Я вот хотел программку себе в помощь написать, которая проверяет валидность адресов и размеров секций.
и столкнулся с такой проблемкой.. Допустим некий плохой дядя открыл в редакторе мой файл и изменил немного
адрес одной из секций. И вот я начинаю проверять свой файл, складываю адрес предыдущей секции с ее размером
и вижу что следующий адрес не правильный. Ага вот и нашли вроде. Однако тут проблема что дядя испортил адрес
текущей или размер предыдущей секции? Как тут ни крути ничего не получается, может посоветуете что нибудь?

| Сообщение посчитали полезным:

zombi-vadim

А что такое валидность".. это если загрузчик корректно обработает модуль или кто то другой, может инструмент какой
Может даже быть что модуль собран не согласно формату(с нарушениями), а загрузчик из за неполноты проверок его успешно загружает. Зачем такой тулз собирать, если есть готовые апи и сурки тоже ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
апи и сурки Посоветуйте тогда. Вообще я запускаю файл винда молчит, ошибок нет но и файл не рабочий.
Хотелось бы знать где ошибка. Плюс интересно самому во всем разобраться.А валидность это соответствие формату, плевать на загрузчик.

| Сообщение посчитали полезным:

zombi-vadim

Как это ось загружает, но файл не рабочий", подробности нужны. Может к примеру формат импорта правильный, только нет нужных зависимостей. Что тогда считать корректным

-----
vx

| Сообщение посчитали полезным:

zombi-vadim
В PeTools уже тыщу лет есть опция Validate PE. Что вы её все так не любите? И писать не надо ничего - она в отдельную динамическую библиотеку вынесена. И сорцы уже доступны даже. Но хочется велик переизобрести, да?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

difexacaw пишет:
Как это ось загружает Не загружает, просто не выдает ошибок.

Добавлено спустя 2 минуты
ARCHANGEL пишет:
велик переизобрести Интересно самому. Так мой вопрос про что испорчено размер предыдущей или адрес текущей?

| Сообщение посчитали полезным:

zombi-vadim
Вам нужно погуглить, что такое DumpFixer. Вот такие вопросы и отпадут. Уже это 100 раз тут расписывали, нету сил на 101.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
PeTools... сорцы уже доступны даже
Где доступны?

Source code
throw std::exception(“​PE Tools source code is not available”);

| Сообщение посчитали полезным:

VOLKOFF
то новые, есть же старые

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Да это какой-то маньяк, если он ходит по домам и портит людям PE-заголовки в нехредакторе. Его нужно срочно изловить и изолировать. Если серьезно, то плохо себе представляю зачем вирусне или может быть слесарю лицензионных защит брать и портить RVA секции, это ж с высочайшей вероятностью сделает файл нерабочим. В подавляющем большинстве случаев rva следующей секции это rva предыдущей плюс virtual size плюс выравнивание. Но можно применять циклические корректирующие коды, либо просто резервную копию списка секций или всего заголовка.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd
Ну есть проты которые портят заголовок в памяти что бы было трудно дамп снять

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

zombi-vadim, вообще интересно, откуда у людей такие вопросы возникают после прочтения Нарвахи, читалось ведь, наверное? В общем, если бы читал - знал бы как пересчитывать новые адреса джипов и коль, и в нете досмотрел недостающую инфу.
На здоровье!

| Сообщение посчитали полезным:

ClockMan, тогда ситуация поставлена некорректно про "открыл в редакторе мой файл".

-----
2 оттенка серого

| Сообщение посчитали полезным:

zombi-vadim

> Не загружает, просто не выдает ошибок.

Не может быть такого. Первая проверка формата в ядре, она поверхностная(заголовок, секции) при попытке создания отображения. Если проверка не пройдёт ядро вернёт общий код ошибки, не зависимо от причины её. Иначе обьект будет создан, те как минимум валид формата достаточен для отображения.

Вторая проверка глубокая, юзер на этапе загрузки. При этом любая операция в загрузчике подробно описывается --> Link <--



Вот для примера VA релока за пределы модуля:



Если релокация не происходит, то релоки не используются и соответственно никакой ошибки нет.

-----
vx

| Сообщение посчитали полезным: SReg, plutos

f13nd пишет:
Но можно применять циклические корректирующие коды Если есть ссылочка где описываются подобные примеры, буду вам очень благодарен.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Если есть ссылочка где описываются подобные примеры, буду вам очень благодарен.
Ну это известный всем crc (который никто вообще правильно не использует), а теоретическая основа вот --> Link <--. Длина поля корректирующего кода и порождающий полином выбираются такими, чтобы исправлять определенное количество ошибочных бит в определенного размера поле.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13ndУХ это интересно. А как данный алгоритм поможет в моей конкретной задаче. Обьясните пожалуйста новичку.

| Сообщение посчитали полезным:

zombi-vadim пишет:
данный алгоритм поможет в моей конкретной задаче
Если заранее посчитать циклический код для списка секций, им можно будет исправить назад ряд исправлений злонамеренного извращенца с нехредактором. Но мне почему-то не кажется эта ситуация правдоподобной.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
злонамеренного извращенца с нехредактором
Если я к примеру удалил секцию в файле, и неправильно пересчитал смещения адресов, то запускаем анализатор и смотрим где ошибка.Вы восприняли шутку слишком правильно. Вообще мне очень стало интересно вычислить точно где ошибка в адресе или размере секции.

| Сообщение посчитали полезным:

zombi-vadim, да, поможет. Но если ошибок исправлять придется много, длина поля будет сравнимая с размером резервной копии списка секций.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13ndВообще в очередной раз повторюсь. Определить что в смещениях секций ошибка элементарно и особого ума тут не надо. Сложней проанализировать эту ошибку. Вот есть PE Explorer и у него встроенный анализатор. Я меняю адрес секции. Его анализатор выдает ошибку что предыдущая секция выходит за пределы следующей. Такое определить раз плюнуть.Но если следовать его рекомендации и подогнать размер под текущий адрес то это просто до конца убить файл. А как определить , что не размер предыдущей секции виноват, а адрес текущей секции неправильный? Вот где собака зарыта.

| Сообщение посчитали полезным:

zombi-vadim, в общем случае нельзя угадать как было в оригинале. Но в подавляющем большинстве случаев секции расположены непрерывно (я выше об этом писал). (RVA+virtual size+OPTIONAL_HEADER.SectionAlignment-1)&~(OPTIONAL_HEADER.SectionAlignment-1) должно равняться RVA следующей секции, если получилось меньше, значит следующая наверное сдвинута.
notepad.exe


Накрути RVA любой секции, я смогу угадать что там было по rva предыдущей, ее размеру и выравниванию.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
(RVA+virtual size+OPTIONAL_HEADER.SectionAlignment-1)&~(OPTIONAL_HEADER.SectionAlignment-1) должно равняться RVA следующей секции Угу но для получения RVA вы складываете текущий адрес с размером. А если текущий размер не верный то вы подумаете ага адрес следующей секции неверный. Это хорошо определять когда сам заранее знаешь что неправильно

| Сообщение посчитали полезным:

zombi-vadim пишет:
Угу но для получения RVA вы складываете текущий адрес с размером. А если текущий размер не верный то вы подумаете ага адрес следующей секции неверный
Если ни на что в списке секций нельзя опереться, остается только его заново сочинить глядя на дамп в дизассемблере. В принципе ничего не мешает вообще весь образ одной секцией объявить.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13ndВообщем я так понимаю идей нет никаких. Неразрешимая задачка.Адрес или размер размер или адрес

| Сообщение посчитали полезным:

zombi-vadim пишет:
А если текущий размер не верный
Правишь РЕ хидер на одну секцию а размер секции выставляешь исходя от size of image(относятся к файлам сдампленных с памяти)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Неразрешимая задачка.
Кого-то это мне напомнило.

Выше правильно предлагали DumpFixer, который дамп процесса превращает во что-то похожее на исполняемый файл (мне показалось, или такая задача не ставилась?). В принципе где он не справится всегда или почти всегда можно ручищами и головой обойтись, автоматизировать это сложно.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
предлагали DumpFixer Это кувалда а не анализатор. Приравнять все физические адреса к виртуальным.Или я не правильно понял процедуру?

| Сообщение посчитали полезным:

f13nd
Секции можно восстановить с большой точностью зная компилятор, на делфи это 99.9% на сиська это от 80-90%

Добавлено спустя 2 минуты
zombi-vadim пишет:
Это кувалда а не анализатор
Для тебя как раз кувалда подойдёт, ведь это ты тему поднял

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Приравнять все физические адреса к виртуальным.Или я не правильно понял процедуру?
В общем случае да, хотя вроде бы подобные штуки должны уметь самостоятельно делить на секции чтоб стрипать нули. Я бы вообще нарезал секций вручную и собрал в исполняемый файл вместе с заголовками фасмом. Но в перспективах строительства больших красных кнопок, которые бы делали это сами не уверен.

-----
2 оттенка серого

| Сообщение посчитали полезным: