1

介绍

我正在尝试对包含短信消息的二进制数据文件进行逆向工程。
该文件名为 ems.idx4,大约在 5 年前使用名为 LG PhoneManager 的软件创建,作为 LG 手机的短信消息备份存档。
我不知道使用哪种语言编写 LG PhoneManager,但在二进制文件中,我读取了诸如“CObTree”、“CFolder”、“CMessage”之类的字符串:也许这条线索没有任何意义,也许它表明 Cobol/.net/无论使用什么语言。

问题

我解码了二进制文件的整个结构,这很简单。
我无法解码的唯一部分是单个消息的日期和时间。
我确定了日期和时间被编码的二进制部分,我得到了一些解码的例子(感谢消息的内容)。
十六进制的二进制数据:

[0x10] D0 74 C4 FE 3F 42 E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2007/12/25 some time after 23:58 GMT+1
[0x10] 2B 25 CA 19 2F 43 E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2008/01/02 some time after 10:48 GMT+1
[0x10] AA C0 2C 6E 35 43 E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2008/01/02 some time after 16:03 GMT+1
[0x10] EE 04 71 F2 B6 43 E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2008/01/06 some time after 14:31 GMT+1
[0x10] 60 2C F9 45 4E 4F E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2008/04/08 some time after 10:32 GMT+1
[0x10] 5D 84 01 14 74 64 E3 40 F1 64 [0x7] 2 [0x13] 1 [0x6] 6C [0x2] is 2008/11/11 some time after 14:53 GMT+1

其中 [0xN] 表示 N 个零的序列。

任何想法?

更新

使用这个工具:http
://www.digital-detective.co.uk/freetools/decode.asp 我意识到它是 Windows 64 位 OLE 日期/时间格式。
根据该工具:

D0 74 C4 FE 3F 42 E3 40 means exactly 26/12/2007 00:59

知道这个 Windows 64 位 OLE 日期/时间格式背后的数学原理是什么吗?

4

2 回答 2

2

它是一个双精度浮点数,表示自 1899 年 12 月 30 日以来的天数(和小数天数)。

如果您使用的是 Windows,则可以使用该VariantTimeToSystemTime函数将其转换为更可用的格式:

unsigned char timeBytes[] = {0xD0,0x74,0xC4,0xFE,0x3F,0x42,0xE3,0x40};
double timeDouble = *(double*)&timeBytes;
SYSTEMTIME systemTime;
VariantTimeToSystemTime(timeDouble, &systemTime);

如果您不使用 Windows,我怀疑您需要手动进行转换。如果您需要任何帮助,请在评论中告诉我。

于 2013-05-26T18:52:15.790 回答
2

好的,我找到了方法!
[0x10] 之后的前 8 个字节是小端十六进制的 OLE 日期。
我将它们转换为 python 中的常规日期时间:

import datetime
import math
from struct import unpack


def ole_date_bin_to_datetime(ole_date_bin):
    """
        Converts a OLE date from a binary 8 bytes little endian hex form to a datetime
    """
    #Conversion to OLE date float, where:
    # - integer part: days from epoch (1899/12/30 00:00) 
    # - decimal part: percentage of the day, where 0,5 is midday
    date_float = unpack('<d', ole_date_bin)[0]
    date_decimal, date_integer = math.modf(date_float)
    date_decimal = abs(date_decimal)
    date_integer = int(date_integer)

    #Calculate the result
    res = datetime.datetime(1899, 12, 30) + datetime.timedelta(days=date_integer) #adding days to epoch
    res = res + datetime.timedelta(seconds = 86400*date_decimal) #adding percentage of the day
    return res


if __name__ == "__main__":
    print ole_date_bin_to_datetime('\xd0\x74\xc4\xfe\x3f\x42\xe3\x40')
于 2013-05-26T19:01:14.760 回答