| Сейчас на форуме: -Sanchez- (+8 невидимых) |
 |
eXeL@B —› Основной форум —› Помогите идентифицировать функцию из состава Microsoft VisualC 2-11/net runtime. |
| Посл.ответ | Сообщение |
|
|
Создано: 27 марта 2020 13:40 · Поправил: bits · Личное сообщение · #1 Добрый день Помогите идентифицировать функцию из состава Microsoft VisualC 2-11/net runtime. Разбираю из dll интересующую меня функцию. В одном месте происходит вызов функции которая возвращает уникальное число сгенерированное на заданных правилах. Переходя во внутрь функции, по вызываемым функциям я сделал вывод, что эта функция является какая-та стандартная, но идентифицировать я ее не могу. Теперь по порядку. Есть функция sub_FF18230, в которую передается два параметра. Один через стек, число. Второй параметр передается через ECX, и является указателем на область памяти выделенную как new [0xEC] void sub_FF18230(int level, int*) [img]https://c2n.me/46EFTxN[/img] А вот теперь рассмотрим функцию, которую я предполагаю, что она стандартная но, ее идентифицировать не получается. var4 = 4; Sub_ff15Cf0(ptr, 0x4B, ptr+0xE8, &var4 ) После того как функция отработала по адресу ptr+0xE8 – и находиться сгенерированное число Если перейти на начало функции sub_ff15cf0, то можно увидеть вот такой код, на основании которого и можно сделать вывод что функция sub_ff15cf0 из стандартной поставки. [img]https://c2n.me/46EFCt6[/img]  |
|
|
Создано: 27 марта 2020 14:08 · Личное сообщение · #2 без бинарника вообще можно даже не смотреть на картинки если вы считаете что картинок достаточно что бы это понять - то разберитесь сами | Сообщение посчитали полезным: DimitarSerg |
|
|
Создано: 27 марта 2020 16:59 · Личное сообщение · #3 Я открыл эти картинки. Во-первых, переименуйте функцию, чтобы было понятно, кукую вы хотите распознать - дайте ей имя вида unknown_standard_runtime_func или как-то так, чтоб она отличалась и выразительно бросалась в глаза. Второе - адреса, слева добавьте адреса для удобной навигации. Графы вызовов - кто откуда вызывает её, какие- функции вызывает она. И экстрасенсы будут заряжены на успех. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 27 марта 2020 17:34 · Личное сообщение · #4 bits Нет здесь никаких стандартных MSVC функций. В ecx передается указатель на класс/структуру, а внутри функций идет обработка данных этого класса. Смотрите где создается этот класс и ищите его конструктор, так локализуете большинство его переменных, а остальные уже по ходу разбора функций. ----- Everything is relative... |
|
eXeL@B —› Основной форум —› Помогите идентифицировать функцию из состава Microsoft VisualC 2-11/net runtime. |
Для печати