Здравствуйте. Имеется задача прочитать ЕХЕ-шник и начти в нем вызовы библиотечных функций (например, scrcopy).
Дизассемблеры типа IDA спокойно разпознают вызовы бибилиотечных функций, но я так и не понял, как они это делают.
С помощью гугла отрыл, что IDA использует технологию FLIRT (http://www.idapro.ru/description/flirt/). Но как искать в файле по сигнатуре, если самого кода функции там не нету, не понял..
Похоже, нужно использовать таблицу импорта, искать импортируемые dll-ки и их функции и использовать примерно такой алгоритм:
1. Смотрим в таблицу импорта и сопоставляем адрес вызова с функцией
2. Ищем в ЕХЕ-шнике в разделе кода call <адрес нужной функции>
Но вот вопрос, существует ли возможность определить адреса вызова футкций до загрузки программы в память? Напримет, в случае непривязанного импорта, если я все правильно понял, адреса импортируемых функций записывваются в время загрузки программы.. но тогда как можно заранее определить, какие инструкции искать?

Вот, например, как выглядит код вызова функции strcpy в дизассемблере:


Получается, что все вызовы strcpy перенаправляются на метку "@ILT+475(_strcpy)", а оттуда уже на метку "strcpy".

По идее, получается, что в программе мне нужно искать все команды "call @ILT+475(_strcpy)". Но как узнать, что я должен искать именно такую команду, ведь в таблице импорта нет никакой информации об этой метке. Я там нашел только RVA строк, которые хранят названия функций. Скрин с таблицей приаттачил..

ed84_07.05.2013_EXELAB.rU.tgz - import table.png

| Сообщение посчитали полезным:

Берешь из таблицы импорта имя функции, GetProcAddress(LoadLibrary(..),..) получаешь адрес функции. Вызывается оно обычно call [strcpy] либо call m1/m1: jmp [strcpy]

А то что ида нашла в коде - это рантайм библиотека, которая может реализовать тот же strcpy сама или дергнуть для этого API

| Сообщение посчитали полезным:

Спасибо за ответ! Но ведь после вызова GetProcAddress(LoadLibrary(..),..), я получу виртуальный адрес функции в адресном пространстве программы, которая сканирует ЕХЕ-шник. Этот адрес, по идее, никак не связан с теми адресами, что зашиты в самом ЕХЕ файле. Если так, то как можно будет сравнивать эти адреса?

| Сообщение посчитали полезным:

В ехе никакие адреса не зашиты, в том и прелесть. Винда их подставляет в момент загрузки.
Не понятно что вы хотите.

| Сообщение посчитали полезным:

Извините, наверно, не очень понятно пишу... Задача такая: программа на вход получает ЕХЕ-шник и должна определить, в каких местах вызввалась определенная библиотченая функция (например, scrcopy).

Я подумал, что мне поможет анализ таблицы импорта ехе файла для того, чтобы получить адрес нужной функции и потом в коде ехе-шника найти инструкцию вроде call <адрес> или jmp <адрес>, чтобы определить, что из этого места была вызвана нужная мне функция.

| Сообщение посчитали полезным:

Veliant пишет:
Не понятно что вы хотите.
Похоже, что в секции кода нужно найти все вызовы API или CRT. Так для этого смотрим таблицу перекрёстных ссылок. Или цель написать свой дизассемблер?

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

Да, цель именно та )) Дизассемблер не пишу, но нужно "научить" свою прогу разпознавать эти вызовы автоматически )

| Сообщение посчитали полезным:

без дизассемблера плохо будет. совсем топорный способ - искать байты FF25 или FF15 в секции кода, и сравнивать следующий dword указывает на адрес из IAT(а не на саму api) или нет.

| Сообщение посчитали полезным: Alex071

Я, честно говоря, как раз вынашивал этот топорный метод ))

Но ведь пока программа не загружена в память, IAT не заполнена, там находятся только имена импортируемых функций (это я из --> Таблица импорта PE файла <-- вычитал). Тогда как вести сравнение?

| Сообщение посчитали полезным:

Alex071 пишет:
там находятся только имена импортируемых функций
По именам и вести. Только что-то мне подсказывает, это это очередной велосипед и ваши 'реальные' задачи решаются иными, гораздо легчеми путями.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным: Alex071

Alex071 пишет:
Но ведь пока программа не загружена в память, IAT не заполнена, там находятся только имена импортируемых функций
а каким образом пользовательский код вдруг получит управление в тот момент, когда IAT не заполнена?

если цель - чисто статический анализ, тогда либо читаем/анализируем модули, прописанные в таблице импорта, либо просто запоминаем диапазон адресов, где находится IAT и, при обращении к ним, подставляем соответствующее имя функции.

| Сообщение посчитали полезным:

Получается, код

уже заранее есть в ЕХЕ-файле?
Попробовал поискать "FF 25 DC 82 3B 00" в Hex-редакторе, но без успеха..

Или же в ЕХЕ-шнике есть код типа "дальний переход на адрес, что записан в IDT", но в "FF 25 DC 82 3B 00" он превращается уже после загрузки программы в память?


Например, если строка в IAT имеет такой вид:

pFile | Data | Value

000060DC | 0001873E | 063B strcpy


То какой должна быть строка поиска? FF 25...

Извините за глупые вопросы, мне очень стыдно ))

| Сообщение посчитали полезным:

Alex071 пишет:
Получается, код
Code:
1. FF 25 DC 82 3B 00 jmp dword ptr [__imp__strcpy (3B82DCh)]
уже заранее есть в ЕХЕ-файле?

советую перечитать доку по секции импорта PE-файла
если функция принадлежит к секции импорта, то там есть только
где-то:


переходники_сгенеренные_компилятором:


и, наконец, в директории импорта:


rva _strcpy - относительное смещение на имя импортируемой функции
загрузчик, при загрузке модуля, заменяет его на реальный адрес функции в адресном пространстве процесса

/ADD:
но! переходников может и не быть:


или, например:



поэтому, если нужно найти вызов функции статически, лучше следить за всякими константами, такими как адрес или рва функции в таблице импорта

| Сообщение посчитали полезным: Alex071

Черт, спасибо огроменное, я, кажется, все понял )) Т.е. мне нужно искать в секции кода "jmp [rva _strcpy]" ?
//ADD:
Следить за RVA функции это всмысле проверять, где в секции кода есть поаледовательность байт равная RVA в таблице импорта?

| Сообщение посчитали полезным:

Alex071 пишет:
я, кажется, все понял
и
Alex071 пишет:
Т.е. мне нужно искать в секции кода "jmp [rva _strcpy]" ?

можно сделать вывод что ничего не поняли)

| Сообщение посчитали полезным:

черт) Вот мое понимание, поправьте пожалуйста, что не так:
1.В IAT до загрузки программы хранятся RVA строк, содержащих имена импортируемых функций.
2.Далее загрузчик подменяет эти RVA на адреса точек входа в функции.
3.В ЕХЕ-шнике уже есть код, который берет адрес, записанный в IAT и делает jmp на этот адрес (если есть переходник)

Поэтому задача в простейшем случае сводится к нахождению кода из пункта 3

| Сообщение посчитали полезным:

Alex071 пишет:
3.В ЕХЕ-шнике уже есть код, который берет адрес, записанный в IAT и делает jmp на этот адрес (если есть переходник)

обращения к записи в IAT будут по-любому, иначе в ней бы не было смысла
но! опять подчёркиваю - адрес записи в таблице импорта может помещаться в регистр или переменную перед использованием, поэтому искать нужно константу (ImageBase+rva ImportedFunc)

ТС, перед поиском решения, не помешало бы изложить суть задачи - возможно, метод решения окажется проще...

| Сообщение посчитали полезным:

Сэнкью всем вэри-вэри мач! Теперь все осозналось и получилось )) Наверно, уже нет смысла запаривать народ сутью своей (довольно глупой ) задачи. Еще раз спасибо!

| Сообщение посчитали полезным: