Восстановление импортов DLL

Сейчас на форуме: tyns777, bezumchik, Lohmaty (+6 невидимых)

Посл.ответ	Сообщение
ForaN Ранг: -1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 января 2019 12:24 · Личное сообщение · #1 Привет. Распаковал DLL, но работает она только на шиндовсе где распаковали, я так понимаю, что проблема с импортами. Но возник вопрос: как восстановить эти импорты в DLL файле? ImpRec при аттаче к loaddll закрывается сразу же. А skylla показывает что все в норме, хотя я посмотрел, на месте где должна быть строгая ссылка на функцию библиотеки, у меня какой-то jmp появляется. по типу call dword ptr ds:[<&JMP.&CloseHandle>] В общем. Нужна помощь по восстановлению импортов в DLL файле.

ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 12 января 2019 12:46 · Личное сообщение · #2 восстанови релоки ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: ForaN
lx60 Ранг: 7.1 (гость), 6thx Активность: 0.04↘0.01 Статус: Участник	Создано: 12 января 2019 18:17 · Поправил: lx60 · Личное сообщение · #3 ForaN В ImpRec справа есть кнопка "Pick DLL", нажимай и выбирай свою длл-ку
ForaN Ранг: -1.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 января 2019 21:07 · Личное сообщение · #4 lx60 пишет: В ImpRec справа есть кнопка "Pick DLL", нажимай и выбирай свою длл-ку Я же говорю. При присоединении к loaddll вылетает imprec. Соответственно, дллку из процесса взять не могу
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 12 января 2019 21:34 · Личное сообщение · #5 ForaN пишет: При присоединении к loaddll вылетает imprec. Для dll'ки ведь должна быть прога, которая юзает её экспорт. Почему бы её не использовать в качестве таргета для аттачинга. ForaN пишет: skylla показывает что все в норме Скрин в студию.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 13 января 2019 22:01 · Поправил: difexacaw · Личное сообщение · #6 ForaN > работает она только на шиндовсе где распаковали А чем вы это запускать собрались, вайном; на линуксе нт модуля ? Быть может не в распаковке проблема(если оно работает на нт), а в эмуляторе ? Если косяки эмуляции то решение проблемы невозможно на форуме, так как нет инфы по самому эмулятору. Это ведь всё заточено не под никсы. Добавлено спустя 11 минут ELF_7719116 > Почему бы её не использовать в качестве таргета для аттачинга. Потому что это запускается на линуксе. Поэтому тс и в ахуе от обычных ссылок на iat: > у меня какой-то jmp появляется. Это попытка запустить не штатный модуль под эмулятором нт(wine). ----- vx
sefkrd Ранг: 77.2 (постоянный), 74thx Активность: 0.19↘0.15 Статус: Участник	Создано: 14 января 2019 01:15 · Личное сообщение · #7 difexacaw пишет: Потому что это запускается на линуксе. Пруф..???
Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 14 января 2019 03:59 · Личное сообщение · #8 Да и не будет запускаться и правильно работать даже если восстановишь релоки, ты же наверное ни разу не слышал про cpuid и т.д.?! Бросил бы ты эту идею с распаковкой и доверил бы специалисту у которого есть опыт.
cppasm Ранг: 251.3 (наставник), 81thx Активность: 0.14↘0.11 Статус: Участник	Создано: 14 января 2019 15:34 · Поправил: cppasm · Личное сообщение · #9 difexacaw пишет: А чем вы это запускать собрались, вайном; на линуксе нт модуля ? Клерк, объясняю простым языком - у него работает только на том компе где распаковал (и думаю только до ребута ОС). На другом ПК/другой сборке ОС - не работает, т.к. скорее всего импорт действительно кривой и адреса библиотек не совпадают. Какой нафиг Линукс? \| Сообщение посчитали полезным: ForaN

Для печати