Недовостановленная таблица импорта

Сейчас на форуме: asfa, vsv1 (+6 невидимых)

Посл.ответ	Сообщение
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 24 января 2016 02:13 · Поправил: Dart Sergius · Личное сообщение · #1 Доброе время суток. Есть у меня 1 программа. Накрыта была VMProtect. Покурив маны и скрипты - вмпрот я снял. Импорт правда скрипт восстановить не смог, но я его восстановил руками с помощью ImpRec. Однако - есть в импорте 1-а либа, которая крайне нестабильно загружается. Часть таблицы импорта выглядит так ( когда все хорошо ) Code: 01900914 630A4110 wininet.InternetConnectA 01900918 63025A40 wininet.HttpAddRequestHeadersA 0190091C 630A41A0 wininet.HttpOpenRequestA 01900920 63021BB0 wininet.InternetCloseHandle 01900924 6309D8A0 wininet.HttpSendRequestA 01900928 63031C80 wininet.InternetReadFile 0190092C 6303B880 wininet.InternetOpenA 01900930 0022D710 VCRUNTIM.memcpy 01900934 00224740 VCRUNTIM.__std_exception_copy 01900938 00225010 VCRUNTIM.__telemetry_main_invoke_trigger 0190093C 002250C0 VCRUNTIM.__telemetry_main_return_trigger 01900940 00224960 VCRUNTIM._CxxThrowException 01900944 002247B0 VCRUNTIM.__std_exception_destroy 01900948 0022B890 VCRUNTIM._except_handler4_common 0190094C 0022EC10 VCRUNTIM.__CxxFrameHandler3 01900950 002240E0 JMP to ucrtbase.terminate 01900954 0022DC90 VCRUNTIM.memmove 01900958 0022E210 VCRUNTIM.memset 0190095C 00282060 ucrtbase._stricmp 01900960 00281D20 ucrtbase.strcat_s 01900964 00281F10 ucrtbase.strcpy_s 01900968 002CF5D0 ucrtbase._cexit 0190096C 0027E080 ucrtbase._crt_atexit 01900970 002CC350 ucrtbase._invalid_parameter_noinfo 01900974 0027E0D0 ucrtbase._initialize_onexit_table 01900978 002CBF70 ucrtbase._seh_filter_exe 0190097C 002803A0 ucrtbase._set_app_type Но бывает ( брякаюсь я не на EP, а на system breakpoint ) вот так: Code: 01900914 630A4110 wininet.InternetConnectA 01900918 63025A40 wininet.HttpAddRequestHeadersA 0190091C 630A41A0 wininet.HttpOpenRequestA 01900920 63021BB0 wininet.InternetCloseHandle 01900924 6309D8A0 wininet.HttpSendRequestA 01900928 63031C80 wininet.InternetReadFile 0190092C 6303B880 wininet.InternetOpenA 01900930 0022D710 01900934 00224740 01900938 00225010 0190093C 002250C0 01900940 00224960 01900944 002247B0 01900948 0022B890 0190094C 0022EC10 Когда он заполняет правильно - программа работает. Когда нет - естественно падает. Самое интересное что без olly падает - т.е. без отладчика не может правильно заполнить таблицу импорта. Винда свежеустановленная на виртуалку. win7 x32. Активирована. ASLR выключен. Я могу конечно денек посидеть и написать в TLS код - чтобы он восстанавливал через GetProcAddress нужные функции ( библиотека загружается всегда! ), но сама ситуация очень странная..

dosprog Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник	Создано: 24 января 2016 03:25 · Поправил: dosprog · Личное сообщение · #2 Зачем обязательно TLS? - Можно просто врезку сделать и EXE_EIP на неё настроить И кстати, ASLR-то можно и включить, а в библиотеках установить бит relocatoins_stripped. Для большей ясности
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 24 января 2016 03:54 · Поправил: Dart Sergius · Личное сообщение · #3 dosprog пишет: Зачем обязательно TLS? просто с TLS ещё не работал ) Вот и подумал - почему не попробовать. dosprog пишет: ASLR-то можно и включить, а в библиотеках установить бит relocatoins_stripped в CFFExplore это флаг "Can move DLL" ? Если в библиотеке выставлять этот флаг и пытаться загружаться - то ничего ваще не выходит. Библеотека нужная мапиться сразу после нашего фала ( по адресам )... При внимательном просмотре секции(с которого с ImpRec хватал таблицу) обнаружил там адреса... Буду разбираться куда мапиться реальная таблица импорта... ---- Импорт нашелся. В другой секции... Надо лишь взять - да бережно jmp поправить в нужную секцию.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 24 января 2016 05:32 · Личное сообщение · #4 Code: 01900930 0022D710 VCRUNTIM.memcpy и Code: 01900930 0022D710 1.Вы сами дописали названия айпи? 2.Если нет то адреса у вас одинаковые в заполненной и как бы в незаполненной в таких случаях просто откройте окно памяти ALT+M и закройте))) ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 24 января 2016 06:02 · Личное сообщение · #5 ClockMan, да, я нашел нормальную таблицу импорта. У меня было 2 таблицы - 1-а сплошная, которая была выковыряна со скрипта анпака vmprotect, и вторая, которая была восстановлена с помощью ImpRec. А JMP были на "старую" ( ту которую я показал ). А подписаны были функции потому что модули грузились по "правильным адресам". В итоге немного говнокода на свободный участок кода, и все поправлено ) Code: <0040791C> mov esi, 019A3000 ; start REAL IAT mov edi, 01900002 ; JMPs need pathed @loop: mov eax, [esi] ; currest real iat mov ebx, [edi] ; current JMP cmp eax,0 ; end of library? jne short @no_need_process ; no need skip end library? add esi, 4; slip end library @no_need_process: cmp ebx,0 ; check end JMP table je short @good; mov [edi], esi ; fill JMP address ( JMP NOT SHORT!!! ) add edi, 6 add esi, 4 jmp short @loop; @good: int 3 ; end. Save changed and reload!

Для печати