Добрый вечер.
Распаковываю dll, вышел на оеп, снял дамп, и вот вопрос правильно ли определил границы в IAT
кусочек из ImpRec-а

или надо было остановиться после winmm.dll.
Смущает вот это

как бы 2 раза нули после dll .

| Сообщение посчитали полезным:

alexpol
Таблица в любом случае не будет рабочей. Либо границы указаны не правильно, либо не все функции восстановлены после протектора

-----
Research For Food

| Сообщение посчитали полезным:

это я понимаю, нужно будет найти что это такое
0 000C6238 ? 0000 80000004
0 000C623C ? 0000 8000000C
это следующий шаг.
Вопрос в том, может иат продолжаться после двух разделительных нулей
0 000C6230 ? 0000 10BF8DC0
0 000C6234 ? 0000 10BF8DC0 ?
В предыдущей версии ole32 входила в иат.

| Сообщение посчитали полезным:

alexpol
Вы хоть протектор назовите

-----
Research For Food

| Сообщение посчитали полезным:

кодеметер

| Сообщение посчитали полезным:

alexpol
В живую ни когда не сталкивался с их конвертом, хотя есть набор разработчика от них. Сначала восстановите недостающие функции в импорте, потом уже можно будет судить точнее

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Да я уже пробовал, пока ничего не получается. Ставил всякие бряки, олька ни разу не остановилась.
До этого снимал конверт с других прог, было скрыто от 4 до 6 апи, находил, а здесь ни как.
А что после winmm.dll идет 2 разделителя, это нормально?

| Сообщение посчитали полезным:

alexpol
Вроде как во всех стандартных компиляторах всего один DWORD разделитель. Это вполне может быть мусор конверта

-----
Research For Food

| Сообщение посчитали полезным:

alexpol пишет:
это я понимаю, нужно будет найти что это такое
0 000C6238 ? 0000 80000004
0 000C623C ? 0000 8000000C
Иногда импорт вызывается по ординалу, ну так это больше похоже на то что какаято библиотека была не инициалезирована а может конвертор просто нагадил в табличку чтоб запутать, вообще инфы мало и любой следующий ответ будет сделан на предположении...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Если интересно могу дать ссылку на прогу в личку.
За меня ничего ломать не надо, буду разбираться сам, если осилю.

| Сообщение посчитали полезным:

вообще, конверт столит функции, в секции кода получается FF 25 -> 90 E8, ну и т.д. и т.п. одна процедура обрабатывает много функций из импорта. хоть бы прогулялись по ней, че туда лезть импреком с нахрапа

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Чтобы не плодить подобную тему спрошу здесь. В 33 главе крекинга с нуля, где объясняется принцип работы иат, говорится, что адреса функций заполняются в таблице через GetProcAddress до останова на точке входа. А адрес самой функции GetProcAddress от версии к версии константа? Или pe-загрузчик имеет какой-то свой механизм обращения к ней?

| Сообщение посчитали полезным:

shiroko пишет:
А адрес самой функции GetProcAddress от версии к версии константа?
2 разные версии ос покажут что к чему.Если импорт берется по ординалам, а они, как и адресация, различны в зависимости от версии ОС, то такая прога не будет работать нигде, кроме этой самой оси.PE-загрузчик должен вызывать функцию по ее имени, тогда ему будет абсолютно все равно на то, в какой адресной области она расположена и под какой ОС юзается прога.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

shiroko
нет конечно
Например возьми собери длл свою, потом добавь/измени функционал типа как мелкософт и посмотри адреса своих экспортов.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft
зачем мне что-то менять если я говорю об обновлениях винды , в которых коррективы в библу повлияют на адрес функции в ней, а соответственно и на импорт к обращающимся к ним экзешникам

Добавлено спустя 7 минут
unknownproject или я не вполне вкурил твою идею... или я прогадал , влепя сюда загрузчик, а на самом деле там все сложнее ... или я нихрена не могу понять из твоего письма
P.S. есть вероятность предвзятого недопонимания ввиду твоего рейтинга но это лишь догадка

| Сообщение посчитали полезным:

shiroko пишет:
я нихрена не могу понять из твоего письма
Наверное ты плохо знаком с форматом PE, советую почитать соответствующую литературу. Есть у нас на сайте, а так же у мелкомягких

| Сообщение посчитали полезным:

shiroko
Естественно адрес функции разный. Но в общем можно сказать, что загрузчик и получение адреса функции находятся в 1 библиотеке, поэтому никаких проблем с получением адреса функции из другого модуля там нет, вызов идёт напрямую.

| Сообщение посчитали полезным:

shiroko пишет:
Чтобы не плодить подобную тему спрошу здесь. В 33 главе крекинга с нуля, где объясняется принцип работы иат, говорится, что адреса функций заполняются в таблице через GetProcAddress до останова на точке входа. А адрес самой функции GetProcAddress от версии к версии константа? Или pe-загрузчик имеет какой-то свой механизм обращения к ней?

Так и есть, как сказал Archer. Но есть и кое-какие костыли. --> Тутъ <--



| Сообщение посчитали полезным:

TryAga1n пишет:
Наверное ты плохо знаком с форматом PE, советую почитать соответствующую литератур
Да насчет этого вопросов не имею благодаря статьям из васма ..... а вот насчет того чем объясняется вызов функции GetProcAddress пока что не уверен... но возможно найду ответ в решениях Archer или dosprog.
И пользуясь моментом хотелось бы уточнить момент корректировки иат... в некоторых случаях распаковки вручную не вполне понятен размер иат... как его определить при условии если нет в коде косвенных переходов

| Сообщение посчитали полезным:

shiroko пишет:
в некоторых случаях распаковки вручную не вполне понятен размер иат... как его определить при условии если нет в коде косвенных переходов

Визуально



| Сообщение посчитали полезным:

Попался файл с отсутствующим адресом функции в иат... добавить его статически не проблема, но это будет работать лишь на этом компе. Как сделать чтобы он сам добавлялся на разных машинах?

| Сообщение посчитали полезным:

Врезка стартап кода.

| Сообщение посчитали полезным: