0

我正在编写一个程序,它读取“.exe”文件并将它们的十六进制值存储在一个字节数组中,以便与包含一系列值的数组进行比较。(就像一个非常简单的病毒扫描程序)

byte[] buffer = File.ReadAllBytes(currentDirectoryContents[j]);

然后我使用 BitConverter 创建了这些值的单个字符串

string hex = BitConverter.ToString(buffer);

下一步是在此字符串中搜索一系列值(定义)并返回正数以进行匹配。这是我遇到问题的地方。我的定义是十六进制值,但在记事本中创建并保存为 defintions.xyz

string[] definitions = File.ReadAllLines(@"C:\definitions.xyz");

我一直在尝试将它们读入字符串数组并将数组的定义元素与字符串十六进制进行比较

bool[] test = new bool[currentDirectoryContents.Length];

test[j] = hex.Contains(definitions[i]);

这是作业中的一部分,这就是为什么我没有发布我的整个程序代码的原因。上周五之前我没有使用过 C#,所以此时我很可能会犯一些愚蠢的错误。

非常感谢任何建议:)

4

2 回答 2

1

目前还不清楚您使用什么样的定义格式。Base64 是一个很好的字节 [] 编码,您可以使用 Convert.ToBase64String 和 Convert.FromBase64String() 快速来回转换。但是您的问题表明字节以十六进制编码。让我们假设一个新的 byte[] { 1, 2, 3, 4} 看起来像“01020304”。然后这个辅助函数将这样一个字符串转换回一个字节[]:

    static byte[] Hex2Bytes(string hex) {
        if (hex.Length % 2 != 0) throw new ArgumentException();
        var retval = new byte[hex.Length / 2];
        for (int ix = 0; ix < hex.Length; ix += 2) {
            retval[ix / 2] = byte.Parse(hex.Substring(ix, 2), System.Globalization.NumberStyles.HexNumber);                
        }
        return retval;
    }

您现在可以使用像 Boyer-Moore 这样的算法进行快速模式搜索。

于 2012-02-06T13:33:24.980 回答
0

我希望您了解这是一种非常低效的方法。但除此之外,你应该做这样的事情:

bool[] test = new bool[currentDirectoryContents.Length];
for(int i=0;i<test.Length;i++){
  byte[] buffer = File.ReadAllBytes(currentDirectoryContents[j]);
  string hex = BitConverter.ToString(buffer);
  test[i] = ContainsAny(hex, definitions);
}

bool ContainsAny(string s, string[] values){
  foreach(string value in values){
    if(s.Contains(value){
      return true;
    }
  }
  return false;
}

如果你可以使用 LINQ,你可以这样做:

var test = currentDirectoryContents.Select(
             file=>definitions.Any(
               definition => 
                 BitConverter.ToString(
                   File.ReadAllBytes(file)
                 ).Contains(definition)
             )
           ).ToArray();

此外,请确保您的定义文件的格式与BitConverter.ToString(): 的输出相匹配,用破折号分隔每个编码字节:

12-AB-F0-34
54-AC-FF-01-02
于 2012-02-06T13:22:47.550 回答