Парсинг экспорта

Сейчас на форуме: Magister Yoda, johnniewalker, Kybyx, vsv1, r0lka, -Sanchez-, testrev1337 (+3 невидимых)

Посл.ответ	Сообщение
s0l Ранг: 60.6 (постоянный), 20thx Активность: 0.07↘0 Статус: Участник	Создано: 17 марта 2011 14:32 · Поправил: s0l · Личное сообщение · #1 Хочу спарсить экспорт библиотеки kernel32.dll Возникла следующая проблема: У меня есть ImageBase, AddressTableRVA, NamePointersRVA, но имена в NamePointers располагаются в алфавитном порядке, а адреса - нет. Для примера: получаю первое имя и первый адрес Code: имя - AcquireSRWLockExclusive (000BEDC7) адрес - 00053С33 (BaseThreadIntThunk) т.е. как видите, адрес совсем от другой функции. Прошу чисто теоретически подсказать правильный алгоритм парсинга, в голову ничего не приходит =(

BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 17 марта 2011 14:47 · Поправил: BoRoV · Личное сообщение · #2 s0l пишет: Хочу спарсить экспорт библиотеки kernel32.dll Это наверно не на ХР хочешь, т.к. там я такой ф-ии не нашел. s0l пишет: Прошу чисто теоретически подсказать правильный алгоритм парсинга, в голову ничего не приходит Покажи свой, попробуем найти ошибки в нем, если они есть. ----- Лучше быть одиноким, но свободным © $me
s0l Ранг: 60.6 (постоянный), 20thx Активность: 0.07↘0 Статус: Участник	Создано: 17 марта 2011 14:50 · Личное сообщение · #3 BoRoV пишет: Это наверно не на ХР хочешь, т.к. там я такой ф-ии не нашел. На 7ке, но это не важно BoRoV пишет: Покажи свой, попробуем найти ошибки в нем, если они есть. В коде ошибок нет, все работает верно. Просто алгоритм парсинга никак не придумаю
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 17 марта 2011 14:55 · Личное сообщение · #4 Алгоритм парсинга описан в мануале: Thus, when the export name pointer table is searched and a matching string is found at position i, the algorithm for finding the symbol’s address is: i = Search_ExportNamePointerTable (ExportName); ordinal = ExportOrdinalTable [i]; SymbolRVA = ExportAddressTable [ordinal - OrdinalBase];
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 17 марта 2011 14:58 · Личное сообщение · #5 А что там думать, проще некуда. Это с одного моего старого проекта. Code: type PDWORDArray = ^TDWORDArray; TDWORDArray = array[Word] of DWORD; PWordArray = ^TWordArray; TWordArray = array[Word] of Word; var ExportDirectory: PImageExportDirectory; Functions: PDWORDArray; Ordinals: PWordArray; Names: PDWORDArray; ... ExportDirectory := PImageExportDirectory(RvaToVa(ImageNtHeaders^.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)); Functions := Pointer(RvaToVa(Cardinal(ExportDirectory^.AddressOfFunctions))); Ordinals := Pointer(RvatoVA(Cardinal(ExportDirectory^.AddressOfNameOrdinals))); Names := Pointer(RvatoVA(Cardinal(ExportDirectory^.AddressOfNames))); ... ----- Лучше быть одиноким, но свободным © $me
s0l Ранг: 60.6 (постоянный), 20thx Активность: 0.07↘0 Статус: Участник	Создано: 17 марта 2011 15:35 · Личное сообщение · #6 Всем спасибо, вопрос пока исчерпан. Арчи, я читал о структуре таблицы єкспорта не в оригинале, а в русскоязычной статье. Именно в єтом крылась моя ошибка (-: Еще раз большое спасибо

Для печати