一、模板概述
定制数据结构模板,这当然比直接分析16进制的原始数据要方便得多,而且不容 易出错。你编辑好数据结构模板保存后,数据模板就生效了。这样你就可以分析 来自硬盘、内存等一些数据,这些数据将套用你数据结构模板来显示数据了。例 如:这样你可以定制一个模板来查阅数据库记录。
模板本身是个带扩展名TPL的文本文件。WINHEX提供的模板编辑器可以让您写模 板的定义,并提供语法检查. 模板的定义,主要包含变量声明,类似于源代码的编 程语言. 支持的数据类型包括所有的共同整数,浮点和布尔类型,日期类型, hex 值,二进制,文字, 串型. 数组变量和一组变量,都可以使用.能自由移动,前移和 后移的数据,使得使用模板的特别灵活:
1.同一个变量可以有多种用途
2.你不关心的数据部分可以跳过
模板管理器列出所有的模板的winhex目录,包含模板定义、标题、附加说明、文 件名,点击应用按钮,显示模板选用模板定义的数据,在当前编辑窗在目前的数据 解释. 你也可以创造一个新的模板定义,删除或编辑一个现有winhex提供的几个 模板样例.
二、模板定义
模板由头部和主体两部分组成, 模板头部定义的格式如下:
template "title" //模板标题
[description "description"] //说明
[applies_to (file/disk/RAM)] //应用到文件、磁盘还是内存
[fixed_start offset] //固定的起始偏移值
[sector-aligned] //扇区对齐
[requires offset "hex values"]//要求偏移的HEX值相等
[big-endian] //高字节优先
[hexadecimal/octal]
[read-only] //只读
[multiple [fixed overall size]]
// Put any general comments to the template here.
begin
variable declarations ...
end
中括号代表是该项是可选的. 表达式里面含有空格的话就要用双引号引起来. 评论会出现在模板的定义. 字继双斜线被忽略的解析器. 注释可以写在任何地方 ,在注释前要“//”号。
1.关键字" applies_to "必须跟着一个只有一个文件,磁盘或内存 . 如果你是用一 个模板解析的数据和用此关键字定义的数据来源不相同的话,winhex会发出一个 警告。
2.当模板解释这些数据时默认是从当前的光标位置处开始的,一旦使用 fixed_start声明位置,解释将总是以指定的偏移位置处开始解释.
3.如果模板应用于磁盘的情况下, 关键字"sector-aligned"确保模板从当前的扇区 的开始处进行解释, 而不管确切的光标在当前扇区的确切位置.
4."requires"的声明与"applies_to "声明有点类似,"requires" 声明使WinHex 防止模板定义对不匹配的数据做错误解释。指定一个偏移量和一个任意长度HEX 串(十六进制串)来进行匹配。例如,一个有效的主引导记录,可以确认的hex串 值“55AA”在偏移0x1fe处 ; 一个可执行文件的hex串值 " mz "在偏移0x0处 . 有许多" appliesto "声明的模板定义头部 ,都是考虑.
5.关键字"big-endian"导致模板定义所有多字节整数和布尔变量是以big-endian顺 序(高字节为优先)的读写 .
6. 关键字" hexadecimal "使模板定义的所有整数变量的以十六进制记法显示 .
7.关键字"read-only"确保模板只能用来显示数据. 数据将成灰色,就不能修改数 据如果在头部设定"multiple"关键字 , winhex允许浏览到相邻的数据记录在同个 模板. 这就要求winhex要知道的记录的大小. 如果"multiple"关键字没有指定为 尺寸参数,winhex 计算模板结构总尺寸( = record )来解释当前位置到模板的对 应的末尾. 如果这是一个可变尺寸, 即数组大小或移动参数来动态决定 winhex 不能浏览先前数据记录.
三、变量声明
模板主体的定义主要包括变量声明,类似于编程语言. 下面是变量声明的基本形 式
type "title"//类型 标题
下面是类型:
int8, uint8 = byte, int16, uint16, int24, uint24, int32, uint32, int64,
uint_flex
binary,
float = single, real, double, longdouble = extended,
char, char16, string, string16,
zstring, zstring16,
boole8 = boolean, boole16, boole32 hex,
DOSDateTime, FileTime, OLEDateTime, SQLDateTime, UNIXDateTime = time_t, JavaDateTime
"title"只能包含在引号中若含空字符. "title"绝不能仅由数字组成. winhex不
区分大小写字符称. 最多有41字符.
在类型之前可以跟以下关键字
big-endian(高字节优先 little-endian (低字节优先)
hexadecimal(十六进制) decimal(十进制) octal(八进制 )
read-only(只读) read-write(可读写)
这些修正只影响紧随其后的变量. 他们是多余的,如果他们出现在头已经定义 数据类型后面的数据代表占用空间大小的位数,char16和string16是一样的, winhex支持Unicode字符和字符串. 但是, Unicode字符以外的256个第一的 ANSI等价字都不支持. 最高字符串大小,可以修改用模板是8192字节.
各类串, string16 , hex需要额外参数,明确了一些内容. 这个参数可以是一个 常数或一个先前宣布变数或数学表达(见下文) . 如果它是一个常数,可以指定十 六进制格式, 这是公认的,如果号码是先0x .
你可以声明变量数组,把数组大小括号旁边的种类或 称号. 以下两行宣布可变大 小的 ascii字符串,其长度取决于前变:
uint8 "len"
char[len] "A string"
同样的功能可以通过以下两句来定义:
byte "len"
string len "A string"
字符"~ "可以作为一个占位后更换与实际的数组元素的数目(见高级 命令) . 这 并不适用于数组char变数,因为它们会自动被翻译成一个字符串. 字符串的参数,整型变量数据大小的表达式,可在指定的数学符号. 他们将处理 的综合公式解析器. 这些用语须圆括号. 他们不能含有空字符. 他们可利用先前 宣布整型变量的名字不包含空字符. 支持的行动,另外, ( + ) ,减法( - ) ,乘 法( * ) ,整除( / ) ,取模( % ) , 位与 ( & ) , 位或 ( | ) , and 异或 ( ^ ) . 有效的数学公式所举例( 5 * 2+1 )或( len1 / ( len2 +4 ) ) . 结果总是 一个整数,必须是一个正数.
zstring和zstring16都是NULL结尾的字符串,其大小取决于动态地在运行决定.
四、高级命令
当附背带,若干变量声明包含一个块,可以反复使用作为一个整体. 但是请注意,块不能嵌套在当前的执行工作. " ~ "字符可以用一个变量的名字作为占位符后更换为实际计数. 择" numbering "声明界定在哪里开始计数( 0 by default )
numbering 1
{ tab byte "len"
string len "String No. ~"
} [10]
在这个例子实际变量的名字放在模板将"String No. 1", "String No. 2", ..., "String No. 10". 而不是一个固定的重复数目 ( 10在这个例子中) ,您可能还注明是"无限" . 在这种情况下winhex将重复块到年底档案遭遇. " exitloop "可以用来走出这条回路在任何时间
" ifequal "是有用的比较两个表达式. operands可分为两个数值,是恒定值十进制,整型变量或公式, 或者字节序列作文字或hex值是比较byte字节. ascii字符串表达式必须加上引号, hex序列必须prreced了" 0x "标识. 公式须括弧.
{ r byte Value
IfEqual Value 1
ExitLoop
EndIf
} [10]
" ifequal " 以结束" endif "的声明. 如果比较表达都是相等的,模板的解释后继续" ifequal " . optionally , " ifequal "可以遵循的不等的声明. 模板处理器支进入" else "区块,如果表达不能划等号. " ifequal "命令不能嵌套. " ifgreater "类似于" ifequal " . 条件是正确的,如果第一表达的是大于二. 字符串按词典顺序进行比较.
为了便于阅读和导航模板 你可确定一组的变量,在对话框中会在不同组的变量用空间分开:
section "...Section Title..."
...variable declaractions...
endsection
"section", "endsection", 和 "numbering"关键字都没有与当前位置的解释有
关。
有两个命令也不做变量声明,但被明确用来改变目前的位置. 可以跳过无关紧要的数据(向前移动)或能取得一定的变量不止一次 由于不同类型(反向运动) . 用" move n "声明中跳过n字节,由目前的位置,其中N可说是消极的. " goto n " 到指定绝对位置,从一开始的模板解释(必须是位置) . :
int32 "Disk serial number (decimal)"
move -4
hex 4 "Disk serial number (hex)"
定制数据结构模板,这当然比直接分析16进制的原始数据要方便得多,而且不容 易出错。你编辑好数据结构模板保存后,数据模板就生效了。这样你就可以分析 来自硬盘、内存等一些数据,这些数据将套用你数据结构模板来显示数据了。例 如:这样你可以定制一个模板来查阅数据库记录。
模板本身是个带扩展名TPL的文本文件。WINHEX提供的模板编辑器可以让您写模 板的定义,并提供语法检查. 模板的定义,主要包含变量声明,类似于源代码的编 程语言. 支持的数据类型包括所有的共同整数,浮点和布尔类型,日期类型, hex 值,二进制,文字, 串型. 数组变量和一组变量,都可以使用.能自由移动,前移和 后移的数据,使得使用模板的特别灵活:
1.同一个变量可以有多种用途
2.你不关心的数据部分可以跳过
模板管理器列出所有的模板的winhex目录,包含模板定义、标题、附加说明、文 件名,点击应用按钮,显示模板选用模板定义的数据,在当前编辑窗在目前的数据 解释. 你也可以创造一个新的模板定义,删除或编辑一个现有winhex提供的几个 模板样例.
二、模板定义
模板由头部和主体两部分组成, 模板头部定义的格式如下:
template "title" //模板标题
[description "description"] //说明
[applies_to (file/disk/RAM)] //应用到文件、磁盘还是内存
[fixed_start offset] //固定的起始偏移值
[sector-aligned] //扇区对齐
[requires offset "hex values"]//要求偏移的HEX值相等
[big-endian] //高字节优先
[hexadecimal/octal]
[read-only] //只读
[multiple [fixed overall size]]
// Put any general comments to the template here.
begin
variable declarations ...
end
中括号代表是该项是可选的. 表达式里面含有空格的话就要用双引号引起来. 评论会出现在模板的定义. 字继双斜线被忽略的解析器. 注释可以写在任何地方 ,在注释前要“//”号。
1.关键字" applies_to "必须跟着一个只有一个文件,磁盘或内存 . 如果你是用一 个模板解析的数据和用此关键字定义的数据来源不相同的话,winhex会发出一个 警告。
2.当模板解释这些数据时默认是从当前的光标位置处开始的,一旦使用 fixed_start声明位置,解释将总是以指定的偏移位置处开始解释.
3.如果模板应用于磁盘的情况下, 关键字"sector-aligned"确保模板从当前的扇区 的开始处进行解释, 而不管确切的光标在当前扇区的确切位置.
4."requires"的声明与"applies_to "声明有点类似,"requires" 声明使WinHex 防止模板定义对不匹配的数据做错误解释。指定一个偏移量和一个任意长度HEX 串(十六进制串)来进行匹配。例如,一个有效的主引导记录,可以确认的hex串 值“55AA”在偏移0x1fe处 ; 一个可执行文件的hex串值 " mz "在偏移0x0处 . 有许多" appliesto "声明的模板定义头部 ,都是考虑.
5.关键字"big-endian"导致模板定义所有多字节整数和布尔变量是以big-endian顺 序(高字节为优先)的读写 .
6. 关键字" hexadecimal "使模板定义的所有整数变量的以十六进制记法显示 .
7.关键字"read-only"确保模板只能用来显示数据. 数据将成灰色,就不能修改数 据如果在头部设定"multiple"关键字 , winhex允许浏览到相邻的数据记录在同个 模板. 这就要求winhex要知道的记录的大小. 如果"multiple"关键字没有指定为 尺寸参数,winhex 计算模板结构总尺寸( = record )来解释当前位置到模板的对 应的末尾. 如果这是一个可变尺寸, 即数组大小或移动参数来动态决定 winhex 不能浏览先前数据记录.
三、变量声明
模板主体的定义主要包括变量声明,类似于编程语言. 下面是变量声明的基本形 式
type "title"//类型 标题
下面是类型:
int8, uint8 = byte, int16, uint16, int24, uint24, int32, uint32, int64,
uint_flex
binary,
float = single, real, double, longdouble = extended,
char, char16, string, string16,
zstring, zstring16,
boole8 = boolean, boole16, boole32 hex,
DOSDateTime, FileTime, OLEDateTime, SQLDateTime, UNIXDateTime = time_t, JavaDateTime
"title"只能包含在引号中若含空字符. "title"绝不能仅由数字组成. winhex不
区分大小写字符称. 最多有41字符.
在类型之前可以跟以下关键字
big-endian(高字节优先 little-endian (低字节优先)
hexadecimal(十六进制) decimal(十进制) octal(八进制 )
read-only(只读) read-write(可读写)
这些修正只影响紧随其后的变量. 他们是多余的,如果他们出现在头已经定义 数据类型后面的数据代表占用空间大小的位数,char16和string16是一样的, winhex支持Unicode字符和字符串. 但是, Unicode字符以外的256个第一的 ANSI等价字都不支持. 最高字符串大小,可以修改用模板是8192字节.
各类串, string16 , hex需要额外参数,明确了一些内容. 这个参数可以是一个 常数或一个先前宣布变数或数学表达(见下文) . 如果它是一个常数,可以指定十 六进制格式, 这是公认的,如果号码是先0x .
你可以声明变量数组,把数组大小括号旁边的种类或 称号. 以下两行宣布可变大 小的 ascii字符串,其长度取决于前变:
uint8 "len"
char[len] "A string"
同样的功能可以通过以下两句来定义:
byte "len"
string len "A string"
字符"~ "可以作为一个占位后更换与实际的数组元素的数目(见高级 命令) . 这 并不适用于数组char变数,因为它们会自动被翻译成一个字符串. 字符串的参数,整型变量数据大小的表达式,可在指定的数学符号. 他们将处理 的综合公式解析器. 这些用语须圆括号. 他们不能含有空字符. 他们可利用先前 宣布整型变量的名字不包含空字符. 支持的行动,另外, ( + ) ,减法( - ) ,乘 法( * ) ,整除( / ) ,取模( % ) , 位与 ( & ) , 位或 ( | ) , and 异或 ( ^ ) . 有效的数学公式所举例( 5 * 2+1 )或( len1 / ( len2 +4 ) ) . 结果总是 一个整数,必须是一个正数.
zstring和zstring16都是NULL结尾的字符串,其大小取决于动态地在运行决定.
四、高级命令
当附背带,若干变量声明包含一个块,可以反复使用作为一个整体. 但是请注意,块不能嵌套在当前的执行工作. " ~ "字符可以用一个变量的名字作为占位符后更换为实际计数. 择" numbering "声明界定在哪里开始计数( 0 by default )
numbering 1
{ tab byte "len"
string len "String No. ~"
} [10]
在这个例子实际变量的名字放在模板将"String No. 1", "String No. 2", ..., "String No. 10". 而不是一个固定的重复数目 ( 10在这个例子中) ,您可能还注明是"无限" . 在这种情况下winhex将重复块到年底档案遭遇. " exitloop "可以用来走出这条回路在任何时间
" ifequal "是有用的比较两个表达式. operands可分为两个数值,是恒定值十进制,整型变量或公式, 或者字节序列作文字或hex值是比较byte字节. ascii字符串表达式必须加上引号, hex序列必须prreced了" 0x "标识. 公式须括弧.
{ r byte Value
IfEqual Value 1
ExitLoop
EndIf
} [10]
" ifequal " 以结束" endif "的声明. 如果比较表达都是相等的,模板的解释后继续" ifequal " . optionally , " ifequal "可以遵循的不等的声明. 模板处理器支进入" else "区块,如果表达不能划等号. " ifequal "命令不能嵌套. " ifgreater "类似于" ifequal " . 条件是正确的,如果第一表达的是大于二. 字符串按词典顺序进行比较.
为了便于阅读和导航模板 你可确定一组的变量,在对话框中会在不同组的变量用空间分开:
section "...Section Title..."
...variable declaractions...
endsection
"section", "endsection", 和 "numbering"关键字都没有与当前位置的解释有
关。
有两个命令也不做变量声明,但被明确用来改变目前的位置. 可以跳过无关紧要的数据(向前移动)或能取得一定的变量不止一次 由于不同类型(反向运动) . 用" move n "声明中跳过n字节,由目前的位置,其中N可说是消极的. " goto n " 到指定绝对位置,从一开始的模板解释(必须是位置) . :
int32 "Disk serial number (decimal)"
move -4
hex 4 "Disk serial number (hex)"