Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› Что с импортом?
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

 Создано: 30 августа 2009 04:19
· Личное сообщение · #1

Все вроде верно в хидере. Но не PEID, ни PETools не показывают импорт. В ольке IAT заполнена.

5a37_29.08.2009_CRACKLAB.rU.tgz - bad_import.exe



Ранг: 6.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 03 сентября 2009 23:47
· Личное сообщение · #2

Prince[ART] пишет:
Бага в ПЕРВОМ аттаче(второй итд. не смотрел) в том что у тебя длина секции кода больше на 512 байт(.text "налезает" на .rdata)
мммммм, 400h + 2200h = 2600h - конец скеции .text и начало секции .rdata
Не вижу "наезда" ;)

p.s.
кста, tdump (Turbo Dump Version 5.0.16.12) показывает импортные функции у первого аттача.
Code:
  1. ***************************************************************** *************
  2. Section:             Import
  3.   ImportLookUpTblRVA:00003108
  4.   Time Stamp:        00000000
  5.   Forwarder Chain:   00000000 (index of first forwarder reference)
  6.  
  7. Imports from kernel32.dll
  8.     (hint = 0771) UnhandledExceptionFilter
  9.     (hint = 0AFF) QueryPerformanceCounter
  10. ...

Ранг: 114.8 (ветеран), 41thx
Активность: 0.10
Статус: Участник

 Создано: 04 сентября 2009 11:21
· Личное сообщение · #3

sai_NT пишет:
Не вижу "наезда" ;)
Смотри внимательней. И предыдущие посты тоже. ;)



Ранг: 6.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 04 сентября 2009 16:05
· Личное сообщение · #4

_ruzmaz_ пишет:
Ну вот - здесь rva 30CC можно получить, считая от начала секции .text - 30CC = 1000 + 2000 + CC и физически это будет смещение 24CC

Правильнее считать в таких случаях (при ненормальном размере секции) не от секции .text, а от .rdata, так как именно в последнюю указывает директория импорта
Code:
  1. #define IMAGE_DIRECTORY_ENTRY_IMPORT         1  // Import Directory


_ruzmaz_ пишет:
Смотри внимательней. И предыдущие посты тоже. ;)
Думаю у нас разное понимание слова "наезд" (в контексте наезда секции).



Ранг: 6.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 04 сентября 2009 16:15
· Личное сообщение · #5

Prince[ART] пишет:
По смещению(от начала файла) 0x188 0x2200 надо пропатчить на 0x2000 и все в PE Editor будет показывать
Короче зайди в PE Editor открой Sections Editor(кнопка Sections) и на секции .text правая кнопка мыши и Edit Section Header
И Raw Size замени 00002200 на 00002000 и OK

ИМХО, правильнее виртуальный размер (V.Size) секции .text сделать равным физическому (R.Size) с учетом выравнивания секции OptionalHeader.SectionAlignment, т.е. в нашем случае он тоже должен быть 2000h
Code:
  1. 00000180: 7c 1f -> 00 20

Ранг: 114.8 (ветеран), 41thx
Активность: 0.10
Статус: Участник

 Создано: 04 сентября 2009 17:05 · Поправил: _ruzmaz_
· Личное сообщение · #6

sai_NT пишет:
Правильнее считать в таких случаях (при ненормальном размере секции) не от секции .text, а от .rdata, так как именно в последнюю указывает директория импорта
Конечно правильней )) - смотри тот же пост (который цитировал) и следующий за ним.



Ранг: 6.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 сентября 2009 13:24
· Личное сообщение · #7

_ruzmaz_ пишет:
Конечно правильней )) - смотри тот же пост (который цитировал) и следующий за ним.
Вроде понял, что имелось ввиду ))
Code:
  1. (.text[V.Offset])+(.text[R.Size])>(.rdata[V.Offset])
  2. 1000h+2200h>3000h
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Что с импортом?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати