Различие в заголовках EXE. Почему это может быть?

@VMax · Регистрация: 23.01.2013

Студворк — интернет-сервис помощи студентам

Приветствую, уважаемые форумчане!
У меня собственно такой вопрос. Имеется ДОСовский экзешник, с которого был сделан реверс исходника (MASM 5.10). После сборки реверса сегмент кода совпадает с оригиналом байт в байт, но отличаются EXE-заголовки (есть различия в Relocation table).
Вопрос, в какую сторону копать, чтобы заголовки совпадали?

Дамп заголовка.
Оригинал:

00000000 4D 5A 8B 00 04 00 03 00 20 00 11 00 FF FF 49 00
00000010 00 01 00 00 49 04 00 00 3E 00 00 00 01 00 FB 30
00000020 6A 72 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 D7 01
00000040 00 00 56 04 00 00 83 04 00 00 00 00 00 00 00 00
00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Реверс:

00000000 4D 5A 8B 00 04 00 02 00 20 00 11 00 FF FF 49 00
00000010 00 01 8E 5F 49 04 00 00 1E 00 00 00 01 00 D7 01
00000020 00 00 56 04 00 00 00 00 00 00 00 00 00 00 00 00
00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Данные EXEMOD.
Оригинал:

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Microsoft (R) EXE File Header Utility  Version 4.02
Copyright (C) Microsoft Corp 1985-1987.  All rights reserved.
 
INT15_RZ.EXE                       (hex)           (dec)
 
.EXE size (bytes)                    68B            1675
Minimum load size (bytes)            59B            1435
Overlay number                         0               0
Initial CS:IP                  0000:0449
Initial SS:SP                  0049:0100             256
Minimum allocation (para)             11              17
Maximum allocation (para)           FFFF           65535
Header size (para)                    20              32
Relocation table offset               3E              62
Relocation entries                     3               3

Реверс:

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Microsoft (R) EXE File Header Utility  Version 4.02
Copyright (C) Microsoft Corp 1985-1987.  All rights reserved.
 
INT15_R0.EXE                       (hex)           (dec)
 
.EXE size (bytes)                    68B            1675
Minimum load size (bytes)            59B            1435
Overlay number                         0               0
Initial CS:IP                  0000:0449
Initial SS:SP                  0049:0100             256
Minimum allocation (para)             11              17
Maximum allocation (para)           FFFF           65535
Header size (para)                    20              32
Relocation table offset               1E              30
Relocation entries                     2               2

Исходник и бинари во вложении.

@Ethereal · 07.06.2015, 09:58

Во первых не
MOV DX,59H
а что-то типа
MOV DX,ZSEG ; ПЕРВЫЙ СВОБОДНЫЙ СЕГМЕНТ
Тогда этот символ станет перемещаемым.
И компилировать tasm с ключем /m
Тогда лишнее 90 (nop) не будет воткнуто.

И тогда все отличия сводятся к адресу начала таблицы перемещения 1E или 3E.
И вот это FB 30 и D7 01. Кажется это версия компоновщика. 7.01 это точно TLINK
такой из поставки TASM 5.0. Тут надо TASM оставить таким как был и поискать
подходящий компоновщик для компонования OBJ-файла.

Добавлено через 11 минут
STOCK SEGMENT PARA STACK 'STOCK'
замени на
STOCK SEGMENT PARA STACK 'STACK'
Итого у меня в EXE-шнике только 1 байт не сходится

Добавлено через 7 минут
------------------------------------------------------------------
Итого
Поставил вместо
STOCK SEGMENT PARA STACK 'STOCK'
вот это
STOCK SEGMENT PARA STACK 'STACK'
Поставил вместо
MOV DX,59H
вот такое
MOV DX,ZSEG+10h
ассемблировал TASM 5.0 с ключом /m
Компоновал TLINK 3.01
Сошлось байт в байт

Добавлено через 10 минут
Попробовал TASM 2.0 TASM 3.2 и тоже все сошлось. Но TLINK только 3.01 из тех, что у меня есть подошел.

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@Ethereal 6773 / 2741 / 385 Регистрация: 17.02.2013 Сообщений: 4,048
	07.06.2015, 09:58
	Сообщение было отмечено VMax как решение Решение Во первых не MOV DX,59H а что-то типа MOV DX,ZSEG ; ПЕРВЫЙ СВОБОДНЫЙ СЕГМЕНТ Тогда этот символ станет перемещаемым. И компилировать tasm с ключем /m Тогда лишнее 90 (nop) не будет воткнуто. И тогда все отличия сводятся к адресу начала таблицы перемещения 1E или 3E. И вот это FB 30 и D7 01. Кажется это версия компоновщика. 7.01 это точно TLINK такой из поставки TASM 5.0. Тут надо TASM оставить таким как был и поискать подходящий компоновщик для компонования OBJ-файла. Добавлено через 11 минут STOCK SEGMENT PARA STACK 'STOCK' замени на STOCK SEGMENT PARA STACK 'STACK' Итого у меня в EXE-шнике только 1 байт не сходится Добавлено через 7 минут ------------------------------------------------------------------ Итого Поставил вместо STOCK SEGMENT PARA STACK 'STOCK' вот это STOCK SEGMENT PARA STACK 'STACK' Поставил вместо MOV DX,59H вот такое MOV DX,ZSEG+10h ассемблировал TASM 5.0 с ключом /m Компоновал TLINK 3.01 Сошлось байт в байт Добавлено через 10 минут Попробовал TASM 2.0 TASM 3.2 и тоже все сошлось. Но TLINK только 3.01 из тех, что у меня есть подошел. 2

Различие в заголовках EXE. Почему это может быть?

Решение