Посл.ответ |
Сообщение |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 13:26 · Личное сообщение · #1
как при помощи OllyDbg найти начало и конец таблицы импорта, во всех статьях написан только адрес начала и конца, а как найти это?
и как узнать какие значения в ней правильные, а какие нет?
| Сообщение посчитали полезным: |
|
Ранг: 495.3 (мудрец) Активность: 0.3↘0 Статус: Участник
|
Создано: 07 февраля 2006 14:11 · Личное сообщение · #2 |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 18:50 · Личное сообщение · #3
статья хорошая, не спорю, но одно из ключевых слов моего топика было
IHateWindows пишет:
при помощи OllyDbg
хотелось бы найти что-то именно по нему...
| Сообщение посчитали полезным: |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:18 · Личное сообщение · #4
это правильная функция или пустышка:
0038AC9A B8 C43601F3 MOV EAX,F30136C4
0038AC9F FFE0 JMP EAX
0038ACA1 55 PUSH EBP
0038ACA2 8BEC MOV EBP,ESP
0038ACA4 51 PUSH ECX
0038ACA5 6A 00 PUSH 0
0038ACA7 FF15 C8F23A00 CALL DWORD PTR DS:[3AF2C8] ; msvcrt.time
0038ACAD 59 POP ECX
0038ACAE 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
0038ACB1 8D4D FC LEA ECX,DWORD PTR SS:[EBP-4]
0038ACB4 E8 4763FFFF CALL 00381000
0038ACB9 25 FFFF0100 AND EAX,1FFFF
0038ACBE 0305 64F13A00 ADD EAX,DWORD PTR DS:[3AF164] ; kernel32.ExitProcess
0038ACC4 FFD0 CALL EAX
0038ACC6 C9 LEAVE
0038ACC7 C3 RETN
0038ACC8 68 00010000 PUSH 100
0038ACCD FF15 40F13A00 CALL DWORD PTR DS:[3AF140] ; kernel32.GetCurrentProcess
0038ACD3 50 PUSH EAX
0038ACD4 FF15 6CF13A00 CALL DWORD PTR DS:[3AF16C] ; kernel32.SetPriorityClass
0038ACDA 6A 0F PUSH 0F
0038ACDC FF15 3CF13A00 CALL DWORD PTR DS:[3AF13C] ; kernel32.GetCurrentThread
0038ACE2 50 PUSH EAX
0038ACE3 FF15 68F13A00 CALL DWORD PTR DS:[3AF168] ; kernel32.SetThreadPriority
0038ACE9 - EB FE JMP SHORT 0038ACE9
0038ACEB 53 PUSH EBX
0038ACEC B8 01000000 MOV EAX,1
0038ACF1 BB 01010000 MOV EBX,101
0038ACF6 40 INC EAX
0038ACF7 43 INC EBX
0038ACF8 3BC3 CMP EAX,EBX
0038ACFA ^ 75 FA JNZ SHORT 0038ACF6
0038ACFC 5B POP EBX
0038ACFD C3 RETN
| Сообщение посчитали полезным: |
Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:29 · Личное сообщение · #5
IHateWindows
Определись, что ты считаешь за таблицу импорта.
| Сообщение посчитали полезным: |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:33 · Личное сообщение · #6
Ara пишет:
Определись, что ты считаешь за таблицу импорта.
таблицу функций которые импортирует программа
| Сообщение посчитали полезным: |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:34 · Личное сообщение · #7
код вышеприведённой функции, это одна из функций которые не определил ImpREC, не могу понять пустышка ли она?
и еще
0038CB35 56 PUSH ESI
0038CB36 8B7424 08 MOV ESI,DWORD PTR SS:[ESP+8]
0038CB3A 56 PUSH ESI
0038CB3B E8 69FCFFFF CALL 0038C7A9
0038CB40 59 POP ECX
0038CB41 84C0 TEST AL,AL
0038CB43 56 PUSH ESI
0038CB44 74 2B JE SHORT 0038CB71
0038CB46 E8 ABFCFFFF CALL 0038C7F6
0038CB4B 8D0440 LEA EAX,DWORD PTR DS:[EAX+EAX*2]
0038CB4E 59 POP ECX
0038CB4F FF0C85 388B3B00 DEC DWORD PTR DS:[EAX*4+3B8B38]
0038CB56 8D3485 388B3B00 LEA ESI,DWORD PTR DS:[EAX*4+3B8B38]
0038CB5D 75 0D JNZ SHORT 0038CB6C
0038CB5F FF76 08 PUSH DWORD PTR DS:[ESI+8]
0038CB62 FF15 B4F03A00 CALL DWORD PTR DS:[3AF0B4] ; kernel32.CloseHandle
0038CB68 834E 08 FF OR DWORD PTR DS:[ESI+8],FFFFFFFF
0038CB6C 6A 01 PUSH 1
0038CB6E 58 POP EAX
0038CB6F EB 11 JMP SHORT 0038CB82
0038CB71 E8 10000000 CALL 0038CB86
0038CB76 84C0 TEST AL,AL
0038CB78 59 POP ECX
0038CB79 ^ 75 F1 JNZ SHORT 0038CB6C
0038CB7B 56 PUSH ESI
0038CB7C FF15 B4F03A00 CALL DWORD PTR DS:[3AF0B4] ; kernel32.CloseHandle
0038CB82 5E POP ESI
0038CB83 C2 0400 RETN 4
| Сообщение посчитали полезным: |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:42 · Личное сообщение · #8
и ещё одна:
0038BCB3 55 PUSH EBP
0038BCB4 8BEC MOV EBP,ESP
0038BCB6 83EC 0C SUB ESP,0C
0038BCB9 53 PUSH EBX
0038BCBA 56 PUSH ESI
0038BCBB 57 PUSH EDI
0038BCBC 8B3D 88F03A00 MOV EDI,DWORD PTR DS:[3AF088] ; ntdll.RtlEnterCriticalSection
0038BCC2 68 E0EB3B00 PUSH 3BEBE0
0038BCC7 FFD7 CALL EDI
0038BCC9 8B0D 50EA3B00 MOV ECX,DWORD PTR DS:[3BEA50]
0038BCCF A1 40593B00 MOV EAX,DWORD PTR DS:[3B5940]
0038BCD4 33DB XOR EBX,EBX
0038BCD6 A3 D4F43B00 MOV DWORD PTR DS:[3BF4D4],EAX
0038BCDB 3BCB CMP ECX,EBX
0038BCDD 74 13 JE SHORT 0038BCF2
0038BCDF 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BCE1 3BC3 CMP EAX,EBX
0038BCE3 74 0D JE SHORT 0038BCF2
0038BCE5 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BCEB 2910 SUB DWORD PTR DS:[EAX],EDX
0038BCED 83C1 04 ADD ECX,4
0038BCF0 ^ EB ED JMP SHORT 0038BCDF
0038BCF2 8B0D 48EE3B00 MOV ECX,DWORD PTR DS:[3BEE48]
0038BCF8 3BCB CMP ECX,EBX
0038BCFA 74 13 JE SHORT 0038BD0F
0038BCFC 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BCFE 3BC3 CMP EAX,EBX
0038BD00 74 0D JE SHORT 0038BD0F
0038BD02 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BD08 2910 SUB DWORD PTR DS:[EAX],EDX
0038BD0A 83C1 04 ADD ECX,4
0038BD0D ^ EB ED JMP SHORT 0038BCFC
0038BD0F A1 E4EF3B00 MOV EAX,DWORD PTR DS:[3BEFE4]
0038BD14 0FB770 38 MOVZX ESI,WORD PTR DS:[EAX+38]
0038BD18 E8 FDE00100 CALL 003A9E1A
0038BD1D 8B0D D8F43B00 MOV ECX,DWORD PTR DS:[3BF4D8]
0038BD23 8D8408 29EEC2C4 LEA EAX,DWORD PTR DS:[EAX+ECX+C4C2EE29]
0038BD2A 50 PUSH EAX
0038BD2B A1 405B3B00 MOV EAX,DWORD PTR DS:[3B5B40]
0038BD30 03C6 ADD EAX,ESI
0038BD32 50 PUSH EAX
0038BD33 A1 00F03B00 MOV EAX,DWORD PTR DS:[3BF000]
0038BD38 2BC6 SUB EAX,ESI
0038BD3A 0305 40593B00 ADD EAX,DWORD PTR DS:[3B5940]
0038BD40 50 PUSH EAX
0038BD41 E8 BCB0FFFF CALL 00386E02
0038BD46 8B0D 48EE3B00 MOV ECX,DWORD PTR DS:[3BEE48]
0038BD4C 83C4 0C ADD ESP,0C
0038BD4F 3BCB CMP ECX,EBX
0038BD51 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX
0038BD54 74 13 JE SHORT 0038BD69
0038BD56 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BD58 3BC3 CMP EAX,EBX
0038BD5A 74 0D JE SHORT 0038BD69
0038BD5C 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BD62 0110 ADD DWORD PTR DS:[EAX],EDX
0038BD64 83C1 04 ADD ECX,4
0038BD67 ^ EB ED JMP SHORT 0038BD56
0038BD69 8B0D 50EA3B00 MOV ECX,DWORD PTR DS:[3BEA50]
0038BD6F 3BCB CMP ECX,EBX
0038BD71 74 13 JE SHORT 0038BD86
0038BD73 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BD75 3BC3 CMP EAX,EBX
0038BD77 74 0D JE SHORT 0038BD86
0038BD79 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BD7F 0110 ADD DWORD PTR DS:[EAX],EDX
0038BD81 83C1 04 ADD ECX,4
0038BD84 ^ EB ED JMP SHORT 0038BD73
0038BD86 8B0D 54EA3B00 MOV ECX,DWORD PTR DS:[3BEA54]
0038BD8C 3BCB CMP ECX,EBX
0038BD8E 74 13 JE SHORT 0038BDA3
0038BD90 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BD92 3BC3 CMP EAX,EBX
0038BD94 74 0D JE SHORT 0038BDA3
0038BD96 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BD9C 2910 SUB DWORD PTR DS:[EAX],EDX
0038BD9E 83C1 04 ADD ECX,4
0038BDA1 ^ EB ED JMP SHORT 0038BD90
0038BDA3 A1 00F03B00 MOV EAX,DWORD PTR DS:[3BF000]
0038BDA8 8B0D 44593B00 MOV ECX,DWORD PTR DS:[3B5944]
0038BDAE 53 PUSH EBX
0038BDAF 03C8 ADD ECX,EAX
0038BDB1 FF35 445B3B00 PUSH DWORD PTR DS:[3B5B44]
0038BDB7 51 PUSH ECX
0038BDB8 FF75 F4 PUSH DWORD PTR SS:[EBP-C]
0038BDBB E8 EC56FFFF CALL 003814AC
0038BDC0 8B0D 54EA3B00 MOV ECX,DWORD PTR DS:[3BEA54]
0038BDC6 83C4 10 ADD ESP,10
0038BDC9 3BCB CMP ECX,EBX
0038BDCB 74 13 JE SHORT 0038BDE0
0038BDCD 8B01 MOV EAX,DWORD PTR DS:[ECX]
0038BDCF 3BC3 CMP EAX,EBX
0038BDD1 74 0D JE SHORT 0038BDE0
0038BDD3 8B15 D0F43B00 MOV EDX,DWORD PTR DS:[3BF4D0]
0038BDD9 0110 ADD DWORD PTR DS:[EAX],EDX
0038BDDB 83C1 04 ADD ECX,4
0038BDDE ^ EB ED JMP SHORT 0038BDCD
0038BDE0 92 XCHG EAX,EDX
0038BDE1 66:87FF XCHG DI,DI
0038BDE4 92 XCHG EAX,EDX
0038BDE5 8A42 1A MOV AL,BYTE PTR DS:[EDX+1A]
0038BDE8 1C A8 SBB AL,0A8
0038BDEA D5 A4 AAD 0A4
0038BDEC 26:7C BD JL SHORT 0038BDAC ; Superfluous prefix
0038BDEF A6 CMPS BYTE PTR DS:[ESI],BYTE PTR ES:[EDI]
0038BDF0 2E:25 2D95A896 AND EAX,96A8952D ; Superfluous prefix
0038BDF6 19D3 SBB EBX,EDX
0038BDF8 C9 LEAVE
0038BDF9 DB2C5D 43FD4BD3 FLD TBYTE PTR DS:[EBX*2+D34BFD43]
0038BE00 8E45 2A MOV ES,WORD PTR SS:[EBP+2A] ; Modification of segment register
0038BE03 15 9A050E17 ADC EAX,170E059A
0038BE08 121E ADC BL,BYTE PTR DS:[ESI]
0038BE0A 3C 50 CMP AL,50
0038BE0C 1C 0A SBB AL,0A
0038BE0E 0D B098A183 OR EAX,83A198B0
0038BE13 4C DEC ESP
0038BE14 3C E3 CMP AL,0E3
0038BE16 F7DF NEG EDI
0038BE18 48 DEC EAX
0038BE19 C3 RETN
| Сообщение посчитали полезным: |
Ранг: 37.7 (посетитель) Активность: 0.01↘0 Статус: Участник
|
Создано: 07 февраля 2006 19:49 · Личное сообщение · #9
я очччень извиняюсь, но ещё одна функция:
0038B5E7 53 PUSH EBX
0038B5E8 56 PUSH ESI
0038B5E9 57 PUSH EDI
0038B5EA E8 42EFFFFF CALL 0038A531
0038B5EF 8B7C24 10 MOV EDI,DWORD PTR SS:[ESP+10]
0038B5F3 3BF8 CMP EDI,EAX
0038B5F5 75 08 JNZ SHORT 0038B5FF
0038B5F7 6A 01 PUSH 1
0038B5F9 5F POP EDI
0038B5FA E9 D3000000 JMP 0038B6D2
0038B5FF 3B3D FC473B00 CMP EDI,DWORD PTR DS:[3B47FC] ; WSOCK32.#1139
0038B605 75 07 JNZ SHORT 0038B60E
0038B607 830D FC473B00 F>OR DWORD PTR DS:[3B47FC],FFFFFFFF
0038B60E A1 08F03B00 MOV EAX,DWORD PTR DS:[3BF008]
0038B613 8B70 28 MOV ESI,DWORD PTR DS:[EAX+28]
0038B616 8B50 20 MOV EDX,DWORD PTR DS:[EAX+20]
0038B619 8B48 40 MOV ECX,DWORD PTR DS:[EAX+40]
0038B61C 33D6 XOR EDX,ESI
0038B61E 33D1 XOR EDX,ECX
0038B620 F6C2 80 TEST DL,80
0038B623 74 1C JE SHORT 0038B641
0038B625 8B40 70 MOV EAX,DWORD PTR DS:[EAX+70]
0038B628 33C6 XOR EAX,ESI
0038B62A 33C1 XOR EAX,ECX
0038B62C A8 10 TEST AL,10
0038B62E 74 11 JE SHORT 0038B641
0038B630 E8 86DA0000 CALL 003990BB
0038B635 3BF8 CMP EDI,EAX
0038B637 75 08 JNZ SHORT 0038B641
0038B639 6A 01 PUSH 1
0038B63B 58 POP EAX
0038B63C E9 93000000 JMP 0038B6D4
0038B641 A1 F8EF3B00 MOV EAX,DWORD PTR DS:[3BEFF8]
0038B646 33DB XOR EBX,EBX
0038B648 3BC3 CMP EAX,EBX
0038B64A 74 7D JE SHORT 0038B6C9
0038B64C 8B35 50F13A00 MOV ESI,DWORD PTR DS:[3AF150] ; kernel32.IsBadCodePtr
0038B652 50 PUSH EAX
0038B653 FFD6 CALL ESI
0038B655 85C0 TEST EAX,EAX
0038B657 74 24 JE SHORT 0038B67D
0038B659 891D FCEF3B00 MOV DWORD PTR DS:[3BEFFC],EBX
0038B65F 891D F8EF3B00 MOV DWORD PTR DS:[3BEFF8],EBX
0038B665 891D F4EF3B00 MOV DWORD PTR DS:[3BEFF4],EBX
0038B66B 891D F0EF3B00 MOV DWORD PTR DS:[3BEFF0],EBX
0038B671 891D ECEF3B00 MOV DWORD PTR DS:[3BEFEC],EBX
0038B677 891D E8EF3B00 MOV DWORD PTR DS:[3BEFE8],EBX
0038B67D A1 F8EF3B00 MOV EAX,DWORD PTR DS:[3BEFF8]
0038B682 3BC3 CMP EAX,EBX
0038B684 74 43 JE SHORT 0038B6C9
0038B686 57 PUSH EDI
0038B687 FFD0 CALL EAX
0038B689 FF35 F8EF3B00 PUSH DWORD PTR DS:[3BEFF8]
0038B68F 8BF8 MOV EDI,EAX
0038B691 FFD6 CALL ESI
0038B693 85C0 TEST EAX,EAX
0038B695 74 3B JE SHORT 0038B6D2
0038B697 53 PUSH EBX
0038B698 68 E8523B00 PUSH 3B52E8
0038B69D 891D FCEF3B00 MOV DWORD PTR DS:[3BEFFC],EBX
0038B6A3 891D F8EF3B00 MOV DWORD PTR DS:[3BEFF8],EBX
0038B6A9 891D F4EF3B00 MOV DWORD PTR DS:[3BEFF4],EBX
0038B6AF 891D F0EF3B00 MOV DWORD PTR DS:[3BEFF0],EBX
0038B6B5 891D ECEF3B00 MOV DWORD PTR DS:[3BEFEC],EBX
0038B6BB 891D E8EF3B00 MOV DWORD PTR DS:[3BEFE8],EBX
0038B6C1 FF15 94F03A00 CALL DWORD PTR DS:[3AF094] ; kernel32.SetEnvironmentVariableA
0038B6C7 EB 09 JMP SHORT 0038B6D2
0038B6C9 57 PUSH EDI
0038B6CA FF15 2CF13A00 CALL DWORD PTR DS:[3AF12C] ; kernel32.FreeLibrary
0038B6D0 8BF8 MOV EDI,EAX
0038B6D2 8BC7 MOV EAX,EDI
0038B6D4 5F POP EDI
0038B6D5 5E POP ESI
0038B6D6 5B POP EBX
0038B6D7 C2 0400 RETN 4
| Сообщение посчитали полезным: |
Ранг: 11.5 (новичок) Активность: 0.01↘0 Статус: Участник
|
Создано: 08 февраля 2006 13:56 · Личное сообщение · #10
смотри в сторону формата исполняемых файлов, тобиш PE. Гугли по RVA+PE+LUEVELSMEYER
дока LUEVELSMEYER-а версии 1.9
| Сообщение посчитали полезным: |
Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник
|
Создано: 12 февраля 2006 18:49 · Личное сообщение · #11
пасмари тут в часте про ПЕКомпакт
Распаковка: от самого простого к чуть более сложному by MozgC
http://www.exelab.ru/art/pkk.php
там вроде нармальна написана
| Сообщение посчитали полезным: |