Прошу помощи с EXE и DLL без PE заголовка

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 19 апреля 2014 14:17 · Личное сообщение · #1 Здравствуйте! С наступающим праздником Пасхи! Есть EXE и DLL без PE заголовка извлекаемые в память по жёстко установленным адресам, далее этому всему передаётся управление. Я сдампил память, однако вручную воссоздать PE заголовок не хватает знаний. Может быть есть какие-то полуавтоматические средства или для кого-то это минутное дело? По адресу 03700000 - находится EXE. Оба файла на Си написаны. Так же хотелось бы найти OEP и суметь правильно загрузить в IDA, чтобы работали все ссылки на строки и определялись импортируемые функции. Подозреваю, что в IDA что то нужно с базовым адресом мутить, однако пока не получается. Буду благодарен за любую помощь! 27cc_19.04.2014_EXELAB.rU.tgz - dumps.zip

ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 19 апреля 2014 16:01 · Личное сообщение · #2 дам "навотку" - для длл в иде выставить оффсет, по которому идет дамп. или хиевом сразу прописать. файлы не смотрел, думаю, все обычно ----- От многой мудрости много скорби, и умножающий знание умножает печаль \| Сообщение посчитали полезным: TLN
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 19 апреля 2014 16:03 · Личное сообщение · #3 ToBad пишет: С наступающим праздником Пасхи! Тебя также! Вот погляди(dll инициализирована поэтому при загрузке системой вылетает) в иде все функции расозноются cc2d_19.04.2014_EXELAB.rU.tgz - rest.zip ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: ToBad
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 19 апреля 2014 17:18 · Личное сообщение · #4 ajax пишет: для длл в иде выставить оффсет, по которому идет дамп Да я пытался, результат не особо пригоден... ClockMan пишет: в иде все функции распознаются Супер, для изучения этого более чем достаточно! Это всё делалось вручную? Много ушло времени? Спасибо огромное за помощь!
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 19 апреля 2014 17:33 · Личное сообщение · #5 ClockMan пишет: dll инициализирована поэтому при загрузке системой вылетает Забыл сказать, эта DLL для Win98, хотя на XP (находясь на своём месте) тоже работает если по адресу $7FE19AF6 занопить int 1ah который кстати вызывается из недр DllMain.
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 23 апреля 2014 00:36 · Личное сообщение · #6 ClockMan Я попытался аналогично собрать ещё одни файл, однако где-то накосячил, подозреваю что-то совсем банальное... Если будет время, глянь пожалуйста. 1fee_23.04.2014_EXELAB.rU.tgz - dump2.zip
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 23 апреля 2014 02:54 · Личное сообщение · #7 ToBad пишет: Если будет время, глянь пожалуйста. a58b_23.04.2014_EXELAB.rU.tgz - DUMP.zip ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: ToBad
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 23 апреля 2014 17:31 · Личное сообщение · #8 ClockMan - Спасибо! Снова выручил! Теперь вижу где я накосячил с секциями и размером импорта... Подскажи пожалуйста, чем ты правишь импорт? У меня возможно ещё будут подобные файлы, хочу уметь делать это сам.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 24 апреля 2014 15:26 · Поправил: ClockMan · Личное сообщение · #9 ToBad пишет: Подскажи пожалуйста, чем ты правишь импорт? ToBad пишет: и размером импорта... гляди в низ и сравни с таблицой думаю до тебя дойдёт )) и не забуть исправить Base of Code, Base of Data и их размеры чтоб помочь иде всё правильно распознать. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

Для печати