Косяк c импортом Armadillo 7.20

Сейчас на форуме: asfa (+6 невидимых)

Посл.ответ	Сообщение
Kindly Ранг: 275.9 (наставник), 340thx Активность: 0.22=0.22 Статус: Участник RBC	Создано: 02 мая 2010 19:09 · Личное сообщение · #1 Запротектил блокнот, начал распаковывать: bp VirtualProtect > find push 100 > retn4 bp CreateThread > oep Сдампил, обнаруженый импорт сохранил - файл не запускается. Прикрутил родной импорт - запускается. Когда распаковывал одну прогу, покрытую кастомным билдом 7.20, в импорте увидел недостающие функции. Какую манипуляцию необходимо еще проделать, чтобы восстановить корректный импорт? В шестой версии такого не было замечено. ArmInline юзать умею, но упорядочивание iat ничего не дало, т.к. функции определились не все. ArmaGeddon 1.8 также не берет файл, хочется добить ручками. Запротекченный блокнот: rghost.ru/1521452 ----- Array[Login..Logout] of Life

gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 02 мая 2010 21:47 · Поправил: gena-m · Личное сообщение · #2 Сдампил, обнаруженый импорт сохранил - файл не запускается. Где обнаружили, если не секрет(адрес и размер)? И как вы его прикрутили не восстановив все функи(21шт)? Как их восстановить уже второй вопрос, можно трассировкой, возможно поиском третьей таблици импорта (она там тоже есть по адресу B6F000) возможно есть и другие варианты ( в зависимости от квалификации авторов). В начале снимают дамп программы (стоя на ОЕП), затем к нему прикручивают импорт, например с помощью Импрека, который при неопознанных функциях просто не прикрутит импорт. Похоже все отсутствующие функи находятся через обработчик исключений. Завтра проверю. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 02 мая 2010 22:22 · Личное сообщение · #3 [i]Kindly пишет: Вариант 1: не тот push 100 нашел Вариант 2: надо ставить не ret4 а ret (хотя может у тебя какой-то свой метод)
Kindly Ранг: 275.9 (наставник), 340thx Активность: 0.22=0.22 Статус: Участник RBC	Создано: 03 мая 2010 09:20 · Поправил: Kindly · Личное сообщение · #4 Например, в блокноте, функции все присутствуют вроде в искомом импорте, только одна kernel32 разбита на много частей почему то. gena-m, как анпакать и как прикручивать импорт представление имею. Вариант 1: не тот push 100 нашел может быть, посмотрю подробнее. Вариант 2: надо ставить не ret4 а ret (хотя может у тебя какой-то свой метод) пробовал и так и так, но там же конец функции Retn 4 если искать как в туторах. возможно, первый вариант. ----- Array[Login..Logout] of Life
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 03 мая 2010 10:06 · Личное сообщение · #5 bp VirtualProtect->F9 (7раз)->Ctrl+F9->F8->Ctrl+B->558BEC83EC2C83????????????75??->RET
Kindly Ранг: 275.9 (наставник), 340thx Активность: 0.22=0.22 Статус: Участник RBC	Создано: 03 мая 2010 10:53 · Поправил: Kindly · Личное сообщение · #6 Vovan666 спасибо! Действительно не тот push 100, искомую процедуру также можно найти по сигнатуре 89 55 E8 8B 45 F0 3B 45 E8 как для 6-ой так и для 7-ой версии. А еще один предложенный тобой способ или мой пусть будет альтернативным ----- Array[Login..Logout] of Life

Для печати