О дампе DLL

Сейчас на форуме: YDS, _MBK_, user99, ManHunter (+4 невидимых)

Посл.ответ	Сообщение
N1ck Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 01 декабря 2005 20:46 · Личное сообщение · #1 Подскажите пожалуйста. В полученном от lordPE дампе DLL: - что есть базовый адрес дампа и куда его писать? - что нужно писать в image base?

Asterix Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник	Создано: 01 декабря 2005 22:03 · Личное сообщение · #2 N1ck пишет: - что нужно писать в image base? базовый адрес загрузки, т.е. тот адрес по которому была загружена ДЛЛ во время дампа
N1ck Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 02 декабря 2005 10:54 · Личное сообщение · #3 Помогите разобраться с распаковкой DLL. Что не так: - запакованная DLL загружена в Olly - получен и сохранен дамп от lordPE - определены OEP, Base Image - запущен процесс с упакованной DLL - в ImpRec: Pick DLL -> иск. DLL, указан OEP IAT AutoSearch определил RVA Get Import -> все Imported Function валидны Fix Dump -> сообщ "Invalid RVA..."
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 02 декабря 2005 12:17 · Личное сообщение · #4 Средства автоматизации типа импрека и лорда конечно хороши, но не привыкай.
Asterix Ранг: 450.1 (мудрец) Активность: 0.26↘0 Статус: Участник	Создано: 02 декабря 2005 12:24 · Личное сообщение · #5 TOG пишет: Средства автоматизации типа импрека и лорда конечно хороши, но не привыкай. Это средства автоматизации? lol А чем тогда дампить? А отсутствующий импорт предлагаешь ручками в бинарном виде в дампе набивать?
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 02 декабря 2005 12:39 · Поправил: TOG · Личное сообщение · #6 N1ck Выставил в New Import Infos поле RVA - алрес будущей директории импорта ? Выставь адрес либо новой секции(добавь ее сначала), либо такой, где пустое место есть. Директория импорта которую ты делаешь не должна пересекаться с IAT ! Asterix Я про ф-ю FixDump
N1ck Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 02 декабря 2005 13:27 · Личное сообщение · #7 Всем спасибо, разобрался... Теперь такой вот нюанс... Дамп DLL c восстановленным в ImpRec'е импортом грузится в Olly. Заргузчик предупреждает, что OEP находится вне секции кода. Это действительно так: EP=22BFD, BaseOfCode=6200 В запакованной DLL эти значения: EP=6266D, BaseOfCode=6200 Похоже, нужно изменить BaseOfCode, но из каких соображений? Научите, пожалуйста.
TOG Ранг: 84.8 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 02 декабря 2005 16:00 · Личное сообщение · #8 Поле BaseOfCode вообще роли никакой не играет. Любое значение подойдет.
Mario555 Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•	Создано: 03 декабря 2005 00:44 · Личное сообщение · #9 TOG пишет: Поле BaseOfCode вообще роли никакой не играет. Любое значение подойдет. при анализе в олли играет ;) N1ck пишет: Похоже, нужно изменить BaseOfCode, но из каких соображений? начало секции кода ;) хотя для работы проги это действительно безразлично, разницу заметишь только в олли.
Mario555 Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•	Создано: 03 декабря 2005 00:46 · Личное сообщение · #10 и кста про FixDump - ни разу оно не косячило у меня (ну кроме случаев с нехваткой места под описание секции в заголовке), так что имхо полезная и безглючная опция.

Для печати