| Сейчас на форуме: (+4 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Еще раз о формате PE |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 12 апреля 2006 11:44 · Личное сообщение · #1 Расскажите, плиз, что идет в заголовке PE-файла (в массиве размеров и RVA) после поля BoundImportRVA (смещение 0xD0 относительно сигнатуры "PE")... Или дайте ссылки на материалы (ОЧЕНЬ желательно на русском)  |
|
|
Создано: 12 апреля 2006 12:16 · Личное сообщение · #2 Статей очень много, надо только поискать. Зайди на wasm там есть уроки Iczelion'а, я из них очень много узнал: www.wasm.ru/article.php?article=1002001 www.wasm.ru/article.php?article=1002002 www.wasm.ru/article.php?article=1002003 www.wasm.ru/article.php?article=1002004 www.wasm.ru/article.php?article=1002005 www.wasm.ru/article.php?article=1002006 www.wasm.ru/article.php?article=1002007 Ну а вот статья из хакера.  3039_12.04.2006_CRACKLAB.rU.tgz
----- Yann Tiersen best and do not fuck |
|
|
Создано: 12 апреля 2006 12:18 · Личное сообщение · #3 PS На инглише инфы раз в 100 больше и качественнее. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 апреля 2006 11:44 · Личное сообщение · #4 Спасиба 
|
|
|
Создано: 14 апреля 2006 16:22 · Личное сообщение · #5 Keo пишет: Или дайте ссылки на материалы c:\Program Files\Microsoft Visual Studio\VC98\Include\WINNT.H |
|
|
Создано: 14 апреля 2006 16:32 · Личное сообщение · #6 кому интевесно о формате PE, можно через net выписать книгу П.В.Румянцев "Исследование программ Win32 до дизассемблера и отладчика" - 365 станиц! ----- Nulla aetas ad discendum sera |
|
|
Создано: 15 апреля 2006 12:59 · Личное сообщение · #7 Flint пишет: кому интевесно о формате PE, можно через net выписать книгу П.В.Румянцев "Исследование программ Win32 до дизассемблера и отладчика" - 365 станиц! А где это можно выписать? (я просто не нашел:s14 
|
|
|
Создано: 15 апреля 2006 13:07 · Личное сообщение · #8 Блин, ну как вы ищете ,
Вводите на Yandexe "Исследование программ Win32 до дизассемблера и отладчика", Результат поиска: страниц — 25 961, сайтов — не менее 1 106 Конкретная первая попавшаяся ссылка www.books.ru/shop/books/188568 ----- Nulla aetas ad discendum sera |
|
|
Создано: 15 апреля 2006 13:11 · Личное сообщение · #9 Flint пишет: Конкретная первая попавшаяся ссылка www.books.ru/shop/books/188568 Ну дык тут же за рубли......[ |
|
|
Создано: 15 апреля 2006 13:15 · Личное сообщение · #10 Кстати.... Еще вопрос по импорту..... Никак не разбирусь....... Вот поле FirthThunk "указывает на массив RVA, по которым загрузчик подставляет реальные адреса функций"....... Но насколько я понял само поле FirthThunk и указывает на первую функцию.... Тока не отправляете, плиз, к книжкам..... |
|
|
Создано: 15 апреля 2006 13:16 · Личное сообщение · #11 И может у кого есть еще исходники разбора импорта, может киньте, попробую разобраться.... |
|
|
Создано: 16 апреля 2006 02:03 · Личное сообщение · #12 Keo пишет: Ну дык тут же за рубли......[ Конечно  , а ты хотел бесплатно приобрести?
----- Nulla aetas ad discendum sera |
|
|
Создано: 16 апреля 2006 12:26 · Поправил: Hellspawn · Личное сообщение · #13 Keo те на каком языке? если на дельфях, могу прям из своего анализатора выдрать... ----- [nice coder and reverser] |
|
|
Создано: 16 апреля 2006 12:46 · Личное сообщение · #14 Flint пишет: Конечно, а ты хотел бесплатно приобрести? Ну...................вообще то ДА..... |
|
|
Создано: 16 апреля 2006 12:47 · Личное сообщение · #15 Hellspawn пишет: те на каком языке? если на дельфях, могу прям из своего анализатора выдрать... Мне все ровно Делфи или С  ..............
Так что выкладывай............. |
|
|
Создано: 16 апреля 2006 12:52 · Личное сообщение · #16 И вообще......... Если не жалко, скинь весь анализатор.... |
|
|
Создано: 16 апреля 2006 13:01 · Личное сообщение · #17 Еще тема... но это уже размышления психа  ....
Если придумать свой формат исполняемых файлов. Дать файлу другое расширение (!=ехе). Написать свой загрузчик, который в память будет этот файл запихивать (уже в формате PE). И поставлять свои программы вместе с загрузчиком. Это поможет в защите????
И тут, по-моему, выигрышь в размере за счет секции распаковки, если файл еще и запаковать.... |
|
|
Создано: 16 апреля 2006 13:25 · Личное сообщение · #18 вот держи =) правда код не оптимизированный, но думаю должен разобраться... a8a3_16.04.2006_CRACKLAB.rU.tgz - import.txt
----- [nice coder and reverser] |
|
|
Создано: 16 апреля 2006 14:24 · Личное сообщение · #19 Hellspawn пишет: вот держи =) правда код не оптимизированный, но думаю должен разобраться... Огромное спасибо |
|
|
Создано: 16 апреля 2006 16:49 · Личное сообщение · #20 Keo пишет: Дать файлу другое расширение (!=ехе). Написать свой загрузчик, который в память будет этот файл запихивать (уже в формате PE). Какая разница : сидит твой зашифрованный/пакованный файл в самом экзе или в другом файле. Про запаковку и экономию - большая глупость. |
|
|
Создано: 17 апреля 2006 10:59 · Личное сообщение · #21 tundra37 пишет: Какая разница : сидит твой зашифрованный/пакованный файл в самом экзе или в другом файле. Про запаковку и экономию - большая глупость. Я ж говорил, что это размышления психа
|
|
|
Создано: 17 апреля 2006 11:27 · Личное сообщение · #22 Кстиати, может есть у кого ссылки на толковые статьи по импорту.... До конца никак не разбирусь... Их же там аж 4 механихма, насколька я понял 
|
|
|
Создано: 20 апреля 2006 05:15 · Личное сообщение · #23 Keo см. на WASM статьи "Об упаковщиках...", там и про импорт понятно написано ----- EnJoy! |
|
|
Создано: 21 апреля 2006 20:37 · Личное сообщение · #24 Keo пишет: Flint пишет: Конкретная первая попавшаяся ссылка www.books.ru/shop/books/188568 Смотрел я эту книгу - ничего вообще толкового в ней нету.... НЕ БЕРИТЕ ЕЕ |
|
|
Создано: 21 апреля 2006 20:58 · Личное сообщение · #25 ты хоть рабобрался? что конкретно непонятно? 
----- [nice coder and reverser] |
|
|
Создано: 22 апреля 2006 13:09 · Личное сообщение · #26 Hellspawn пишет: ты хоть рабобрался? что конкретно непонятно? Непонятно была то что если какие-нибудь поля есть в одном файле, то совсем не обязательно они будут в деругих (сравнение microsoft и borland)... И отложенный импорт тоже..... |
|
|
Создано: 22 апреля 2006 13:15 · Личное сообщение · #27 Еще не понятно про Bound Import: Путь воина - внедрение в PE/COFF файлы: ................................ Если временная отметка импортимруемой библиотеки соответствует с ее собственной временной отметкой, прописанной и PE-заголовке, загрузчик просто проецирует последнюю на адрессное пространство и умывает руки, предоставляя программе действовать самостоятельно Как происходит это ПРОЕЦИРОВАНИЕ и как можно все-таки определить адреса функциий?? |
|
|
Создано: 22 апреля 2006 13:19 · Личное сообщение · #28 Проецировать - значит делать видимым для текущего процесса. А адреса скорее всего абсолютные. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 22 апреля 2006 13:43 · Личное сообщение · #29 PE_Kill пишет: А адреса скорее всего абсолютные. Так как их определить??? |
|
|
Создано: 22 апреля 2006 14:51 · Личное сообщение · #30 Ммм, абсолютные, значит их не надо определять, они уже указывают на функции, а не на имена ----- Yann Tiersen best and do not fuck |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› Еще раз о формате PE |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати