���s,�������
|
|
|
������������þ
|
|
��þ�������ý��z�Structure.dump_dict)�NN)�r����)�rê���rë���rì���r����rà���rÌ���rB���rE���rF���rH���rJ���rK���rL���rQ���rU���rô���rY���rW���rq���r����r����r����r����r;���·���s��������
|
|
7r;���c��������������������@���s���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d$d
|
d��Z�d�d �Z�d�d��Z d�d��Z
|
d�d��Z�d�d��Z�d�d��Z d�d��Z�d�d��Z�d�d��Z�d�d��Z�d d!�Z�d"d#�Z�d�S�)%�SectionStructurez#Convenience section handling class.c��������������������O���s^���d�|�k�r�|�d���|�_�|�d�=�d�|�_�d�|�_�d�|�_�d�|�_�t�j�|�f�|��|����d�|�_�d�|�_�d�|�_ d�|�_
|
d�S�)�Nrï���)�rï���Ú�PointerToRawDataÚ�VirtualAddressÚ SizeOfRawDataÚ�Misc_VirtualSizer;���rà���Ú�PointerToRawData_adjÚ�VirtualAddress_adjÚ�section_min_addrÚ�section_max_addr)�rä���Z�arglZ�argdr����r����r����rà������s��������
|
�������������������z�SectionStructure.__init__c��������������������C���s2���|�j�d�k�r,|�j�d�k r,|�j� �|�j�|�j�j�j�¡�|�_�|�j�S�r����)�rw���rs���rï���Ú�adjust_FileAlignmentÚ�OPTIONAL_HEADERÚ FileAlignmentrã���r����r����r����Ú�get_PointerToRawData_adj���s������
|
|
������ÿ��z)SectionStructure.get_PointerToRawData_adjc��������������������C���s:���|�j�d�k�r4|�j�d�k r4|�j� �|�j�|�j�j�j�|�j�j�j�¡�|�_�|�j�S�r����)�rx���rt���rï���Ú�adjust_SectionAlignmentr|���Ú�SectionAlignmentr}���rã���r����r����r����Ú�get_VirtualAddress_adj���s������
|
|
��������ý��z'SectionStructure.get_VirtualAddress_adjNFc��������������������C���s¶���|�d�k�r�|� �¡�}�n�|�|� �¡���|� �¡���}�|�d�k r8|�|���}�n�|�j�d�k rN|�|�j���}�n�|�}�|�rv|�d�k rv|�d�k rvt�|�|�|�j����}�|�j�d�k r¦|�j�d�k r¦|�|�j�|�j���k�r¦|�j�|�j���}�|�j�j�|�|�
���S�)�a����Get data chunk from a section.
|
|
Allows to query data from the section by passing the
|
addresses where the PE file would be loaded by default.
|
It is then possible to retrieve code and data by their real
|
addresses as they would be if loaded.
|
|
Note that sections on disk can include padding that would
|
not be loaded to memory. That is the case if `section.SizeOfRawData`
|
is greater than `section.Misc_VirtualSize`, and that means
|
that data past `section.Misc_VirtualSize` is padding.
|
In case you are not interested in this padding, passing
|
`ignore_padding=True` will truncate the result in order
|
not to return the padding (if any).
|
|
Returns bytes() under Python 3.x and set() under Python 2.7
|
N)�r~���r���ru���rá���rv���rs���rï���Ú�__data__)�rä���Ú�startr����Z�ignore_paddingr6���Ú�endr����r����r����r����¤���s �������
|
|
��þ����
|
|
���������������z�SectionStructure.get_datac��������������������C���sr���|�d�k�r t�t�d��}�t�|�|�|����nDd�|�k�rdt�|�|��rd|�rN|�j�d�����t�|���O���<�n�|�j�d�����t�|���N���<�|�|�j�|�<�d�S�)�NÚ�CharacteristicsÚ
|
IMAGE_SCN_)�rÒ���Ú�SECTION_CHARACTERISTICSr×���Ú�hasattrrÓ���)�rä���r?���r ���Ú section_flagsr����r����r����Ú�__setattr__Ð���s��������
|
�����������z�SectionStructure.__setattr__c��������������������C���s����|�|� �¡���|� �¡���S�r����)�r~���r���rI���r����r����r����Ú�get_rva_from_offsetà���s������z$SectionStructure.get_rva_from_offsetc��������������������C���s����|�|� �¡���|� �¡���S�r����)�r���r~���©�rä���r����r����r����r����Ú�get_offset_from_rvaã���s������z$SectionStructure.get_offset_from_rvac��������������������C���s4���|�j�d�k�r�d�S�|� �¡�}�|�|�����k�o.|�|�j���k�S�����S�)�z<Check whether the section contains the file offset provided.NF)�rs���r~���ru���)�rä���r6���rw���r����r����r����Ú�contains_offsetæ���s
|
|
������ÿz SectionStructure.contains_offsetc��������������������C���sÂ���|�j�d�k r0|�j�d�k r0|�j�|�����k�o*|�j�k�S�����S�|� �¡�}�t�|�j�j��|� �¡���|�j�k�rZ|�j�}�n�t |�j�|�j��}�|�j
|
d�k r|�j
|
|�j�k�r|�|���|�j
|
k�r|�j
|
|���}�|�|�_�|�|���|�_�|�|�����k�o¼|�|���k�S�����S�)�z8Check whether the section contains the address provided.N)�ry���rz���r���rÀ���rï���r���r~���ru���rv���râ���Ú�next_section_virtual_addressrt���)�rä���r����rx���Ú�sizer����r����r����Ú�contains_rvaò���s ������������������ÿ��
|
þ���ý��
|
|
�z�SectionStructure.contains_rvac��������������������C���s
|
���|� �|�¡�S�r����)�r���r���r����r����r����Ú�contains����s������z�SectionStructure.containsc��������������������C���s����|� �|� �¡�¡�S�)�z1Calculate and return the entropy for the section.)�Ú entropy_Hr����rã���r����r����r����Ú�get_entropy����s������z�SectionStructure.get_entropyc��������������������C���s����t�d�k r�t�|� �¡�� �¡�S�d�S�)�z/Get the SHA-1 hex-digest of the section's data.N)�r����r����Ú hexdigestrã���r����r����r����Ú get_hash_sha1 ���s��������z�SectionStructure.get_hash_sha1c��������������������C���s����t�d�k r�t�|� �¡�� �¡�S�d�S�)�z1Get the SHA-256 hex-digest of the section's data.N)�r����r����r���rã���r����r����r����Ú�get_hash_sha256&���s��������z SectionStructure.get_hash_sha256c��������������������C���s����t�d�k r�t�|� �¡�� �¡�S�d�S�)�z1Get the SHA-512 hex-digest of the section's data.N)�r����r����r���rã���r����r����r����Ú�get_hash_sha512,���s��������z SectionStructure.get_hash_sha512c��������������������C���s����t�d�k r�t�|� �¡�� �¡�S�d�S�)�z-Get the MD5 hex-digest of the section's data.N)�r����r����r���rã���r����r����r����Ú�get_hash_md52���s��������z�SectionStructure.get_hash_md5c��������������������C���sN���|�s�d�S�t�t�|���}�d�}�|� �¡�D�](}�t�|��t�|����}�|�|�t� �|�d�¡���8�}�q |�S�)�z)Calculate the entropy of a chunk of data.g��������r����r;���)�r����rÚ���Ú�valuesÚ�floatrÀ���Ú�mathÚ�log)�rä���r(���Z
|
occurencesZ�entropyr���Z�p_xr����r����r����r���8���s��������������������z�SectionStructure.entropy_H)�NNF)�r��r��r��r����r��r~���r���r����r���r���r���r���r���r���r���r���r���r���r���r���r����r����r����r����rr������s"������������
|
|
,���������&������������rr���c��������������������C���sT���G�d�d��d��}�g�}�i�}�|�|�|��}�|�d���D�]}�d�|�k�rH|� �¡���|� �|�¡���q(|� �d�d�¡�\�}�}�d�|�k�rht�d���|� �d�d�¡�\�}�}�t�|��}�|�|� �¡�k�s|�|� �¡�k�rª|� �¡���|� �|�¡���|� �|�|�¡���q(|� �¡���t t
|
|���\�} }
|
}�}�} g�}�t�|��D�]`\�}�}�|�|�k�rþ|� �|�¡���qâ|�|���\�}
|
}�d�d��|�D��}�|� �|�¡���|�D�]�}�|�|�d ����|�|�d ��<��q&qâ| | |�|�|�|�f�S�)
|
Nc��������������������@���sD���e�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d��Z�d d
|
�Z�d�d��Z�d d��Z d�S�)�z)set_bitfields_format.<locals>.Accumulatorc��������������������S���s(���g�|�_�d�|�_�d�|�_�d�|�_�|�|�_�|�|�_�d�S�)�Nú�~r����)�Ú
|
_subfieldsÚ�_nameÚ�_typeÚ
|
_bits_leftÚ�_comp_fieldsÚ�_format)�rä���Ú�fmtÚ�comp_fieldsr����r����r����rà���K���s����������������z2set_bitfields_format.<locals>.Accumulator.__init__c��������������������S���sX���|�j�d�k�r�d�S�|�j� �|�j�d���|�j���¡���|�j�|�j�f�|�j�t�|�j��d���<�d�|�_�d�|�_�g�|�_�d�S�)�Nr,���r0���r���)�r¡���r¤���rý���r ���r���r£���rÀ���rã���r����r����r����Ú�wrap_upU���s������
|
�����������z1set_bitfields_format.<locals>.Accumulator.wrap_upc��������������������S���s����t�|���d���|�_�|�|�_�d�S�©�NrE���)�r(���r¢���r¡���)�rä���Ú�tpr����r����r����Ú�new_type^���s��������z2set_bitfields_format.<locals>.Accumulator.new_typec��������������������S���s0���|���j�|�7���_�|���j�|�8���_�|�j� �|�|�f�¡���d�S�r����)�r ���r¢���r���rý���)�rä���r?���Z�bitcntr����r����r����Ú�add_subfieldb���s����������z6set_bitfields_format.<locals>.Accumulator.add_subfieldc��������������������S���s����|�j�S�r����)�r¡���rã���r����r����r����Ú�get_typeg���s������z2set_bitfields_format.<locals>.Accumulator.get_typec��������������������S���s����|�j�S�r����)�r ���rã���r����r����r����Ú�get_namej���s������z2set_bitfields_format.<locals>.Accumulator.get_namec��������������������S���s����|�j�S�r����)�r¢���rã���r����r����r����Ú get_bits_leftm���s������z7set_bitfields_format.<locals>.Accumulator.get_bits_leftN)
|
rê���rë���rì���rà���r§���rª���r«���r¬���r���r®���r����r����r����r����Ú�AccumulatorJ���s�������
|
� ��������r¯���r0���rc���r,���z3Structures with bitfields do not support unions yetc��������������������S���s����g�|�]�}�|�t�j���g��q�S�r����)�Ú�StructureWithBitfieldsÚ�BTF_NAME_IDX)�r2���r����r����r����r����r4������s��������z(set_bitfields_format.<locals>.<listcomp>r����) r§���rý���r/���Ú�NotImplementedErrorr����r¬���r®���rª���r«���r:���r<���rM���Ú�extend)�rþ���r¯���Z�old_fmtr¦���Ú�acr7���r8���r.���Z�elm_bitsZ
|
format_str�_Z field_offsetsr���Z format_lengthZ extended_keysrO���r ���Z�sbfZ�bf_names�nr����r����r�����set_bitfields_formatH���sB������&����
|
|
����������ÿ����������
|
|
|
�����r·���c������������������������sp���e�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�d�d��Z��f�d�d��Z �f�d d
|
�Z
|
d��f�d�d� Z��f�d d��Z�d�d��Z d�d��Z����Z�S�)�r°���aV���
|
Extends Structure's functionality with support for bitfields such as:
|
('B:4,LowerHalf', 'B:4,UpperHalf')
|
To this end, two lists are maintained:
|
* self.__keys__ that contains compound fields, for example
|
('B,~LowerHalfUpperHalf'), and is used during packing/unpaking
|
* self.__keys_ext__ containing a separate key for each field (ex., LowerHalf,
|
UpperHalf) to simplify implementation of dump()
|
This way the implementation of unpacking/packing and dump() from Structure can be
|
reused.
|
|
In addition, we create a dictionary:
|
<comound_field_index_in_keys> -->
|
(data type, [ (subfield name, length in bits)+ ] )
|
that facilitates bitfield paking and unpacking.
|
|
With lru_cache() creating only once instance per format string, the memory
|
overhead is negligible.
|
r����r0���Nc��������������������C���s\���t�|��\�|�_�|�_�|�_�|�_�|�_�|�_�d�d��t�|�j��D��|�_�d�|�_ |�|�_
|
|�d�k�rN|�n�|�d���|�_�d�S�)�Nc��������������������S���s����g�|�]�}�d��q�S�r����r����r\���r����r����r����r4���¿���s��������z3StructureWithBitfields.__init__.<locals>.<listcomp>Fr����)�r·���r1���r5���r3���r4���Ú�__keys_ext__Ú�__compound_fields__Ú�ranger2���r=���r>���r?���)�rä���rþ���r?���r@���r����r����r����rà���´���s�������ù��������������������z�StructureWithBitfields.__init__c������������������������s����t�t�|�� �|�¡���|� �¡���d�S�r����)�rß���r°���rQ���Ú�_unpack_bitfield_attributes©�rä���r(���rå���r����r����rQ���Ä���s��������z!StructureWithBitfields.__unpack__c������������������������s*���|� �¡���z�t�t�|�� �¡�}�W�5�|� �¡���X�|�S�r����)�Ú�_pack_bitfield_attributesr»���rß���r°���rU���r¼���rå���r����r����rU���Ê���s
|
|
�z�StructureWithBitfields.__pack__c������������������������s0���|�j�}�|�j�|�_�z�t�t�|�� �|�¡�}�W�5�|�|�_�X�|�S�r����)�r4���r¸���rß���r°���rW���)�rä���rk���Ú�tkÚ�retrå���r����r����rW���Ò���s����������������z�StructureWithBitfields.dumpc������������������������s.���|�j�}�|�j�|�_�z�t�t�|�� �¡�}�W�5�|�|�_�X�|�S�r����)�r4���r¸���rß���r°���rq���)�rä���r¾���r¿���rå���r����r����rq���Û���s����������������z StructureWithBitfields.dump_dictc��������������������C���s���|�j� �¡�D�]}�|�j�|���d���}�t�|�|��}�t�|�|����d�}�|�j�|���t�j���D�]F}�d�|�t�j���>�d���}�|�|�K�}�t�|�|�t�j ��|�|�@�|�?����|�|�t�j���7�}�qDq
|
d�S�)�zaReplace compound attributes corresponding to bitfields with separate
|
sub-fields.
|
r����r0���N)
|
r¹���rÑ���r4���rR���Ú�delattrr°���Ú CF_SUBFLD_IDXÚ�BTF_BITCNT_IDXrN���r±���)�rä���rÈ���Ú�cf_nameÚ�cvalÚ�offstÚ�sfÚ�maskr����r����r����r»���ä���s����������
|
|
|
ý��z2StructureWithBitfields._unpack_bitfield_attributesc��������������������C���s���|�j� �¡�D�]|}�|�j�|���d���}�d�\�}�}�|�j�|���t�j���D�]D}�d�|�t�j���>�d���}�t�|�|�t�j����|�@�}�|�|�|�>�O�}�|�|�t�j���7�}�q4t�|�|�|����q
|
d�S�)�z(Pack attributes into a compound bitfieldr����©�r����r����r0���N) r¹���rÑ���r4���r°���rÁ���rÂ���rR���r±���rN���)�rä���rÈ���rÃ���rÅ���Z�acc_valrÆ���rÇ���Z field_valr����r����r����r½���÷���s�����������������ÿ������z0StructureWithBitfields._pack_bitfield_attributes)�NN)�r����)�rê���rë���rì���r����r±���rÂ���Z�CF_TYPE_IDXrÁ���rà���rQ���rU���rW���rq���r»���r½���rí���r����r����rå���r����r°������s����������������
|
������ � ��r°���c������������������������s ���e�Z�d�Z�d�Z��f�d�d��Z����Z�S�)�Ú DataContainerz�Generic data container.c������������������������s,���t�t�|��j�}�|� �¡�D�]�\�}�}�|�|�|����q�d�S�r����)�rß���rÉ���r���Ú�items)�rä���r����Z�bare_setattrrP���rÖ���rå���r����r����rà��� ���s����������z�DataContainer.__init__)�rê���rë���rì���r����rà���rí���r����r����rå���r����rÉ�������s��������rÉ���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�ImportDescDatazÅHolds import descriptor information.
|
|
dll: name of the imported DLL
|
imports: list of imported symbols (ImportData instances)
|
struct: IMAGE_IMPORT_DESCRIPTOR structure
|
N©�rê���rë���rì���r����r����r����r����r����rË�������s������rË���c��������������������@���s����e�Z�d�Z�d�Z�d�d��Z�d�S�)�Ú
|
ImportDatazÆHolds imported symbol's information.
|
|
ordinal: Ordinal of the symbol
|
name: Name of the symbol
|
bound: If the symbol is bound, this contains
|
the address.
|
c��������������������C���sh���t�|�d���rZt�|�d���rZt�|�d���rZ|�d�k�r|�j�j�t�k�r>t�}�n�|�j�j�t�k�rNt�}�|�|�d�@�B�|�j�_�|�j�j�|�j�_ |�j�j�|�j�_
|
|�j�j�|�j�_�nÖ|�d�k�rÄ|�j�d�k rÂ|�|�j�_ |�j�j |�j�_ |�j�j |�j�_
|
|�j�j |�j�_�n|�d�k�rú|�|�j�_ |�j�j |�j�_�|�j�j |�j�_
|
|�j�j |�j�_�n`|�d�k��rZ|�j �rZ|�j� �|�j ¡�}�|�j� �|�j�d�|�B�¡���t�|��t�|�j��k��rJt�d���|�j� �|�j |�¡���|�|�j�|�<�d�S�)�NÚ�ordinalÚ�boundr?���éÿÿ��Ú�addressr����ú9The export name provided is longer than the existing one.)�r���rï���Ú�PE_TYPEÚ�OPTIONAL_HEADER_MAGIC_PEÚ�IMAGE_ORDINAL_FLAGÚ�OPTIONAL_HEADER_MAGIC_PE_PLUSÚ�IMAGE_ORDINAL_FLAG64Ú�struct_tableÚ�OrdinalÚ AddressOfDataÚ�FunctionÚ�ForwarderStringÚ
|
struct_iatÚ�name_offsetr���Ú�set_dword_at_offsetÚ�ordinal_offsetrÀ���r?���rû���Ú�set_bytes_at_offsetrÓ���)�rä���r?���r ���Ú�ordinal_flagZ�name_rvar����r����r����r���!���sN������ÿ���þ���ý����������������������
|
|
����������ÿ�������ÿ����z�ImportData.__setattr__N©�rê���rë���rì���r����r���r����r����r����r����rÍ�������s��������rÍ���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú ExportDirDatazHolds export directory information.
|
|
struct: IMAGE_EXPORT_DIRECTORY structure
|
symbols: list of exported symbols (ExportData instances)NrÌ���r����r����r����r����rä���Z���s������rä���c��������������������@���s����e�Z�d�Z�d�Z�d�d��Z�d�S�)�Ú
|
ExportDataad���Holds exported symbols' information.
|
|
ordinal: ordinal of the symbol
|
address: address of the symbol
|
name: name of the symbol (None if the symbol is
|
exported by ordinal only)
|
forwarder: if the symbol is forwarded it will
|
contain the name of the target symbol,
|
None otherwise.
|
c��������������������C���sÐ���t�|�d��rÂt�|�d��rÂt�|�d��rÂt�|�d��rÂ|�d�k�rB|�j� �|�j�|�¡���n|�d�k�r\|�j� �|�j�|�¡���nf|�d�k�rt�|��t�|�j��k�r~t�d���|�j� |�j
|
|�¡���n2|�d�k�rÂt�|��t�|�j��k�r²t�d���|�j� |�j�|�¡���|�|�j |�<�d�S�)�NrÎ���rÑ���Ú forwarderr?���rÒ���z<The forwarder name provided is longer than the existing one.)�r���rï���Ú�set_word_at_offsetrà���rß���Ú�address_offsetrÀ���r?���rû���rá���rÞ���ræ���Ú�forwarder_offsetrÓ���©�rä���r?���r ���r����r����r����r���m���s2������ÿ���þ���ý���ü�����������������ÿ�����������ÿ����z�ExportData.__setattr__Nrã���r����r����r����r����rå���a���s��������rå���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�ResourceDirDatazHolds resource directory information.
|
|
struct: IMAGE_RESOURCE_DIRECTORY structure
|
entries: list of entries (ResourceDirEntryData instances)
|
Nr���r����r����r����r����r�����s������r��c��������������������@���s����e�Z�d�Z�d�Z�d�S�)��ResourceDirEntryDataaF���Holds resource directory entry data.
|
|
struct: IMAGE_RESOURCE_DIRECTORY_ENTRY structure
|
name: If the resource is identified by name this
|
attribute will contain the name string. None
|
otherwise. If identified by id, the id is
|
available at 'struct.Id'
|
id: the id, also in struct.Id
|
directory: If this entry has a lower level directory
|
this attribute will point to the
|
ResourceDirData instance representing it.
|
data: If this entry has no further lower directories
|
and points to the actual resource data, this
|
attribute will reference the corresponding
|
ResourceDataEntryData instance.
|
(Either of the 'directory' or 'data' attribute will exist,
|
but not both.)
|
NrÌ���r����r����r����r����rì������s������rì���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�ResourceDataEntryDataz£Holds resource data entry information.
|
|
struct: IMAGE_RESOURCE_DATA_ENTRY structure
|
lang: Primary language ID
|
sublang: Sublanguage ID
|
NrÌ���r����r����r����r����rí���¯���s������rí���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú DebugDatazHolds debug information.
|
|
struct: IMAGE_DEBUG_DIRECTORY structure
|
entries: list of entries (IMAGE_DEBUG_TYPE instances)
|
NrÌ���r����r����r����r����rî���¸���s������rî���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�DynamicRelocationDataa����Holds dynamic relocation information.
|
|
struct: IMAGE_DYNAMIC_RELOCATION structure
|
symbol: Symbol to which dynamic relocations must be applied
|
relocations: List of dynamic relocations for this symbol (BaseRelocationData instances)
|
NrÌ���r����r����r����r����rï���À���s������rï���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�BaseRelocationDatazHolds base relocation information.
|
|
struct: IMAGE_BASE_RELOCATION structure
|
entries: list of relocation data (RelocationData instances)
|
NrÌ���r����r����r����r����rð���É���s������rð���c��������������������@���s����e�Z�d�Z�d�Z�d�d��Z�d�S�)�Ú�RelocationDatazÅHolds relocation information.
|
|
type: Type of relocation
|
The type string can be obtained by
|
RELOCATION_TYPE[type]
|
rva: RVA of the relocation
|
c��������������������C���sj���t�|�d��r\|�j�j�}�|�d�k�r,|�d�>�|�d�@�B�}�n(|�d�k�rTt�|�|�j���d��}�|�d�@�|�d�@�B�}�|�|�j�_�|�|�j�|�<�d�S�)�NrÁ���Ú�typerL���éÿ���r����r����i�ð��)�r���rÁ���Ú�Datarâ���Ú�base_rvarÓ���)�rä���r?���r ���Ú�wordr6���r����r����r����r���Ú���s������
|
���������������z�RelocationData.__setattr__Nr��r����r����r����r����r����s��������r�c��������������������@���s����e�Z�d�Z�d�Z�d�S�)��TlsDatazJHolds TLS information.
|
|
struct: IMAGE_TLS_DIRECTORY structure
|
NrÌ���r����r����r����r����r÷���ò���s������r÷���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�BoundImportDescDataaÃ���Holds bound import descriptor data.
|
|
This directory entry will provide information on the
|
DLLs this PE file has been bound to (if bound at all).
|
The structure will contain the name and timestamp of the
|
DLL at the time of binding so that the loader can know
|
whether it differs from the one currently present in the
|
system and must, therefore, re-bind the PE's imports.
|
|
struct: IMAGE_BOUND_IMPORT_DESCRIPTOR structure
|
name: DLL name
|
entries: list of entries (BoundImportRefData instances)
|
the entries will exist if this DLL has forwarded
|
symbols. If so, the destination DLL will have an
|
entry in this list.
|
NrÌ���r����r����r����r����rø���ù���s������rø���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�LoadConfigDataz°Holds Load Config data.
|
|
struct: IMAGE_LOAD_CONFIG_DIRECTORY structure
|
name: dll name
|
dynamic_relocations: dynamic relocation information, if present
|
NrÌ���r����r����r����r����rù�������s������rù���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�BoundImportRefDatazÞHolds bound import forwarder reference data.
|
|
Contains the same information as the bound descriptor but
|
for forwarded DLLs, if any.
|
|
struct: IMAGE_BOUND_FORWARDER_REF structure
|
name: dll name
|
NrÌ���r����r����r����r����rú�������s������rú���c��������������������@���s����e�Z�d�Z�d�Z�d�S�)�Ú�ExceptionsDirEntryDataz¢Holds the data related to SEH (and stack unwinding, in particular)
|
|
struct an instance of RUNTIME_FUNTION
|
unwindinfo an instance of UNWIND_INFO
|
NrÌ���r����r����r����r����rû��� ���s������rû���c������������������������st���e�Z�d�Z�d�Z�d��f�d�d� Z��f�d�d��Z�d��f�d�d� Z��f�d d
|
�Z�d�d��Z�d d��Z �f�d�d��Z
|
d�d��Z�d�d��Z����Z S�)�Ú
|
UnwindInfozHandles the complexities of UNWIND_INFO structure:
|
* variable number of UWIND_CODEs
|
* optional ExceptionHandler and FunctionEntry fields
|
r����c������������������������sH���t�t�|��j�d�|�d����t�t�|�� �¡�|�_�d�|�_�t�d�d�d��|�_�d�|�_�d�|�_ d�S�)�N)�Z�UNWIND_INFO)�z�B:3,Versionz B:5,Flagsz�B,SizeOfPrologz�B,CountOfCodesz�B:4,FrameRegisterz�B:4,FrameOffset©�r@���©�Z�UNWIND_CODE)�ú�B,CodeOffsetú�B:4,UnwindOpú
|
B:4,OpInfor����F)
|
rß���rü���rà���rL���Ú
|
_full_sizeÚ�_opt_field_namer°���Ú
|
_code_info�_chained_entry�_finished_unpacking)�r��r@���r��r����r����r��.���s������
|
����ô�����������þ����z�UnwindInfo.__init__c������������ �����������s¾���|�j�r
|
d�S�t�t�|�� �|�¡���|�j�d���d�@�}�t�t�|�� �¡�|�|�j� �¡�����}�|�|�j�d�k�rTd�n�t�d�����|�_ t
|
|��|�j k�rrd�S�|�j�d�k�r|�j�d�k�rd�t�|�j ���S�g�|�_�t�t�|�� �¡�}�|�j�}�|�d�k��rZ|�j� �|�|�|�|�j� �¡���
���¡���t� �|�j�¡�}�|�d�k�rüd�t�|�j |������S�|� �|�j�|�¡�}�|�j� �¡�|���}�|� �|�j�|�|�|�|���
���|�|�j |���¡���|�|�7�}�|�|�8�}�|�j� �|�¡���q®|�j��sj|�j��rpd |�_�|�j��r~d
|
|�_�|�j�d�k��r´t�|�|�j�t� �d�|�|�|�t�d�����
���¡�d������d�|�_�d�S�) z§Unpacks the UNWIND_INFO "in two calls", with the first call establishing
|
a full size of the structure and the second, performing the actual unpacking.
|
Nr0���éþÿÿÿr����r����r;���z&Unsupported version of UNWIND_INFO at z�Unknown UNWIND_CODE at Z�ExceptionHandlerÚ FunctionEntryú�<IT)�r����rß���rü���rQ���Z�CountOfCodesrL���r����Ú�Flagsr(���r����rÀ���Ú�VersionÚ�hexr>���Ú�UnwindCodesÚ�PrologEpilogOpsFactoryÚ�createÚ�length_in_code_structuresÚ
|
initializerý���rj���rk���r����rl���rN���rÁ���rÂ���) rä���r(���Z codes_cnt_maxZ�hdlr_offsetÚ�roZ
|
codes_leftZ�ucodeZ�len_in_codesZ�opc_sizerå���r����r����Ú�unpack_in_stagesF���sb��������������ÿ�����ÿ����������������
|
����������������������ü�����������������������������ÿ���þ�ý����z�UnwindInfo.unpack_in_stagesc������������������������s¢����j�d�k�r0�j�t�d������j��j�<��j� ��j�g�¡���z�t�t��� |�¡�}�W�5��j�d�k�rZ�j� �¡���X�|� �d�d�
|
�f�d�d��t�D��¡���¡���|� �d�d�
|
d�d���j�D��¡���¡���|�S�) Nr����ú�Flags: ú�, c������������������������s"���g�|�]�}�t��|�d����r�|�d����q�S�©�r����)�rR���rX���rã���r����r����r4������s����������z#UnwindInfo.dump.<locals>.<listcomp>z�Unwind codes: z�; c��������������������S���s����g�|�]�}�|� �¡�r�t�|���q�S�r����)�Ú�is_validrÌ���rn���r����r����r����r4������s����������) r����r����r(���r3���r¸���rý���Ú�poprß���rü���rW���r����Ú�unwind_info_flagsr ���)�rä���rk���rW���rå���rã���r����rW������s&�����
|
��ÿ
|
|
��������ÿ�ÿ�������ÿ�ÿ��z�UnwindInfo.dumpc������������������������s^���|�j�d�k�r0|�j�t�d�����|�j�|�j�<�|�j� �|�j�g�¡���z�t�t�|�� ¡�}�W�5�|�j�d�k�rX|�j� �¡���X�|�S�)�Nr����)
|
r����r����r(���r3���r¸���rý���r����rß���rü���rq���)�rä���r¿���rå���r����r����rq������s������
|
��ÿ
|
|
���z�UnwindInfo.dump_dictc��������������������C���sh���|�d�k�r�t�|�|�t����nDd�|�k�rZt�|�|��rZ|�rD|�j�d�����t�|���O���<�n�|�j�d�����t�|���N���<�|�|�j�|�<�d�S�)�Nr
|
���Z UNW_FLAG_)�r×���r����r���rÓ���Ú�UNWIND_INFO_FLAGSrê���r����r����r����r���¬���s������������������z�UnwindInfo.__setattr__c��������������������C���s����|�j�S�r����)�r����rã���r����r����r����rL���¶���s������z�UnwindInfo.sizeofc������������������������s¼���t�|�j��}�t�t�|�� �¡�|�d�t�t�|�� �¡�
�<�t�t�|�� �¡�}�|�j�D�]F}�|�|�j� �¡���|�j�k�rZ��q|�j� �¡�|�|�|�|�j� �¡���
�<�|�|�j� �¡�7�}�q>|�j�d�k�r¸t� d�t
|
|�|�j��¡�|�|�j�t�d�����|�j�
�<�|�S�)�Nr����r ���r����)�rÚ���r����rß���rü���rU���rL���r ���rÁ���r����rS���rR���r(���)�rä���r(���Z
|
cur_offsetZ�ucrå���r����r����rU���¹���s������
|
� ���
|
|
��þ�����ÿ��z�UnwindInfo.__pack__c��������������������C���s����|�j�S�r����)�r����rã���r����r����r����Ú�get_chained_function_entryË���s������z%UnwindInfo.get_chained_function_entryc��������������������C���s����|�j�d�k�r�t�d���|�|�_�d�S�)�Nz(Chained function entry cannot be changed)�r����rû���)�rä���Ú�entryr����r����r����Ú�set_chained_function_entryÎ���s������
|
���z%UnwindInfo.set_chained_function_entry)�r����)�r����)�rê���rë���rì���r����rà���r����rW���rq���r���rL���rU���r����r����rí���r����r����rå���r����rü���(���s�����������>��� �
|
������rü���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpzMeant as an abstract class representing a generic unwind code.
|
There is a subclass of PrologEpilogOp for each member of UNWIND_OP_CODES enum.
|
c��������������������C���s$���t�|� �|�¡�|�d��|�_�|�j� �|�¡���d�S�)�Nrý���)�r°���Ú�_get_formatrÁ���rQ���©�rä���Ú�unw_coder(���Ú�unw_infor@���r����r����r����r����Ù���s
|
����������ÿ��z�PrologEpilogOp.initializec��������������������C���s����d�S�)�zÄComputes how many UNWIND_CODE structures UNWIND_CODE occupies.
|
May be called before initialize() and, for that reason, should not rely on
|
the values of intance attributes.
|
r0���r����©�rä���r!���r"���r����r����r����r����ß���s������z(PrologEpilogOp.length_in_code_structuresc��������������������C���s����d�S�)�NTr����rã���r����r����r����r����æ���s������z�PrologEpilogOp.is_validc��������������������C���s����d�S�)�Nrþ���r����©�rä���r!���r����r����r����r����é���s������z�PrologEpilogOp._get_formatN)�rê���rë���rì���r����r����r����r����r����r����r����r����r����r����Ô���s
|
�������������r����c��������������������@���s ���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�S�)�Ú�PrologEpilogOpPushRegÚ�UWOP_PUSH_NONVOLc��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_PUSH_NONVOL)�rÿ���r����ú�B:4,Regr����r$���r����r����r����r����ð���s������z!PrologEpilogOpPushReg._get_formatc��������������������C���s����d�t�|�j�j�����S�)�Nz .PUSHREG )�Ú REGISTERSrÁ���Ú�Regrã���r����r����r����rô���ó���s������z�PrologEpilogOpPushReg.__str__N)�rê���rë���rì���r����r����rô���r����r����r����r����r%���í���s����������r%���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpAllocLargeÚ�UWOP_ALLOC_LARGEc��������������������C���s����d�d�d�d�|�j�d�k�r�d�n�d�f�f�S�)�NZ�UNWIND_CODE_ALLOC_LARGErÿ���r����r����r����z�H,AllocSizeInQwordsz�I,AllocSize©�Ú�OpInfor$���r����r����r����r����ú���s���������������ü�þz$PrologEpilogOpAllocLarge._get_formatc��������������������C���s����|�j�d�k�r�d�S�d�S�)�Nr����r;���r=���r,���r#���r����r����r����r��������s������z2PrologEpilogOpAllocLarge.length_in_code_structuresc��������������������C���s ���|�j�j�d�k�r�|�j�j�d���S�|�j�j�S�)�Nr����rE���)�rÁ���r-���Z�AllocSizeInQwordsZ AllocSizerã���r����r����r����Ú�get_alloc_size����s������
|
ÿ���ýz'PrologEpilogOpAllocLarge.get_alloc_sizec��������������������C���s����d�t�|� �¡����S�©�Nz�.ALLOCSTACK ©�r����r.���rã���r����r����r����rô�������s������z PrologEpilogOpAllocLarge.__str__N)�rê���rë���rì���r����r����r����r.���rô���r����r����r����r����r*���÷���s
|
�������������r*���c��������������������@���s(���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�S�) Ú�PrologEpilogOpAllocSmallÚ�UWOP_ALLOC_SMALLc��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_ALLOC_SMALL)�rÿ���r����z�B:4,AllocSizeInQwordsMinus8r����r$���r����r����r����r��������s������z$PrologEpilogOpAllocSmall._get_formatc��������������������C���s����|�j�j�d���d���S�r¨���)�rÁ���Z�AllocSizeInQwordsMinus8rã���r����r����r����r.�������s������z'PrologEpilogOpAllocSmall.get_alloc_sizec��������������������C���s����d�t�|� �¡����S�r/���r0���rã���r����r����r����rô�������s������z PrologEpilogOpAllocSmall.__str__N)�rê���rë���rì���r����r����r.���rô���r����r����r����r����r1�������s������������r1���c������������������������s(���e�Z�d�Z�d�Z��f�d�d��Z�d�d��Z����Z�S�)�Ú�PrologEpilogOpSetFPÚ�UWOP_SET_FPREGc������������������������s.���t�t�|�� �|�|�|�|�¡���|�j�|�_�|�j�d���|�_�d�S�©�Nr.���)�rß���r3���r����Z FrameRegisterÚ�_frame_registerZ�FrameOffsetÚ _frame_offsetr ���rå���r����r����r����&���s������
|
��������ÿ����z�PrologEpilogOpSetFP.initializec��������������������C���s����d�t�|�j�����d���t�|�j����S�)�Nz
|
.SETFRAME r����)�r(���r6���r����r7���rã���r����r����r����rô���-���s���������ÿ���þ���ý�ÿz�PrologEpilogOpSetFP.__str__)�rê���rë���rì���r����r����rô���rí���r����r����rå���r����r3���#���s����������r3���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpSaveRegÚ�UWOP_SAVE_NONVOLc��������������������C���s����d�S�©�Nr;���r����)�rä���Ú�unwcoder"���r����r����r����r����9���s������z/PrologEpilogOpSaveReg.length_in_code_structuresc��������������������C���s����|�j�j�d���S�r¨���)�rÁ���Z�OffsetInQwordsrã���r����r����r����Ú
|
get_offset<���s������z PrologEpilogOpSaveReg.get_offsetc��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_SAVE_NONVOL)�rÿ���r����r'���z�H,OffsetInQwordsr����r$���r����r����r����r����?���s������z!PrologEpilogOpSaveReg._get_formatc��������������������C���s ���d�t�|�j�j�����d���t�|� �¡����S�©�Nz .SAVEREG r����)�r(���rÁ���r)���r����r<���rã���r����r����r����rô���E���s������z�PrologEpilogOpSaveReg.__str__N©�rê���rë���rì���r����r����r<���r����rô���r����r����r����r����r8���6���s
|
�������������r8���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpSaveRegFarÚ�UWOP_SAVE_NONVOL_FARc��������������������C���s����d�S�©�Nr=���r����r#���r����r����r����r����L���s������z2PrologEpilogOpSaveRegFar.length_in_code_structuresc��������������������C���s����|�j�j�S�r����©�rÁ���ro���rã���r����r����r����r<���O���s������z#PrologEpilogOpSaveRegFar.get_offsetc��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_SAVE_NONVOL_FAR©�rÿ���r����r'���z�I,Offsetr����r$���r����r����r����r����R���s������z$PrologEpilogOpSaveRegFar._get_formatc��������������������C���s ���d�t�|�j�j�����d���t�|�j�j����S�r=���)�r(���rÁ���r)���r����ro���rã���r����r����r����rô���X���s������z PrologEpilogOpSaveRegFar.__str__Nr>���r����r����r����r����r?���I���s
|
�������������r?���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpSaveXMMÚ�UWOP_SAVE_XMM128c��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_SAVE_XMM128)�rÿ���r����r'���z�H,OffsetIn2Qwordsr����r$���r����r����r����r����_���s������z!PrologEpilogOpSaveXMM._get_formatc��������������������C���s����d�S�r:���r����r#���r����r����r����r����e���s������z/PrologEpilogOpSaveXMM.length_in_code_structuresc��������������������C���s����|�j�j�d���S�r5���)�rÁ���Z�OffsetIn2Qwordsrã���r����r����r����r<���h���s������z PrologEpilogOpSaveXMM.get_offsetc��������������������C���s ���d�t�|�j�j����d���t�|� �¡����S�©�Nz�.SAVEXMM128 XMMr����)�rÌ���rÁ���r)���r����r<���rã���r����r����r����rô���k���s������z�PrologEpilogOpSaveXMM.__str__N©�rê���rë���rì���r����r����r����r<���rô���r����r����r����r����rD���\���s
|
�������������rD���c��������������������@���s0���e�Z�d�Z�d�Z�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
S�)�Ú�PrologEpilogOpSaveXMMFarÚ�UWOP_SAVE_XMM128_FARc��������������������C���s����d�S�)�N)�Z�UNWIND_CODE_SAVE_XMM128_FARrC���r����r$���r����r����r����r����r���s������z$PrologEpilogOpSaveXMMFar._get_formatc��������������������C���s����d�S�rA���r����r#���r����r����r����r����x���s������z2PrologEpilogOpSaveXMMFar.length_in_code_structuresc��������������������C���s����|�j�j�S�r����rB���rã���r����r����r����r<���{���s������z#PrologEpilogOpSaveXMMFar.get_offsetc��������������������C���s ���d�t�|�j�j����d���t�|�j�j����S�rF���)�rÌ���rÁ���r)���r����ro���rã���r����r����r����rô���~���s������z PrologEpilogOpSaveXMMFar.__str__NrG���r����r����r����r����rH���o���s
|
�������������rH���c��������������������@���s����e�Z�d�Z�d�Z�d�d��Z�d�S�)��PrologEpilogOpPushFrame�UWOP_PUSH_MACHFRAMEc��������������������C���s����d�|�j�j�r�d�n�d���S�)�Nz
|
.PUSHFRAMEz� <code>rõ���)�rÁ���r-���rã���r����r����r����rô���
���s������z�PrologEpilogOpPushFrame.__str__N)�r��r��r��r����r�r����r����r����r����rJ������s��������rJ���c������������������������sH���e�Z�d�Z�d�Z��f�d�d��Z�d�d��Z�d�d��Z�d�d �Z�d
|
d��Z�d�d �Z ���Z
|
S�)�Ú�PrologEpilogOpEpilogMarkerÚ�UWOP_EPILOGc������������������������s\���d�|�_�t�|�d����|�_�t�t�|�� �|�|�|�|�¡���|�j�rPt�|�d�|�j�j����|�j d�@�d�k�|�_�|�j
|
|�_�d�S�)�NTÚ�SizeOfEpilogr0���r����)�Ú�_long_offstr���Ú�_firstrß���rL���r����rN���rÁ���Ú�Sizer-���rN���Ú�_epilog_sizer ���rå���r����r����r�������s����������
|
��������ÿ��������z%PrologEpilogOpEpilogMarker.initializec��������������������C���s(���|�j�r d�|�j�d�@�d�k�r�d�n�d�f�S�d�S�d�S�)�NÚ�UNWIND_CODE_EPILOGr0���)�z�B,OffsetLow,Sizer����ú B:4,Flags)�z�B,Sizer����rT���ú�B,OffsetLowz
|
B:4,Unusedú�B:4,OffsetHigh)�rS���)�rU���r����rV���)�rP���r-���r$���r����r����r����r�������s�����������ÿ���ü��z&PrologEpilogOpEpilogMarker._get_formatc��������������������C���s ���t�|�d��s�|�j�d�@�d�k�r�d�S�d�S�)�NrN���r0���r����r;���)�r���r-���r#���r����r����r����r����®���s�������ÿ���ÿ���ýz4PrologEpilogOpEpilogMarker.length_in_code_structuresc��������������������C���s����|�j�j�|�j�r�|�j�j�d�>�n�d�B�S�)�NrE���r����)�rÁ���Z OffsetLowrO���Z
|
OffsetHighrã���r����r����r����r<���µ���s���������ÿz%PrologEpilogOpEpilogMarker.get_offsetc��������������������C���s����|� �¡�d�k�S�r&���)�r<���rã���r����r����r����r����º���s������z#PrologEpilogOpEpilogMarker.is_validc��������������������C���s.���|� �¡�d�k�r*d�t�|�j����d���t�|� �¡����S�d�S�)�Nr����z EPILOG: size=z�, offset from the end=-rõ���)�r<���r����rR���rã���r����r����r����rô���½���s������
|
ü���ÿ���þ��
|
ý���úz"PrologEpilogOpEpilogMarker.__str__)�rê���rë���rì���r����r����r����r����r<���r����rô���rí���r����r����rå���r����rL������s������������������rL���c��������������������@���sH���e�Z�d�Z�d�Z�e�e�e�e�e�e e
|
e�e�e e�e�e�e�e�e�e�e�e�e�i
|
Z�e�d�d���Z�d�S�)�r����zBA factory for creating unwind codes based on the value of UnwindOpc��������������������C���s ���|�j�}�|�t�j�k�r�t�j�|����S�d�S�r����)�Z�UnwindOpr�����_class_dict)�r;����coder����r����r����r�������s
|
��������ÿ���ýz�PrologEpilogOpsFactory.createN)�rê���rë���rì���r����r&���r%���r+���r*���r2���r1���r4���r3���r9���r8���r@���r?���rE���rD���rI���rH���rK���rJ���rM���rL���rW���Ú�staticmethodr����r����r����r����r����r����É���s0����������������������������������������������ö� ��r����z�!#$%&'()-@^_`{}~+,.;=[]c������������������������s>���|�d�k�s�t�|�t�t�t�f��s�d�S�t�d����t��f�d�d��t�|��D���S�)�NFs����\/c��������������������3���s����|�]�}�|��k�V���q�d�S�r����r����rn���©�Ú�allowedr����r����r����ø���s��������z(is_valid_dos_filename.<locals>.<genexpr>)�rË���rÌ���rÍ���rÚ���Ú�allowed_filenameÚ�allÚ�set)�r$���r����rZ���r����Ú�is_valid_dos_filenameó���s������������r_���)�r$���Ú�relax_allowed_charactersrA���c������������������������s>���d��|�r�d��|�d�k o<t�|�t�t�t�f��o<t��f�d�d��t�|��D���S�)�Ns ���._?@$()<>s����!"#$%&'()*+,-./:<>?[\]^_`{|}~@c��������������������3���s����|�]�}�|�t�k�p�|��k�V���q�d�S�r����)�Ú�allowed_function_namern���©�Z allowed_extrar����r����r����� ��s��������z)is_valid_function_name.<locals>.<genexpr>)�rË���rÌ���rÍ���rÚ���r]���r^���)�r$���r`���r����rb���r����Ú�is_valid_function_name� ��s���������������ÿ���ýrc���c��������������������@���s¨���e�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z d�Z
|
d Z�d
|
Z�d�Z d�Z�d Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z�d�Z d�Z!d Z"d!Z#d"Z$d#Z%d$Z&d%Z'd&Z(d'Z)d(Z*d)d)d)e+d*f�d+d,�Z,d-d.�Z-d/d0�Z.d1d2�Z/d3d4�Z0d5d6�Z1d7d8�Z2d9d:�Z3d;d<�Z4d=d>�Z5d?d@�Z6dådAdB�Z7dCdD�Z8dædFdG�Z9dHdI�Z:dJdK�Z;dLdM�Z<dNdO�Z=dPdQ�Z>dRdS�Z?dçdTdU�Z@dVdW�ZAdXdY�ZBdZd[�ZCdèd]d^�ZDd_d`�ZEdadb�ZFdcdd�ZGdédedf�ZHdgdh�ZIdidj�ZJdkdl�ZKdêdndo�ZLdpdq�ZMdrds�ZNdëdtdu�ZOdìdvdw�ZPdídxdy�ZQdîd{d|�ZRd}d~�ZSdïdd�ZTdd�ZUdd�ZVeWf�d
d�ZXdd�ZYdd�ZZdðdd�Z[dd�Z\dd�Z]dd�Z^dd�Z_dd�Z`dñdd�Zadòdd�Zbdd�Zcd d¡�Zdd¢d£�Zed¤d¥�Zfd¦d§�Zgd¨d©�Zhdªd«�Zid¬d�Zjd®d¯�Zkd°d±�Zld²d³�Zmd´dµ�Znd¶d·�Zod¸d¹�Zpdºd»�Zqd¼d½�Zrd¾d¿�ZsdÀdÁ�ZtdÂdÃ�ZudÄdÅ�ZvdÆdÇ�ZwdÈdÉ�ZxeyezdÊ�dËdÌ�Z{dÍdÎ�Z|dÏdÐ�Z}dÑdÒ�Z~dÓdÔ�ZdÕdÖ�Zd×dØ�ZdÙdÚ�ZdÛdÜ�ZdÝdÞ�Zdßdà�Z
dádâ�Zdãdä�Zd)S�)óÚ�PEa ��A Portable Executable representation.
|
|
This class provides access to most of the information in a PE file.
|
|
It expects to be supplied the name of the file to load or PE data
|
to process and an optional argument 'fast_load' (False by default)
|
which controls whether to load all the directories information,
|
which can be quite time consuming.
|
|
pe = pefile.PE('module.dll')
|
pe = pefile.PE(name='module.dll')
|
|
would load 'module.dll' and process it. If the data is already
|
available in a buffer the same can be achieved with:
|
|
pe = pefile.PE(data=module_dll_data)
|
|
The "fast_load" can be set to a default by setting its value in the
|
module itself by means, for instance, of a "pefile.fast_load = True".
|
That will make all the subsequent instances not to load the
|
whole PE structure. The "full_load" method can be used to parse
|
the missing data at a later stage.
|
|
Basic headers information will be available in the attributes:
|
|
DOS_HEADER
|
NT_HEADERS
|
FILE_HEADER
|
OPTIONAL_HEADER
|
|
All of them will contain among their attributes the members of the
|
corresponding structures as defined in WINNT.H
|
|
The raw data corresponding to the header (from the beginning of the
|
file up to the start of the first section) will be available in the
|
instance's attribute 'header' as a string.
|
|
The sections will be available as a list in the 'sections' attribute.
|
Each entry will contain as attributes all the structure's members.
|
|
Directory entries will be available as attributes (if they exist):
|
(no other entries are processed at this point)
|
|
DIRECTORY_ENTRY_IMPORT (list of ImportDescData instances)
|
DIRECTORY_ENTRY_EXPORT (ExportDirData instance)
|
DIRECTORY_ENTRY_RESOURCE (ResourceDirData instance)
|
DIRECTORY_ENTRY_DEBUG (list of DebugData instances)
|
DIRECTORY_ENTRY_BASERELOC (list of BaseRelocationData instances)
|
DIRECTORY_ENTRY_TLS
|
DIRECTORY_ENTRY_BOUND_IMPORT (list of BoundImportData instances)
|
|
The following dictionary attributes provide ways of mapping different
|
constants. They will accept the numeric value and return the string
|
representation and the opposite, feed in the string and get the
|
numeric constant:
|
|
DIRECTORY_ENTRY
|
IMAGE_CHARACTERISTICS
|
SECTION_CHARACTERISTICS
|
DEBUG_TYPE
|
SUBSYSTEM_TYPE
|
MACHINE_TYPE
|
RELOCATION_TYPE
|
RESOURCE_TYPE
|
LANG
|
SUBLANG
|
)�Z�IMAGE_DOS_HEADER)�z H,e_magicz�H,e_cblpz�H,e_cpz�H,e_crlcz�H,e_cparhdrz�H,e_minallocz�H,e_maxallocz�H,e_ssz�H,e_spz�H,e_csumz�H,e_ipz�H,e_csz
|
H,e_lfarlcz�H,e_ovnoz�8s,e_resz H,e_oemidz�H,e_oeminfoz
|
20s,e_res2z
|
I,e_lfanew)�Z�IMAGE_FILE_HEADER)�z H,Machinez�H,NumberOfSectionsú�I,TimeDateStampz�I,PointerToSymbolTablez�I,NumberOfSymbolsz�H,SizeOfOptionalHeaderz�H,Characteristics)�Z�IMAGE_DATA_DIRECTORY)�ú�I,VirtualAddressú�I,Size)�Z�IMAGE_OPTIONAL_HEADER)�ú�H,Magicú�B,MajorLinkerVersionú�B,MinorLinkerVersionú�I,SizeOfCodeú�I,SizeOfInitializedDataú�I,SizeOfUninitializedDataú�I,AddressOfEntryPointú�I,BaseOfCodez�I,BaseOfDataz�I,ImageBaseú�I,SectionAlignmentú�I,FileAlignmentú�H,MajorOperatingSystemVersionú�H,MinorOperatingSystemVersionú�H,MajorImageVersionú�H,MinorImageVersionú�H,MajorSubsystemVersionú�H,MinorSubsystemVersionú�I,Reserved1ú I,SizeOfImageú�I,SizeOfHeadersú
|
I,CheckSumú�H,Subsystemú�H,DllCharacteristicsz�I,SizeOfStackReservez�I,SizeOfStackCommitz�I,SizeOfHeapReservez�I,SizeOfHeapCommitú I,LoaderFlagsú�I,NumberOfRvaAndSizes)�Z�IMAGE_OPTIONAL_HEADER64)�rh���ri���rj���rk���rl���rm���rn���ro���z�Q,ImageBaserp���rq���rr���rs���rt���ru���rv���rw���rx���ry���rz���r{���r|���r}���z�Q,SizeOfStackReservez�Q,SizeOfStackCommitz�Q,SizeOfHeapReservez�Q,SizeOfHeapCommitr~���r���)�Z�IMAGE_NT_HEADERS)�ú�I,Signature)�Z�IMAGE_SECTION_HEADER)
|
z�8s,Namez,I,Misc,Misc_PhysicalAddress,Misc_VirtualSizerf���z�I,SizeOfRawDataú�I,PointerToRawDataz�I,PointerToRelocationsz�I,PointerToLinenumbersz�H,NumberOfRelocationsz�H,NumberOfLinenumbersú�I,Characteristics)�Z�IMAGE_DELAY_IMPORT_DESCRIPTOR)�z I,grAttrsz�I,szNamez�I,phmodz�I,pIATz�I,pINTz�I,pBoundIATz�I,pUnloadIATz I,dwTimeStamp)�Z�IMAGE_IMPORT_DESCRIPTOR)�z$I,OriginalFirstThunk,Characteristicsre���z�I,ForwarderChainú�I,Namez�I,FirstThunk)�Z�IMAGE_EXPORT_DIRECTORY)�r���re���ú�H,MajorVersionú�H,MinorVersionr���z�I,Basez�I,NumberOfFunctionsz�I,NumberOfNamesz�I,AddressOfFunctionsz�I,AddressOfNamesz�I,AddressOfNameOrdinals)�Z�IMAGE_RESOURCE_DIRECTORY)�r���re���r���r
���z�H,NumberOfNamedEntriesz�H,NumberOfIdEntries)�Z�IMAGE_RESOURCE_DIRECTORY_ENTRY)�r���ú�I,OffsetToData)�Z�IMAGE_RESOURCE_DATA_ENTRY)�r���rg���z
|
I,CodePagez
|
I,Reserved)�Ú�VS_VERSIONINFO©�z�H,Lengthz H,ValueLengthz�H,Type)�Ú�VS_FIXEDFILEINFO) r���z�I,StrucVersionz�I,FileVersionMSz�I,FileVersionLSz�I,ProductVersionMSz�I,ProductVersionLSz�I,FileFlagsMaskz�I,FileFlagsz�I,FileOSz
|
I,FileTypez I,FileSubtypez�I,FileDateMSz�I,FileDateLS)�Z�StringFileInfor���)��StringTabler���)��Stringr���)��Varr���)��IMAGE_THUNK_DATA)�z0I,ForwarderString,Function,Ordinal,AddressOfData)�r���)�z0Q,ForwarderString,Function,Ordinal,AddressOfData)�Z�IMAGE_DEBUG_DIRECTORY)�r���re���r���r
���z�I,Typez�I,SizeOfDataz�I,AddressOfRawDatar���)�Z�IMAGE_BASE_RELOCATION)�rf���z I,SizeOfBlock)�Z�IMAGE_BASE_RELOCATION_ENTRY)�z�H,Data)�Z0IMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION)�ú�I:12,PageRelativeOffsetú�I:1,IndirectCallz I:19,IATIndex)�Z/IMAGE_INDIR_CONTROL_TRANSFER_DYNAMIC_RELOCATION)�r���r���z�I:1,RexWPrefixz�I:1,CfgCheckz�I:1,Reserved)�Z+IMAGE_SWITCHTABLE_BRANCH_DYNAMIC_RELOCATION)�r���z�I:4,RegisterNumber)�Ú�IMAGE_TLS_DIRECTORY)�z�I,StartAddressOfRawDataz�I,EndAddressOfRawDataz�I,AddressOfIndexz�I,AddressOfCallBacksú�I,SizeOfZeroFillr���)�r���)�z�Q,StartAddressOfRawDataz�Q,EndAddressOfRawDataz�Q,AddressOfIndexz�Q,AddressOfCallBacksr���r���)�Ú�IMAGE_LOAD_CONFIG_DIRECTORY)+rg���re���r���r
���ú�I,GlobalFlagsClearú�I,GlobalFlagsSetú�I,CriticalSectionDefaultTimeoutz�I,DeCommitFreeBlockThresholdz�I,DeCommitTotalFreeThresholdz�I,LockPrefixTablez�I,MaximumAllocationSizez�I,VirtualMemoryThresholdú�I,ProcessHeapFlagsz�I,ProcessAffinityMaskú�H,CSDVersionú�H,Reserved1z
|
I,EditListz�I,SecurityCookiez�I,SEHandlerTablez�I,SEHandlerCountz�I,GuardCFCheckFunctionPointerz I,GuardCFDispatchFunctionPointerz�I,GuardCFFunctionTablez�I,GuardCFFunctionCountú�I,GuardFlagsú�H,CodeIntegrityFlagsú�H,CodeIntegrityCatalogú�I,CodeIntegrityCatalogOffsetú�I,CodeIntegrityReservedz I,GuardAddressTakenIatEntryTablez I,GuardAddressTakenIatEntryCountz�I,GuardLongJumpTargetTablez�I,GuardLongJumpTargetCountz�I,DynamicValueRelocTablez�I,CHPEMetadataPointerz�I,GuardRFFailureRoutinez&I,GuardRFFailureRoutineFunctionPointerú�I,DynamicValueRelocTableOffsetú�H,DynamicValueRelocTableSectionú�H,Reserved2z?I,GuardRFVerifyStackPointerFunctionPointerI,HotPatchTableOffsetú�I,Reserved3z�I,EnclaveConfigurationPointer)�r���),rg���re���r���r
���r���r���r���z�Q,DeCommitFreeBlockThresholdz�Q,DeCommitTotalFreeThresholdz�Q,LockPrefixTablez�Q,MaximumAllocationSizez�Q,VirtualMemoryThresholdz�Q,ProcessAffinityMaskr���r���r���z
|
Q,EditListz�Q,SecurityCookiez�Q,SEHandlerTablez�Q,SEHandlerCountz�Q,GuardCFCheckFunctionPointerz Q,GuardCFDispatchFunctionPointerz�Q,GuardCFFunctionTablez�Q,GuardCFFunctionCountr���r���r���r���r���z Q,GuardAddressTakenIatEntryTablez Q,GuardAddressTakenIatEntryCountz�Q,GuardLongJumpTargetTablez�Q,GuardLongJumpTargetCountz�Q,DynamicValueRelocTablez�Q,CHPEMetadataPointerz�Q,GuardRFFailureRoutinez&Q,GuardRFFailureRoutineFunctionPointerr���r���r ���z*Q,GuardRFVerifyStackPointerFunctionPointerz�I,HotPatchTableOffsetr¡���z�Q,EnclaveConfigurationPointer)�Z�IMAGE_DYNAMIC_RELOCATION_TABLE)�z I,Versionrg���)�Z�IMAGE_DYNAMIC_RELOCATION)�ú�I,Symbolú�I,BaseRelocSize)�Z�IMAGE_DYNAMIC_RELOCATION64)�ú�Q,Symbolr£���)�Z�IMAGE_DYNAMIC_RELOCATION_V2)�ú�I,HeaderSizeú�I,FixupInfoSizer¢���ú I,SymbolGroupú�I,Flags)�Z�IMAGE_DYNAMIC_RELOCATION64_V2)�r¥���r¦���r¤���r§���r¨���)�Z�IMAGE_BOUND_IMPORT_DESCRIPTOR)�re���ú�H,OffsetModuleNamez�H,NumberOfModuleForwarderRefs)�Z�IMAGE_BOUND_FORWARDER_REF)�re���r©���z
|
H,Reserved)�Z�RUNTIME_FUNCTION)�z�I,BeginAddressz�I,EndAddressz�I,UnwindDataNéx���c��������������������C���s¾���|�|�_�|�|�_�d�|�_�g�|�_�g�|�_�d�|�_�|�d�k�r<|�d�k�r<t�d���g�|�_�d�|�_�d�|�_ d�|�_
|
d�|�_�d�|�_�d�|�_ t�j�t�j�t�j�d��|�_�|�d�k r|�n�t��d���}�z�|� �|�|�|�¡���W�n�������|� �¡����Y�n�X�d�S�)�Nz�Must supply either name or dataFr����)�r=���r?���rA���Ú fast_load)�Ú�max_symbol_exportsÚ�max_repeated_symbolÚ�_get_section_by_rva_last_usedÚ�sectionsÚ _PE__warningsrÓ���ri���Ú�__structures__Ú�_PE__from_fileÚ�FileAlignment_WarningÚ�SectionAlignment_WarningÚ!_PE__total_resource_entries_countÚ�_PE__total_resource_bytesÚ�_PE__total_import_symbolsrd���Ú;__IMAGE_IMPORT_CONTROL_TRANSFER_DYNAMIC_RELOCATION_format__Ú:__IMAGE_INDIR_CONTROL_TRANSFER_DYNAMIC_RELOCATION_format__Ú6__IMAGE_SWITCHTABLE_BRANCH_DYNAMIC_RELOCATION_format__Ú#dynamic_relocation_format_by_symbolÚ�globalsÚ __parse__Ú�close)�rä���r?���r(���r«���r¬���r���r����r����r����rà�������s2���� �����������������������������������ý������������z�PE.__init__c��������������������C���s����|�S�r����r����rã���r����r����r����Ú __enter__T���s������z�PE.__enter__c��������������������C���s����|� �¡���d�S�r����)�r¾���)�rä���rò���rÖ���Ú tracebackr����r����r����Ú�__exit__W���s������z�PE.__exit__c��������������������C���sR���|�j�d�k�rNt�|�d��rNt�t�j�t��r.t�|�j�t�j��s@d�t�t�|�j���k�rN|�j� �¡���|�`�d�S�)�NTr���z mmap.mmap)�r²���r���rË���Ú�mmaprò���r���r����r¾���rã���r����r����r����r¾���Z���s�������ÿ���þ��
|
ü���ü���û��
|
�z�PE.closec����������������
|
���C���sn���t�|�|�d��}�z�|� �|�¡���W�nB��t�k
|
r\��}���z$|�j� �d� �|�d���|�|�¡�¡���W�Y�¢�d�S�d�}�~�X�Y�n�X�|�j� �|�¡���|�S�©�zyApply structure format to raw data.
|
|
Returns an unpacked structure object if successful, None otherwise.
|
rý���z7Corrupt header "{0}" at file offset {1}. Exception: {2}r����N)�r;���rQ���rû���r°���rý���rþ���r±���©�rä���rþ���r(���r@���Ú structureÚ�errr����r����r����Ú�__unpack_data__f���s�����������������������ÿ�ÿ������z�PE.__unpack_data__c����������������
|
���C���sn���t�|�|�d��}�z�|� �|�¡���W�nB��t�k
|
r\��}���z$|�j� �d� �|�d���|�|�¡�¡���W�Y�¢�d�S�d�}�~�X�Y�n�X�|�j� �|�¡���|�S�rÃ���)�r°���rQ���rû���r°���rý���rþ���r±���rÄ���r����r����r����Ú�__unpack_data_with_bitfields__|���s�����������������������ÿ�ÿ������z!PE.__unpack_data_with_bitfields__c����������������
|
�������s&���|�d�k ràt� �|�¡�}�|�j�d�k�r$t�d���d�}�z¢zTt�|�d��}�|� �¡��_�t�t�d��r`t� ��j�d�t�j ¡��_
|
n�t�j��j�d�t�j�d���_
|
d��_�W�nH��t k
|
rÆ��}���z*d� �|�¡�}�|�o¤d |���}�t�d
|
�|�|�¡���W�5�d�}�~�X�Y�n�X�W�5�|�d�k rÜ|� �¡���X�n�|�d�k rô|��_
|
d��_�t��j
|
��_�d��_�|��st�t��j
|
�� �¡�D�]h\�}�} |�d�k��rD| t��j
|
���d�k��sb|�d�k��r�| t��j
|
���d k��r��j� �d� �|�d�| ��t��j
|
���¡�¡����q��j
|
d�d�
���}
|
t�|
|
�d�k��r¬t�d����j��j�|
|
d�d���_��j�j�t�k��rÖt�d����j��rì�j�j�t�k��rôt�d����j�j�t��j
|
�k��r�t�d����j�j�}��j��j��j
|
|�|�d���
���|�d���_ �j �rL�j j!�sTt�d���d��j j!@�t"k��rnt�d���d��j j!@�t#k��rt�d���d��j j!@�t$k��r¢t�d���d��j j!@�t%k��r¼t�d����j j!t&k��rÒt�d����j��j'�j
|
|�d���|�d���d���
���|�d���d���_(t)t*d �}��j(�s�t�d!��t+�j(�j(j,|����|�d����j( -¡���} | �j(j.��}��j��j/�j
|
| | d"��
���| d���_0d#}��j0d�k��rÊt��j
|
| | d$��
����|�k��rÊd%}��j
|
| | d$��
���d&|�����}��j��j/|�| d���_0�j0d�k �r�j0j1t2k��rìt2�_3n�j0j1t4k��rt4�_3�j��j5�j
|
| | d$��
���| d���_0d'}��j0d�k��rt��j
|
| | d$��
����|�k��rd%}��j
|
| | d$��
���d&|�����}��j��j5|�| d���_0�j(�st�d!���j0d�k��r¤t�d(���j3d�k��rÆ�j� �d) ��j0j1¡�¡���t)t6d*�}�t+�j0�j0j7|����g��j0_8| �j0 -¡���}��j(�j _(�j0�j _0�j0j9�j0j:k��r*�j� �d+¡����j0j;d,k��rL�j� �d-�j0j;��¡���d"}�t<t=d.�j0j;@���D�]æ}�t��j
|
�|���d�k��r���qLt��j
|
�|���d�k��rª�j
|
|�d�
���d/��}�n��j
|
|�|�|���
���}��j��j>|�|�d��}�|�d�k��r���qLz�t?|���|�_@W�n"��tAtBf�k
|
�r�������Y����qLY�n�X�|�|� -¡�7�}��j0j8 �|�¡���|�| �j0 -¡���d%��k��rd���qL�qd� C|�¡�}��f�d0d1��jDD��}�t�|��d�k��rtE|��}�n�d�}�|��r|�|�k��r¨�j
|
d�|�
����_Fn��j
|
d�|�
����_F� G�j0j9¡�d�k �r�� H�j0j9¡�}�|�t��j
|
�k��r��j� �d2�j0j9��¡���n��j� �d3�j0j9��¡���|��s"� I¡���d�S�)4z¤Parse a Portable Executable file.
|
|
Loads a PE file, parsing all its structures and making them available
|
through the instance's attributes.
|
Nr����z�The file is emptyÚ�rbÚ�MAP_PRIVATE)�Ú�accessTr����z�: %sz�Unable to access file '{0}'{1}Fg������à?g333333Ã?zeByte 0x{0:02x} makes up {1:.4f}% of the file's contents. This may indicate truncation / malformation.g������Y@rR���z9Unable to read the DOS Header, possibly a truncated file.rý���z)Probably a ZM Executable (not a PE file).z�DOS Header magic not found.z.Invalid e_lfanew value, probably not a PE filerE���z�NT Headers not found.rÐ���z0Invalid NT Headers signature. Probably a NE filez0Invalid NT Headers signature. Probably a LE filez0Invalid NT Headers signature. Probably a LX filez0Invalid NT Headers signature. Probably a TE filez�Invalid NT Headers signature.r?���r-���Ú�IMAGE_FILE_z�File Header missingrS���r}���r����r
|
���r`���r ���z5No Optional Header found, invalid PE32 or PE32+ file.z*Invalid type 0x{0:04x} in Optional Header.Ú�IMAGE_DLLCHARACTERISTICS_zXSizeOfHeaders is smaller than AddressOfEntryPoint: this file cannot run under Windows 8.r.���zsSuspicious NumberOfRvaAndSizes in the Optional Header. Normal values are never larger than 0x10, the value is: 0x%xéÿÿÿs������������c������������������������s(���g�|�] }�|�j�d�k�r�� �|�j��j�j�¡��q�S�r����)�rs���r{���r|���r}���rX���rã���r����r����r4���Ò���s��������
|
ü�����ÿz PE.__parse__.<locals>.<listcomp>z[Possibly corrupt file. AddressOfEntryPoint lies outside the file. AddressOfEntryPoint: 0x%xzTAddressOfEntryPoint lies outside the sections' boundaries. AddressOfEntryPoint: 0x%x)JÚ�osÚ�statÚ�st_sizerû���r¾���Ú�openÚ�filenor���rÂ���rÊ���r���Z�ACCESS_READr²���Ú�IOErrorrþ���Ú ExceptionrÀ���Ú$_PE__resource_size_limit_upperboundsÚ _PE__resource_size_limit_reachedr����rÚ���rÊ���r°���rý���rÇ���Ú�__IMAGE_DOS_HEADER_format__Ú
|
DOS_HEADERZ�e_magicÚ�IMAGE_DOSZM_SIGNATUREÚ�IMAGE_DOS_SIGNATUREZ�e_lfanewÚ�__IMAGE_NT_HEADERS_format__Ú
|
NT_HEADERSr_����IMAGE_NE_SIGNATURE�IMAGE_LE_SIGNATURE�IMAGE_LX_SIGNATURE�IMAGE_TE_SIGNATURE�IMAGE_NT_SIGNATURE�__IMAGE_FILE_HEADER_format__�FILE_HEADERr����IMAGE_CHARACTERISTICSr���r
���rL���Ú�SizeOfOptionalHeaderÚ __IMAGE_OPTIONAL_HEADER_format__r|���Z�MagicrÔ���rÓ���rÖ���Ú"__IMAGE_OPTIONAL_HEADER64_format__Ú�DLL_CHARACTERISTICSÚ�DllCharacteristicsÚ�DATA_DIRECTORYZ�AddressOfEntryPointZ SizeOfHeadersZ�NumberOfRvaAndSizesrº���r����Ú�__IMAGE_DATA_DIRECTORY_format__Ú�DIRECTORY_ENTRYr?���Ú�KeyErrorÚ�AttributeErrorÚ�parse_sectionsr¯���rá���Ú�headerÚ�get_section_by_rvar���Ú full_load)�rä���Ú�fnamer(���r«���rÐ���Ú�fdÚ�excpZ exception_msgÚ�byteZ
|
byte_countZ�dos_header_dataZ�nt_headers_offsetÚ�image_flagsZ�optional_header_offsetZ�sections_offsetZ&MINIMUM_VALID_OPTIONAL_HEADER_RAW_SIZEÚ�padding_lengthZ�padded_dataÚ�dll_characteristics_flagsr6���Z)MAX_ASSUMED_VALID_NUMBER_OF_RVA_AND_SIZESrÈ���Ú dir_entryZ�rawDataPointersZ�lowest_section_offsetZ ep_offsetr����rã���r����r½������sà�������
|
|
|
|
|
|
|
|
ÿ�����������������������ÿ���ÿ�����ÿ�����ý�ÿ���������ÿ���������ÿ�����������������������ý�
|
�������������������������������ý��
|
������������������ü�����ÿ�����ÿ���ý�þ�
|
�������ÿ���þ���������ý� �������������������ÿ���û� ���ÿ���������ÿ�ÿ���û�þ�
|
�������ÿ���þ���������ý�����������������ÿ�ÿ�������ÿ���������ý������
|
|
����ÿ�ÿ�����ÿ���������þ�ÿ�������������������ÿ���������ÿ��
|
������������������ÿ��
|
|
|
��ü����
|
������������ÿ�ÿ�����ÿ���������þ�ÿ�������ÿ�ÿ����z�PE.__parse__c���������������� ���C���s
|
���d�}�d�}�|�j� �d�d�|�j� �¡�¡�}�|�d�k�r*d�S�zb|�j�d�|�d���
���}�|�d�d�t�t�|��d������
���}�t�t� �d t�t�|��d����¡�|�¡��}�|�|�k�rW�d�S�W�n���t
|
k
|
r¢������Y�d�S�X�t� �d
|
|�|� �|�¡�d�����¡�}�d�|�i�}�|�d�|� �d�¡�
���}�|�|�d <�d�d��} t �}
|
t�|��D�]*\�}�}�|
|
�| |��| |�|�t�|�������A�¡���qöt�|
|
�|�d�<�|�d���} |�d���| A�|�k��sd|�d���| k��sd|�d���| k��rhd�S�| |�d�<�g�}�|�|�d�<�|�d�d�
���}�t�t�t�|��d�����D�]h}�|�d�|�����|�k��rÚ|�d�|���d�����| k��rÔ|�j� �d�¡������q�|�|�d�|�����| A�|�d�|���d�����| A�g�7�}��q|�S�)�a"���Parses the rich header
|
see http://www.ntcore.com/files/richsign.htm for more information
|
|
Structure:
|
00 DanS ^ checksum, checksum, checksum, checksum
|
10 Symbol RVA ^ checksum, Symbol size ^ checksum...
|
...
|
XX Rich, checksum, 0, 0,...
|
iDanSiRichs����Richr
|
���éÿÿÿÿNrE���r?���z�<{0}Iú�<Lr0���rP���Ú�raw_datac��������������������S���s����t�|�t��s�t�|��S�|�S�r����rm���)�r����r����r����r����Ú�<lambda>0 ��ó����z&PE.parse_rich_header.<locals>.<lambda>Ú
|
clear_datar����r;���r=���Ú�checksumr���z�Rich Header is malformed)�r���Ú�findr|���rH���r����rÀ���Ú�listrÁ���rÂ���rþ���rû���rS���Ú�indexrÚ���rM���rý���rÍ���rº���r°���)�rä���Z�DANSZ�RICHZ
|
rich_indexZ rich_datar(���rP���Ú�resultrþ���Z�ord_r����rO���r ���r����Z�headervaluesrÈ���r����r����r����Ú�parse_rich_header� ��sT���� �����������ÿ���������������ÿ����
|
�������������������$�����.���������������������,�z�PE.parse_rich_headerc��������������������C���s����|�j�S�)�zºReturn the list of warnings.
|
|
Non-critical problems found when parsing the PE file are
|
appended to a list of warnings. This method returns the
|
full list.
|
)�r°���rã���r����r����r����rü���S ��s������z�PE.get_warningsc��������������������C���s����|�j�D�]�}�t�d�|����q�d�S�)�zËPrint the list of warnings.
|
|
Non-critical problems found when parsing the PE file are
|
appended to a list of warnings. This method prints the
|
full list to standard output.
|
ú�>N)�r°���Ú�print)�rä���Ú�warningr����r����r����Ú show_warnings] ��s������
|
�z�PE.show_warningsc��������������������C���s���|� �¡���G�d�d��d��}�|� �¡�}�|�r||��|�_�|� �d�d�¡�|�j�_�|� �d�d�¡�|�j�_�|� �d�d�¡�|�j�_�|� �d�d�¡�|�j�_�|� �d�d�¡�|�j�_�n�d�|�_�d�S�) z§Process the data directories.
|
|
This method will load the data directories which might not have
|
been loaded if the "fast_load" option was used.
|
c��������������������@���s����e�Z�d�Z�d�S�)�z PE.full_load.<locals>.RichHeaderN)�rê���rë���rì���r����r����r����r����Ú
|
RichHeaderq ��s������r����r����Nr���rP���rþ���r����) Ú�parse_data_directoriesr����Ú�RICH_HEADERrº���r����r���rP���rþ���r����)�rä���r����Z�rich_headerr����r����r����ró���h ��s��������������������������z�PE.full_loadc����������������
|
���C���sZ���t�|�j��}�|�j�D�],}�t�|� �¡��}�|� �¡�}�|�|�|�|�t�|����
�<�q�t�|�d���r,t�|�d���r,|�j�D�]Î}�|�D�]Ä}�t�|�d��rd|�j�D�]®}�t |�j
|
�¡��D�]\�} }�|�j�| ��}
|
|�j | ��}�t�|��|�d���k�rø|� �d�¡� �d�¡�}�|�d�|�d���d���
���|�|
|
d���|
|
d���|�d���d�����
�<�q|� �d�¡� �d�¡�} | |�|
|
d���|
|
d���t�| ���
�<�qqxqdq\|�}�|��s:|�S�t�|�d �}�|� �|�¡���|� �¡���d�S�)
|
a
���Write the PE file.
|
|
This function will process all headers and components
|
of the PE file and include all changes made (by just
|
assigning to attributes in the PE objects) and write
|
the changes back to a file whose name is provided as
|
an argument. The filename is optional, if not
|
provided the data will be returned as a 'str' object.
|
r���Ú�FileInfor���r0���ró���r¿���Nr;���z�wb+)�rÚ���r���r±���rU���rH���rÀ���r���r����r���r����Ú�entriesrÊ���Ú�entries_offsetsÚ�entries_lengthsrÄ���rÜ���rÒ���Ú�writer¾���)�rä���Ú�filenameZ file_datarÅ���Z�struct_datar6���Ú�finfor����Ú�st_entryrP���Ú�offsetsÚ�lengthsrÇ���Z�encoded_dataZ new_file_datar����r����r����r����r���� ��sH�����
|
|
|
|
|
|
|
������þ�����ÿ��
|
��ÿ���þ�����ÿ��������
|
|
���z�PE.writec������������
|
�������C���s����g�|�_�d�}�t�|�j�j��D��]t}�|�t�k�rB|�j� �d� �|�j�j�t�¡�¡������qd�}�t�|�j |�d��}�|�s^���q|�|�
|
¡�|�����}�|� �|�¡���|�j�|�|�|�
|
¡���
���}�t |��|�
|
¡�k�r¸|�j� �d�|��d��¡������q|�sÖ|�j� �d�|��d��¡������q|� �|�¡���|�j� �|�¡���|�j�|�j���t�|�j��k��r |�d�7�}�|�j� �d |��d
|
�¡���|� �|�j�|�j�j�¡�t�|�j��k��rZ|�d�7�}�|�j� �d |��d��¡���|�j�d�k��r|�d�7�}�|�j� �d |��d��¡���|� �|�j�|�j�j�|�j�j�¡�d�k��r¼|�d�7�}�|�j� �d |��d��¡���|�j�j�d�k��rú|�j�|�j�j���d�k��rú|�d�7�}�|�j� �d |��d��¡���|�|�k��r�|�j� �d�¡������qt�t�d��}�t�|�|�j�|����|�j� �d�d�¡��r|�j� �d�d�¡��r|�j !d�¡�d�k��rl|� "¡��rln�|�j� �d�|��d��¡���|�j� �|�¡���q�|�j�j#d�d��d����t$|�j��D�]8\�} }�| t�|�j��d���k��rÎd�|�_%n�|�j�| d�����j�|�_%�qª|�j�j�d�k��r�|�j��r�|�|�j�d���
|
¡�|�j�j�����S�|�S�d�S�)�a����Fetch the PE file sections.
|
|
The sections will be readily available in the "sections" attribute.
|
Its attributes will contain all the section information plus "data"
|
a buffer containing the section's data.
|
|
The "Characteristics" member will be processed and attributes
|
representing the section characteristics (with the 'IMAGE_SCN_'
|
string trimmed from the constant's names) will be added to the
|
section instance.
|
|
Refer to the SectionStructure class for additional info.
|
r=���z�Too many sections {0} (>={1})r����)�rï���z�Invalid section z�. Contents are null-bytes.z8. No data in the file (is this corkami's virtsectblXP?).r0���z�Error parsing section z$. SizeOfRawData is larger than file.z5. PointerToRawData points beyond the end of the file.rZ���z'Suspicious value found parsing section z*. VirtualSize is extremely large > 256MiB.z&. VirtualAddress is beyond 0x10000000.z. PointerToRawData should normally be a multiple of FileAlignment, this might imply the file is trying to confuse tools which parse this incorrectly.z,Too many warnings parsing section. Aborting.r���r\���Fr[���r`���s����PAGEz!Suspicious flags set for section zf. Both IMAGE_SCN_MEM_WRITE and IMAGE_SCN_MEM_EXECUTE are set. This might indicate a packed executable.c��������������������S���s����|�j�S�r����)�rt���)�Ú�ar����r����r����rÿ���4���r����z#PE.parse_sections.<locals>.<lambda>)�rP���N)&r¯���rº���rä���Z�NumberOfSectionsÚ�MAX_SECTIONSr°���rý���rþ���rr���Ú�__IMAGE_SECTION_HEADER_format__rL���rJ���r���r)���rQ���r±���ru���rs���rÀ���r{���r|���r}���rv���r���rt���r���rÒ���r���r×���r
���rÓ���rº���Ú�Namerj���Ú is_driverÚ�sortrM���r���)
|
rä���r6���Z�MAX_SIMULTANEOUS_ERRORSrÈ���Z�simultaneous_errorsÚ�sectionZ�section_offsetZ�section_datar���rO���r����r����r����rð���¶ ��sÆ��������������������ÿ�ÿ��������������
|
|
ÿ������������
|
ÿ����
|
|
ÿ�������ÿ���þ������
|
ÿ��������
|
ÿ���������ý���û�ÿ������
|
ÿ��
|
ÿ���þ������
|
þ�
|
|
��������ÿ���þ��������
|
ÿ���������������ÿ�����ÿ��z�PE.parse_sectionsFc������������
|
�������C���s���d�|�j�f�d�|�j�f�d�|�j�f�d�|�j�f�d�|�j�f�d�|�j�f�d�|�j�f�d�|�j�f�d |�j�f�d
|
|�j f�f
|
}�|�d�k rpt
|
|�t�t�f��sp|�g�}�|�D��]N}�z�t |�d�����}�|�j�j�|���}�W�n���t�k
|
r²������Y����qÆY�n�X�|�d�k�sÆ|�|�k��rd�}�|�j��r|�rú|�d���d�k�rú|�d ��|�j�|�j�d�d��}�n|��r&|�d���d�k��r&|�d ��|�j�|�j�d�d��}�nXz�|�d ��|�j�|�j��}�W�n@��t�k
|
�r|��} ��z |�j� �d�|�d����d�| ��¡���W�5�d�} ~ X�Y�n�X�|��rt�|�|�d���d�d�
���|����|�d�k rtt
|
|�t��rt|�d���|�k�rt|� �|�¡���qtd�S�)�aS���Parse and process the PE file's data directories.
|
|
If the optional argument 'directories' is given, only
|
the directories at the specified indexes will be parsed.
|
Such functionality allows parsing of areas of interest
|
without the burden of having to parse all others.
|
The directories can then be specified as:
|
|
For export / import only:
|
|
directories = [ 0, 1 ]
|
|
or (more verbosely):
|
|
directories = [ DIRECTORY_ENTRY['IMAGE_DIRECTORY_ENTRY_IMPORT'],
|
DIRECTORY_ENTRY['IMAGE_DIRECTORY_ENTRY_EXPORT'] ]
|
|
If 'directories' is a list, the ones that are processed will be removed,
|
leaving only the ones that are not present in the image.
|
|
If `forwarded_exports_only` is True, the IMAGE_DIRECTORY_ENTRY_EXPORT
|
attribute will only contain exports that are forwarded to another DLL.
|
|
If `import_dllnames_only` is True, symbols will not be parsed from
|
the import table and the entries in the IMAGE_DIRECTORY_ENTRY_IMPORT
|
attribute will not have a `symbols` attribute.
|
r9���r8���r:���rB���r@���rF���rH���rM���rJ���r<���Nr����r0���T)�Ú�forwarded_only)�Ú dllnames_onlyz�Failed to process directoty "z�": rC���)�Ú�parse_import_directoryÚ�parse_export_directoryÚ�parse_resources_directoryÚ�parse_debug_directoryÚ�parse_relocations_directoryÚ�parse_directory_tlsÚ�parse_directory_load_configÚ�parse_delay_import_directoryÚ�parse_directory_bound_importsÚ�parse_exceptions_directoryrË���r<���r����rí���r|���rë���Ú
|
IndexErrorrt���rQ���rû���r°���rý���rN���Ú�remove)
|
rä���Ú�directoriesZ�forwarded_exports_onlyZ�import_dllnames_onlyZ�directory_parsingr����Z�directory_indexrû���rÖ���rö���r����r����r����r ���D���sp���� �������������������ö� ������
|
������������������ÿ��
|
þ���������ý���ÿ��
|
þ���������ÿ�����������ÿ�������ÿ���þ��
|
ý��z�PE.parse_data_directoriesc������������ �������C���s,���|�j�j�t�d���k�r$|�j�j�t�d���k�r$d�S�t�|�j��}�|� �¡�}�i�}�g�}�i�}�t�|�|����D��]�}�|�j�|�j�|� �|�|�¡�|� |�¡�d��}�|�d�k�r���qdd�} |�j
|
d�@�d�k��r:|�j
|
|�k�r¬|�|�j
|
��} n�t�|� |�j
|
¡�d��} | |�|�j
|
<�| �|� �|�j
|
| �¡�¡�¡�}
|
|
|
d�k�rú|�j �|
|
¡������qd| �|� �|�j
|
| �¡�¡�¡�}
|
|
|
d�k��r.|�j �|
|
¡������qd|�j� �| ¡���t�|�| d��}�|� �|�¡���|�|�|�j�<�|�|�7�}�qN|�D�]¾}�|�j�d�k��r|�qht�|�j�d���s�qh|�j�j�|�k��r¼|�j �d |�j� �¡�d
|
�d��¡����qhz�|�j� �|�|�j�j���¡���W�nN��t�k
|
�r"��}���z.|�j �d�|�j� �¡�d
|
�d |���¡���W�Y�¢��qhW�5�d�}�~�X�Y�n�X��qh|�S�)�zØParses exception directory
|
|
All the code related to handling exception directories is documented in
|
https://auscitte.github.io/systems%20blog/Exception-Directory-pefile#implementation-details
|
rc���ra���Nrý���r0���r����)�rÁ���Ú
|
unwindinfor����z FunctionEntry of UNWIND_INFO at rÝ���z' points to an entry that does not existz/Failed parsing FunctionEntry of UNWIND_INFO at z�: )�rä���Ú�MachineÚ�MACHINE_TYPEr;���Ú�__RUNTIME_FUNCTION_format__rL���rº���rÇ���r����r���Z
|
UnwindDatarü���r����r°���rý���r±���rû���Z�BeginAddressr/���r���r����rÁ���rH���r����rû���) rä���r����r���Ú�rfZ�rf_sizeZ�rva2rtZ�rt_funcsZ rva2infosrµ���Z�uiÚ�wsr����rö���r����r����r����r+���¦���st���� �ÿ���þ����
|
|
��ý�����������ÿ������
|
|
|
|
|
����������������ÿ��������
|
ÿ�������ÿ�� �z�PE.parse_exceptions_directoryc������������������������sB���t�|�j��}�|� �¡�}�|�}�g�}�|�j�|�j�|�j�|�|�|���
���|�d��}�|�d�k�rR|�j� �d�¡���d�S�|� �¡�r^�q>|�|� �¡�7�}�|� �|�¡�}�|� |�¡��|�d�k�rÒt
|
|�j�����}��f�d�d��|�j�D��} | rèt�| �}
|
|� �|
|
¡�}�|�d�k rè|�j ���}�n�|�j t
|
|� �¡�������}�|��s�|�j� �d� �|�¡�¡���d�S�g�}�t�t�|�j�t�|�d������D�]¨}�|�j�|�j�|�j�|�|�|���
���|�d��} | �sRt�d���|�| �¡�7�}�|�| j���}�|� �d |�j�|�|�t���
���¡�}�|��r´d
|
d��t�|��D��}�t
|
|��d�k��s®|��r´���qÊ|� �t�| |�d��¡����q |�|�j���}�|� �d |�j�|�|�t���
���¡�}�|��r�d d��t�|��D��}�t
|
|��d�k��s>|��r��q>|��s(�q>|� �t�|�|�|�d��¡���q�|�S�)�rõ���rý���Nz7The Bound Imports directory exists but can't be parsed.c������������������������s����g�|�]�}�|�j��k�r�|�j��q�S�r����)�rs���rX���rý���r����r����r4���"���s��������
|
þz4PE.parse_directory_bound_imports.<locals>.<listcomp>zHRVA of IMAGE_BOUND_IMPORT_DESCRIPTOR points to an invalid address: {0:x}rE���z(IMAGE_BOUND_FORWARDER_REF cannot be readr����c��������������������S���s����g�|�]�}�t�|��t�j�k�r�|��q�S�r����rl���rn���r����r����r����r4���W���s����������rS���)�rÁ���r?���c��������������������S���s����g�|�]�}�t�|��t�j�k�r�|��q�S�r����rl���rn���r����r����r����r4���g���s����������)�rÁ���r?���r����)�r;���Ú(__IMAGE_BOUND_IMPORT_DESCRIPTOR_format__rL���rÇ���r���r°���rý���rK���Ú�get_section_by_offsetr���rÀ���r¯���rá���rs���r����rþ���rº���Z�NumberOfModuleForwarderRefsr����Ú$__IMAGE_BOUND_FORWARDER_REF_format__rû���Z�OffsetModuleNameÚ�get_string_from_dataÚ�MAX_STRING_LENGTHrÚ���rú���rø���)�rä���r����r���Z bnd_descrZ�bnd_descr_sizer���Z bound_importsr����Ú�safety_boundaryZ�sections_after_offsetZ�first_section_after_offsetZ�forwarder_refsrµ���Z�bnd_frwd_refr6���Z�name_strZ invalid_charsr����rý���r����r*�������s¬�����
|
��������������ý�������ÿ����������
|
|
|
��þ������
|
������ÿ�������ÿ���ý�ÿ���������ÿ���������ý��������
|
������ÿ� �����ÿ��������
|
ÿ��
|
������ÿ�������ÿ�������������������ÿ�ÿ��z PE.parse_directory_bound_importsc��������������������C���s|���|�j�}�|�j�t�k�r�|�j�}�z*|�j�|�|� �|�t�|�� �¡�¡�|� �|�¡�d��}�W�n(��t k
|
rh������|�j
|
�d�|���¡���d�}�Y�n�X�|�srd�S�t�|�d��S�)�rõ���rý���z5Invalid TLS information. Can't read data at RVA: 0x%xN)�rÁ���) Ú�__IMAGE_TLS_DIRECTORY_format__rÓ���rÖ���Ú __IMAGE_TLS_DIRECTORY64_format__rÇ���r����r;���rL���r���rû���r°���rý���r÷���)�rä���r����r���rþ���Z
|
tls_structr����r����r����r'���w���s"�������
|
������������ý
|
������ÿ��
|
�����z�PE.parse_directory_tlsc������������
|
�������C���s&���|�j�t�k�r�|� �|�¡�}�|�j�}�n,|�j�t�k�r8|� �|�¡�}�|�j�}�n�|�j� �d�¡���d�S�d�}�d�}�|�d���D�].}�|�d�7�}�|�t�|� d�¡�d�����7�}�|�|�k�rX��qqX|�d���|�d���d�|�
���f�}�d�}�z*|�j
|
|�|� �|�t�|�� ¡�¡�|� �|�¡�d��}�W�n$��t�k
|
rò������|�j� �d�|���¡���Y�n�X�|�süd�S�d�} |�d�k��r�|� �|�j�|�j�¡�} t�|�| d �S�)
|
rõ���zGDon't know how to parse LOAD_CONFIG information for non-PE32/PE32+ fileNr����r0���r,���rý���z=Invalid LOAD_CONFIG information. Can't read data at RVA: 0x%xr|���)�rÁ���Ú�dynamic_relocations)�rÓ���rÔ���Ú�get_dword_at_rvaÚ&__IMAGE_LOAD_CONFIG_DIRECTORY_format__rÖ���Ú(__IMAGE_LOAD_CONFIG_DIRECTORY64_format__r°���rý���r(���r/���rÇ���r����r;���rL���r���rû���Ú�parse_dynamic_relocationsZ�DynamicValueRelocTableOffsetZ�DynamicValueRelocTableSectionrù���)
|
rä���r����r���Z�load_config_dir_szrþ���Z�fields_counterZ cumulative_szÚ�fieldZ�load_config_structr=���r����r����r����r(������sR�����
|
|
|
|
������ÿ�������������������������������ý
|
������ÿ
|
|
������þ�������ÿz�PE.parse_directory_load_configc��������������������C���sÞ���|�s�d�S�|�s�d�S�|�t�|�j��k�r"d�S�|�j�|�d�����}�|�j�|���}�d�}�t�|�j�� �¡�}�z$|�j�|�j�|� �|�|�¡�|� �|�¡�d��}�W�n$��t k
|
r������|�j
|
�d�|���¡���Y�n�X�|�j�d�k�r´|�j
|
�d�|�j�¡���d�S�|�|�7�}�|�|�j ��}�g�}�|�|�k��rÚ|�j�} |�j�t�k�rê|�j�} t�| � �¡�}
|
z"|�j�| |� �|�|
|
¡�|� �|�¡�d��}�W�n*��t k
|
�rB������|�j
|
�d�|���¡���d�}�Y�n�X�|��sN�qÚ|�|
|
7�}�|�j�}�|�j�} d�|�����k��rzd�k��r¦n���n(|� �|�| |�j�|���¡�}�|� �t�|�|�|�d��¡���|�d�k��rÐ|� �|�| ¡�}�|� �t�|�|�|�d��¡���|�| 7�}�qÊ|�S�) Nr0���rý���zPInvalid IMAGE_DYNAMIC_RELOCATION_TABLE information. Can't read data at RVA: 0x%xzDNo pasring available for IMAGE_DYNAMIC_RELOCATION_TABLE.Version = %dú<Invalid relocation information. Can't read data at RVA: 0x%xr=���rA���)�rÁ���Ú�symbolÚ�relocations)�rÀ���r¯���rt���r;���Ú)__IMAGE_DYNAMIC_RELOCATION_TABLE_format__rL���rÇ���r����r���rû���r°���rý���r����rQ���Ú#__IMAGE_DYNAMIC_RELOCATION_format__rÓ���rÖ���Ú%__IMAGE_DYNAMIC_RELOCATION64_format__Z�SymbolZ BaseRelocSizeÚ parse_image_base_relocation_listr»���rï���)�rä���Z dynamic_value_reloc_table_offsetZ!dynamic_value_reloc_table_sectionr����r����Z image_dynamic_reloc_table_structZ�reloc_table_sizer���r=���rþ���Ú�rlc_sizeZ�dynamic_rlcrD���r���rE���r����r����r����rA���È���s �������������������
|
������ÿ��������
|
��ý
|
��������ÿ�ÿ
|
|
������þ������
|
|
|
|
��ý
|
��������ÿ�ÿ��
|
��������������������ÿ�����������ÿ�ÿ��
|
������������ÿ�ÿ��
|
�z�PE.parse_dynamic_relocationsc��������������������C���s����|� �|�|�¡�S�)�rõ���)�rI���)�rä���r����r���r����r����r����r&���"���s������z�PE.parse_relocations_directoryc������������ �������C���s0���t�|�j�� �¡�}�|�|���}�g�}�|�|�k��r,z$|�j�|�j�|� �|�|�¡�|� �|�¡�d��}�W�n(��t�k
|
rp������|�j� �d�|���¡���d�}�Y�n�X�|�sz�q,|�j |�j
|
j�k�r|�j� �d�|�j ��¡����q,|�j�|�j
|
j�k�rÂ|�j� �d�|�j���¡����q,|�d�k�ræ|� |�|���|�j |�j�|���¡�}�n�|� �|�|���|�j |�j�|���|�¡�}�|� �t�|�|�d��¡���|�j��s �q,|�|�j�7�}�q�|�S�)�Nrý���rC���zEInvalid relocation information. VirtualAddress outside of Image: 0x%xz9Invalid relocation information. SizeOfBlock too large: %d©�rÁ���r����)�r;���Ú __IMAGE_BASE_RELOCATION_format__rL���rÇ���r����r���rû���r°���rý���rt���r|���Ú�SizeOfImageZ�SizeOfBlockÚ�parse_relocationsÚ�parse_relocations_with_formatrð���) rä���r����r���r¥���rJ���r���rE���Z�rlcZ reloc_entriesr����r����r����rI���'���sd�����������
|
|
��ý
|
��������ÿ�ÿ��
|
������������ÿ�ÿ�����������ÿ�ÿ�������������ÿ�����������ÿ����������z#PE.parse_image_base_relocation_listc������������ ��� ���C���s����z�|� �|�|�¡�}�|� �|�¡�}�W�n,��t�k
|
rF������|�j� �d�|�d���¡���g���Y�S�X�g�}�t��}�t�t�t�|��d�����D�]¤}�|�j |�j
|
|�|�d���|�d���d���
���|�d��} | s���q�| j�}
|
|
|
d�?�}�|
|
d�@�}�|�|�f�|�k�rÖ|�j� �d�|�|�����¡������q�|� �|�|�f�¡���|� �t | |�|�|�|���d �¡���|�| �¡�7�}�qf|�S�)
|
rõ���ú�Bad RVA in relocation data: 0xrÝ���r;���r0���rý���rL���ró���ú3Overlapping offsets in relocation data at RVA: 0x%x)�rÁ���rò���rõ���r����)�r����r���rû���r°���rý���r^���rº���r����rÀ���rÇ���Ú&__IMAGE_BASE_RELOCATION_ENTRY_format__rô���rç���rñ���rL���) rä���Ú�data_rvar����r���r(���r@���r����Z�offsets_and_typerO���r����rö���Z
|
reloc_type�reloc_offsetr����r����r����rN���d���sJ���������������
|
��������������ý�������������������ÿ�ÿ�����������������ÿ�ÿ����z�PE.parse_relocationsc������������ �������C���sø���z�|� �|�|�¡�}�|� �|�¡�}�W�n,��t�k
|
rF������|�j� �d�|�d���¡���g���Y�S�X�t�|�� �¡�}�g�}�t��} t�t t
|
|��|�����D�]}
|
|�j�|�|�|
|
|���|
|
d���|���
���|�d��}�|�s¢��qô|�j�}�|�| k�rÈ|�j� �d�|�|�����¡�����qô| |�¡���|� �t�|�|�|�|���d��¡���|�|�7�}�qr|�S�)�rõ���rP���rÝ���r0���rý���rQ���)�rÁ���rõ���r����)�r����r���rû���r°���rý���r°���rL���r^���rº���r����rÀ���rÈ���Z�PageRelativeOffsetrç���rñ���) rä���rS���r����r���rþ���r(���r@���Z
|
entry_sizer����r����rO���r����rT���r����r����r����rO������s>���������������
|
����������������ý���������������ÿ�ÿ����
|
����ÿ��
|
�z PE.parse_relocations_with_formatc����������������
|
���C���sª���t�|�j�� �¡�}�g�}�t�t�|�|�����D��]}�z�|� �|�|�|�����|�¡�}�W�n(��t�k
|
rh������|�j� �d�|���¡���Y���d�S�X�|�j |�j�|�|�
|
|�|�|�����¡�d��}�|�s��d�S�d�}�|�j�d�k�r¦�nì|�j�d�k��rú|�j�} |�j }
|
|�j�| | |
|
��
���}�|�d�d�
���d�k��rd�d d
|
d�d�d d�d�d�g�g�}�|
|
t�|�� �¡���} | d�k��r(|�d��� �d� �| ¡�¡���|� |�|�| ¡�}�|�d�k �røt� �d�d�|�j���¡�d���|�_�t�t�j�|�j�|�j�|�j�|�j�|�j�|�j�f�d��� �d�d�¡� �¡�|�j�d����|�_�n^|�d�d�
���d�k��rd�d�d�d�d�g�g�}�|
|
t�|�� �¡���} | d�k��rê|�d��� �d� �| ¡�¡���|� |�|�| ¡�}�n|�j�d�k��r|�j�} |�j }
|
|�j�| | |
|
��
���}�d�d�d�d d!d"g�g�}�|� |�|�| ¡�}�|��r|�j d#k��r|
|
t�|�� �¡���}�|�d�k��r|�d��� �d$ �|�¡�¡���|� |�|�| ¡�}�|� �t!|�|�d%�¡���q"|�S�)&rõ���z7Invalid debug information. Can't read data at RVA: 0x%xNrý���r0���r;���r?���s����RSDSZ CV_INFO_PDB70z�4s,CvSignaturez�I,Signature_Data1z�H,Signature_Data2z�H,Signature_Data3z�B,Signature_Data4z�B,Signature_Data5z�6s,Signature_Data6z�I,Ager����z�{0}s,PdbFileNamez�>Qó������)�Ú�fieldsú�-Ú�Xs����NB10Z CV_INFO_PDB20z�I,CvHeaderSignaturez�I,CvHeaderOffsetr���Z�IMAGE_DEBUG_MISCz
|
I,DataTypez�I,Lengthz B,Unicodez�B,Reserved1r ���©�r����r0���z {0}s,Data)�rÁ���r����)"r;���Ú __IMAGE_DEBUG_DIRECTORY_format__rL���rº���r����r����rû���r°���rý���rÇ���r���Ú�Typers���Z
|
SizeOfDatar���rþ���rÁ���rÂ���Z�Signature_Data6Z�Signature_Data6_valuerÌ���Ú�uuidÚ�UUIDZ�Signature_Data1Z�Signature_Data2Z�Signature_Data3Z�Signature_Data4Z�Signature_Data5Ú�replaceÚ�upperZ�AgeZ�Signature_StringZ�Unicoderî���)�rä���r����r���Z�dbg_sizeÚ�debugrO���r(���Ú�dbgZ�dbg_typeZ�dbg_type_offsetZ dbg_type_sizeZ dbg_type_dataZ�__CV_INFO_PDB70_format__Z�pdbFileName_sizeZ�__CV_INFO_PDB20_format__Z�___IMAGE_DEBUG_MISC_format__Z�dbg_type_partialÚ data_sizer����r����r����r%���¸���s���������������������ÿ��
|
��������ý��������
|
��������������ÿ���������������������ø�þ���ÿ�
|
|
����ÿ���������ÿ��
|
������ÿ���þ�����������������ú�ÿ�ÿ�����ô���ò�ÿ�������������ü�þ�
|
�ÿ��
|
����ÿ���������ÿ�������������ÿ�������������û�þ�
|
�������ÿ��������
|
ÿ�ÿ��
|
����ÿ���������ÿ����z�PE.parse_debug_directoryr����c������������%�������C���s ���|�d�k�r�|�g�}�|�d�k�r�|�}�|�t�k�r:|�j� �d�|�t�f���¡���d�S�z�|� �|�t�|�j�� �¡�¡�}�W�n&��t�k
|
rz������|�j� �d�|���¡���Y�d�S�X�|�j�|�j�|�|� |�¡�d��}�|�d�k�r°|�j� �d�|���¡���d�S�g�}�|�|� �¡�7�}�|�j
|
|�j���} d�}
|
| |
|
k�rð|�j� �d�| |
|
f���¡���d�S�|���j�| 7���_�|�j�t k��r$|�j� �d�|�j�t f���¡���d�S�g�}�d�}�t�| �D��]¦} |�j��sn|�j�|�j�k��rnd |�_�|�j� �d
|
|�j�|�j�f���¡���|� �|�¡�}�|�d�k��r|�j� �d�| |�f���¡������qÞd�}�d�}�|�j�d�@�d ?�}�|��sÀ|�j�}�n®|�|�j���}�z|t�|�|��}�|���j�|� �¡�7���_�|��r*|�d���|�k��r*|�d���|�k��r*|� �¡���|�j� �d�|���¡���W����qÞ|�|�|� �¡���f�}�|� �|�¡���W�n&��t�k
|
�rl������|�j� �d�|���¡���Y�n�X�|�j��rè|�|�j���|�k��r���qÞ|�j�|�|�j���|�|�|�����|�|�d���|�|�|�j���g���d��}�|��sÊ���qÞd�}�|�t�d���k��rÐi�}�|�j�D�]è}�t�|�d���ræi�}�|�j�j�D�]À}�|�d�k��s�t�|�d���r�|�j�j j!d�k��s�|�j"d�k��r<�q�|�j�j j#}�|�j�j j!}�|�j"}�z�|� �|�|�¡�}�W�n6��t�k
|
�r������|�j� �d�|�d��d�|���¡���Y��q�Y�n�X�t$|�t%|��d���d���|����|� &|�¡����q�|�|�j�_'�qæ|� �t(|�|�|�|�d��¡���n^|� )|�|�j���¡�}�|��r@|���j�|�j!7���_�t*|�|�j�d�@�|�j�d�?�d��}�|� �t(|�|�|�|�d��¡���n����qÞ|�d�k��rÎ|�j+t�d���k��rÎ|��rn|�d ��}�z�|�j�j�d���j�j�}�W�n�������Y�n@X�|�D�]8} d�}!z�| j�j }!W�n�������Y�n�X�|!d�k �r|� ,|!¡����q|�|� �¡�7�}��q4d!d"�|�D��}"|" -¡���t.|��D�]�\�} }#|# /¡����qüt0|�|�d#�}$|$S�)$aØ���Parse the resources directory.
|
|
Given the RVA of the resources directory, it will process all
|
its entries.
|
|
The root will have the corresponding member of its structure,
|
IMAGE_RESOURCE_DIRECTORY plus 'entries', a list of all the
|
entries in the directory.
|
|
Those entries will have, correspondingly, all the structure's
|
members (IMAGE_RESOURCE_DIRECTORY_ENTRY) and an additional one,
|
"directory", pointing to the IMAGE_RESOURCE_DIRECTORY structure
|
representing upper layers of the tree. This one will also have
|
an 'entries' attribute, pointing to the 3rd, and last, level.
|
Another directory with more entries. Those last entries will
|
have a new attribute (both 'leaf' or 'data_entry' can be used to
|
access it). This structure finally points to the resource data.
|
All the members of this structure, IMAGE_RESOURCE_DATA_ENTRY,
|
are available as its attributes.
|
NzNError parsing the resources directory. Excessively nested table depth %d (>%s)zCInvalid resources directory. Can't read directory data at RVA: 0x%xrý���zDInvalid resources directory. Can't parse directory data at RVA: 0x%xr#���zNError parsing the resources directory. The directory contains %d entries (>%s)zRError parsing the resources directory. The file contains at least %d entries (>%d)TzGResource size 0x%x exceeds file size 0x%x, overlapping resources found.zHError parsing the resources directory, Entry %d is invalid, RVA = 0x%x. r/���r¤���r����r0���z^Error parsing the resources directory, attempting to read entry name. Entry names overlap 0x%xznError parsing the resources directory, attempting to read entry name. Can't read unicode string at offset 0x%x)�rõ���Ú�levelÚ�dirsrm���Ú directoryr(���z2Error parsing resource of type RT_STRING at RVA 0xrÝ���z� with size r.���)�rÁ���r?���Ú�idre���iÿ���rI���)�rÁ���Ú�langÚ�sublang)�rÁ���r?���rf���r(���rn���rü���c��������������������S���s����g�|�]�}�|� �¡��q�S�r����)�rò���rX���r����r����r����r4������s��������z0PE.parse_resources_directory.<locals>.<listcomp>rK���)1Ú�MAX_RESOURCE_DEPTHr°���rý���r����r;���Ú#__IMAGE_RESOURCE_DIRECTORY_format__rL���rû���rÇ���r���Z�NumberOfNamedEntriesZ�NumberOfIdEntriesrµ���Ú�MAX_RESOURCE_ENTRIESrº���r×���r¶���rÖ���Ú�parse_resource_entryr����Ú
|
NameOffsetrî���rú���r����Ú�DataIsDirectoryÚ�OffsetToDirectoryr$���Ú RESOURCE_TYPEr����r���re���r(���rÁ���rQ���rf���Ú�OffsetToDatarÊ���r����Ú�updateÚ�stringsrì���Ú�parse_resource_data_entryrí���Ú�IdÚ�parse_version_informationr����rM���rÿ���rë���)%rä���r����r���rõ���rc���rd���r(���Ú�resource_dirZ�dir_entriesZ�number_of_entriesZ�MAX_ALLOWED_ENTRIESZ�strings_to_postprocessZ�last_name_begin_endrO���Ú�resZ
|
entry_nameZ�entry_idZ�name_is_stringÚ�ustr_offsetZ�entry_directoryrs���Ú�resource_idZ�resource_stringsÚ resource_langZ�string_entry_rvaZ�string_entry_sizeZ�string_entry_idZ�string_entry_datarÁ���Z
|
entry_dataZ
|
last_entryZ�version_entriesZ version_entryZ�rt_version_structZ�string_rvasr$���Z�resource_directory_datar����r����r����r$���c���s¤��������������������ÿ�ÿ�����������ÿ���������ÿ�ÿ�����������ý���������ÿ�ÿ��������
|
ÿ�����������þ�ÿ�������������þ�ÿ�����������ÿ��
|
þ�����������þ�þ�ÿ�
|
|
������ÿ�ÿ��������������
|
|
|
ÿ��
|
þ���������þ�ÿ������
|
þ�����������þ�ÿ
|
|
������û������������
|
��������ÿ���þ���ý���ü�����ÿ��
|
����������ÿ�������ÿ�����������ý�����������������ü�ÿ�
|
���ÿ�������������ÿ�������������ÿ�ÿ������������������������������
|
������������������ÿ��z�PE.parse_resources_directoryc��������������������C���s^���z�|� �|�t�|�j�� �¡�¡�}�W�n&��t�k
|
r@������|�j� �d�|���¡���Y�d�S�X�|�j�|�j�|�|� �|�¡�d��}�|�S�)�z0Parse a data entry from the resources directory.zGError parsing a resource directory data entry, the RVA is invalid: 0x%xNrý���) r����r;���Ú$__IMAGE_RESOURCE_DATA_ENTRY_format__rL���rû���r°���rý���rÇ���r���)�rä���r����r(���Z
|
data_entryr����r����r����rt������s$������������ÿ���������ÿ�ÿ�����������ý��z�PE.parse_resource_data_entryc��������������������C���s���z�|� �|�t�|�j�� �¡�¡�}�W�n���t�k
|
r0������Y�d�S�X�|�j�|�j�|�|� �|�¡�d��}�|�d�k�rVd�S�|�j�d�@�|�_�|�j�d�@�|�_ |�j�d�@�|�_
|
|�j�d�@�d�?�|�_�|�j�d�@�|�_ |�S�)�z5Parse a directory entry from the resources directory.Nrý���rÎ���ì������þ��rÐ���r/���r¤���)�r����r;���Ú)__IMAGE_RESOURCE_DIRECTORY_ENTRY_format__rL���rû���rÇ���r���r����rm���Z�_PE__padru���rq���rn���ro���)�rä���r����r(���Ú�resourcer����r����r����rl���²���s(������������ÿ�������������ý����������������z�PE.parse_resource_entryc������������#�������C���sÎ���z�|� �|�j�¡�}�W�n*��t�k
|
r:������|�j� �d� �|�j�¡�¡���Y�d�S�X�|�j�|�|�|�j���
���}�|�j�|�j |�|�d��}�|�d�k�rnd�S�|�j�|�
|
¡���}�|� �|�¡�}�d�}�|�r¢|�j�t |�j�|�j����}�d�}�z4|�d�k�rÀ|�j�|�d�d��}�n�|�j�|�|�|���d�?�d�d��}�W�n&��t�k
|
�r�������|�j� �d�|���¡���Y�n�X�|�d�k��r"|�j� �d� �|�¡�¡���d�S�|�d�k �r |�d k��r t�|��d
|
k��r||�d�d
|
��� �d�¡�} | d�| �d�¡�
���} t�d� �| t�|��¡��}�|�j� �d� �|� �d�¡� �d d�¡�¡�¡���d�S�t�|�d���s²g�|�_�|�}
|
|�|
|
_�|�j� �|
|
¡���|�d�k��rÖd�}�|� �|�
|
¡�d�t�|��d�������|�j�¡�}�|�j�|�j�|�|�d�
���|�|���d��}�|��s d�S�t�|�d���s2g�|�_�|�j� �|�¡���|� �|�|�
|
¡���|�j�¡�} t�|�d���sfg�|�_�g�}�|�j�|�j�|�| d�
���|�| ��d��}�|�d�k��r¢|�j� �d�¡���d�S�|�j�| ��|�
|
¡���}�z�|� �|�¡�}�W�n.��t�k
|
�rð������|�j� �d� �|�¡�¡���Y��q¾Y�n�X�|�|�_�|� �|�¡���|��rÈ|� �d�¡��rÈ|�j�d�k��r|�j d�k��r|� �| |�
|
¡���d�t�|��d�������|�j�¡�}�g�|�_!|�j�|�j"|�|�d�
���|�|���d��}�|��s�q|�j�|���|�
|
¡���}�z�|� �|�¡�}�W�n.��t�k
|
�rÎ������|�j� �d� �|�¡�¡���Y��qY�n�X�|�|�_#i�|�_$i�|�_%i�|�_&|�j! �|�¡���|� �|�|�
|
¡���d�t�|��d�������|�j�¡�}�|�|�|�j'��k��r|�j�|�j(|�|�d�
���|�|���d��}�|��sR�q|�j�|���|�
|
¡���}�z�|� �|�¡�}�|� �|�¡�}�W�n.��t�k
|
�rª������|�j� �d� �|�¡�¡���Y��qY�n�X�|� �d�t�|��d�����|���|�
|
¡���|�j�¡�}�|�j�|���}�z�|�j�|�|�j d��}�|� �|�¡�}�W�n0��t�k
|
�r*������|�j� �d�|�d���¡���Y��qY�n�X�|�j'd�k��rD|�|�j'��}�n�|� �|�j'|���|�j�¡�}�|�|�j$|�<�|�|�f�|�j%|�<�t�|��t�|��f�|�j&|�<��q�|� �|�j'|���|�j�¡�}�|�|�k��r¬�q|�}�|�|�j'k��rX�q�qX�nÂ|��r|� �d�¡��r|�}�d�|�_)|�j�d�k��r|�j d�k��r|� �| |�
|
¡���d�t�|��d�������|�j�¡�}�g�|�_*|�j�|�j+|�|�d�
���|�|���d��}�|��sP�q|�j�|���|�
|
¡���}�z�|� �|�¡�}�W�n.��t�k
|
�r������|�j� �d �|�¡�¡���Y��qY�n�X�|�d�k��r®�q|�j* �|�¡���|� �d�t�|��d�����|���|�
|
¡���|�j�¡�}�|�} |�| |�j ��k��r^|� ,|�|�|�d���
���d�¡�}!|� ,|�|�d���|�d!��
���d�¡�}"|�d!7�}�t-|!t.��rät-|"t.��rä|�d"|!|"f���i�|�_/�qä|� �|�|�j'��|�j�¡�}�|�|�|�j'��k��r(�q�q(|� �|�j'| ��|�j�¡�} |�j'd�k��s¾| |�j'k��rj�q¾�qj|�j� �|�¡���d�S�)#a���Parse version information structure.
|
|
The date will be made available in three attributes of the PE object.
|
|
VS_VERSIONINFO will contain the first three fields of the main structure:
|
'Length', 'ValueLength', and 'Type'
|
|
VS_FIXEDFILEINFO will hold the rest of the fields, accessible as sub-attributes:
|
'Signature', 'StrucVersion', 'FileVersionMS', 'FileVersionLS',
|
'ProductVersionMS', 'ProductVersionLS', 'FileFlagsMask', 'FileFlags',
|
'FileOS', 'FileType', 'FileSubtype', 'FileDateMS', 'FileDateLS'
|
|
FileInfo is a list of all StringFileInfo and VarFileInfo structures.
|
|
StringFileInfo structures will have a list as an attribute named 'StringTable'
|
containing all the StringTable structures. Each of those structures contains a
|
dictionary 'entries' with all the key / value version information string pairs.
|
|
VarFileInfo structures will have a list as an attribute named 'Var' containing
|
all Var structures. Each Var structure will have a dictionary as an attribute
|
named 'entry' which will contain the name and value of the Var.
|
zWError parsing the version information, attempting to read OffsetToData with RVA: 0x{:x}Nrý���Ú�ascii©�Ú�encodingr0���zzError parsing the version information, attempting to read VS_VERSION_INFO string. Can't read unicode string at offset 0x%xz"Invalid VS_VERSION_INFO block: {0}s����VS_VERSION_INFOr
|
���z�\uz({0} ... ({1} bytes, too long to display)ú��z�\00r���rõ���r;���r���r����z/Error parsing StringFileInfo/VarFileInfo structz|Error parsing the version information, attempting to read StringFileInfo string. Can't read unicode string at offset 0x{0:x}s����StringFileInforY���r����zyError parsing the version information, attempting to read StringTable string. Can't read unicode string at offset 0x{0:x}z}Error parsing the version information, attempting to read StringTable Key string. Can't read unicode string at offset 0x{0:x}r÷���zzError parsing the version information, attempting to read StringTable Value string. Can't read unicode string at offset 0xrÝ���s����VarFileInfoZ�VarFileInfoz}Error parsing the version information, attempting to read VarFileInfo Var string. Can't read unicode string at offset 0x{0:x}r?���z 0x%04x 0x%04x)0r���rq���rû���r°���rý���rþ���r���rQ���rÇ���Ú�__VS_VERSIONINFO_format__rL���rò���rt���râ���ru���rv���rù���rÀ���rÄ���Ú�rfindrÃ���r^���r���r���Z�KeyÚ�dword_alignÚ�__VS_FIXEDFILEINFO_format__r���r����Ú�__StringFileInfo_format__rÎ���r[���Z�ValueLengthr���Ú�__StringTable_format__Ú�LangIDr����r����r����Z�LengthÚ�__String_format__r?���r���Ú�__Var_format__Ú�get_word_from_datarË���r����r����)#rä���Z�version_structZ�start_offsetrþ���Z�versioninfo_structry���r����Z�section_endZ�versioninfo_stringZ�excerptZ�vinfoZ�fixedfileinfo_offsetZ�fixedfileinfo_structZ�stringfileinfo_offsetr����Z�stringfileinfo_structZ�stringfileinfo_stringZ�stringtable_offsetZ�stringtable_structZ�stringtable_stringZ�entry_offsetZ string_structrP���Z
|
key_offsetZ�value_offsetr���Z�new_stringtable_offsetZ�varfileinfo_structZ
|
var_offsetZ
|
var_structZ
|
var_stringZ�varword_offsetZ�orig_varword_offsetZ�word1Z�word2r����r����r����rv���Ñ���s����������������þ�ÿ�������������ÿ��������
|
����������ÿ�������������ÿ������
|
��ÿ
|
��������þ�ÿ
|
|
����ÿ�������������������ÿ�ÿ�������ÿ�ÿ��������������
|
��������þ������
|
��ý��������������
|
��þ������������
|
��ý��
|
����ÿ�������ÿ���þ�ÿ�������������þ�ÿ������
|
|
��ÿ���ÿ���þ�������ÿ���þ���ü��������
|
��ý���������ÿ���þ�ÿ�������������ý�ÿ�������������������ÿ���þ���ü�
|
���ÿ�ÿ������
|
��ý���������ÿ���þ�ÿ����
|
����������ý�ÿ���������ÿ���þ���ü��
|
��������ÿ��������
|
ÿ�������ÿ�������þ��
|
����þ
|
����þ�������þ��
|
|
��ÿ�������ÿ���þ�������ÿ���þ���ü��������
|
��ý���������ÿ���þ�ÿ�������������ý�ÿ����
|
����������ÿ���þ���ü�������ÿ�ÿ�������ÿ�������ÿ��������
|
ÿ
|
������ÿ�����������þ���ÿ���þ����z�PE.parse_version_informationc������������������������s¾���z.�j��j�� �|�t��j�� �¡�¡�� �|�¡�d��}�W�n&��t�k
|
rT�������j� �d�|���¡���Y�d�S�X�|�s^d�S��f�d�d��}�zd� �|�j t
|
|�|�j �|�j�d����¡�}�� �|�j�t
|
|�|�j��|�j�d����¡�}�� �|�j t
|
|�|�j �|�j�d����¡�}�W�n&��t�k
|
rô�������j� �d�|���¡���Y�d�S�X�g�} d�}
|
� �|�j ¡�}�t��j��}�|��r2|�j�t�|� �¡����|�j ��}�t� �t�¡�} d�}�t�t
|
|�j�t�|�d������D��]^}�� �|�|�¡�}�|�d�k �r|�d���t�|��k��r� �|�|�¡�}�n���d�S�|�d�k��sX|�d k��r²�qX|�|�k��r�|�|�|���k��r�� �|�¡�}�z�� �|�¡�}�W�n���t�k
|
�rþ������Y��qXY�n�X�n�|��r��qXd�}�d�}�� �|�|�¡�}�|�d�k��rF|
|
d
|
8�}
|
|
|
d k��rFd�}����qº� �|�t�¡�}�t�|�d�d���sjd�}����qºz�� �|�¡�}�W�n��t�k
|
�rú������|
|
d
|
8�}
|
|
|
d k��r¨d�}�Y����qºz�� �|�¡�}�W�n>��t�k
|
�r����|
|
d
|
8�}
|
|
|
d k��rèd�}�Y�Y����qºY�Y��qXY�n�X�Y�n�X�| |�|�f�����d
|
7���<�| |�|�f���d�k��rF�j� �d |��d�|�d��d��¡������qºn*t�| ��j�k��rp�j� �d� ��j�¡�¡������qº| �t��|�j�|���� �|�j�d�|�����¡�|�� �|�j d�|�����¡�|�|�|�|�d� ¡����qX|��sÖ�j� �d�|�j d���¡���d�d��| D��}�d�}
|
� �|�j ¡�}�t��j��}�|��r�|�j�t�|� �¡����|�j ��}�t� �t�¡�} d�}�t�t
|
|�j�t�|�d������D��].}�|�|�j���|�k��rBz�� �|�|�¡�}�W�n���t�k
|
�r������d�}�Y�n�X�|�d�k��rª|
|
d
|
8�}
|
|
|
d k��rªd�}����qt|�d k��r¸�qB|�d�k �ræ|�|�k��ræ|�|�|���k��ræ� �|�¡�}�n�d�}�| |�����d
|
7���<�| |����j k��r(�j� �d� ��j |�¡�¡������qtn,t�| ��j�k��rT�j� �d��j��d��¡������qt| �t�|�j�|���|�d�|�d��¡����qB|��s�j� �d�|�j d���¡���d�S�| �s¨|� !¡��r¨d�S�t"|�| � �|�j#¡�d��S�)�a����Parse the export directory.
|
|
Given the RVA of the export directory, it will process all
|
its entries.
|
|
The exports will be made available as a list of ExportData
|
instances in the 'IMAGE_DIRECTORY_ENTRY_EXPORT' PE attribute.
|
rý���z+Error parsing export directory at RVA: 0x%xNc������������������������s����t��j��� �|�¡���S�r����)�rÀ���r���r���)�r����rã���r����r����Ú�length_until_eof¤���s������z3PE.parse_export_directory.<locals>.length_until_eofr?���rI���Tr����r0���F)�r`���z9Export directory contains more than 10 repeated entries (r����z�#02xz�). Assuming corrupt.zHExport directory contains more than {} symbol entries. Assuming corrupt.r;���) rï���rÎ���rà���rÑ���rè���r?���rÞ���ræ���ré���zIRVA AddressOfNames in the export directory points to an invalid address: rÝ���c��������������������S���s����h�|�]
|
}�|�j��q�S�r����)�rÎ���)�r2���Ú�expr����r����r����Ú <setcomp>8���s��������z,PE.parse_export_directory.<locals>.<setcomp>z[Export directory contains more than {} repeated ordinal entries (0x{:x}). Assuming corrupt.z$Export directory contains more than z# ordinal entries. Assuming corrupt.)�rÎ���rÑ���r?���ræ���zMRVA AddressOfFunctions in the export directory points to an invalid address: )�rÁ���Ú�symbolsr?���)$rÇ���Ú!__IMAGE_EXPORT_DIRECTORY_format__r����r;���rL���r���rû���r°���rý���Z�AddressOfNamesrá���Z NumberOfNamesZ�AddressOfNameOrdinalsZ�AddressOfFunctionsZ�NumberOfFunctionsrò���rÀ���r���rt���Ú�collectionsÚ�defaultdictr����rº���r���Ú�get_dword_from_dataÚ�get_string_at_rvaÚ�MAX_SYMBOL_NAME_LENGTHrc���r¬���rþ���rå���Z�Baser���rK���rä���r����)�rä���r����r���r ���Z
|
export_dirr���Z�address_of_namesZ�address_of_name_ordinalsZ�address_of_functionsÚ�exportsZ#max_failed_entries_before_giving_upr����r:���Z symbol_countsZ&export_parsing_loop_completed_normallyrÈ���Z�symbol_ordinalZ�symbol_addressZ forwarder_strré���Z�symbol_name_addressZ�symbol_nameZ�symbol_name_offsetZ�ordinalsrO���r����rã���r����r#������s¢����
|
�����������ÿ���û
|
������ÿ���������������������þ�þ�����������þ�þ�����������þ�þ�������ÿ����������
|
|
ÿ���þ�ÿ��
|
����������ÿ�������ÿ����������
|
|
|
����������ÿ����������������
|
|
|
����������ÿ�����������ÿ�ÿ���������������ÿ�������ÿ���������ó�ÿ�������ÿ��������
|
|
ÿ���þ�ÿ��
|
|
|
|
|
����ÿ���þ��
|
ý�����������������þ�ÿ���������ÿ���������������ü�ÿ� �����ÿ��������������
|
ýz�PE.parse_export_directoryc��������������������C���s����|�|���d���d�@�|�d�@���S�)�Nr=���l����üÿ��r����)�rä���r6���Ú�baser����r����r����r������s������z�PE.dword_alignc��������������������C���s4���|�j�j�}�|�j�j�|�j�j���}�|�|�k�r0|�|�k�r0|�|�8�}�|�S�r����)�r|���Ú ImageBaserM���)�rä���Ú�vaZ�begin_of_imageZ�end_of_imager����r����r����Ú�normalize_import_va���s
|
�������������z�PE.normalize_import_vac����������������
|
���C���s\���g�}�d�}�z�|� �|�t�|�j�� �¡�¡�}�W�n*��t�k
|
rL������|�j� �d�|���¡���Y��qXY�n�X�|� �|�¡�}�|�j�|�j�|�|�d��}�|�rv|� ¡�rz�qXd�}�|�j
|
d�k�rð|�j�j�t d���k�rð|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�d�}�|�|� �¡�7�}�t�|�j��|���} |�|�j�k��s"|�|�j�k��r8t�|�|�j���|�|�j����} g�}
|
z�|� �|�j�|�j�d�| |�¡�}
|
W�n:��t�k
|
�r��}���z�|�j� �d� �|�|�j�¡�¡���W�5�d�}�~�X�Y�n�X�|�d k��r²|�j� �d
|
�|�¡�¡����qX|
|
�sÂ|�d�7�}�q�|�j�t�k��rè|�j� �d�|�j�t�f���¡����qX|� �|�j�t�¡�}�t�|���s�t d �}�|�r�|
|
D�]0} | j!d�k��r�t" #|� $¡�| j%¡�}�|��r�|�| _!�q�|� �t&|�|
|
|�d��¡���q�|�S�)�z*Walk and parse the delay import directory.r����z5Error parsing the Delay import directory at RVA: 0x%xrý���Fr`���TNzSError parsing the Delay import directory. Invalid import data at RVA: 0x{0:x} ({1})rA���zWToo many errors parsing the Delay import directory. Invalid import data at RVA: 0x{0:x}r0���z)Error, too many imported symbols %d (>%s)ú *invalid*©�rÁ���Ú�importsÚ�dll)'r����r;���Ú(__IMAGE_DELAY_IMPORT_DESCRIPTOR_format__rL���rû���r°���rý���r���rÇ���rK���Z�grAttrsrä���r0���r1���r���Z pBoundIATZ�pIATZ�pINTZ
|
pUnloadIATZ�phmodZ�szNamerÀ���r���râ���Ú parse_importsrþ���rÖ���r·���Ú�MAX_IMPORT_SYMBOLSr���Ú�MAX_DLL_LENGTHr_���rÃ���r?���Ú ordlookupÚ ordLookupÚ�lowerrÎ���rË���)�rä���r����r���Ú�import_descsrÉ���r(���r@���Ú�import_descÚ�contains_addressesÚ�max_lenÚ�import_datarö���r ���rD���Ú�funcnamer����r����r����r)������s¨����������������þ�������ÿ����
|
��������ý������� �ÿ���þ�����������ÿ�������������������������������û�����������ÿ�ÿ��
|
������ÿ�ÿ�����������������ÿ�ÿ������
|
|
����ÿ��z�PE.parse_delay_import_directoryr����c��������������������C���s���t�|�d��r�|�j�d�k�r�d�S�|�d�k�r0t�|�j�j�� �¡�S�|�d�k�rHt�|�j�j�� �¡�S�|�d�k�r`t�|�j�j�� �¡�S�|�d�k�rxt�|�j�j�� �¡�S�t�d���d�S�)�Nr����rõ���r����r����r����r����z#Invalid hashing algorithm specified) r���r����r����r����r���r����r����r����rÕ���)�rä���Ú algorithmr����r����r����Ú�get_rich_header_hash����s��������������������������z�PE.get_rich_header_hashc������������ �������C���s����g�}�d�d�d�g�}�t�|�d��s�d�S�|�j�D�]à}�t�|�j�t��rB|�j� �¡� �¡�}�n
|
|�j� �¡�}�|� �d�d�¡�}�t�|��d�k�rx|�d���|�k�rx|�d���}�|�j� �¡�}�|�j D�]x}�d }�|�j
|
sÈt�j�|�|�j d
|
d��}�|�sÎt�d�|�j��d |�j d�����n�|�j
|
}�|�sÔqt�|�t��ræ|� �¡�}�|� �d�|� �¡�|� �¡�f���¡���qq"t�d� �|�¡� �¡�� �¡�S�)�a?���Return the imphash of the PE file.
|
|
Creates a hash based on imported symbol names and their specific order within
|
the executable:
|
https://www.mandiant.com/resources/blog/tracking-malware-import-hashing
|
|
Returns:
|
the hexdigest of the MD5 hash of the exported symbols.
|
Z�ocxÚ�sysr ���Ú�DIRECTORY_ENTRY_IMPORTrõ���Ú�.r0���r����NT)�Z make_namez�Unable to look up ordinal rc���Z�04xz�%s.%sr,���)�r���r±���rË���r ���rÍ���rÄ���r§���Ú�rsplitrÀ���r���r?���r¥���r¦���rÎ���rû���rý���r����r����rÜ���r���) rä���Z�impstrsÚ�extsr����Ú�libnameÚ�partsZ�entry_dll_lowerÚ�impr���r����r����r����Ú�get_imphash����s>�������
|
|
|
|
|
|
������������ÿ�������ÿ��������
|
�����z�PE.get_imphashc��������������������C���sV���t�|�d��s�d�S�t�|�j�d��s�d�S�d�d��|�j�j�D��}�t�|��d�k�r@d�S�t�d� �|�¡� �¡�� �¡�S�)�zÝReturn the exphash of the PE file.
|
|
Similar to imphash, but based on exported symbol names and their specific order.
|
|
Returns:
|
the hexdigest of the SHA256 hash of the exported symbols.
|
Ú�DIRECTORY_ENTRY_EXPORTrõ���r���c��������������������S���s(���g�|�] }�|�r�|�j�d�k r�|�j� �¡� �¡��q�S�r����)�r?���rÄ���r§���r1���r����r����r����r4���Y���s����������
|
þz"PE.get_exphash.<locals>.<listcomp>r����r,���)�r���r¹���r���rÀ���r����r����rÜ���r���)�rä���Z�export_listr����r����r����Ú�get_exphashJ���s�����
|
����������þ������z�PE.get_exphashc����������������
|
���C���s���g�}�d�}�t�|�j�� �¡�}�z�|� �|�|�¡�}�W�n.��t�k
|
rT������|�j� �d�|�d���¡���Y��qÒY�n�X�|� �|�¡�}�|�j�|�j�|�|�d��} | r~| ¡�r�qÒ|�| �¡�7�}�t
|
|�j��|���}
|
|�| j�k�s°|�| j k�rÆt�|�| j���|�| j ���}
|
g�}�|��sbz�|�j�| j�| j | j�|
|
d��}�W�nB��t�k
|
�r.��}���z"|�j� �d�|�d��d�|�j��d��¡���W�5�d }�~�X�Y�n�X�|�d
|
k��rR|�j� �d�|�d���¡����qÒ|��sb|�d�7�}�q�|� �| j�t�¡�} t�| ��st�d �} | r�|�D�]0}�|�j�d k��rt� �| �¡�|�j�¡�}�|��r|�|�_��q|� �t�| |�| d��¡���q�|��st�d�d�g��}�d�}�d�}�|�D�]v}�|�j�D�]h}�|�D�]T}�|��r�|�j��s��q�|�j�}�t�|�j��t k��r:|�j� !d�¡�}�|� "|�¡��r�|�d�7�}����qX�q�|�d�7�}��qú�qð|�t
|
|��k��r|�d�k��r|�j� �d�¡���|�S�)�z$Walk and parse the import directory.r����z-Error parsing the import directory at RVA: 0xrÝ���rý���r÷���zBError parsing the import directory. Invalid Import data at RVA: 0xz� (ú�)NrA���zLToo many errors parsing the import directory. Invalid import data at RVA: 0xr0���r���r���Ú�LoadLibraryZ�GetProcAddressró���r]���z?Imported symbols contain entries typical of packed executables.)#r;���Ú"__IMAGE_IMPORT_DESCRIPTOR_format__rL���r����rû���r°���rý���r���rÇ���rK���rÀ���r���Z�OriginalFirstThunkZ
|
FirstThunkrâ���r¢���Z�ForwarderChainrÖ���r���r����r¤���r_���rÃ���r?���r¥���r¦���r§���rÎ���rË���r^���r���rò���rÍ���rÄ���rÎ���)�rä���r����r���r!���r¨���rÉ���Z�image_import_descriptor_sizer(���r@���r©���r«���r¬���r3���r ���rD���r���Z�suspicious_importsZ�suspicious_imports_countZ total_symbolsZ�imp_dllZ�suspicious_symbolr?���r����r����r����r"���c���s¨������������ÿ����������
|
ÿ����
|
��������ÿ�����������������ÿ�����������������ü
|
������ÿ��
|
|
ÿ������������
|
|
����ÿ������������
|
|
|
ÿ���þ�����ÿ��z�PE.parse_import_directoryc��������������������C���s���g�}�|� �|�|�|�¡�}�|� �|�|�|�¡�}�|�r0t�|��d�k�r`|�r@t�|��d�k�r`|�j� �d�|�d��d�|�d���¡���g�S�d�} |�rn|�} n�|�rx|�} n�d�S�d�}
|
d�}�|�j�t�k�rt�}�n�|�j�t�k�r¬t�}�d�}
|
d }�n�t�}�d�} t | �D��]Î\�}�}�d�}�d�}�d�}�d�}�d�}�d
|
}�|�j
|
�r|�j
|
|�@��r
|
d�}�|�j
|
d�@�}�d�}�d�}�nvd
|
}�zZ|�j
|
|�@�}�|� �|�d ¡�}�|� �|�d�¡�}�|� |�j
|
d ��t�¡�}�t�|���sVt�d��}�|� �|�j
|
d ��¡�}�W�n���t�k
|
�r~������Y�n�X�|� �¡�}�|� �|�¡�}�|�|�j�j���|�|
|
����}�d�}�z>|��râ|��râ|�|���j
|
|�|���j
|
k��râ|�|���j
|
}�|�|���}�n�d�}�W�n���t�k
|
�r�������d�}�Y�n�X�|�d�k��r |�d�k��r t�d���|�t�d��k��rT| d�k��rJ| |�k��rJt�d���| d�7�} q¼|��s^|�r¼|� �t�|�|�|�|�|�|� �¡�|�|�|�|�|�|�|�|�d��¡���q¼|�S�)�zíParse the imported symbols.
|
|
It will fill a list, which will be available as the dictionary
|
attribute "imports". Its keys will be the DLL names and the values
|
of all the symbols imported from that object.
|
r����z\Damaged Import Table information. ILT and/or IAT appear to be broken. OriginalFirstThunk: 0xrÝ���z� FirstThunk: 0xNr?���rÎ���rE���l����ÿÿÿÿ��FTrÐ���r;���r���z"Invalid entries, aborting parsing.iè���z)Too many invalid names, aborting parsing.r0���)�rï���rØ���rÝ���Ú�import_by_ordinalrÎ���rà���Ú�hintr?���rÞ���rÏ���rÑ���Ú�hint_name_table_rvaÚ�thunk_offsetÚ thunk_rva)�Ú�get_import_tablerÀ���r°���rý���rÓ���rÔ���rÕ���rÖ���r×���rM���rÚ���r����r���r���Ú�MAX_IMPORT_NAME_LENGTHrc���rÃ���r���rû���rH���r���r|���r���r,���rÍ���)�rä���Z�original_first_thunkZ�first_thunkZ�forwarder_chainrø���rª���Z�imported_symbolsZ�iltZ�iatÚ�tableZ
|
imp_offsetZ�address_maskrâ���Z�num_invalidrO���Z tbl_entryZ�imp_ordZ�imp_hintZ�imp_namerÞ���rÀ���r¾���r(���rÁ���rÂ���Z�imp_addressrÝ���Z imp_boundr����r����r����r¢���Í���sÀ��������������ÿ���� ����ÿ��������������������
|
|
|
|
����������ÿ��
|
������ÿ��������
|
��ÿ������"�
|
|
|
|
��������������������������������ò�ÿ��z�PE.parse_importsc��������������������C���s^���g�}�|�j�t�k�r�t�}�|�j�}�n |�j�t�k�r0t�}�|�j�}�n
|
t�}�|�j�}�t�|�� �¡�}�d�}�d�} d�}
|
d�}�t �}�t �} |�}�|��rZ|�d�k r|�|�|���k�r|�j
|
�d�¡����qZ|�j�t k�r´|�j
|
�d�|�j�t f���¡����qZ|���j�d�7���_�|�|
|
k�rÎg�S�| �¡�|�k�rÞg�S�|� �¡�|�k�rîg�S�d�}�z�|� �|�|�¡�}�W�n���t�k
|
�r�������d }�Y�n�X�|��s2t�|��|�k��rF|�j
|
�d
|
|���¡���d�S�|�j�|�|�|� �|�¡�d��}�|��r|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�|� �|�j�¡�|�_�|��rÌ|�j�|�k��rÌ|�j�|�k��rÌ|�j
|
�d�|���¡����qZ|��r.|�j��r.|�j�}�|�|�@��rþ|�d @�d�k��r.g�S�n0|�| k��r�|�}�n�| }�|�|�k��r$|�d�7�}�|� �|�¡���|��rZ|� �¡��rB�qZ|�|� �¡�7�}�|� �|�¡���qf|�S�)�NrY���ì����������rP���r����z9Error parsing the import table. Entries go beyond bounds.z$Excessive number of imports %d (>%s)r0���FTz9Error parsing the import table. Invalid data at RVA: 0x%xrý���z\Error parsing the import table. AddressOfData overlaps with THUNK_DATA for THUNK at RVA 0x%xrÎ���rÐ���)�rÓ���rÔ���rÕ���Ú�__IMAGE_THUNK_DATA_format__rÖ���r×���Ú�__IMAGE_THUNK_DATA64_format__r;���rL���rÞ���r°���rý���r·���r£���ré���r����rû���rÀ���rÇ���r���r���rÚ���rÜ���rÛ���rÙ���rç���rK���)�rä���r����rø���rª���rÅ���râ���rþ���Z expected_sizeZ�MAX_ADDRESS_SPREADZ�ADDR_4GBZ�MAX_REPEATED_ADDRESSESZ�repeated_addressZ�addresses_of_data_set_64Z�addresses_of_data_set_32Z start_rvaÚ�failedr(���Z
|
thunk_dataZ�addr_of_dataZ�the_setr����r����r����rÃ���l���s²�������
|
|
��������������������������������ÿ����
|
������ÿ�ÿ��������������������������
|
������ÿ�����������ÿ�������ÿ�����ÿ�������ÿ���þ���ý�������þ�ÿ��������
|
|
|
|
���������z�PE.get_import_tablerZ���c������������
|
�������C���s����|�d�k r�|�j�}�|� �|�¡���|�j�d�d�
���}�|�j�D�]Ä}�|�j�d�k�rF|�j�d�k�rFq,|�j�}�|� �|�j�|�j�j�¡�}�|� |�j
|
|�j�j�|�j�j�¡�}�|�t�|�j��k�s,|�t�|�j��k�s,|�|���t�|�j��k�s,|�|�k�r®q,|�t�|����} | d�k�rÐ|�d�| ��7�}�n�| d�k�rä|�d�|
���}�|�|� ¡�7�}�q,|�d�k �r�|�|�_�|�S�)�a´���Returns the data corresponding to the memory layout of the PE file.
|
|
The data includes the PE header and the sections loaded at offsets
|
corresponding to their relative virtual addresses. (the VirtualAddress
|
section header member).
|
Any offset in this data corresponds to the absolute memory address
|
ImageBase+offset.
|
|
The optional argument 'max_virtual_address' provides with means of limiting
|
which sections are processed.
|
Any section with their VirtualAddress beyond this value will be skipped.
|
Normally, sections with values beyond this range are just there to confuse
|
tools. It's a common trick to see in packed executables.
|
|
If the 'ImageBase' optional argument is supplied, the file's relocations
|
will be applied to the image by calling the 'relocate_image()' method. Beware
|
that the relocation information is applied permanently.
|
Nr����r`���)�r���Ú�relocate_imager¯���rv���ru���r{���rs���r|���r}���r���rt���r���rÀ���r����)
|
rä���Z�max_virtual_addressr���Z original_dataZ�mapped_datar����Z�srdZ�prdrx���rù���r����r����r����Ú�get_memory_mapped_imageð���sF���������
|
|
������������ÿ���������ý���ÿ���þ���ý���ü����������������
|
���z�PE.get_memory_mapped_imagec��������������������C���sv���g�}�t�|�d��rr|�j�j�D�]Z}�t�|�d��r�|�j�j�D�]B}�t�|�d��r,t�|�j�d��r,|�j�j�r,t�|�j�j� �¡��D�]�}�|� �|�¡���q^q,q�|�S�)�a����Returns a list of all the strings found withing the resources (if any).
|
|
This method will scan all entries in the resources directory of the PE, if
|
there is one, and will return a [] with the strings.
|
|
An empty list will be returned otherwise.
|
Ú�DIRECTORY_ENTRY_RESOURCEre���rs���)�r���rÌ���r����re���rs���r����r���rý���)�rä���Z�resources_stringsÚ�res_typerz���Ú
|
res_stringr����r����r�����get_resources_strings9���s����� ��
|
|
|
|
ÿ���þ����
|
ÿ����z�PE.get_resources_stringsc��������������������C���sl���|� �|�¡�}�|�r�|�|���}�n�d�}�|�s`|�t�|�j��k�r<|�j�|�|�
���S�|�t�|�j��k�rX|�j�|�|�
���S�t�d���|� �|�|�¡�S�)�zÌGet data regardless of the section where it lies on.
|
|
Given a RVA and the size of the chunk to retrieve, this method
|
will find the section where the data lies and return the data.
|
Nz-data at RVA can't be fetched. Corrupt header?)�rò���rÀ���rñ���r���rû���r����)�rä���r����r����r$���r���r����r����r����r����U���s������
|
|
���������������z�PE.get_datac������������������������sJ���� �|�¡�}�|�s@�j�r<t��f�d�d���j�D���}�|�|�k�r8|�S�d�S�|�S�|� �|�¡�S�)�z.Get the RVA corresponding to this file offset.c������������������������s$���g�|�]�}�� �|�j��j�j��j�j�¡��q�S�r����)�r���rt���r|���r���r}���rX���rã���r����r����r4���~���s�������û�������ýz*PE.get_rva_from_offset.<locals>.<listcomp>N)�r6���r¯���rá���r���)�rä���r6���r$���Z
|
lowest_rvar����r��r����r���w���s������
|
|
��ú�ÿ�
|
� ������z�PE.get_rva_from_offsetc��������������������C���s<���|� �|�¡�}�|�s2|�t�|�j��k�r |�S�t�d�|�d��d����|� �|�¡�S�)�z³Get the file offset corresponding to this RVA.
|
|
Given a RVA , this method will find the section where the
|
data lies and return the offset within the file.
|
z�data at RVA 0xrÝ���z� can't be fetched)�rò���rÀ���r���rû���r���)�rä���r����r$���r����r����r����r������s������
|
���������z�PE.get_offset_from_rvac��������������������C���sJ���|�d�k�r�d�S�|� �|�¡�}�|�s4|� �d�|�j�|�|�|���
���¡�S�|� �d�|�j�|�|�d��¡�S�)�z1Get an ASCII string located at the given address.Nr����)�r����)�rò���r8���r���r����)�rä���r����rø���r$���r����r����r����r���«���s����������
|
�����z�PE.get_string_at_rvac��������������������C���s2���|�t�|��k�r�d�S�|�|�d�
���}�t�|�t��r.t�|��S�|�S�)�r²���r����N)�rÀ���rË���rÚ���rÍ���)�rä���r6���r(���r#���r����r����r����Ú�get_bytes_from_data¶���s������������
|
���z�PE.get_bytes_from_datac��������������������C���s.���|� �|�|�¡�}�|� �d�¡�}�|�d�k�r*|�d�|�
���}�|�S�)�z�Get an ASCII string from data.r`���r����N)�rÐ���r����)�rä���r6���r(���r$���r���r����r����r����r8���¿���s
|
|
�����z�PE.get_string_from_datarW���c������������
|
�������C���s����|�d�k�r�d�S�|� �|�d�¡�}�|�d�K�}�t�|�d��}�|� �|�|�¡�}�d�}�|� �d�|�d���¡�}�|�d�k�rt�|��}�|�|�k�sj|�|�k�rxt�|��d�?�}�q¶|�|� �|�|���|�|���¡�7�}�|�d���}�|�}�q:|�d���d�k�r:|�d�L�}�q¶q:t� �d� �|�¡�|�d |�d���
���¡�}�d
|
�t�t |��¡�} |�røt
|
| �|�d�¡��S�t
|
| �d�d�¡��S�) z3Get an Unicode string located at the given address.r����r����r;���r0���rS���rü���rU���z�<{:d}HNrõ���r����ró���)�r����rá���r����rÀ���rÁ���rÂ���rþ���r����Ú�mapra���rÃ���rÜ���)
|
rä���r����rø���r���r(���Ú requestedZ
|
null_indexZ�data_lengthZ�uchrsr$���r����r����r����rù���Ç���s0�������������
|
�������������������������������������z�PE.get_string_u_at_rvac��������������������C���s"���|�j�D�]�}�|� �|�¡�r�|�����S�q�d�S�)�z1Get the section containing the given file offset.N)�r¯���r���)�rä���r6���r����r����r����r����r6���ò���s������
|
|
|
�z�PE.get_section_by_offsetc��������������������C���sD���|�j�d�k r�|�j� �|�¡�r�|�j�S�|�j�D�]�}�|� �|�¡�r"|�|�_�|�����S�q"d�S�)�z-Get the section containing the given address.N)�r®���r���r¯���)�rä���r����r����r����r����r����rò���û���s������
|
|
|
|
�z�PE.get_section_by_rvac��������������������C���s����|� �¡�S�r����)�Ú dump_inforã���r����r����r����rô�������s������z
|
PE.__str__c��������������������C���s
|
���t�|�d��S�)�z.Checks if the PE file has relocation directoryÚ�DIRECTORY_ENTRY_BASERELOC)�r���rã���r����r����r����Ú
|
has_relocs����s������z PE.has_relocsc��������������������C���s����t�|�d��r�|�j�j�r�d�S�d�S�)�N�DIRECTORY_ENTRY_LOAD_CONFIGTF)�r���r���r=���r��r����r����r�����has_dynamic_relocs����s������
|
�����z�PE.has_dynamic_relocsró���c��������������������C���s����t�|�j�|�d�����d�S�)�z=Print all the PE header information in a human readable from.r���N)�r ���rÓ���)�rä���r���r����r����r����Ú
|
print_info����s������z PE.print_infor���c������������!��� �������sÊ����d�k�r�t���|� �¡�}�|�r@� �d�¡���|�D�]�}�� �|�¡���� �¡���q(� �d�¡���� �|�j� �¡�¡���� �¡���� �d�¡���� �|�j� �¡�¡���� �¡���� �d�¡���� �|�j �¡�¡���t
|
t�d��}�� �d�¡���g�}�t |��D�]"}�t�|�j |�d����r¾|� �|�d���¡���q¾� �d �|�¡�¡���� �¡���t�|�d
|
��r,|�j�d�k �r,� �d
|
¡���� �|�j� �¡�¡���t
|
t�d��}�� �d�¡���g�}�t |��D�]&}�t�|�j�|�d�����rL|� �|�d���¡����qL� �d �|�¡�¡���� �¡���� �d ¡���t
|
t�d��} |�j�D�]î}
|
� �|
|
�¡�¡���� �d�¡���g�}�t | �D�]$}�t�|
|
|�d�����rÎ|� �|�d���¡����qÎ� �d �|�¡�¡���� �d� �|
|
�¡�¡�¡���t�d�k �r6� �d� �|
|
�¡�¡�¡���t�d�k �rR� �d�|
|
�¡���¡���t�d�k �rn� �d�|
|
�¡���¡���t�d�k �r� �d�|
|
�¡���¡���� �¡����q¦t�|�d
|
��rêt�|�j�d���rê� �d�¡���|�j�j D�]�}�|�d�k �rÂ� �|� �¡�¡����qÂ� �¡���t�|�d���ræt!|�j"�D��]â\�}�} t#|�j"�d�k��r0� �d�|�d�����¡���n
|
� �d�¡���| d�k �rR� �| �¡�¡���� �¡���t�|�d���r� �|�j$|��� �¡�¡���� �¡���t�|�d���r�t#|�j%�|�k��r�|�j%|���D��]6}�� �|� �¡�¡���� �¡���t�|�d���rd|�j&D�]}��f�d�d��|� �¡�D����� �d� �|�j' (|�d ¡�¡�¡���� �¡���t t)|�j* +¡���D�]0}�� �d! �|�d��� (|�d ¡�|�d��� (|�d ¡�¡�¡����q$�qÖ� �¡���nzt�|�d"��r¨|�j,D�]^}�t�|�d#��rv�f�d$d��|� �¡�D����� �d! �t)|�j- .¡��d��� (d%d ¡�t)|�j- /¡��d���¡�¡����qv� �¡����q¨�q�t�|�d&��r¨� �d'¡���� �|�j0j1 �¡�¡���� �¡���� �d(d)��¡���|�j0j2D�]r}�|�j3d�k �r,t4d*�}�|�j5�rR|�j5}�� �d+|�j6|�j3|� (|�¡�f���¡���|�j7�r� �d, �|�j7 (|�d ¡�¡�¡���n�� �¡����q,� �¡���t�|�d-��rÚ� �d.¡���|�j8D��]�}�� �|�j1 �¡�¡���|�j9�s�� �d/ �|� :|�j1j;¡� (|�d ¡�¡�¡���� �¡���� �¡���|�j9D�]²}�|�j<d0k��r||�j5d�k �r^� �d1 �|�j= (d%¡�|�j5 (d%¡�|�j6¡�¡���n�� �d2 �|�j= (d%¡�|�j6¡�¡���n*� �d3 �|�j= (|�d ¡�|�j5 (|�d ¡�|�j>¡�¡���|�j?�rÂ� �d4 �|�j?¡�¡���n�� �¡����q�� �¡����qÄt�|�d5��rt� �d6¡���|�j@D�]|}�� �|�j1 �¡�¡���� �d7 �|�j5 (|�d ¡�¡�¡���� �¡���|�j*D�]<}�� �|�j1 �¡�d8¡���� �d7 �|�j5 (|�d ¡�¡�d8¡���� �¡����q2�qöt�|�d9��r@� �d:¡���|�jAD�]®}�� �|�j1 �¡�¡���� �¡���|�j9D�]}�|�j<d0k��râ� �d; �|�j= (|�d ¡�|�j6¡�¡���n*� �d< �|�j= (|�d ¡�|�j5 (|�d ¡�|�j>¡�¡���|�j?�r(� �d4 �|�j?¡�¡���n�� �¡����q²� �¡����qt�|�d=�
|
r� �d>¡���� �|�jBj1 �¡�¡���|�jBj*D��]�}�|�j5d�k �r¦|�j5 (|�d ¡�}�� �d?|��d@�dA¡���n0tC D|�j1jEdB¡�}�� �dC|�j1jEdD�dE|��dF�dA¡���� �|�j1 �¡�dA¡���t�|�dG�
|
rx� �|�jFj1 �¡�d8¡���|�jFj*D��]d}�|�j5d�k rF|�j5 (d%d ¡�}�� �d?|��d@�dH¡���n�� �dC|�j1jEdD�d@�dH¡���� �|�j1 �¡�dH¡���t�|�dG� r�� �|�jFj1 �¡�dI¡���|�jFj*D�]r}�t�|�dJ� r� �dK|�jGjH|�jGjItJ D|�jGjHdL¡�tK|�jGjH|�jGjI�f���dI¡���� �|�j1 �¡�dM¡���� �|�jGj1 �¡�dN¡��� qt�|�jFdO� r�|�jFjL r�� �dPdM¡���t)t |�jFjL +¡���D�],\�}�}�� �dQ �|�|� MdRdS¡� (dT¡�¡�dN¡���
|
qF q�� �¡����qp� �¡���t�|�dU�
|
rÎ|�jN
|
rÎ|�jNj1
|
rÎ� �dV¡���� �|�jNj1 �¡�¡���� �¡���t�|�dW��r�|�jO�r�|�jOj1�r�� �dX¡���� �|�jOj1 �¡�¡���� �¡���t�|�dY��r´� �dZ¡���|�jPD�]}�� �|�j1 �¡�¡���z�� �d[tQ|�j1jR����¡���W�n*��tSk
|
�r������� �d\ �|�j1jR¡�¡���Y�n�X�� �¡���|�j-�r,� �|�j- �¡�d8¡���� �¡����q,|� T¡��rT� �d]¡���|�jUD�]}�� �|�j1 �¡�¡���|�j*D�]^}�z(� �d^|�jVtW|�jX��d_d�
���f���d8¡���W�n.��tSk
|
�rB������� �d`|�jV|�jXf���d8¡���Y�n�X��qè� �¡����qÎt�|�da��rÂt#|�jY�d�k��rÂ� �db¡���|�jYD�]@} � �| j1 �¡�¡���t�| dc��r| jZd�k �r� �| jZ �¡�d8¡����q� [¡�S�)dz>Dump all the PE header information into human readable string.Nú�Parsing WarningsrÙ���rÝ���rä���rÌ���r����r����r����r|���rÍ���z�DllCharacteristics: ú�PE Sectionsr���z!Entropy: {0:f} (Min=0.0, Max=8.0)z�MD5 hash: {0}z�SHA-1 hash: %sz�SHA-256 hash: %sz�SHA-512 hash: %srë���Ú�Directoriesr���r0���z�Version Information ú�Version Informationr���r����r���c������������������������s����g�|�]�}�� �d�|���¡��q�S�©�z� r����©�r2���r����©�rW���r����r����r4������s��������z PE.dump_info.<locals>.<listcomp>z LangID: {0}r����z� {0}: {1}r���r����c������������������������s����g�|�]�}�� �d�|���¡��q�S�rÝ���r����rÞ���rß���r����r����r4���¢���s�������ÿró���r¹���ú�Exported symbolsz�%-10s %-10s %s©�rÙ���Ú�RVAr����Ú�Nonez�%-10d 0x%08X %sz� forwarder: {0}r±���ú�Imported symbolsz Name -> {0}Tz*{0}.{1} Ordinal[{2}] (Imported by Ordinal)z&{0} Ordinal[{1}] (Imported by Ordinal)z�{0}.{1} Hint[{2:d}]z� Bound: 0x{0:08X}Ú�DIRECTORY_ENTRY_BOUND_IMPORTú Bound importsz�DLL: {0}r?���Ú�DIRECTORY_ENTRY_DELAY_IMPORTú�Delay Imported symbolsz({0} Ordinal[{1:d}] (Imported by Ordinal)z�{0}.{1} Hint[{2}]rÌ���ú�Resource directoryz�Name: [ú�]r;���rW���z�Id: [0xrX���z�] (r»���re���rC���rE���r(���z�\--- LANG [%d,%d][%s,%s]r¸���rI���rL���rs���z [STRINGS]z�{0:6d}: {1}ú�unicode-escaper ���r���Ú�DIRECTORY_ENTRY_TLSÚ�TLSrÖ���Ú�LOAD_CONFIGÚ�DIRECTORY_ENTRY_DEBUGú�Debug informationz�Type: z�Type: 0x{0:x}(Unknown)ú�Base relocationsz�%08Xh %sr.���z�0x%08X 0x%x(Unknown)Ú�DIRECTORY_ENTRY_EXCEPTIONz"Unwind data for exception handlingr/���)\r ���rü���r����r����r����r����rÙ���rW���rÝ���rä���rÒ���rå���rç���Ú�sortedrR���rý���r����r���r|���ré���r���r¯���rþ���r���r����r���r����r���r����r���r����r���rë���rM���r���rÀ���r���r����r���r���rÄ���r����r����rÊ���r���r����rÑ���r���r¹���rÁ���r���rÑ���rÃ���r?���rÎ���ræ���r±���r���r���r����r¾���r ���r¿���rÏ���rå���rç���rÌ���rp���rº���ru���re���r(���rg���rh���r¹���r¾���rs���rÜ���rì���rÖ���rï���Ú
|
DEBUG_TYPEr[���r��r���r���r�����RELOCATION_TYPEr�r�r/���r����)!r��rW���r����warningsr
|
���rø���rÕ���rÏ���rú���r���r����re���rO���Z�vinfo_entryr����r����Ú str_entryÚ var_entryÚ�exportr?���Ú�modulerD���Ú�bound_imp_descÚ bound_imp_refrÍ���Z�res_type_idrz���r{���rÎ���ra���Ú
|
base_reloc�relocr3���r����r���r����r�������s�������������
|
|
|
|
|
|
|
|
|
��������ÿ��
|
|
|
|
|
��������������ÿ��
|
|
|
|
����������ÿ��
|
|
|
|
|
������������ÿ�ÿ�ÿ���������������ÿ�������ÿ�ü�ÿ��
|
|
|
��þ�����������ÿ���ü�ÿ� ����
|
����������������������ÿ�ÿ���������ÿ�ÿ��������
|
����������������ÿ�ÿ�ÿ������
|
|
|
��ý�ÿ������
|
��ÿ�ÿ�����������ý�ÿ������������
|
|
��������ÿ�ÿ����
|
��������ÿ���ü������
|
|
|
����������þ�ÿ�����������ý�ÿ������������
|
|
��þ���������þ����������������
|
��þ���������������������������ÿ�������þ�ú�ÿ���ó������
|
ÿ���þ�������ÿ�������������ÿ���þ�þ���ù�
|
�����ÿ���þ���ý��
|
������ÿ���þ���ý��
|
|
|
|
|
|
|
��������þ���������ÿ�����ÿ���þ��
|
|
�������z�PE.dump_infoc������������.���
|
���C���sb ��i�}�|� �¡�}�|�r�|�|�d�<�|�j� �¡�|�d�<�|�j� �¡�|�d�<�|�j� �¡�|�d�<�t�t�d��}�g�|�d�<�|�D�]&}�t�|�j�|�d����rX|�d��� �|�d���¡���qXt |�d��r¢|�j
|
d k r¢|�j
|
�¡�|�d�<�t�t�d
|
�}�g�|�d�<�|�D�]&}�t�|�j
|
|�d����r¸|�d��� �|�d���¡���q¸g�|�d�<�t�t�d �}�|�j D�]²}�|� �¡�}�|�d��� �|�¡���g�|�d�<�|�D�](}�t�|�|�d�����r�|�d��� �|�d���¡����q�|� �¡�|�d�<�t�d k �rj|� �¡�|�d�<�t�d k �r|� �¡�|�d�<�t�d k �r|� �¡�|�d�<�t�d k rø|� �¡�|�d�<�qøt |�d���r�t |�j
|
d���r�g�|�d�<�t�|�j
|
j��D�]&\�} }
|
|
|
d k �rÚ|�d��� �|
|
�¡�¡����qÚt |�d���rg�|�d�<�t�|�j��D��]b\�} }�g�}�|� �|� �¡�¡���t |�d���r\|� �|�j�| �� �¡�¡���t |�d���rtt�|�j��| k��rtg�} |� �| ¡���|�j�| ��D�]â}�| �|� �¡�¡���t |�d���r
|
i�}�|�j�D�]D}�| �|� �¡�¡���|�j�|�d�<�t |�j! "¡��D�]�}�|�d���|�|�d���<��qâ�q¸| �|�¡���nft |�d���r|�j#D�]R}�i�}�t |�d���r�| �|� �¡�¡���t |�j$ %¡��d���|�t |�j$ &¡��d���<�| �|�¡����q��q|�d��� �|�¡����q t |�d���r�g�|�d�<�|�d��� �|�j'j( �¡�¡���|�j'j)D�]N}�i�}�|�j*d k �rö|� +|�j,|�j*|�j-d �¡���|�j.�rö|�j.|�d!<�|�d��� �|�¡����q¸t |�d"��rºg�|�d#<�|�j/D�]}�g�}�|�d#�� �|�¡���|� �|�j( �¡�¡���|�j0D�]f}�i�}�|�j1d$k��rx|�j2|�d%<�|�j,|�d&<�n�|�j2|�d%<�|�j-|�d'<�|�j3|�d(<�|�j4�r¨|�j4|�d)<�|� �|�¡����qN�q"t |�d*��r4g�|�d+<�|�j5D�]^}�i�}�|�d+�� �|�¡���|� +|�j( �¡�¡���|�j-|�d%<�|�j!D�]$}�i�}�|� +|�j( �¡�¡���|�j-|�d%<��q
|
�qÔt |�d,��ræg�|�d-<�|�j6D�]}�g�}�|�d-�� �|�¡���|� �|�j( �¡�¡���|�j0D�]f}�i�}�|�j1d$k��r¤|�j2|�d%<�|�j,|�d&<�n�|�j2|�d%<�|�j-|�d'<�|�j3|�d(<�|�j4�rÔ|�j4|�d)<�|� �|�¡����qz�qNt |�d.��r�g�|�d/<�|�d/�� �|�j7j( �¡�¡���|�j7j!D��]æ}�i�} |�j-d k �r:|�j-| d'<�n�|�j(j8t9 :|�j(j8d0¡�f�| d1<�| +|�j( �¡�¡���|�d/�� �| ¡���t |�d2��r�g�}!|! �|�j;j( �¡�¡���|�d/�� �|!¡���|�j;j!D��]N}"i�}#|"j-d k �rÎ|"j-|#d'<�n�|"j(j8|#d1<�|# +|"j( �¡�¡���|! �|#¡���t |"d2��r¬g�}$|$ �|"j;j( �¡�¡���|! �|$¡���|"j;j!D�]}%t |%d3��r(i�}&|%j<j=|&d4<�|%j<j>|&d5<�t? :|%j<j=d6¡�|&d7<�t@|%j<j=|%j<j>�|&d8<�|& +|%j( �¡�¡���|& +|%j<j( �¡�¡���|$ �|&¡����q(t |"j;d9��r¬|"j;jA�r¬t |"j;jA "¡��D�]"\�} }'|$ �|' Bd:d;¡� Cd<¡�¡����qÖ�q¬�q�t |�d=��r0|�jD�r0|�jDj(�r0|�jDj( �¡�|�d><�t |�d?��r^|�jE�r^|�jEj(�r^|�jEj( �¡�|�d@<�t |�dA��rºg�|�dB<�|�jFD�]@}(i�})|�dB�� �|)¡���|) +|(j( �¡�¡���tG :|(j(jH|(j(jH¡�|)dC<��qx|� I¡� r^g�|�dD<�|�jJD�]}*g�}+|�dD�� �|+¡���|+ �|*j( �¡�¡���|*j!D�]Z},i�}-|+ �|-¡���|,jK|-dE<�z�tL|,jM��dFd
���|-dC<�W�n ��tNk
|
rT������|,jM|-dC<�Y�n�X��qþ�qÒ|�S�)Gz5Dump all the PE header information into a dictionary.rÙ���rÙ���rÝ���rä���rÌ���r
|
���r����r|���NrÍ���rê���rÚ���r���Z�EntropyÚ�MD5Ú�SHA1Ú�SHA256Ú�SHA512rë���rÛ���r���rÜ���r���r����r���r���r0���r���r����r¹���rà���rá���ræ���r±���rä���TZ�DLLrÙ���r����Z�HintZ�Boundrå���ræ���rç���rè���rÌ���ré���rW���ru���re���r(���r¹���r»���r¸���Z LANG_NAMEZ�SUBLANG_NAMErs���rë���r ���r���rì���rí���rÖ���rî���rï���rð���r[���rñ���râ���r.���)Orü���rÙ���rq���rÝ���rä���rÒ���rå���rR���rý���r���r|���ré���r���r¯���r���r����r���r����r���r����r���r����r���rM���rë���r���r���rÀ���r����r���r³���r���r����r����rÊ���r���r����r���rÑ���r¹���rÁ���r���rÑ���rr���rÎ���r?���ræ���r±���r���r¾���r ���r¿���rÏ���rå���rç���rÌ���ru���rp���rº���re���r(���rg���rh���r¹���r¾���rs���rÜ���rÄ���rì���rÖ���rï���rô���r[���rÕ���rÔ���r����rõ���rò���rî���).rä���rq���rö���rø���rÏ���rú���r���r����Z�section_dictrO���re���Z�vs_vinfoZ�version_info_listZ fileinfo_listr����Z�stringtable_dictr����r÷���rø���Z�var_dictrù���Z�export_dictrú���Z�import_listrD���Z�symbol_dictrû���Z�bound_imp_desc_dictrü���Z�bound_imp_ref_dictZ�module_listrÍ���Z�resource_type_dictZ�directory_listrz���Z�resource_id_dictZ�resource_id_listr{���Z�resource_lang_dictrÎ���ra���Z�dbg_dictrý���Z�base_reloc_listrþ���Z
|
reloc_dictr����r����r����rq���¼���sú�������������������
|
������������������ÿ������������
|
|
|
|
|
������������ÿ������
|
|
|
|
|
����������ÿ���þ������������
|
ÿ���������������ý�ÿ����
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ÿ�������������þ��������������������������
|
|
ÿ��
|
����������þ���ÿ�������ÿ�������þ�þ���ÿ�����ÿ����
|
ÿ����
|
ÿ���þ����
|
ÿ���������ÿ���þ�ÿ���ÿ���þ���ý�����ÿ���þ���ý��
|
þ���ÿ������
|
|
|
|
|
|
���������z�PE.dump_dictc��������������������C���s(���z�|� �|�¡�W�S���t�k
|
r"������Y�d�S�X�d�S�)�z;Gets the physical address in the PE file from an RVA value.N)�r���rÕ���r���r����r����r����Ú�get_physical_by_rvaâ���s������������z�PE.get_physical_by_rvac��������������������C���s����t� �d�|�d�@�¡�S�)�zMReturn a four byte string representing the double word value (little endian).rý���ì����ÿÿ��©�rÁ���rS���)�rä���Ú�dwordr����r����r����Ú�get_data_from_dwordí���s������z�PE.get_data_from_dwordc��������������������C���s<���|�d���d���t�|��k�r�d�S�t� �d�|�|�d���|�d���d���
���¡�d���S�)�a����Convert four bytes of data to a double word (little endian)
|
|
'offset' is assumed to index into a dword array. So setting it to
|
N will return a dword out of the data starting at offset N*4.
|
|
Returns None if the data can't be turned into a double word.
|
r0���r?���Nr ���r����©�rÀ���rÁ���rÂ���©�rä���r(���r6���r����r����r����r���ñ���s����� ����z�PE.get_dword_from_datac��������������������C���s2���z�|� �|� �|�d�¡�d�¡�W�S���t�k
|
r,������Y�d�S�X�d�S�)�z Return the double word value at the given RVA.
|
|
Returns None if the value can't be read, i.e. the RVA can't be mapped
|
to a file offset.
|
r?���r����N)�r���r����rû���r���r����r����r����r>���ÿ���s������������z�PE.get_dword_at_rvac��������������������C���s0���|�d���t�|�j��k�r�d�S�|� �|�j�|�|�d���
���d�¡�S�)�zFReturn the double word value at the given file offset. (little endian)r?���Nr����)�rÀ���r���r���rI���r����r����r����Ú�get_dword_from_offset����s����������z�PE.get_dword_from_offsetc��������������������C���s����|� �|�|� �|�¡�¡�S�)�zLSet the double word value at the file offset corresponding to the given RVA.)�Ú�set_bytes_at_rvar����)�rä���r����r����r����r����r����Ú�set_dword_at_rva����s������z�PE.set_dword_at_rvac��������������������C���s����|� �|�|� �|�¡�¡�S�)�z3Set the double word value at the given file offset.)�rá���r����)�rä���r6���r����r����r����r����rß�������s������z�PE.set_dword_at_offsetc��������������������C���s����t� �d�|�¡�S�)�zFReturn a two byte string representing the word value. (little endian).r����r����©�rä���rö���r����r����r����Ú�get_data_from_word����s������z�PE.get_data_from_wordc��������������������C���s<���|�d���d���t�|��k�r�d�S�t� �d�|�|�d���|�d���d���
���¡�d���S�)�a����Convert two bytes of data to a word (little endian)
|
|
'offset' is assumed to index into a word array. So setting it to
|
N will return a dword out of the data starting at offset N*2.
|
|
Returns None if the data can't be turned into a word.
|
r0���r;���Nr����r����r����r ���r����r����r����r���#���s����� ����z�PE.get_word_from_datac��������������������C���s8���z�|� �|� �|�¡�d�d�
���d�¡�W�S���t�k
|
r2������Y�d�S�X�d�S�)�zReturn the word value at the given RVA.
|
|
Returns None if the value can't be read, i.e. the RVA can't be mapped
|
to a file offset.
|
Nr;���r����)�r���r����rû���r���r����r����r����Ú�get_word_at_rva1���s������������z�PE.get_word_at_rvac��������������������C���s0���|�d���t�|�j��k�r�d�S�|� �|�j�|�|�d���
���d�¡�S�)�z?Return the word value at the given file offset. (little endian)r;���Nr����)�rÀ���r���r���rI���r����r����r����Ú�get_word_from_offset=���s����������z�PE.get_word_from_offsetc��������������������C���s����|� �|�|� �|�¡�¡�S�)�zESet the word value at the file offset corresponding to the given RVA.)�r����r����)�rä���r����rö���r����r����r����Ú�set_word_at_rvaE���s������z�PE.set_word_at_rvac��������������������C���s����|� �|�|� �|�¡�¡�S�)�z,Set the word value at the given file offset.)�rá���r����)�rä���r6���rö���r����r����r����rç���I���s������z�PE.set_word_at_offsetc��������������������C���s����t� �d�|�¡�S�)�zMReturn an eight byte string representing the quad-word value (little endian).ú�<Qr����r ���r����r����r����Ú�get_data_from_qwordQ���s������z�PE.get_data_from_qwordc��������������������C���s<���|�d���d���t�|��k�r�d�S�t� �d�|�|�d���|�d���d���
���¡�d���S�)�a����Convert eight bytes of data to a word (little endian)
|
|
'offset' is assumed to index into a word array. So setting it to
|
N will return a dword out of the data starting at offset N*8.
|
|
Returns None if the data can't be turned into a quad word.
|
r0���rE���Nr����r����r����r ���r����r����r����Ú�get_qword_from_dataU���s����� ����z�PE.get_qword_from_datac��������������������C���s8���z�|� �|� �|�¡�d�d�
���d�¡�W�S���t�k
|
r2������Y�d�S�X�d�S�)�zReturn the quad-word value at the given RVA.
|
|
Returns None if the value can't be read, i.e. the RVA can't be mapped
|
to a file offset.
|
NrE���r����)�r����r����rû���r���r����r����r����Ú�get_qword_at_rvac���s������������z�PE.get_qword_at_rvac��������������������C���s0���|�d���t�|�j��k�r�d�S�|� �|�j�|�|�d���
���d�¡�S�)�zDReturn the quad-word value at the given file offset. (little endian)rE���Nr����)�rÀ���r���r����rI���r����r����r����Ú�get_qword_from_offseto���s����������z�PE.get_qword_from_offsetc��������������������C���s����|� �|�|� �|�¡�¡�S�)�zJSet the quad-word value at the file offset corresponding to the given RVA.)�r����r����)�rä���r����Ú�qwordr����r����r����Ú�set_qword_at_rvaw���s������z�PE.set_qword_at_rvac��������������������C���s����|� �|�|� �|�¡�¡�S�)�z1Set the quad-word value at the given file offset.)�rá���r����)�rä���r6���r����r����r����r����Ú�set_qword_at_offset{���s������z�PE.set_qword_at_offsetc��������������������C���s0���t�|�t��s�t�d���|� �|�¡�}�|�s$d�S�|� �|�|�¡�S�)�zèOverwrite, with the given string, the bytes at the file offset corresponding
|
to the given RVA.
|
|
Return True if successful, False otherwise. It can fail if the
|
offset is outside the file's boundaries.
|
ú�data should be of type: bytesF)�rË���rÍ���Ú TypeErrorr����rá���)�rä���r����r(���r6���r����r����r����r�������s������
|
|
�����z�PE.set_bytes_at_rvac��������������������C���sF���t�|�t��s�t�d���d�|�����k�r,t�|�j��k�r>n���n�|� �|�|�¡���n�d�S�d�S�)�zÅOverwrite the bytes at the given file offset with the given string.
|
|
Return True if successful, False otherwise. It can fail if the
|
offset is outside the file's boundaries.
|
r����r����FT)�rË���rÍ���r����rÀ���r���Ú�set_data_bytes©�rä���r6���r(���r����r����r����rá������s������
|
���������z�PE.set_bytes_at_offset)�r6���r(���c��������������������C���s2���t�|�j�t��s�t�|�j��|�_�|�|�j�|�|�t�|����
�<�d�S�r����)�rË���r���rÚ���rÀ���r����r����r����r����r����¥���s����������z�PE.set_data_bytesc��������������������C���sX���|�j�D�]L}�|� �|�j�|�j�j�¡�}�|�|�j���}�|�t�|�j��k�r�|�t�|�j��k�r�|� �|�|� ¡�¡���q�d�S�)�zeUpdate the PE image content with any individual section data that has been
|
modified.
|
N)
|
r¯���r{���rs���r|���r}���ru���rÀ���r���r����r����)�rä���r����Z�section_data_startZ�section_data_endr����r����r����Ú�merge_modified_section_data«���s������
|
������ÿ��
|
����ÿ��z�PE.merge_modified_section_datac������������
|
�������C���st���|�|�j�j���}�t�|�j�j��d�k��rp|�j�j�d���j��rpt�|�d��sJ|�j�t�d���g�d����t�|�d��sd|�j� d�¡����n\|�j
|
D��]R}�d�}�|�t�|�j��k�rj|�j�|���}�|�d�7�}�|�j�t d ��k�r¤qt|�j�t d
|
��k�rÖ|� �|�j�|� �|�j�¡�|���d�?�d�@�¡���qt|�j�t d ��k��r�|� �|�j�|� �|�j�¡�|���d�@�¡���qt|�j�t d���k��r2|� �|�j�|� �|�j�¡�|���¡���qt|�j�t d���k��r|�t�|�j��k��rTqj|�j�|���}�|�d�7�}�|� �|�j�|� �|�j�¡�d�>�|�j���|���d�@�d�?�¡���qt|�j�t d���k�rt|� �|�j�|� �|�j�¡�|���¡���qtqj|�|�j�_�t�|�d���rþ|�j�D�]"}�|�j�D�]�}�|���j�|�7���_��qä�qÚt�|�d���rR|�j�j���j�|�7���_�|�j�j���j�|�7���_�|�j�j���j�|�7���_�|�j�j���j�|�7���_�t�|�d���rp|�j�j�} t�| d���r| j��r| ��j�|�7���_�t�| d���rª| j �rª| ��j |�7���_ t�| d���rÌ| j!�rÌ| ��j!|�7���_!t�| d���rî| j"�rî| ��j"|�7���_"t�| d���r�| j#�r�| ��j#|�7���_#t�| d���r2| j$�r2| ��j$|�7���_$t�| d���rT| j%�rT| ��j%|�7���_%t�| d���rv| j&�rv| ��j&|�7���_&t�| d���r| j'�r| ��j'|�7���_'t�| d���rº| j(�rº| ��j(|�7���_(|�j)t*k��rèt�| d���rè| j+�rè| ��j+|�7���_+t�| d ��r
|
| j,�r
|
| ��j,|�7���_,t�| d!��r,| j-�r,| ��j.|�7���_.t�| d"��rN| j.�rN| ��j.|�7���_.t�| d#��rp| j/�rp| ��j/|�7���_/d$S�)%a2���Apply the relocation information to the image using the provided image base.
|
|
This method will apply the relocation information to the image. Given the new
|
base, all the relocations will be processed and both the raw data and the
|
section's data will be fixed accordingly.
|
The resulting image can be retrieved as well through the method:
|
|
get_memory_mapped_image()
|
|
In order to get something that would more closely match what could be found in
|
memory once the Windows loader finished its work.
|
rC���rA���rÔ���r@���©�r.���zZRelocating image but PE does not have (or pefile cannot parse) a DIRECTORY_ENTRY_BASERELOCr����r0���rd���re���r.���rÐ���rf���rg���rh���r}���ri���r±���rì���rÖ���Ú�LockPrefixTableÚ�EditListÚ�SecurityCookieÚ�SEHandlerTableÚ�GuardCFCheckFunctionPointerÚ�GuardCFDispatchFunctionPointerÚ�GuardCFFunctionTableÚ�GuardAddressTakenIatEntryTableÚ�GuardLongJumpTargetTableÚ�DynamicValueRelocTableÚ�CHPEMetadataPointerÚ�GuardRFFailureRoutineÚ$GuardRFFailureRoutineFunctionPointerÚ(GuardRFVerifyStackPointerFunctionPointerÚ�EnclaveConfigurationPointerN)0r|���r���rÀ���rë���rQ���r���r ���rí���r°���rý���rÔ���r����rò���rõ���r����r����r����r����r>���r����r����r±���r���rÑ���rì���rÁ���Z�StartAddressOfRawDataZ�EndAddressOfRawDataZ�AddressOfIndexZ�AddressOfCallBacksrÖ���r ���r!���r"���r#���r$���r%���r&���r'���r(���r)���rÓ���rÖ���r*���r+���r,���r-���r.���)
|
rä���Z new_ImageBaseZ�relocation_differencerþ���Z entry_idxr����Z
|
next_entryr ���Ú�funcZ�load_configr����r����r����rÊ���º���sN��������ÿ���þ��
|
����ÿ��
|
����ÿ��������
|
|
��ÿ���þ���û�þ�
|
|
��ÿ���ü�þ� ������
|
��ÿ�þ���
|
|
����������ÿ���þ���ý���ú�þ��������
|
��ÿ�þ������
|
|
|
��ÿ��
|
��ÿ����
|
��ÿ�������ÿ���þ���������ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ�����ÿ���þ���ý�����ÿ���þ�����ÿ���þ�����ÿ���ÿ���þ�����ÿ���ÿ���þ��z�PE.relocate_imagec��������������������C���s����|�j�j�|� �¡�k�S�r����)�r|���Z�CheckSumÚ�generate_checksumrã���r����r����r����Ú�verify_checksum���s������z�PE.verify_checksumc��������������������C���s(���|� �¡�|�_�|�j� �¡�d���}�d�}�t�|�j��d���}�t�|�j��d�|���|�d�k�����}�t�t�|�d�����D�] }�|�t�|�d����k�rjqT|�d���t�|�d����k�r®|�r®t� �d�|�j�|�d���d�
���d�d�|�������¡�d���}�n&t� �d�|�j�|�d���|�d���d���
���¡�d���}�|�|�7�}�|�d�k�rT|�d�@�|�d ?���}�qT|�d
|
@�|�d�?���}�|�|�d�?���}�|�d
|
@�}�|�t�|�j����S�)�NrR���r����r?���r0���r����r`���rÆ���r����r-���rÐ���r.���) r����r���r|���rH���rÀ���rº���r����rÁ���rÂ���)�rä���Z�checksum_offsetr����Ú remainderZ�data_lenrÈ���r����r����r����r����r0������s.����
|
����������������������ÿ���þ��&�������������z�PE.generate_checksumc��������������������C���s0���t�d���}�|� �¡�s,|� �¡�s,|�|�j�j�@�|�k�r,d�S�d�S�)�zùCheck whether the file is a standard executable.
|
|
This will return true only if the file has the IMAGE_FILE_EXECUTABLE_IMAGE flag
|
set and the IMAGE_FILE_DLL not set and the file does not appear to be a driver
|
either.
|
rQ���TF)�r���is_dllr����r��r
���)�rä���Z�EXE_flagr����r����r����Ú�is_exeÌ���s���������ÿ���þ���ý����z PE.is_exec��������������������C���s ���t�d���}�|�|�j�j�@�|�k�r�d�S�d�S�)�zCheck whether the file is a standard DLL.
|
|
This will return true only if the image has the IMAGE_FILE_DLL flag set.
|
rU���TF)�r��r��r
���)�rä���Z�DLL_flagr����r����r����r3���ß���s������������z PE.is_dllc��������������������C���s���t�|�d��s�|�j�t�d���g�d����t�|�d��s*d�S�t�d��}�|� �d�d��|�j�D��¡�rLd�S�t�d �}�|� �d
|
d��|�j�D��¡�r|�j�j�t d���t d���f�k�rd�S�d�S�) zCheck whether the file is a Windows driver.
|
|
This will return true only if there are reliable indicators of the image
|
being a driver.
|
r±���r9���r����F)�s����ntoskrnl.exes����hal.dlls����ndis.syss����bootvid.dlls ���kdcom.dllc��������������������S���s����g�|�]�}�|�j� �¡��q�S�r����)�r ���r§���)�r2���r·���r����r����r����r4�������s��������z PE.is_driver.<locals>.<listcomp>T)�s����pages����pagedc��������������������S���s����g�|�]�}�|�j� �¡� �d�¡��q�S�)�r`���)�r����r§���rj���)�r2���r����r����r����r����r4�������s��������r^���r_���)
|
r���r ���rí���r^���Ú�intersectionr±���r¯���r|���Z SubsystemÚ�SUBSYSTEM_TYPE)�rä���Z�system_DLLsZ�driver_like_section_namesr����r����r����r����ì���s2�����
|
����ÿ��
|
������ÿ�����ÿ���������ÿ�������þ�ÿ�ý� ��z�PE.is_driverc���������������� �������sÒ���d��t�|�j��f��f�d�d� }�t�|�d��r:|�|�j� �¡�|�j�j�f���|�j�D�]�}�|�|�j�|�j f���q@t
|
d���g�}�t�|�j�j��D�]F\�}�}�|�|�k�r~qlz�|�|� |�j�¡�|�j�f���W�ql��t�k
|
r°������Y�qlY�qlX�qlt�|�j��t���k�rÎt���S�d�S�)�zoGet the offset of data appended to the file and not contained within
|
the area described in the headers.rÈ���c������������������������s$���t�|��|�k�r t�|��t���k�r |�S��S�r����)�Ú�sum)�Z�offset_and_sizeÚ file_size©�Z�largest_offset_and_sizer����r����Ú'update_if_sum_is_larger_and_within_file,���s
|
��������ÿ����zQPE.get_overlay_data_start_offset.<locals>.update_if_sum_is_larger_and_within_filer|���r>���N)�rÀ���r���r���r|���rH���rä���ræ���r¯���rs���ru���rí���rM���rë���r���rt���rQ���rû���r7���)�rä���r:���r����Z�skip_directoriesrO���re���r����r9���r����Ú�get_overlay_data_start_offset&���s4��������ÿ�
|
������þ�ÿ��
|
|
ÿ��
|
������������ÿ����������z PE.get_overlay_data_start_offsetc��������������������C���s"���|� �¡�}�|�d�k r�|�j�|�d�
���S�d�S�)�zeGet the data appended to the file and not contained within the area described
|
in the headers.N©�r;���r���©�rä���Z�overlay_data_offsetr����r����r����Ú�get_overlayT���s������������z�PE.get_overlayc��������������������C���s,���|� �¡�}�|�d�k r�|�j�d�|�
���S�|�j�d�d�
���S�)�zKReturn the just data defined by the PE headers, removing any overlaid data.Nr<���r=���r����r����r����Ú�trim_���s������������z�PE.trimc��������������������C���s:���|�t�k�r0|�j�d�k�r0t�|��s0|�j� �d�|���¡���d�|�_�t�|�|��S�)�NFz=If FileAlignment > 0x200 it should be a power of 2. Value: %xT)�r����r³���rØ���r°���rý���r"���)�rä���r ���r!���r����r����r����r{���v���s���������������ÿ�ÿ����z�PE.adjust_FileAlignmentc��������������������C���s@���|�t�k�r4|�|�k�r4|�j�d�k�r4|�j� �d�|�|�f���¡���d�|�_�t�|�|�|��S�)�NFzAIf FileAlignment(%x) < 0x200 it should equal SectionAlignment(%x)T)�r����r´���r°���rý���r%���)�rä���r ���r$���r!���r����r����r����r������s���������ÿ���þ�������ÿ�ÿ����z�PE.adjust_SectionAlignment)�N)�NFF)�N)�r����Nr����N)�F)�r����)�F)�NF)�NF)�rZ���N)�r����N)�rW���N)�ró���)�Nr���)rê���rë���rì���r����rØ���rã���rì���rç���rè���rÜ���r����r¡���r½���r���rj���r~���r|���r���r���r���r���r���r���rÇ���rÈ���rZ���rL���rR���r¸���r¹���rº���r;���r<���r?���r@���rF���rG���rH���Z&__IMAGE_DYNAMIC_RELOCATION_V2_format__Z(__IMAGE_DYNAMIC_RELOCATION64_V2_format__r5���r7���r2���Ú�MAX_SYMBOL_EXPORT_COUNTrà���r¿���rÁ���r¾���rÇ���rÈ���r½���r����rü���r����ró���r����rð���r ���r+���r*���r'���r(���rA���r&���rI���rN���rO���r%���r$���rt���rl���rv���r#���r���r���r)���r¯���r¸���rº���r"���r¢���rÃ���rË���rÏ���r����r���r���r9���r���rÐ���r8���rù���r6���rò���rô���rÕ���r×���rØ���rÓ���rq���r����r����r���r>���r
|
���r����rß���r����r���r����r����r����rç���r����r����r����r����r����r����r����rá���r����rÍ���r����r����rÊ���r1���r0���r4���r3���r����r;���r>���r?���r{���r���r����r����r����r����rd���� ��s<������H��� ���$�#�������������������������������������������������1�2�������������������������ú
|
6�������������r�Q�
|
|
7��������ÿ
|
b�Z�w���5�Z��
|
=�,�(��,
|
��9��������8
|
��������m
|
��0��
|
o���ú
|
�
|
��
|
I��
|
"������� ��
|
+� ��������
|
|
���"���(������������������������������������������������_���0��� �:�.������rd���c��������������������C���s ���d�d�l�}�d�}�|�j�d�d�
���s$t�|����nx|�j�d���d�k�r|�j�d�d�
���sJ|� �d�¡���t�|�j�d����}�|�j�j�D�]"}�t�t�|�j�j |�j
|
���|�j�|�j����q`n�t�t�|�j�d���� ¡����d�S�)�Nr����z1pefile.py <filename>
|
pefile.py exports <filename>r0���r���r;���z�error: <filename> required)�r°���Ú�argvr ���Ú�exitrd���r¹���r���r����r|���r���rÑ���r?���rÎ���rÓ���)�r°���Ú�usagerï���r���r����r����r����Ú�main���s������������
|
|
������������ÿ��rD���Ú�__main__)�r
|
���FF)�F) r����Ú
|
__author__Ú�__version__Z�__contact__r���rÏ���rÁ���rÛ���rf���r���rñ���rÂ���r\���r����Ú�typingr����Ú�hashlibr����r����r����r����r����r ���r����r¥���Ú�register_errorÚ�lookup_errorr����re���r����r"���r%���r)���r«���r9���r£���rÄ���r¤���r���r����rk���ri���r@���rÛ���rÚ���rÞ���rß���rà���rá���râ���Z IMAGE_NUMBEROF_DIRECTORY_ENTRIESrÕ���r×���rÔ���rÖ���r7���Z�directory_entry_typesrí���Z�image_characteristicsrå���Z�section_characteristicsr���Z�debug_typesrô���Z�subsystem_typesr6���Z machine_typesr1���Z�relocation_typesrõ���Z�dll_characteristicsré���r����r����r����Z registersr(���r&���r+���r2���r4���r9���r@���rM���rE���rI���rK���Z resource_typerp���rg���r¹���rh���r»���r5���r½���r¼���rý���r¾���rÊ���rÒ���r×���rØ���rÃ���r^���rÞ���rî���rÕ���rû���r ���r(���r*���r:���r;���rr���r·���r°���rÉ���rË���rÍ���rä���rå���rë���rì���rí���rî���rï���rð���rñ���r÷���rø���rù���rú���rû���rü���r����r%���r*���r1���r3���r8���r?���rD���rH���rJ���rL���r����Ú�ascii_lowercaseÚ�ascii_uppercaser&���r\���r_���ra���rÌ���rÍ���rÚ���Ú�boolrc���rd���rD���rê���r����r����r����r����Ú�<module>����sþ�������������������������������������������������������
|
|
��������������������������������������������������������������������������������ï�����������������������������������ð�����������������������������������������������������������������������������������������������Ò�1�������������������������������������î�������������������������������ò���������������������������������������������������������������������������Ü�'�������������������������ô���������������������������������ñ�����������ý�����������������������������������ð�����������������������������������������������������������������ë�����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������¢�a����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������j������
|
������ ��������� ���K�
|
�*��������������������������������
|
���+��J��I���Q�l� � �B���1����� ��� ���!����� ������-���
|
�����������������@�"�����ÿ���þ���ý�ÿ�������ÿ�����ÿ�������þ� ��������������������������������������������.����
|
