如何调试NSIS安装程序以找到压缩数据在哪里？

#1 楼

一般而言，您可以检测何时从文件中读取数据（通过监视函数ReadFile），或何时对其进行解压缩（通过在找到数据后监视解压缩功能）。在某些情况下，程序可能会直接读取压缩数据并将其传递给解压缩功能，但在其他情况下，程序可能会与头文件/元数据一起读取文件的某些块，解析该头文件，然后仅将尾随的压缩数据传递给文件。解压缩器。没有单一的“正确方法”来确定压缩数据在文件中的确切位置。

那是说，NSIS是开源的，您可以查看源代码以了解其方式。作品。也有现成的工具可以从NSIS安装程序中提取文件。

#2 楼

快速的Google会提取/反编译NSIS

作为查找嵌入式资源的更一般的答案，请尝试ExeInfo及其“ Rip”功能，该功能可扫描exe以查找各种文件类型的标头（PE，JPG，AVI ... 。），然后允许将找到的资源提取出来。

#3 楼

对于NSIS安装程序，您只需使用7-zip或UniExtract-http://legroom.net/software/uniextract即可提取NSIS安装程序中的所有文件

#4 楼

好吧，在没有拒绝Igor Skochinsky回答的情况下，我想将其更多地发布在如何找到压缩数据的位置这一事实上。
Peter Kankowski写道：

NSIS作者找到了使用标记的快速解决方案。很简单，您会说：“我为什么不考虑呢？！”
请记住，exe文件中的数据按512或4096字节对齐。因此，您无需扫描整个exe文件以寻找标记，您只需要读取512字节的块并在其开始处寻找标记即可。用伪代码：

BYTE buff[512];
while(not end of file) {
   ReadFile( 512 bytes into buff)
   if(*(long*)buff == marker) {
       // Marker found!
   }
   // else read another 512-byte chunk in the loop
}

我相信这是最简单的方法；它也比其他带有标记的方法要快。

所以您可以看到NSIS安装程序具有某种标记。因此，只需查找ReadFile API调用，然后按照程序流程进行操作，直到循环再次开始，在循环重复之前必须等待最后一个跳转，然后才能进行比较。
有标记。
/>如果您想了解更多信息，可以访问这篇非常有用的文章：自解压可执行文件，这要感谢Peter的出色解释。