![]() |
eXeL@B —› Вопросы новичков —› Вопрос по инструменту (ссылки из файла в код и обратно) |
Посл.ответ | Сообщение |
|
Создано: 28 июня 2018 12:35 · Поправил: inkermann · Личное сообщение · #1 Прошу прощения, что создаю столь быстро еще одну тему. Понадобилась возможность из дизассемблера 64 с указанного места делать переход на соответствующий ему код в hex редакторе, и, что особенно важно, обратно - тоже. В 64dbg есть такая возможность с дампом, но с файлом нету. В DnSpy нечто подобное есть, но только если предварительно сделать линк с декомпилированного кода, и то на ограниченном участке. А Хотелось бы так именно из дизассемблера, и с почти любого участка файла. Это было бы просто изумительно! Возможно я слишком многого хочу ![]() ![]() ![]() |
|
Создано: 28 июня 2018 15:10 · Поправил: f13nd · Личное сообщение · #2 Тебе нужно преобразование RVA-VA-FileOffset, это много что умеет делать, stud_pe например, hiew (не уверен насчет х64). По x64dbg вроде это: Selected RVA in disassembly is available in the infobox (little box under disassembly) it also shows the section and some other info. You can navigate to an rva using "module:$rva" (use ":$rva" for the current module). Replace the $ with a # for file offset. https://github.com/x64dbg/x64dbg/issues/428 ----- 2 оттенка серого ![]() |
|
Создано: 28 июня 2018 15:53 · Поправил: inkermann · Личное сообщение · #3 |
|
Создано: 28 июня 2018 16:11 · Личное сообщение · #4 inkermann пишет: Оно похоже для x32 - вылетает. Не знаю почему он у тебя вылетает, у меня работает с х64 (но не по той базе ![]() Вобщем переведя пост выше: ----- 2 оттенка серого ![]() |
|
Создано: 28 июня 2018 17:19 · Поправил: inkermann · Личное сообщение · #5 Пробую версию Stud_PE.v2.6.0.5. Причем вылетает не на всем, а на длл-ке с длинными именами в коде. Видимо не переваривает. С другими файлами не проверил, решив, что это под x32. Да.. А было бы классно.. Все равно спасибо! ![]() f13nd пишет: но не по той базе Вы догадались над чем я работаю? ![]() ![]() |
|
Создано: 28 июня 2018 18:05 · Поправил: f13nd · Личное сообщение · #6 inkermann пишет: Вы догадались над чем я работаю? Нет, я о своем. VA=RVA+BASE, где BASE - базовый адрес модуля, винда может его выбирать сама, если в модуле есть релоки. А в 7зфм.ехе они зачем-то есть и студ пе выбрал не тот базовый адрес. Вобщем удобней через отладчик file offset получать. ----- 2 оттенка серого ![]() |
|
Создано: 29 июня 2018 12:25 · Личное сообщение · #7 |
|
Создано: 29 июня 2018 12:44 · Поправил: f13nd · Личное сообщение · #8 |
|
Создано: 29 июня 2018 16:36 · Личное сообщение · #9 |
|
Создано: 29 июня 2018 22:56 · Поправил: inkermann · Личное сообщение · #10 Это может быть полезно для быстрого понимания. что натворили с файлом если есть оригинал и патченный, и еще кое для чего.f13nd пишет: А хотелка по-моему самая типичная для новичков Товарищ прав! Я новичек, мне многое непонятно, а такой инструмент был бы мне очень полезен в приобретении навыков. ![]() Заинтересовал еще CmpDisAsm, частично могло бы помочь: в описании красиво, но у меня не работает.. ![]() |
|
Создано: 30 июня 2018 04:24 · Личное сообщение · #11 |
|
Создано: 30 июня 2018 09:23 · Личное сообщение · #12 |
|
Создано: 30 июня 2018 11:08 · Личное сообщение · #13 |
|
Создано: 30 июня 2018 17:48 · Личное сообщение · #14 |
|
Создано: 30 июня 2018 19:22 · Личное сообщение · #15 Либо так, либо в заголовке файла PE установить бит PECharacteristics.RelocationsStripped. ![]() |
|
Создано: 01 июля 2018 04:00 · Поправил: dosprog · Личное сообщение · #16 |
![]() |
eXeL@B —› Вопросы новичков —› Вопрос по инструменту (ссылки из файла в код и обратно) |