Всем привет.
Чтива пооткрывал в 20 окнах. Но глаз всего 2 и 24 часа в дню.
Помогите с банальными вопросами.
1- Как в Ice определить откуда я пришел на текущую инструкцию. т.е. bpx xxxx . бряк срабатывает. а вот откуда я попал на эту строчку - как определить?(явно что не с предыдущей т.к. там jmp yyyy)
2- как определить где заканчивается код проги для поиска свободного места под свой код???
3- Как вставить в чужую прогу SendMessage ? я так понимаю что надо сначала определить поддерживает ли прога данную функцию.? Потом найти ее адрес. Залить в стек параметры и вызвать? если можно приведеите алгоритм.

p.s. И почему прога на диске занимает 93184 байт(iexplore.exe)
жму
addr iexplore
map32 iexplore
.TEXT 1D9B
.DATA 9C
.RSRC 14704
? 1D9B+9C+14704
ВЫВОДИТ 91451 БАЙТ
куда делось почти 2 кило? или я не так считаю?

| Сообщение посчитали полезным:

Отвечаю:
1. Никак. В отладчике. Дизассемблер может восстановить перекрестные ссылки, большинство, но скорее всего не все.
2. Разберись с форматом РЕ файлов. В них многие секции выравниваются нулями до параграфов или еще до чего нибудь.
3. Правильно понимаешь. Только не поддерживает, а импортирует. И найти адрес в таблице импорта. Если не поддерживает, можно изменить таблицу импорта. А вообще почитай статьи, там много нюансов, я сам еще далеко не все понимаю, можно и свою внешнюю DLL написать и подключить.
А зачем тебе вся эта лабуда, что ты там делаешь если не секрет?

p.s. понятия не имею. Может заголовок файла, может ресурсы не подгружает.

| Сообщение посчитали полезным:

Эм... Давно я не юзал SIce, но вроде как F12 возвращает к месту вызова функции...

| Сообщение посчитали полезным:

fedorfx вместо bpx напиши bpm адрес x, считай эквивалент, а потом увидишь надпись LastBranchFromIP че-то типа такого, забыл уже (сайсу потер )... надеюсь это то, что тебе надо

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

-= ALEX =-
LastBranchFromIP - вроде не работает на >P3

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

to Acid Raine:
>>>>А зачем тебе вся эта лабуда, что ты там делаешь если не секрет?

Не секрет. Есть Java applet. Он исполняется виртуальной машиной поэтому стандарт PE на него не распространяется(ИМХО ). Applet ONLINE. Мне из него надо забирать данные в другую прогу. Вот я и думаю дописать SendMessage в код распакованного апплета.
Но вся эта бадяга исполняется под цепочкой iexplore->java->Байт код->и только потом появляется моя прога. Что дизассемблить хз. аплет 1 метр а адресное пространсво экслоера и явы расползается на 147 метров. А все статьи про PE файлы. А мой аплет ХЗ где сидит. По 401000 стартует эксплоер а дальше уже и непонятно что выполняется. Я нашел свою ячейку памяти( она правда из за сборщика мусора периодически меняется) и вот пытаюсь от этого и плясать. Но вот немогу подняться ввер по коду. Там не процедура а Jump и как я туда попадаю ХЗ.

Ребята- я смотрю многие ice потерли. А с чем работаете если не секрет. А то может я не то изучаю???

| Сообщение посчитали полезным:

в догонку.
Как в ice посмотреть сведения о стеке и данные в нем?

| Сообщение посчитали полезным:

fedorfx пишет:
в догонку.
Как в ice посмотреть сведения о стеке и данные в нем?

dd esp =)

| Сообщение посчитали полезным:

dd esp =)
я предпологал что есть окно типа как wl or wd.
а вообще скачал Ollydbg - пока сплошые приятные сюрпризы.

| Сообщение посчитали полезным:

Я тебя правильно понял, ты хочешь дописать вызов API функции к Java апплету? Я конечно не большой специалист по Яве, но кажется апплету никто не даст вызывать функции API, в лучшем случае, некоторые проэмулирует виртуальная машина. А дизассемблировать апплет теми-же средствами, что и обыкновенные программы тебе уж точно не удастся! Поищи лучше какой-нибудь декомпилятор Явы, должен же быть, ведь это интерпретируемый язык.

fedorfx пишет:
Я нашел свою ячейку памяти
Что это означает?

| Сообщение посчитали полезным:

to Acid Raine ->>
Все правильно понял.
я вот только непойму, а что мне помешает подставить в машинный код jump XXXX где XXXX точка входа в sendmessage??
Я так понимаю что java VM следит за правами доступа только на этапе компиляции, хотя может и отслеживает хеш откомпилированного аплета в реалтайме.Пойду, открою ветку про RE Java аплет. Выложу коды, может кто что сообразит.

P.S. Про ячейку памяти, - запустил Artmoney и нашел. Потом ставлю bpm на нее итд.

| Сообщение посчитали полезным:

А помешает, насколько я знаю, то, что явовские апплеты не исполняются напрямую процессором. А для java VM не факт, что твой jump XXXX будет иметь хоть какое-то осмысленное значение. Хотя повтоярю, я по яве не специалист, могу и ошибаться.
Насчет ячейки памяти, а что в ней?

| Сообщение посчитали полезным: