Как или с помощью чего можно определить кол-во и тип параметров экспортируемой из dll функции? dll написана на VC++. Кроме dll нет ничего (не .lib не .h) Это не системная dll. Подскажите как это можно сделать.

Спасибо.

| Сообщение посчитали полезным:

а есть приложение юзающее эту ДЛЛ?

| Сообщение посчитали полезным:

Приложение-то есть, но оно хитро (для меня по крайней мере) использует эту dll. Сама dll хранится в ресурсах исполняемого файла и загружается в память минуя стадию сохранения на диск (как это делается я не знаю. Софтина на delphi). Таким образом основная прога не импортирует в обычном понимании эту библиотеку.... Возможно просто по смещениям вызываются функции или что-то похожее. Вот.

| Сообщение посчитали полезным:

jfx пишет:
с помощью чего можно определить кол-во и тип параметров экспортируемой из dll функции?
IDA должна помочь. По крайней мере, количество она чётко определяет, да и с типами проблем особых не будет, а вот назначение аргументов придётся определять самому.
jfx, а вы искали производителя dll? Может открытая дока есть. =)

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry
IDA к сожалению помагла частично, на некоторых функциях определила все четко, а вот на некоторых к сожалению нет... По поводу назначения я разберусь, мне бы вызвать их сначала правильно.
Производитель как раз известен, вот только на эту Dll он документации не предоставляет. Имя этой dll CheckUtil.dll и занимается она проверкой серийного номера и прочими сопутствующими мелкими делами

| Сообщение посчитали полезным:

если файл не большой выкладывай! покавыряем
поможем тебе разобраться... Ты её через отладчик пропусти, там хорошо видно, что в стек
кладётся перед вызовом функции

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Значит так, все вместе представляет собой один exe файл размером ~90 метром. Большую его часть составляет rar архив, прицепленный оверлеем, который немного покоцан (как, пока не разобрался, но попытка разархивировать его с паролем, который зашит в самой проге не увенчалась успехом. Пароль точный, я трейсил под дебагером в unrar.dll передается точно он, но вот что происходит с архивом до этого пока не разобрался). Основной модуль на Delphi, запакован UPX-ом. В ресурсах лежит выше упомянутый CheckUtil.dll, unrar.dll и h2reg. Все вместе без rar-а примерно 3 метра. Дык, что выкладывать?

| Сообщение посчитали полезным:

jfx пишет:
Пароль точный, я трейсил под дебагером в unrar.dll
Если только в этом unrar алгоритм генерации кода идентичен. Пароль ведь "фикция" : в оригинале берут кусок шифруемого файла и в цикле на 260 с лишком тысяч перемешивают с паролем. Для распаковки аналогичное творение. Достаточно например что-то поксорить и все. Надо сосвечивать с оригинальным алгоритмом, благо автор РАР-а до сих пор тексты распаковщика дает свободно.
Если там действительно РАР(построй сигнатуры для авторского unrar или визуально проверь ), то самое худшее - находишь то, что получилось после цикла и патчишь РАР так, чтобы он расшифровывал не по паролю, а по полученному хексу

| Сообщение посчитали полезным:

tundra37
Интересная мысь, посмотрю... Но мне кажется все же что что-то не так с самим архивом: в коментарии к архиву лежит текстовый скрипт для инсталятора (которым основной модуль и является), дык вот он очень странно выглядит... он вперемешку с бинарными (не текстовыми) кусками.

| Сообщение посчитали полезным:

jfx пишет:
дык вот он очень странно выглядит
А ты уверен, что файл не битый. В емуле такое изредка встречается и на некоторых качалках и "кривых" серверах. И второй вариант : используется только алгоритм запаковки, а куски лежат по авторским законам. Наконец, автор просто плюхнул комментарий вместе с буфером. Короче инфа нужна :
1) есть ли заголовок РАР и как он выглядит
2) запаролен подчистую или есть имена отдельных файлов.

| Сообщение посчитали полезным:

Нет, файл не битый, это уже не первая версия этой проги, в каждом архиве так, они усовершенствуют с каждой новой версией и сам установщик. Например в первой версии с архивом было все в порядке и он легко распаковывался выловленным паролем. Далее, в отладчике опятьже, после некоей обработки скрипт выглядит уже нормально...
Далее RAR есть, что значит как он выглядит? Вот заголовок tinyurl.com/s52j7
Rar запаролен только на распаковку - файлы видны.
В аттаче unrar и checkutil. Вот тут сам модуль с обрезанным архивом tinyurl.com/g75na

1f80_10.08.2006_CRACKLAB.rU.tgz - dx.zip

| Сообщение посчитали полезным:

jfx пишет:
Далее, в отладчике опятьже, после некоей обработки скрипт выглядит уже нормально...
Тогда смотри внимательно. Они также могут и РАР подкорректировать. При ловле обращений в память по диапазону олли будет медленно работать, но рано или поздно поймает запись.
Но сначала проверь алгоритм работы с паролем. Могу вспомнить свои изыскания по этому поводу. Правда я просто проверял про 260 тысяч циклов - не верилось.

| Сообщение посчитали полезным: