 |
eXeL@B —› Крэки, обсуждения —› как правильно определить начало и конец IAT |
| Посл.ответ | Сообщение |
|
|
Создано: 16 ноября 2005 10:07 · Личное сообщение · #1 ситуэйшн такой: Пытаюсь распаковать asprotect 1.2х-1.3х через Olly. дохожу до OEP, далее надо восстановить спертые call и Jmp типа CALL 0D40000 (и таких много). Поучиль адрес оригинального calla не проблема. типа 7C812BE6=>kernel32.GetCPInfo. только вот в IAT нет такой последовательности (естесственно делаю бинарный поиск по E6 2B 81 7C). вот и встает вопрос как определить начало и конец этой самой IAT чтобы дописать туда эту последовательность. Заранее thank's  |
|
|
Создано: 16 ноября 2005 15:54 · Личное сообщение · #2 забей на эту иат, создавай на неиспользуемом пространстве новую, потом импреком обе обработаешь. |
|
|
Создано: 16 ноября 2005 16:17 · Личное сообщение · #3 можно и так. надо попробовать. 
|
|
|
Создано: 16 ноября 2005 16:44 · Поправил: Smon · Личное сообщение · #4 Я делал так - на той иат искал неверные адреса, находящиеся среди верных и менял их на нужные =) Неверные - эт те, которые не 77 и не 7C, хотя мож еще что пропустил =) ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 16 ноября 2005 17:21 · Личное сообщение · #5 дык у меня еще и comctl32.dll подгружается, там вообще 5D и лажи всякой типа этой много. так что поди разберись мусор это или реал. |
|
eXeL@B —› Крэки, обсуждения —› как правильно определить начало и конец IAT |
Для печати