PowerShellでファイルダンプコマンドを作る

Windowsには、certutilコマンドもありますが、PowerShellでコマンドを自作してみます。

Contents

ダンプ対象ファイルの作成
16進数で1Byteずつ表示
40Byteのファイルダンプ
foreachを使ってスッキリ
アドレス部も表示する

ダンプ対象ファイルの作成

ダンプする対象の簡単なバイナリ作成。

C:\Users\takk\tmp>echo 123>a.bin

C:\Users\takk\tmp>

少しずつ作っていきます。Get-Contentでダンプ。

C:\Users\takk\tmp>powershell "gc -encoding byte a.bin"
49
50
51
13
10

C:\Users\takk\tmp>

16進数で1Byteずつ表示

10進数ではなく、16進数でダンプします。

C:\Users\takk\tmp>powershell "gc -encoding byte a.bin | % { '{0:x2}' -f $_ }"
31
32
33
0d
0a

C:\Users\takk\tmp>

毎回Powershellコマンドを打つのも面倒なので、powershellしてから、変数$aに16進に変換した値を格納。

C:\Users\takk\tmp> powershell
PS C:\Users\takk\tmp> $a=(gc -encoding byte a.bin | % {'{0:x2}' -f $_})
PS C:\Users\takk\tmp> $a
31
32
33
0d
0a
PS C:\Users\takk\tmp>

16進数に変換した値は配列に格納されているので、一行に表示したい列数分、joinで結合して表示。まずは2列毎の表示で確認してみます。

PS C:\Users\takk\tmp> for($i=0;$i -le 5; $i+=2){
>> $b=$a[$i..($i+1)]
>> $b -join " "
>> }
>>
31 32
33 0d
0a
PS C:\Users\takk\tmp>

この方法で良さそうです。あとは2を16に変えて、ちょこちょこいじっていきます。

40Byteのファイルダンプ

前回ダンプしたファイルはサイズが小さかったので、もう少し大きいサイズのファイルを作ります。40 Byteです。

PS C:\Users\takk\tmp> [byte[]]$a = 1..40
PS C:\Users\takk\tmp> sc -value $a -encoding byte a.bin
PS C:\Users\takk\tmp>

このファイルを、前回の手順で16進ダンプするなら、

PS C:\Users\takk\tmp> $c=(gc -encoding byte a.bin | % { '{0:x2}' -f $_ })

PS C:\Users\takk\tmp> for($i=0;$i -le $c.length;$i+=16){
>> $b=$c[$i..($i+15)]
>> $b -join " "
>> }
>>
01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10
11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
21 22 23 24 25 26 27 28
PS C:\Users\takk\tmp>

こうですね。

foreachを使ってスッキリ

まあ、あとはこれを関数化すれば良いのですが、どうにもすっきりしません。
なんだか配列の取得が下手です。取得したい要素を指定して分割なんてことはできないのでしょうか。

PowerShellではできなさそうなので、foreachを使って回すことにしました。
関数化もしてしまいましょう。

PS C:\Users\takk\tmp> function dump($dat){
>> foreach($m in $dat){
>> [byte[]]$arr += $m
>> if($arr.count -eq 16){$arr -join " "; $arr=@()}
>> }
>> $arr -join " "
>> }
>>
PS C:\Users\takk\tmp>

これはこれで$arrをjoinして表示している箇所が2箇所あるので気にいらないのですが、まだこちらの方がきれいに見えます。好みでしょう。

適当に配列を作って、ダンプ関数を実行してみます。

PS C:\Users\takk\tmp> [byte[]]$bin=1..30
PS C:\Users\takk\tmp> dump $bin
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
17 18 19 20 21 22 23 24 25 26 27 28 29 30
PS C:\Users\takk\tmp> $bin=1..100
PS C:\Users\takk\tmp> dump $bin
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64
65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80
81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96
97 98 99 100
PS C:\Users\takk\tmp>

なかなかいいですね。

表示する時に、16進への変換もしてしまいましょう。

PS C:\Users\takk\tmp> function dump($dat){
>> $arr=@()
>> foreach($m in $dat){
>> $arr += "{0:x2}" -f $m
>> if($arr.count -eq 16){$arr -join " "; $arr=@()}
>> }
>> $arr -join " "
>> }
>>
PS C:\Users\takk\tmp> dump $bin
01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10
11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30
31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 40
41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50
51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f 60
61 62 63 64
PS C:\Users\takk\tmp>

16進変換できました。

ファイルダンプするためdump関数に与える引数はファイル名にします。

PS C:\Users\takk\tmp> function dump($fname){
>> $arr=@()
>> foreach($m in (gc -encoding byte $fname)){
>> $arr += "{0:x2}" -f $m
>> if($arr.count -eq 16){$arr -join " "; $arr=@()}
>> }
>> $arr -join " "
>> }
>>
PS C:\Users\takk\tmp> dump a.bin
01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10
11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
21 22 23 24 25 26 27 28
PS C:\Users\takk\tmp>

出来上がりです。

アドレス部も表示する

さて、ダンプというのに、アドレス部がありません。

アドレス(というかインデックスですが)を表示する関数を、PowerShellで作っていきます。

上の関数を改造します。
インデックスとして$iを設けて、0からの数字をカウントアップしていき、16 Byte単位で、先頭に16進アドレスとして表示してみます。

function dump($fname){
  $arr=@()
  $i=0
  foreach($m in (gc -encoding byte $fname)){
    $arr += "{0:x2}" -f $m
    if($arr.count -eq 16){
      $line=@()
      $line += "{0:x6} " -f $i
      $line += $arr 
      $arr=@()
      $i += 16
      $line -join " "
    }
  }
  $line=@()
  $line += "{0:x6} " -f $i
  $line += $arr 
  $line -join " "
}

長いなあ。
同じように、この関数をコピーして、PowerShellプロンプトに貼り付けると、dump関数が定義されますので、dumpコマンドが使えるようになります。

PS C:\Users\takk\tmp> dump a.bin
000000  01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10
000010  11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
000020  21 22 23 24 25 26 27 28
PS C:\Users\takk\tmp>

とても簡単な表示なのに、関数が長いのが気にいりません。
for文が嫌で、foreachに変えたのですが、$i変数も登場しているし、今度はforの方が都合がよくなってきた気がします。
forを使った関数を考えてみます。

function dump($fname){
  [byte[]]$bin = gc -encoding byte $fname
  for($i=0;$i -le $bin.count;$i+=16){
    $line = @()
    $line += "{0:x6}" -f $i
    $line += $bin[$i..($i+15)]
    $line -join " "
  }
}

PS C:\Users\takk\tmp> dump a.bin
000000 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
000010 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
000020 33 34 35 36 37 38 39 40
PS C:\Users\takk\tmp>

できました。
と、と、アドレス部が16進数ですが、データ部が10進数表示のままでした。

ファイルから読みだしたデータを配列に格納する前に、16進に変換しておきます。

function dump($fname){
  [string[]]$bin = gc -encoding byte $fname | % { "{0:x2}" -f $_ }
  for($i=0;$i -le $bin.count;$i+=16){
    [string[]]$line = "{0:x6} " -f $i
    $line += $bin[$i..($i+15)]
    $line -join " "
  }
}

出来上がり。だいぶすっきりしました。

上記関数をプロンプトへコピペした後、dumpコマンドを実行。

PS C:\Users\takk\tmp> dump a.bin
000000  01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10
000010  11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
000020  21 22 23 24 25 26 27 28
PS C:\Users\takk\tmp>

表示されました。