Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Как найти адрес в hex редакторе
Посл.ответ Сообщение

Ранг: 0.3 (гость)
Активность: 0=0
Статус: Участник

 Создано: 25 сентября 2011 14:45
· Личное сообщение · #1

Здравствуйте, в иде имеем адрес фикции 00411D57 которую нужно занопить. В hex редакторе открываем экзешник, ищем 00411D57 но его нет, как найти функцию в экзешнике по адресу 00411D57. Спасибо.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 25 сентября 2011 14:47
· Личное сообщение · #2

если в хьюве то перед адрессом нужно набрать точку .
а вообще хелп читайте по каждому отдельно взятому редактору



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

 Создано: 25 сентября 2011 14:54
· Личное сообщение · #3

solfi от твоего адреса надо отнять имедж бейз, думаю что это 40 0000 в целом reversecode прав. хотябы азы прочтите

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

 Создано: 25 сентября 2011 15:05 · Поправил: rmn
· Личное сообщение · #4

VodoleY пишет:
от твоего адреса надо отнять имедж бейз, думаю что это 40 0000
чтобы перевести VA в File Offset, недостаточно только отнять ImageBase

Code:
  1. DWORD CPEFile::RVA2FileOffset(DWORD RVA)
  2. {
  3. ...
  4.         for (i=0; i<m_pNTHeaders->FileHeader.NumberOfSections; i++)
  5.         {
  6.                 if ((RVA >= m_pSectionHeaders[i].VirtualAddress) && 
  7.                         (RVA < m_pSectionHeaders[i].VirtualAddress + m_pSectionHeaders[i].SizeOfRawData))
  8.                 {
  9.                         return m_pSectionHeaders[i].PointerToRawData + (RVA - m_pSectionHeaders[i].VirtualAddress);
  10.                 }
  11.         }
  12. ...
  13.         return (DWORD)-1;
  14. }
  15.  
  16. //------------------------------------------------------------------------
  17.  
  18. DWORD CPEFile::VA2FileOffset(DWORD VA)
  19. {
  20.         return RVA2FileOffset(VA2RVA(VA));
  21. }

Ранг: 0.3 (гость)
Активность: 0=0
Статус: Участник

 Создано: 25 сентября 2011 15:09
· Личное сообщение · #5

reversecode
А хьюв это какой редактор?
Использую скачанный с этого сайта http://www.cracklab.ru/thumb.php?src=/_dl1/i/ODQ1.png

VodoleY
Что то с ImageBase'ом не получается, он вроде как 4000000, а не 400.000 http://stackoverflow.com/questions/3740976/about-imagebase-of-exe-in-windows но если отнять 4000000 от 00411D57 получается минусовое число, что-то не то...



Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 25 сентября 2011 15:11 · Поправил: Veliant
· Личное сообщение · #6

Для перевода отнимается ImageBase, вычитается виртуальны адрес начала секции, прибавляется физический.
Reversecode правильно посоветовал, в hiew можно сразу по виртуальным переходить по F5 с точкой вначале адреса.

Но проще на мой взгляд скопировать hex-данные по этому адресу и вбить в поиск в редакторе

solfi пишет:
но если отнять 4000000 от 00411D57 получается минусовое число
а ты посчитай количество нулей у тебя, и сколько посоветовали

| Сообщение посчитали полезным: solfi


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 25 сентября 2011 16:10
· Личное сообщение · #7

А еще проще (лично для меня) - пропатчить в Оле(адрес будет тот же).

-----
ds


Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 25 сентября 2011 16:18 · Поправил: PE_Kill
· Личное сообщение · #8

Для этих целей есть FLC в PE Tools.

А по большому счету ТС не шаред.

-----
Yann Tiersen best and do not fuck

Ранг: 0.3 (гость)
Активность: 0=0
Статус: Участник

 Создано: 25 сентября 2011 17:23
· Личное сообщение · #9

Парни, может есть прога какая, или что самописное, высчитывающее офсет в файле из виртуального... заморачиваться формулами высчитывания не хочется...




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 25 сентября 2011 17:58
· Личное сообщение · #10

solfi для особо тупых повторю:

PE_Kill пишет:
Для этих целей есть FLC в PE Tools.

-----
Yann Tiersen best and do not fuck

Ранг: 112.9 (ветеран), 186thx
Активность: 0.090.01
Статус: Участник

 Создано: 25 сентября 2011 18:15 · Поправил: vden
· Личное сообщение · #11

solfi пишет:
в иде имеем адрес фикции 00411D57
Поставь курсор на 411D57 и посмотри в статусбаре смещение.



| Сообщение посчитали полезным: solfi


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 25 сентября 2011 18:48
· Личное сообщение · #12

rmn пишет:
чтобы перевести VA в File Offset, недостаточно только отнять ImageBase
Ну тогда и выравние нужно учитывать.

-----
Лучше быть одиноким, но свободным © $me
 eXeL@B —› Вопросы новичков —› Как найти адрес в hex редакторе
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати