Тулза для подсчета размера таблицы релоков.
Size: 236Kb

з.ы.
за размер тулзы не пинать,
будет время - на асме сделаю

a36f_07.10.2007_CRACKLAB.rU.tgz - RelocSC.zip

| Сообщение посчитали полезным:

Jupiter пишет:
адрес падения какой?
если есть возможность - выложи файл. директория релоков в файле есть?
...значит так.Проверял на другом файле,защищённом StarForce.
Адрес падения:
004020D7 MOV EAX, DWORD PTR [EDX]
...цикл подсчёта размера релоков.Ошибка доступа.Чтение из "космоса".
"Космос" потому,что там сама таблица шиворот-навыворот.Жаль сейчас не могу изобразить это в текстовом виде.
Пробуй ставить SEH-обработчик для таких случаев.
И с другой стороны,я вообще не пойму,зачем иметь дело с релоками в EXE-файлах.Фиксация же там не играет никакой роли.Вот иное дело библиотеки.

ADD.

На старовской DLL'ке программа отработала как следует.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Jupiter
Меньше чем на 4 мб к сожалению файлов со старом у мну нет, если нужно - выложу.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Jupiter
Короче,у меня там так:

00 70 F9 02 0C 00 00 00 07 30 00 00 00 00 00 00
08 00 00 00 CC 78 BC 75 73 68 73 4F 90 27 0C 64
...дальше такой же непонятный мусор.

Вот и делай теперь вывод

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Кстати тот же PE_Tools их в этих файлах обрабатывает корректно, так что по поводу непонятного мусора непонятно.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

DillerInc, Smon
Спасибо за инфу. Завтра буду разбираться.

Smon
если траф позволяет - выложи. заранее спасибо. инфа в ехе используется старом?

-----
EnJoy!

| Сообщение посчитали полезным:

Smon пишет:
так что по поводу непонятного мусора непонятно
...а что тут непонятно??Из того,что я привёл,видно,что релок тут только один -- это слово 3007h.
Блок имеет размер 0Ch байт.
Далее как бы присутствует второй блок размером 08 байт,но,во-первых,у него нет RVA(тут нулевой DWORD),которое должно указывать на область в бинарнике,где производится фиксация,и во-вторых там и намёка нет на нормальные релоки.
Просто реализация подсчёта релоков,а точнее размеров каждого из блоков,опирается на некоторые стандарты,которых в данном куске байт явно нет.
Поэтому я и предлагаю сделать на всякий случай SEH-обработчик,чтобы обходить подобные недоразумения.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc пишет:
Поэтому я и предлагаю сделать на всякий случай SEH-обработчик,чтобы обходить подобные недоразумения.
Да это то понятно, мне непонятно другое - как вынь загрузчик допускает запуск файла с кривыми релоками?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Jupiter
www.rapidshare.ru/430010

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
как вынь загрузчик допускает запуск файла с кривыми релоками?
...наверно потому что это EXE-файл...??

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Smon
v1.3a 2007 Oct 14
--------------------------------------
[!] Alpha version!
[+] Auto/Manual mode added
[+] Additional check while calculating table size
[+] Linked with debug info

DillerInc пишет:
наверно потому что это EXE-файл...??
нет, потому, что в заголовке явно указан размер директории в 068h


RelocSizeCalc.v1.3a.Bin.rar http://slil.ru/24976700

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
Терь на том файле не падает, зато показывает весьма впечатляющий размер - 4F6378DBh ;)
И еще для красоты можно сделать - когда выбрано Auto - то поле RVA: выставлять в disabled.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Терь на том файле не падает, зато показывает весьма впечатляющий размер - 4F6378DBh ;)
я знаю. просто в заголовке явно указан корректный размер (068h)
при подсчёте размера, не ориентурясь на данные заголовка, возможны любые значения ;)
в принципе, я могу сделать возможность задавать ограничения на максимальный размер таблицы, тогда при выходе за диапазон будет предложено оставить размер как есть (исходный)

Smon пишет:
И еще для красоты можно сделать - когда выбрано Auto - то поле RVA: выставлять в disabled.
может сначала для красоты сделать показ секций? ;)

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
при подсчёте размера, не ориентурясь на данные заголовка, возможны любые значения ;)
...дык,вставь в тот цикл,который подсчитывает размер,дополнительные проверки.Например,значение Page RVA -- если оно равно нулю(как в примере выше),значит это уже не "тру" релоки.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

кароч сделал проще ;)
просто проверяю, чтобы IMAGE_BASE_RELOCATION.VirtualAddress текущего блока был < SizeOfImage

RelocSizeCalc.v1.3b.Bin.rar http://slil.ru/24977757

-----
EnJoy!

| Сообщение посчитали полезным:


v1.3f 2007 Oct 14
--------------------------------------
[!] Final version
[+] Support of Watcom PE files
[+] Automatically changes Read-Only state of RVA edit box


RelocSizeCalc.v1.3f.Bin.rar http://slil.ru/24979024

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
Спасибо, будем юзать...

-----
The truth is out of there...

| Сообщение посчитали полезным:

Jupiter пишет:
v1.3f
Файл кончился
Перезалейте кто-нибудь.

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

v1.3g 2007 Nov 19
--------------------------------------
[+] InitCommonControls
[+] Auto mode selected by default


RelocSizeCalc.v1.3g.Bin.rar http://dump.ru/files/n/n6886255848

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter,
Спасибо за апдейт, тулза просто класс...

| Сообщение посчитали полезным:

Я думал v1.3f действительно "[!] Final version"!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

userdom
спасиб ;)

Isaev пишет:
Я думал v1.3f действительно "[!] Final version"
так и есть. до этого были бета версии 1.3

-----
EnJoy!

| Сообщение посчитали полезным:

userdom пишет:
Спасибо за апдейт, тулза просто класс...

+1, мне тоже нравится

| Сообщение посчитали полезным:

Перезалейте пожалуйста версию v1.3g 2007 Nov 19

======================================
Isaev спасибо!!!

| Сообщение посчитали полезным:

лови

5d5f_12.06.2010_CRACKLAB.rU.tgz - RelocSizeCalc.v1.3g.Bin.rar

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: