| Сейчас на форуме: vsv1 (+5 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Ручной поиск в экспорте PE |
| Посл.ответ | Сообщение |
|
|
Создано: 11 марта 2016 15:53 · Личное сообщение · #1 Столкнулся с проблемой. в win7 ищу функцию WSACleanup в wsock32.dll по ординаллу 116. но по адресу не тело функции, а строчка ws2_32.WSACleanup системная GetProcAddress выдает адрес в ws2_32.dll. Возникает вопрос: В PE добавили какойто редирект в экспорт?  |
|
|
Создано: 11 марта 2016 16:10 · Поправил: vden · Личное сообщение · #2 Если адрес указывает в таблицу экспорта - это форврдинг. Forwarder RVA Pointer to a null-terminated ASCII string in the export section, giving the DLL name and the name of the export (for example, “MYDLL.expfunc”) or the DLL name and an export (for example, “MYDLL.#27”). A Forwarder RVA exports a definition from some other image, making it appear as if it were being exported by the current image. Thus the symbol is simultaneously imported and exported. For example, in KERNEL32.DLL in Windows NT, the export named “HeapAlloc” is forwarded to the string “NTDLL.RtlAllocateHeap”. This allows applications to use the Windows NT-specific module “NTDLL.DLL” without actually containing import references to it. The application’s import table references only “KERNEL32.DLL.” Therefore, the application is not specific to Windows NT and can run on any Win32 system. | Сообщение посчитали полезным: SWR |
|
|
Создано: 12 марта 2016 08:37 · Поправил: VodoleY · Личное сообщение · #3 SWR это как бы обвязка.. новых версий винды.. начиная с 7ки/висты.. типа для совместимости.. работай с ws2_32.dll. поэтому я когда это возможно.. работаю в ХР чтоб не заморачиваться ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 12 марта 2016 15:20 · Личное сообщение · #4 WSACleanup всегда в ws2_32 была! ----- IZ.RU |
|
eXeL@B —› Вопросы новичков —› Ручной поиск в экспорте PE |
Для печати