Расскажите, плиз, что идет в заголовке PE-файла (в массиве размеров и RVA) после поля BoundImportRVA (смещение 0xD0 относительно сигнатуры "PE")... Или дайте ссылки на материалы (ОЧЕНЬ желательно на русском)

| Сообщение посчитали полезным:

PE_Kill пишет:
Ммм, абсолютные, значит их не надо определять, они уже указывают на функции, а не на имена
Т.е. в таблице указателей на адреса ужу подставлены эти самы абсолютные адреса....

Или я чего то впринципе недогоняю??

| Сообщение посчитали полезным:

Ну да. Если нужны имена, то придется ImpREC писать (что я сейчас и делаю)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А в борландовских файлах вообще таблицы имен нету, или как???
Че тут нада делать, что б их узнать... Мот надо по таблице экспорта dll искать ???

| Сообщение посчитали полезным:

Блин... Я с импортом от Борланда совсем зегрулся....
Как разобрать импорт в этом случае?

| Сообщение посчитали полезным:

С борландом всё просто. Есть указатели на имена. При загрузке лоадер изменяет указатели на реальные адреса. А MS генерит сразу две таблици с указателями на имена. Лоадер проватчивает вторую, а первую не трогает.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
При загрузке лоадер изменяет указатели на реальные адреса
Тоесть там где в файле на OriginalFirthThunk стаят нули после запуска будет РВА таблицы имен???

| Сообщение посчитали полезным:

Нет. Там где ThirstThunk находятся указатели на имена. А в OriginalThirstThunk нули. Лоадер OriginalThirstThunk не трогает, а в ThirstThunk заменяет указатели на имена адресами функций.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Нет. Там где ThirstThunk находятся указатели на имена. А в OriginalThirstThunk нули. Лоадер OriginalThirstThunk не трогает, а в ThirstThunk заменяет указатели на имена адресами функций.
Брррррр. Кто же такой формат придумал... гЫ.....

| Сообщение посчитали полезным:

M$

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
M$
Я уже такое вроде писал.....
Вот можно ж придумать свой формат (нормальный)))))))))).
И свой лоадер написать.
И конвертер из PE в свой формат...........

| Сообщение посчитали полезным:

Исчо турой вопрос
Вот ни FirstThunk

| Сообщение посчитали полезным:

Глюки ну и ладно))))
ни OriginalFirstThunk не указывают на массив RVA имен.
О чем это говорит??

| Сообщение посчитали полезным:

BOUND IMPORT? DELAY IMPORT?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
BOUND IMPORT? DELAY IMPORT?
Есть BOUND IMPORT. И что это значит???

| Сообщение посчитали полезным:

А это уже другая структура и про первую можешь забыть.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
А это уже другая структура и про первую можешь забыть.
Т.е. при Bound Import'e ни в OriginalFirstThunk ни в FirstThunk ниче хорошего не будет???

| Сообщение посчитали полезным:

Keo пишет:
Т.е. при Bound Import'e ни в OriginalFirstThunk ни в FirstThunk ниче хорошего не будет???

В FirstThunk будут содержаться предположительные адреса функций.
Тут есть описание типов импорта, очень понятно.

wasm.ru/article.php?article=green2red02

| Сообщение посчитали полезным:

asd пишет:
В FirstThunk будут содержаться предположительные адреса функций
Эт-то, понятно.... Что будет по OriginalFirstThunk, имена? или што???
Просто есть несколько файлов: в одних - массив RVA имен, а в других - хня какая-то

| Сообщение посчитали полезным:

А кстати, исчо вопрос.
Што будит если библиотека (которая есть в Bound Import) загрузицца по адресу, отличному от ImageBase????

| Сообщение посчитали полезным: