Что лучше восстанавливать сначала
релоки или импорт?

| Сообщение посчитали полезным:

Релоки можно делать только на готовой дллке если нет таблички релоков

| Сообщение посчитали полезным:

Вообще говоря, разницы нет, что тыкать в первую очередь. Лично я предпочитаю импорт, потом релоки. Полагаю, топик можно закрыть.

| Сообщение посчитали полезным:

Archer пишет:
Полагаю, топик можно закрыть
Подожди, не торопись. Спрошу тоже, под руку Распаковывал я DIVX после аспра 1.23 (проосто доставала своими исключениями при запуске нужной мне программы, переключаться в Оле тоже надоело).
Так вот, релоки я никак не восстанавливал, просто поправил у них RVA и размер в Directories. Распакованная DLL нормально работает, вопрос в том, будет ли она работать на других компах и в других ОС. Что-то я запутался в этом.

| Сообщение посчитали полезным:

Возьми да попробуй на другой ОС, на варе поставь. Вообще надо бы иметь пару разных ОС под рукой. Или как минимум подгрузи по другой базе и проверь, будет ли работать.
Аспр не трогает релоки, насколько я помню, стало быть, есть надежда, что ты попал, и работать будет нормально. Если бы уничтожал релоки-пришлось бы восстанавливать тулзами, а не просто вбивать адрес уже существующих.

| Сообщение посчитали полезным:

Archer пишет:
Вообще говоря, разницы нет
Разница есть

| Сообщение посчитали полезным:

Нууу... эээ... как бы пояснить неплохо на примере, в каких случаях есть разница, может, я что-то упустил.

| Сообщение посчитали полезным:

Я правильно понял, что если остались старые релоки - новые создавать не нужно?

| Сообщение посчитали полезным:

Смотря какие старые, старые могут быть от самого пакера, а могут быть и от проги, которые лежат в памяти, а пакер просто не затёр. Короче, с умом тоже надо.

| Сообщение посчитали полезным:

pavka пишет:
Archer пишет:
Вообще говоря, разницы нет
Разница есть
Как делаешь ты?
И такая мысль
Допустим импрек перестроил таблицу импорта на новые адреса
импорт например выглядит как call dword ptr [const]
Импрек перебьет константы, но при загрузке длл адреса изменятся и тут должны сработать релоки.
получается что если сначала забить релоки, а импорт восстановить в новую секцию,
то после загрузки длл все вызовы импорта будут идти лесом, т.к. релоки были настроены на другие константы.
Я правильно думаю? Или релокам все равно на эти константы и они просто добавят (вычтут) разницу
image base от константы?

| Сообщение посчитали полезным:

Допустим импрек перестроил таблицу импорта на новые адреса
импорт например выглядит как call dword ptr [const]
Импрек перебьет константы, но при загрузке длл адреса изменятся и тут должны сработать релоки.
получается что если сначала забить релоки, а импорт восстановить в новую секцию,
то после загрузки длл все вызовы импорта будут идти лесом, т.к. релоки были настроены на другие константы.
Нет, все будет нормально.

Релоки - это всего лиш "списoк адресов", в которых надо сделать изменения.
Т. е. при загрузки проги в память считается смещение типа Image base(по которому прога загружена в память) минус Original Image base (из pe - заголовка). Это смещение прибавляется к const-е лежащей по адресу взятому из "списка адресов". Поэтому как не меняй const-у импреком смещение к ней добавиться одно и тоже.

| Сообщение посчитали полезным:

О чем идеть речь ? Что значит востановить релоки? Найти оригинальную табличку если она есть и прописать в хидере соответствющие значения? Если есть табличка и ты востанавливаешь код до исходного то этого достачно
Делать релоки если нет таблички возможно только на готовой к употреблению длл т.е с импортом экспортом и т.д

| Сообщение посчитали полезным:

pavka
В файле нет релоков. Допустим у меня есть дамп распакованной длл.
И есть дамп второй распакованной длл по другому image base.
Импорт и релоки еще не прикручены и их нет в файле.
Почему нельзя к дампу сначала прикрутить релоки, а потом импорт?
Я так понял что разницы нет. Но ты говоришь обратное...

| Сообщение посчитали полезным:

Nightshade пишет:
В файле нет релоков. Допустим у меня есть дамп распакованной длл.
И есть дамп второй распакованной длл по другому image base.

Потому что я не знаю какой ты протектор распаковываешь и какой у тебя импорт
Nightshade пишет:
Что лучше восстанавливать сначала
релоки или импорт?
При востановлении импорта во многих протах, не хило меняется секция кода по этому делание релоков сизифов труд ..Сответственно делать релоки тогда, когда уверен что ни чего менять в коде не будешь
Все это относится не только к импорту но спласингу, реплейсу и прочей лабуде

| Сообщение посчитали полезным:

Похоже, Nightshade разобрался со своим вопросом, поэтому я снова влезу со своей DIVX.
Вобщем, как и сказал Archer, оригинальные релоки аспр1.23 не трогает, т.к. сам правит ими распакованный код.
Для того чтобы заставить DIVX грузиться не по своей базе (1000 0000), мне пришлось переделать базу на это значение у другой dll. Есть ли простой способ загрузить dll не по своей базе, если ее адрес в памяти всегда свободен (под Олей, например)?

| Сообщение посчитали полезным:

SVLab пишет:
Есть ли простой способ загрузить dll не по своей базе, если ее адрес в памяти всегда свободен

VirtualAlloc с первым параметром - адресом, который нужно зарезервировать (естесственно до загрузки длл)

-----
EnJoy!

| Сообщение посчитали полезным:

SVLabЕсть утиль от DrGolova называется DLL Rebaser перестраивает dll под другую базу может стоит её попробывать?

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Jupiter
Будем знать, спасибо. MEM_RESERVE?
ClockMan
Да, я ею и пользовался. Имелось ввиду не меняя саму dll. Например, проверить, нормально ли работают релоки.

| Сообщение посчитали полезным:

можешь после получения памяти чо-нить записать в первую страницу - и убедиться, что данные записаны
тогда ты можешь быть уверен, что адрес тобой занят

-----
EnJoy!

| Сообщение посчитали полезным:

Лучше MEM_COMMIT, но можно и MEM_RESERVE-разницы нет, память занята в любом случае, лоадер виндовый не станет туда мапить длл.
Твоя задача-занять дефолтный адрес, а как занять-пофигу, можешь выделить память, можешь замапить туда свою длл, вариантов много.

| Сообщение посчитали полезным:

Jupiter пишет:
можешь после получения памяти чо-нить записать в первую страницу - и убедиться, что данные записаны
Не будет ли это лишним? в EAX видно ведь, что возвращается.

Archer
MEM_COMMIT не работает без предварительного резервирования. Или я ошибаюсь?
Возник еще вопрос.
Такой способ можно использовать, если dll подгружается после запуска программы или по мере надобности. Т.е., загружается в Олю программа, резервируется нужная память, программа отпускается и грузит dll в новый адрес. А как быть, если библиотека импортируется? Ведь она будет уже в памяти еще до того, как Оля встанет на EP программы.

| Сообщение посчитали полезным:

Если нулевой адрес, можно сразу MEM_COMMIT, почитай мсдн, короче, там написано.
Ну возьми запихай в импорт сперва свою либу по тому же адресу или убери из импорта и подгрузи её руками, тебе же не вечно так делать надо, а поиграться разок и всё. Если грузишь сторонней софтиной, при запуске спящего процесса либа ещё не замаплена.

| Сообщение посчитали полезным:

Archer
Ну, MEM_COMMIT с нулем не подходит для моей задачи, нужен ведь конкретный адрес. Ладно, с этим все понятно, нашелся даже плагин для Оли, выделяющий указанный участок памяти. А дальше твои мысли от меня ускользают.
Archer пишет:
Ну возьми запихай в импорт сперва свою либу по тому же адресу
Имеется ввиду библиотека, которая должна сбивать со своей базы ту, которую нужно проверить? Если так, встает вопрос о порядке загрузки в память импортируемых dll. Грузятся ли они так, как прописаны в импорте? Добавить легко можно только в конец, в середину или в начало сложнее, но, в принципе, наверное, осуществимо.
Archer пишет:
убери из импорта и подгрузи её руками
Сэмулировать импорт вручную - еще более нетривиальная задача. Загрузить библиотеку, найти все адреса ее функций, где-то прописать их и перенаправить туда все вызовы. Я ничего не упустил? Даже если ничего, слишком много кода.
Archer пишет:
Если грузишь сторонней софтиной, при запуске спящего процесса либа ещё не замаплена
Совсем не понял. Имеется ввиду какой-то загрузчик для проги или что-то еще?

| Сообщение посчитали полезным:

Про порядок загрузки длл, думаю, что в порядке следования в импорте (с учётом зависимостей), но не уверен, настаивать не буду.
Подгрузка либы руками и заполнение её импорта не так уж и тяжко, парсинг таблички в цикле и вызов GetProcAddress.
Я говорю, смотря откуда вызываешь. Если через лоадер грузишь, можно процесс запустить suspended. В этом случае грузи длл-заглушку пустую руками на нужную базу или память аллокай, а потом ResumeThread делай.
В любом случае это делать тебе не каждый раз, а просто 1 раз проверить работоспособность, а для этого и не очень красивое решение сгодится.

| Сообщение посчитали полезным:

Все ясно, спасибо.

| Сообщение посчитали полезным:

Проще всего изменять порядок загрузки длл
и первой ставить свою библу которая займет нужный адрес.
CFF Explorer в помощь (в нем так же есть dll rebaser)

| Сообщение посчитали полезным:

Nightshade
Да, это как раз то, что было нужно, спасибо.

| Сообщение посчитали полезным: