Все вроде верно в хидере. Но не PEID, ни PETools не показывают импорт. В ольке IAT заполнена.

5a37_29.08.2009_CRACKLAB.rU.tgz - bad_import.exe

| Сообщение посчитали полезным:

Sunzer пишет:
Но не PEID, ни PETools не показывают импорт
PEiD v0.95 все показывает ) .. у меня

| Сообщение посчитали полезным:

0.94 не показывает, PE Tools 1.5 RC7 тоже не показывает, StudPE тоже не показывает. Это значит баг в самих программах?

| Сообщение посчитали полезным:

В этой проге какая-то хрень с RVA - в CFF Explorer и Hiev можно найти два места с RVA=30CC (адрес таблицы импорта) ))))

| Сообщение посчитали полезным:

Поставил PEID 0.95, действительно теперь нормально, так кто объяснит что там именно не так? Из за чего так?

добавлено: Проверил еще раз хидер и саму таблицу, все верно.

Старый пеид 0.95 не верно находит физическое смещение на таблицу, RVA в хидере верно на нее прописан. Тоже самое с PE Tools.

| Сообщение посчитали полезным:

У тебя реальный размер секции .text больше чем виртуальный - поэтому получается вышеописанная мной фигня, а разные проги ориентируются на разные секции, потому некоторые ошибаются.

| Сообщение посчитали полезным:

Секция таблицы начинается с адрес 2600h проверил в hex редакторе. Size Of Headers = 400h.

Тоесть первая секция начинается с этого адреса. 2600h - 400h = 2200h = Физическому размеру секции.



ps на не верное выравнивание виртальных размеров не обращайте внимания. Я обнулил секции.

| Сообщение посчитали полезным:

Ну вот - здесь rva 30CC можно получить, считая от начала секции .text - 30CC = 1000 + 2000 + CC и физически это будет смещение 24CC
В то же время rva 30CC можно получить, считая от начала секции .rdata - 30CC = 3000 + CC и это находится на офсете 26CC
Правильный - второй вариант )) .. но не все проги об этом знают

| Сообщение посчитали полезным:

Не знаю каким местом они ищут. Но ведь ищется физический адрес так:

Берем RVA таблицы импорта.

Перебираем все секции что бы от начала виртуального адреса секции до его конца в этот диапазон взодило значение RVA таблицы. Далее к физическому смещению этой секции прибавляем RVA таблицы - Смещение секции. Получили физическое смещение на таблицу.

| Сообщение посчитали полезным:

Импорт можно убрать с поля зрения некоторых прог, поставив Import Directory Size=0

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Ерунда то в том что с таким хз каким импортом Avira спаливает как XPack.Gen.
Такое ощущение что они друг у друга копипастят код. Так в чем проблема в программах или в моей программе?

| Сообщение посчитали полезным:

Sunzer пишет:
Avira спаливает как XPack.Gen
Спаливают непонятно какие авири - нормальные молчат
www.virustotal.com/ru/analisis/0b06d77e5d69f318788cb736422cc03c3b35863b9639486496e0141be00d80e2-1251629816

Прога ведь работает - значит дело в программах

Кстати, неплохой прием против просмотра импорта )

| Сообщение посчитали полезным:

_ruzmaz_ пишет:
Прога ведь работает - значит дело в программах
у кого она работает, у меня лично нет (хр сп2)

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Дык там же нули, чему там работать. А IAT загрузчиком заполнена.

| Сообщение посчитали полезным:

Нули на ep пытаются же выполнится - значит прога по идее работать должна.
Другой вопрос - как в коде (вместо которого нули =) используются импортированные функи - если правильно, то все ок

| Сообщение посчитали полезным:

BoRoV пишет:
у меня лично нет (хр сп2)

Анологично, XPSP3

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Что именно у вас не работает? Программа в олю не грузится? Или IAT не заполнена?

| Сообщение посчитали полезным:

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

А что там должно работать то там все в нулях. Вопрос про таблицу импорта. Читайте первый пост.

| Сообщение посчитали полезным:

Если прогу запускать без отладчика, то в дампе импорт заполнен - все ж ОК вроде )

| Сообщение посчитали полезным:

Да и в отладчике IAT заполнена.

| Сообщение посчитали полезным:

На эту фигню еще ведутся CFF Explorer, утила DUMPPE, LordPE, DiE v0.64 и Protection ID v0.6.2.3.
В иде все вроде норм

add:
Dependency Walker тоже молчит

| Сообщение посчитали полезным:

Вот дописал что бы MessageBoxW вылазил. Все работает! Значит это множество PE утилит тупят + еще и Avira

Осталось понять, как такой импорт специально сделать. У меня просто генератор сгенерил 1000 файликов.
Авира в 10 из них нашла дрянь. И вот все 10 файлов с таким странным импортом.

4c53_30.08.2009_CRACKLAB.rU.tgz - bad_import.exe

| Сообщение посчитали полезным:

Sunzer пишет:
У меня просто генератор
Что за генератор такой ? )))))

Sunzer пишет:
И вот все 10 файлов с таким странным импортом
В архиве вижу только один

| Сообщение посчитали полезным:

Ну так я один в качестве примера выложил. Могу еще пару сделать.

_ruzmaz_ пишет:
Что за генератор такой ? )))))

Часть компонента от криптора

| Сообщение посчитали полезным:

Только две авири остались при своем мнении (по срванению с "нулевым" кодом)
www.virustotal.com/ru/analisis/8ac6455206f4c10b4a6cb9193704b988d42e07a835cb471601eba2e2a6c0fd19-1251651268

Кстати вирустотал тоже импорт не показывает :Р

Sunzer, можешь просветить - sysenter после MessageBoxW у тебя там зачем ? ))

| Сообщение посчитали полезным:

_ruzmaz_ пишет:

Sunzer, можешь просветить - sysenter после MessageBoxW у тебя там зачем ? ))

Да какая разница что в коде? Это ровным счетом ничего не меняет!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

_ruzmaz_ пишет:
Sunzer, можешь просветить - sysenter после MessageBoxW у тебя там зачем ? ))

А ты попробуй убрать его. Ошибка будет после MessageBoxW.

| Сообщение посчитали полезным:

Будет обязательно. ) Ну так это за неимением нормального ExitProcess в импорте что ли?

| Сообщение посчитали полезным:

Бага в ПЕРВОМ аттаче(второй итд. не смотрел) в том что у тебя длина секции кода больше на 512 байт(.text "налезает" на .rdata)
По смещению(от начала файла) 0x188 0x2200 надо пропатчить на 0x2000 и все в PE Editor будет показывать
Короче зайди в PE Editor открой Sections Editor(кнопка Sections) и на секции .text правая кнопка мыши и Edit Section Header
И Raw Size замени 00002200 на 00002000 и OK

| Сообщение посчитали полезным: