Сдампил DLL из памяти.
При загрузке в IDA и анализе везде ругань на абсолютные адреса.
В дизассемблере решил проблему путем сдвига всех сегмнетов кроме кода через "Edit -> Segments -> Move current segment...". С ручной загрузкой файла в IDA не справился, много требует от моего мозга =)
Требуется отработать с библиотекой через собственную софтину.
Как быть с релоками? Возможно есть софт для коррекции? WinAPI умеет грузить библиотеки по "моему" адресу?

| Сообщение посчитали полезным:

ByteFun пишет:
Возможно есть софт для коррекции?

Глянь --> здесь<--, там должно быть то, что тебе нужно.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Нашел только Rebaser
Но при смене базы все смещается с ног на голову 0_o

Добавлено спустя 7 минут
Проблему решил!
Спас останов после декрипта библиотеки в память и дампинг до процедуры загрузки.

| Сообщение посчитали полезным:

Попробуй ReloX v1.0a by MackT/uCF2000

| Сообщение посчитали полезным:

ByteFun

Релок это маркер в инструкции, который показывает что поле является указателем. Для указателей применяется релокация во время загрузки. Данная инфа не формируется при дампе. Никаким инструментом вы это не решите, так как инфы про указатели не имеется.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
так как инфы про указатели не имеется
Ну, можно ж ловушек поставить и из-под визора отследить обращения по указателям
А так, таблица релоков из загруженной длл никуда не испаряется, надо только применить их на ту базу, которая в заголовках, а не по которой длл реально загружена, и потом уже сохранять в фаел.

| Сообщение посчитали полезным:

rmn

Это от дампера зависит. Если есть исходная таблица релокаций и он это ровно обработает, то на выходе будет релоцируемый модуль. Но если же это как в случае тс просто сохранение регионов как секций, то релоки при таком дампе будут утеряны. Дальнейшая релокация невозможна, так как маркеры на указатели в таком модуле отсутствуют. Придётся грузить по фикс базе, а она может быть занята. Не ясна цель тс, если это не ранпе, то это не правильный подход к задаче.

-----
vx

| Сообщение посчитали полезным:

ByteFun пишет:
WinAPI умеет грузить библиотеки по "моему" адресу?
Умеет, если "сбить" релокацию. Открываешь библиотеку в PE Tools, заходишь в директории по кнопке Directories. Далее два поля Base Relocation Table - проставляешь нули. При это наличие секции .reloc ни о чем не говорит загрузчику, т.е. с данной секцией делать ничего не нужно специально - релоки берутся только из директории. Единственное что надо сделать еще - зайти в раздел File Header там же (кнопка выше Directories), там нажать на "..." напротив Characteristics и поставить галочку "Relocation stripped".

Плюсы:
+ не надо заморачиваться с релокациями, если цель "отработать с библиотекой через собственную софтину"
Минусы:
- при конфликте адресов с другими такими же библиотеками - просто ошибка и все

| Сообщение посчитали полезным: Jupiter

ByteFun

Всё зависит от упаковщика. В большинстве случаев пакер просто хранит информацию о релоках в запакованной области, либо в собственном формате. Но и в том, и в другом случае можно прикрутить релоки к распакованной библиотеке. Код обработки релоков можно легко отловить по записи в секцию кода после распаковки.

-----
EnJoy!

| Сообщение посчитали полезным: Katana

1) Грузим dll по одному адресу и снимаем дамп на EntryPoint (OEP если dll запакована)
2) Грузим эту же dll по другому адресу и снимаем дамп на EntryPoint (OEP если dll запакована)
3) Сравниваем два дампа, с учетом разницы между BaseAddress
4) Полученные различия оформляем в виде новой секции релоков.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: