IDA. Как загрузить имена функций из static linked DLL

Сейчас на форуме: Rio, vsv1, site-pro (+7 невидимых)

Посл.ответ	Сообщение
crackintosh Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 25 февраля 2012 21:52 · Личное сообщение · #1 Приветствую всех! Нужна помощь. Загрузил в IDA файло.EXE (написано на VC++) в процессе написания использовала функции из DLL-ки. После компиляции функции DDL-ки выли всасаны в тело EXE, тем самым убрав нужду таскать за собой DLL-ку. Имею саму dll.dll, dll.H и её dll.lib файл. Пытаюсь востановить исходник - но встала проблема, как загрузить имена функции из DLL-ки? Очень неудобно читать код с вызовами типа "call sub_65847E53", зная что это вызов какойнить функции из DLL-ки.. Спасибо за любой дельный софет .

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 25 февраля 2012 22:03 · Личное сообщение · #2 Через FLAIR сигнатур нагородить разве что.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 февраля 2012 22:03 · Личное сообщение · #3 crackintosh пишет: Загрузил crackintosh пишет: использовала вы уже с полом своим определитесь)) если dll не експортирует их никак, и дебаг инфо пострипана - смиритесь с crackintosh пишет: "call sub_65847E53",
crackintosh Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 25 февраля 2012 22:12 · Поправил: crackintosh · Личное сообщение · #4 2 reversecode: Я загрузил. Программа использовала DLL-ка экпортирует. Но EXE-ка уже может обойтись и без неё (DLL-ки) так как тела функций всасаны в EXE. Есть ли какойнить способ найти тела функций из DLL-ки в EXE-шнике?
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 25 февраля 2012 22:45 · Личное сообщение · #5 Интересно, чем это надо компилировать, чтоб "всосать" длл? Загружаете длл в иду, делаете сигнатуры плагом ... (забыл название), подгружаете сигнатуры в иду с основной прогой. ----- старый пень
crackintosh Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 26 февраля 2012 10:36 · Личное сообщение · #6 "забыл название" - потерял вечер... но так и не нашел нужное название.
Hexxx Ранг: 481.4 (мудрец), 109thx Активность: 0.18↘0 Статус: Участник Тот самый :)	Создано: 26 февраля 2012 10:56 · Поправил: Hexxx · Личное сообщение · #7 dll.lib - это библиотека экспорта, или это тот же код, что в DLL, но в виде статической либы? Если ответ да - то --> Link <-- Если нет, то FLAIR. ----- Реверсивная инженерия - написание кода идентичного натуральному \| Сообщение посчитали полезным: mak
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 26 февраля 2012 13:22 · Личное сообщение · #8 Hexxx если у вас есть вот ето (c указанной линки) >Исправленную версию можно взять тут: http://extint.narod.ru/Files/coff.rar закиньте пож-та Спасибо
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 26 февраля 2012 14:37 · Личное сообщение · #9 crackintosh В аттаче. Если либа идет парой .lib+.dll то в .lib только экспорт будет. 46ce_26.02.2012_EXELAB.rU.tgz - sigs.zip ----- старый пень
crackintosh Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 26 февраля 2012 16:21 · Личное сообщение · #10 2 Hexxx: "это тот же код, что в DLL, но в виде статической либы" Разобрался... большинсво функций DLL дублируются в теле EXE! остальные загружаются динамически. Нафига это сделано - не знаю. 2 sendersu: Ссылка на http://extint.narod.ru/Files/coff.rar мертвая... а жаль. Хороший плаг! 2 r_e: Спасибо! Вечером попробую поюзать плаг. Уже в 50% кода разобрался - интерфейс востановил. Процесс пошел. Спасибо всем за помощь!
Hexxx Ранг: 481.4 (мудрец), 109thx Активность: 0.18↘0 Статус: Участник Тот самый :)	Создано: 26 февраля 2012 20:24 · Поправил: Hexxx · Личное сообщение · #11 Вот, в атаче тот самый coff плагин. crackintosh пишет: Разобрался... большинсво функций DLL дублируются в теле EXE! Либу сделали так что ее можно линковать любым удобным способом. Так же как MFC или CRT может быть влинковано в exe, или быть импортируемой либой. 1113_26.02.2012_EXELAB.rU.tgz - coff.7z ----- Реверсивная инженерия - написание кода идентичного натуральному \| Сообщение посчитали полезным: sendersu, Ratinsh, shsxs, inoplanetnoe
inoplanetnoe Ранг: 0.3 (гость) Активность: 0=0 Статус: Участник	Создано: 12 сентября 2014 04:18 · Поправил: inoplanetnoe · Личное сообщение · #12 Для lib файлов новых студий он не работает . Попробовал довести до рабочего состояния, но моего уровня недостаточно. Кто-то может разъяснить что там не так или сразу подпилить плагин до рабочего вида? Code: --- coff.cpp Tue Oct 12 22:53:02 2010 +++ coff.new.cpp Fri Sep 12 04:30:13 2014 @@ -143,6 +143,9 @@ ea_t FindBase(FILE * fp, int bookmark, const coff_section_header * textSectionHdr, vector<ge_reloc_t> ge_relocs) { unsigned int codeBlockLen = textSectionHdr->size; + + if (!codeBlockLen) + return BADADDR; char * codeBlock = (char)qalloc(codeBlockLen); memset(codeBlock, 0, codeBlockLen); @@ -195,7 +198,7 @@ for (unsigned i = 0; i < hdr.num_sections; i++) { - if (strcmp(secHdr->name, ".text") == 0 \|\| ((secHdr[i].flags & IMAGE_SCN_CNT_CODE) == IMAGE_SCN_CNT_CODE)) + if (_memicmp(secHdr->name, ".text", 5) == 0 \|\| ((secHdr[i].flags & IMAGE_SCN_CNT_CODE) == IMAGE_SCN_CNT_CODE)) { ge_section_t sect; sect.section = secHdr[i]; @@ -273,7 +276,7 @@ qfread(fp, &hdr, sizeof(coff_file_header)); if (hdr.cpu_type != IMAGE_FILE_MACHINE_I386) { - msg("COFF Plugin -> This plugin only applicable for 32bit i386 COFF format!\n"); + msg("COFF Plugin -> Expected 32bit i386 format (format: %02a)!\n", hdr.cpu_type); return; } @@ -314,45 +317,28 @@ void* ParseLibFile(FILE * fp) { - arch_header hdr; - qfread(fp, &hdr, sizeof(arch_header)); - - int _1stLen = atol(_S(hdr.size)); - qfseek(fp, _1stLen, SEEK_CUR); // skip 1st. header - - align(fp); - - qfread(fp, &hdr, sizeof(arch_header)); - - int _2ndLen = atol(_S(hdr.size)); - int bookMark1 = qftell(fp); - int numberOfMembers = 0; - qfread(fp, &numberOfMembers, sizeof(numberOfMembers)); - - if (numberOfMembers) + arch_header head; + int bookmark_head; + static int header_size = sizeof(arch_header); + qfread(fp, &head, header_size); + while (qfseek(fp, atol(_S(head.size)), SEEK_CUR) == 0) { - vector<int> objFiles(numberOfMembers); - qfread(fp,&objFiles.front(),numberOfMemberssizeof(int)); - - int* numberOfSymbols = 0; - qfread(fp, &numberOfSymbols, sizeof(numberOfSymbols)); - qfseek(fp, bookMark1, SEEK_SET); // go back to end of the 2nd. header - qfseek(fp, _2ndLen, SEEK_CUR); // skip 2nd. header - align(fp); - - qfread(fp, &hdr, sizeof(arch_header)); - for (unsigned i = 0; i < objFiles.size(); i++) - { - qfseek(fp, objFiles[i], SEEK_SET); - qfread(fp, &hdr, sizeof(arch_header)); + if (qfread(fp, &head, header_size) == header_size) { + bookmark_head = qftell(fp); applyCoffObject(fp); - if (wasBreak()) - break; } + else + { + msg("COFF Plugin -> end of file reached!\n"); + break; + } + if (wasBreak()) + break; + qfseek(fp, bookmark_head, SEEK_SET); } - else - error("This lib file has no object files within!"); + //else + // error("This lib file has no object files within!"); } 98e3_12.09.2014_EXELAB.rU.tgz - coff.new.cpp

Для печати