Вопрос по построению таблицы импорта вручную

Сейчас на форуме: rmn, Magister Yoda, vasilevradislav, tyns777, zombi-vadim (+5 невидимых)

Посл.ответ	Сообщение
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 02 сентября 2008 22:09 · Личное сообщение · #1 Вот собственно собираю свою таблицу импорта вручную, и тут тормознулся на одном моменте. Ниже предоставлен фрагмент из структуры IMAGE_IMPORT_DESCRIPTOR. Code: DD Unpack.0044F6A3 DD 00000000 ; Struct 'IMAGE_IMPORT_DESCRIPTOR' DD 00000000 DD 00000000 DD 000790A6 DD 0005339C DD 00000000 ; Struct 'IMAGE_IMPORT_DESCRIPTOR' DD 00000000 DD 00000000 DD 000790B2 DD 000533AC DD 00000000 ; Struct 'IMAGE_IMPORT_DESCRIPTOR' DD 00000000 DD 00000000 DD 00079102 DD 00053028 Что это за число такое перед началом структуры и главное - почему первый список имён функций завершается названием библиотеки, а все последующие списки с неё начинаются Code: ASCII "VerQueryValueA",0 <--------- DB 00 \| DB 00 \| DB 00 \| ASCII "GetFileVersionIn" \| ASCII "foA",0 \| DB 00 \| DB 00 \| ASCII "GetFileVersionIn" \| ASCII "foSizeA",0 \| ASCII "VERSION.dll",0 <--------- -------- Имя библиотеки завершило список ASCII "WSOCK32.dll",0 <--------- -------- Имя библиотеки начало список DB 00 \| DB 00 \| ASCII "ImageList_LoadIm" \| ASCII "ageA",0 \| DB 00 \| DB 00 \| DB 00 \| ASCII "ImageList_Replac" \| ASCII "eIcon",0 \| DB 00 \| DB 00 \| ASCII "ImageList_Create" \| ASCII 0 <---------------------- DB 00 ASCII "COMCTL32.dll",0 <--------- -------- Имя библиотеки начало список DB 00 \| DB 00 \| DB 00 \| ASCII "GetEnvironmentVa" \| ASCII "riableA",0 \| DB 00 \| DB 00 \| ASCII "SetEnvironmentVa" \| ASCII "riableA",0 \| DB 00 \| DB 00 \| ASCII "WriteFile",0 \| ..... Дальше списки будут токрываться именем библиотеки. Тоесть в первом списке мне всегда надо будет закрывать список именем библиотеки, а во всех последующих открывать? ----- Research For Food

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 02 сентября 2008 22:30 · Личное сообщение · #2 www.wasm.ru/article.php?article=1002006 ----- [nice coder and reverser]
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 02 сентября 2008 22:37 · Личное сообщение · #3 Hellspawn Ну ответь хоть в кратце на вопросы, дальше сам разбирусь. Голова уже совсем не соображает ----- Research For Food
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 02 сентября 2008 23:18 · Личное сообщение · #4 daFix никто тебя ничем не ограничивает, как захочешь так и будет. Можешь сделать список из длл за ним список из апи, хочешь сделай длл, за ней все апи, снова длл.... А то что ты приводишь - ... ну просто линкер захотел сделать так, ты не обязан повторять, если конечно не хочешь под него косить. ----- Yann Tiersen best and do not fuck
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 02 сентября 2008 23:32 · Личное сообщение · #5 А количество нулевых байтов может быть любым между строками с названиями функций и библиотек? И всё же чё это за адрес - в нашем случае: 0044F6A3? ----- Research For Food
kioresk Ранг: 154.2 (ветеран), 66thx Активность: 0.08↘0 Статус: Участник REVENGE Crew	Создано: 02 сентября 2008 23:37 · Личное сообщение · #6 daFix пишет: Дальше списки будут окрываться именем библиотеки. Тоесть в первом списке мне всегда надо будет закрывать список именем библиотеки, а во всех последующих открывать? Нет, имена библиотек и имена функций можешь как угодно располагать, главное чтобы указатели на них были правильные. Перед именем функции указывается ее ординал (т.е. номер по которому она экспортируется из требуемой библиотеки), размер 2 байта (т.е. word). После имени функции должен соответственно идти ноль. Почитай про структуру импорта, а лучше сразу загрузи с сайта Майкрософта описание формата PE, посмотришь его и многие вопросы отпадут сами. Microsoft Portable Executable and Common Object File Format Specification http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx Вкратце, у тебя должно быть 3 массива: 1. IAT Указатели на первый Thunk и имя библиотеки (для каждой библиотеки по записи), 1 запись состоит из 5 dword'ов, конец 5 пустых dword'ов, т.е. нулей) - структуру смотри в описании. 2. Thunks Указатели на имена функций, функции разных библиотек разделяются нулем (dword), конец всего массива - два нуля. 3. Имена функций Как уже говорил с ординалами перед именем и нулем в конце строки.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 03 сентября 2008 00:03 · Личное сообщение · #7 Всё, теперь разобрался во всём кроме этого загадочного адреса перед IMAGE_IMPORT_DESCRIPTOR ----- Research For Food
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 03 сентября 2008 11:03 · Поправил: theCollision · Личное сообщение · #8 daFix Указатель, который хранится в DataDirectory 2-м по счету, 1-й это экспорт. Так вот этот указатель на массив структур (IMAGE_IMPORT_DESCRIPTOR) и имеет тип (IMAGE_IMPORT_DESCRIPTOR*) . Каждая такая структура описывает одну dll, т.е. все фукции из этой dll используемые в программе можно найти благодаря этой структуре . Это один из импортов, называемый стандартным ;) Еще вопросы ? ----- My love is very cool girl.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 03 сентября 2008 12:31 · Поправил: daFix · Личное сообщение · #9 theCollision Наверное ты не понял вопроса или я туплю. Этот адрес(0044F6A3) не входит в структуру. Он находится перед ней. Ссылается на следующие байты: Code: 0044F6A3 33 DB 33 0044F6A4 F6 DB F6 0044F6A5 8B DB 8B 0044F6A6 7D DB 7D 0044F6A7 18 DB 18 Или может быть это случайное число которое не имеет ни какого отношения к таблице импорта? ----- Research For Food
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 03 сентября 2008 12:38 · Личное сообщение · #10 daFix пишет: Или может быть это случайное число которое не имеет ни какого отношения к таблице импорта? не имет, у тебя делфовая таблица похоже ;)
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 03 сентября 2008 12:58 · Личное сообщение · #11 daFix Бинарник можешь приаттачить ? ----- My love is very cool girl.
=TS= Ранг: 251.8 (наставник), 17thx Активность: 0.12↘0 Статус: Участник Seeker	Создано: 03 сентября 2008 18:55 · Поправил: =TS= · Личное сообщение · #12 daFix автор жжет Как ты хочешь, чтобы тебе ответили, если ты даешь листинги без адресов, а также данных на которые они ссылаются? Или атачь бинарник / дамп или дай нормальный листинг ----- DREAMS CALL US
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 03 сентября 2008 19:07 · Личное сообщение · #13 =TS=Не гони на человека, он лишний раз кряклабовцев тренирует. Еще чуть-чуть и мы телепатией будем владеть! А в наше непростое время - это самый очень актуальный навык! ;) ----- My love is very cool girl.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 03 сентября 2008 23:21 · Личное сообщение · #14 theCollision Зачёт!)) Вот и сам бинарник... rapidshare.com/files/142394209/Unpack.rar.html Таблицу импорта смотрел на том что первым попало под руки. Это был главный EXE армы. ----- Research For Food

Для печати