Восстановление таблицы импорта

Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых)

Посл.ответ	Сообщение
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2005 17:24 · Поправил: Модератор · Личное сообщение · #1 Восстановление таблицы импорта

dMNt Ранг: 45.7 (посетитель) Активность: 0.05↘0 Статус: Участник EBFE	Создано: 22 августа 2005 17:26 · Личное сообщение · #2 пешы исчо
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2005 17:26 · Личное сообщение · #3 Сдампил прогу, запакованную аспром, ImpRec восстановил импорт кроме пары функций.Что с ними делать?
dMNt Ранг: 45.7 (посетитель) Активность: 0.05↘0 Статус: Участник EBFE	Создано: 22 августа 2005 17:26 · Личное сообщение · #4 восстанавливать
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2005 17:28 · Личное сообщение · #5 Я это как бы и сам понимаю А как?
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 22 августа 2005 17:30 · Личное сообщение · #6 Руками
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2005 17:33 · Личное сообщение · #7 Может, объясните толком? Или делиться знаниями здесь не принято?
[EXE]_cutor Ранг: 115.8 (ветеран) Активность: 0.08↘0 Статус: Участник	Создано: 22 августа 2005 17:54 · Личное сообщение · #8 Ткни_сюда ----- Ни одно доброе дело не должно остаться безнаказанным !!!
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 22 августа 2005 18:02 · Личное сообщение · #9 Я прочел статью "Распаковка программы упакованной ASProtect 1.23 RC4 Demo", там автор в ImpRec выбирает неопределившуюся ф-ю, далее в контекстном меню - "Dissasemble/HexView". Потом он по асембл. листингу определяет, что это за ф-я. Но КАК он это делает, из статьи не видно. Так как же можно узнать, что такому коду: 008E1CC8 push ebp 008E1CC9 mov ebp,esp 008E1CCB mov eax,[8E7E24] // DWORD value: 00142378 008E1CD1 mov eax,[ebp+8] 008E1CD4 pop ebp 008E1CD5 retn 4 соответствует ф-я LockResource?
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 22 августа 2005 18:31 · Личное сообщение · #10 Естесно по результату работы функции. Если посмотреть в kernel32.dll, то LockResource() выглядит так: LockResource: push ebp mov ebp, esp mov eax, [ebp+8] pop ebp retn 4 Несложно заметить что это одно и тоже с тем что написал ты. Отсюда и вывод. Остальные определяются по возвращаемым значениям - дамаю результат GetCommandLine() та отличишь от GetCurrentProcessId()
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 22 августа 2005 18:48 · Личное сообщение · #11 либо использовать плагин-tracer, если на взгляд на определить (пока) ----- EnJoy!
_Svv_ Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 23 августа 2005 00:26 · Личное сообщение · #12 DrGolova Я открыл свой kernel32.dll в W32dasm, далее Functions->Exports->LockResource, и вот что увидел Exported fn(): LockResource - Ord:0242h Exported fn(): SetHandleCount - Ord:02FBh :77E7C931 8B442404 mov eax, dword ptr [esp+04] :77E7C935 C20400 ret 0004 Почему нет настоящего кода этой ф-ии, типа того, какой написал ты? Объясни в чем дело, pls.
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 23 августа 2005 00:39 · Личное сообщение · #13 _Svv_ пишет: Я открыл свой kernel32.dll в W32dasm Надо было в отладчике глядеть.
DrGolova Ранг: 199.6 (ветеран), 12thx Активность: 0.1↘0 Статус: Участник www.uinc.ru	Создано: 23 августа 2005 14:25 · Личное сообщение · #14 > Почему нет настоящего кода этой ф-ии Потому что оба кода "настоящие" и делают одно и то же. Матчасть учи, да.

Для печати