 |
eXeL@B —› Основной форум —› Определение адреса API по имени |
| Посл.ответ | Сообщение |
|
|
Создано: 24 октября 2005 11:54 · Личное сообщение · #1 Сорри если глупый вопрос, но возможно ли определить адрес требуемой функции без использования IAT ? =) Адреса одни и те же только на одинаковой версии виндуза 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels  |
|
|
Создано: 24 октября 2005 11:57 · Личное сообщение · #2 Можно, LoadLibraryA+GetProcAddress ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 24 октября 2005 11:59 · Личное сообщение · #3 nice А у этих функций разве постоянные адреса ? ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 24 октября 2005 12:01 · Поправил: nice · Личное сообщение · #4 а, ну если так,. то тебе придется РЕ заголовок разобрать и самому в Экспорте в длл найти ф-ию ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 24 октября 2005 12:05 · Поправил: Smon · Личное сообщение · #5 Значит без IAT не обойтись ?  Я имею в виду загрузчик-расшифровщик файла без использования IAT. А виндовые вирусы - тоже получается таблицу импорта используют ? или разбирают заголовок и ищут экспортируемые функции ?
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 24 октября 2005 13:06 · Личное сообщение · #6 Smon пишет: Я имею в виду загрузчик-расшифровщик файла без использования IAT. Учти, 2к откажется грузить PE без импорта (к драйверам не относится). А так - на васме валялся код в вирусах, который из цепочки сех-ов достает адрес внутри kernel32 (первый указатель на обработчик исключения), находит по нему базу kernel32 и дальше ищет нужные функции анализируя таблицу экспорта. |
|
|
Создано: 24 октября 2005 15:41 · Личное сообщение · #7 Smon Нужна утитилка или исходник ? Если утилитка есть 2 штуки своя собственная и от тимы SnD. ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 24 октября 2005 17:01 · Личное сообщение · #8 mysterio Ага, кинь куды если мона =)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 24 октября 2005 19:12 · Личное сообщение · #9 Smon Грузил на рапиду rapidshare.de/files/6698810/APIAddressesFinder_by__TLG_Mysterio___SnD.Rar.html и вот сюда getfile.biz/6380 P.S. Когда грузил на рапиду связь оборавалсь, поэтому на рапиде архив может быть битым. ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 24 октября 2005 21:21 · Личное сообщение · #10 MoonShiner пишет: (первый указатель на обработчик исключения), Такая метода не отработает на Win2003 Server потому как первый SEH далеко не в kernel |
|
|
Создано: 25 октября 2005 08:24 · Поправил: Smon · Личное сообщение · #11 mysterio Спасибо =) Надо же, кто то еще кроме меня качал этот исходник =)  да еще и 4 раза
Только вот оказалось, что там не исходник, и даже не простой пример на асьме, а уже скомпиленная прога =( - эт типа надо разрыть как там находятся адреса ?
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 25 октября 2005 14:13 · Личное сообщение · #12 Smon Все делается при помощи: GetModuleHandleA GetProcAddress LoadLibrary GetModuleFileName Ну и в конце не забыть FreeLibrary. ----- Don_t hate the cracker - hate the code. |
|
eXeL@B —› Основной форум —› Определение адреса API по имени |
Для печати