Здравствуйте, подскажите пожалуйста, есть ли способ найти в PE файле все вызову функций импорта (что-то типа Search for all intermodular calls в OllyDbg), т.е. найти примерно такое:

Сразу бы хотелось оговориться, что бинарный поиск FF25 и FF15 не подходит, надеюсь сами понимаете почему

| Сообщение посчитали полезным:

учи структуру пе-файла, можно это прочесть с легкостью с таблицы импорта
можешь пока прочесть это
в гугле есть еще, я находил даже на русском еще

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
прочесть с легкостью с таблицы импорта
Если это на столько легко, приведи пожалуйста пример.
Я так понял, что с таблицы импорта ты не получишь адрес прыжка на функцию из иат

| Сообщение посчитали полезным:

BoRoV пишет:
учи структуру пе-файла, можно это прочесть с легкостью с таблицы импорта
Я вот так понял, что ему именно вызовы из кода нужны. Олька, скорее всего, делает это путем парсинга кода на предмет конструкций jmp dword ptr ds:[адрес из импорта] и call то-же не ст0ит забывать.

-----
invoke OpenFire

| Сообщение посчитали полезным:

Ice-T
+1 ты все правильно понял.
Так это возможно как-нибудь реализовать?

| Сообщение посчитали полезным:

s0l пишет:
Сразу бы хотелось оговориться, что бинарный поиск FF25 и FF15 не подходит, надеюсь сами понимаете почему
Я не понимаю - почему?

-----
invoke OpenFire

| Сообщение посчитали полезным:

пиши скрипт, а внем пиши, кажется так:


-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Потому, что в коде может встретиться такая же структура, но никаким образом не относящаяся к импорту.
А я планирую провести кое-какие операции с найденными адресами, вот собственно в этом и причина.

| Сообщение посчитали полезным:

BoRoV
Не нужно столь высокомерно относиться к человеку с низким рангом. Ты так хочешь показать мне то, что прочитал статью про ПЕ-файлы и знаешь базовые команды олли-скрипта? Спасибо, я это понял. Просьба в дальнейшем говорить по существу

| Сообщение посчитали полезным:

s0l пишет:
Потому, что в коде может встретиться такая же структура, но никаким образом не относящаяся к импорту.
дык чекай адрес назначения

-----
invoke OpenFire

| Сообщение посчитали полезным:

Не стоит забывать про конструкции типа

. . .
mov esi, [LoadIconW]
. . .
. . . // инструкции, не затрагивающие esi
. . .
call esi
. . .
. . . // инструкции, не затрагивающие esi
. . .
call esi
. . .

активно генерируемые vc++

| Сообщение посчитали полезным:

Ice-T
Что-то мне даже не приходил в голову такой вариант, спасибо за подсказку. Буду пробовать...

p.s.: если есть другой выход, пожалуйста сообщите =)

_ruzmaz_
Для начала бы реализовать самое простенькое, а потом можно и дальше идти =)

| Сообщение посчитали полезным:

Дизасмит и анализировать. Иначе - хз как.

upd:
Хотя есть еще вариант взять процесс под отладку.

-----
invoke OpenFire

| Сообщение посчитали полезным:

все популярные линкеры создают непрерывный массив адресов импорта, сосредоточенный в одной секции. Главное найти начало и ее конец, а это очень просто

| Сообщение посчитали полезным:

Ice-T пишет:
взять процесс под отладку
В моем случае это не приемлимо.

int_256
мне не нужны адреса импорта

| Сообщение посчитали полезным:

Можно использовать то что ольга отдизассемблит и проанализирует - например в файл сохранить и там искать нужные вызовы (или плагин написать)

| Сообщение посчитали полезным:

В ольке импорт не при чём. Она ищет любые переходы из образа ехе. Границы образа она знает, переходы ищет по дизасму. Косячит, если неправильно определила код и данные. Если нужен только импорт-нужно фильтровать либо по таблице импорта, что криво, либо сравнивать с адресами всех импортов в процессе, что в статике не сделаешь.

| Сообщение посчитали полезным:

Ну так в ольке есть же функция Find references, в окне дампа ставишь Long>аdress ищешь табличку,она будет иметь такой вид
00413084 >7C801E1A kernel32.TerminateProcess
00413088 >7C801EF2 kernel32.GetStartupInfoA
0041308C >7C809832 kernel32.InterlockedCompareExchange
00413090 >7C802446 kernel32.Sleep
00413094 >7C80981E kernel32.InterlockedExchange
00413098 >7C80AC6E kernel32.FreeLibrary
0041309C >7C80AEDB kernel32.LoadLibraryW
004130A0 >7C80B465 kernel32.GetModuleFileNameW
004130A4 >7C90FE01 ntdll.RtlGetLastWin32Error
004130A8 >7C8449FD kernel32.SetUnhandledExceptionFilter

км>Find references
и оля ищет адреса вызова этой апи

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, на сколько я понимаю - ему нужна своя программная реализация подобного.

-----
invoke OpenFire

| Сообщение посчитали полезным:

Я вот так и не понял, чего требуется:

1) На известную в файле АПИ-шку найти перечень мест где она дергается ?
или:
2) Выдать перечень всех мест, где дергается какая-либо АПИ-шка ?

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Если второе, то :
1. Составить массив Описателей (НАЧАЛО, КОНЕЦ) всех ИАТов
2. Начиная с начального адреса поиска ищешь очередную FF25, FF15 + mov esi,offs / call esi и потом адресок смотришь в описателях, если попало, значит - АПИ-шко

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Ну на самом деле алгоритм не много посложнее будет.. Но предоставим это автору)

-----
invoke OpenFire

| Сообщение посчитали полезным:

* парсишь таблицу импорта файла и составляешь список адресов всех используемых в проге апи ф-ций, а также составляешь диапазон адресов библиотек (это важно, т.к. адрес в коде может указывать на FuncAddr+x)
* определяешь секции с кодом
* берёшь двиг дизасма типа hde и идёшь по коду, обращая внимание на инструкции типа
mov reg32,addr, после чего ищешь call/push/jmp reg32
push addr
jmp [addr]
call [addr]

cверяешь addr со списком адресов ф-ций

далее понятно, я думаю

-----
EnJoy!

| Сообщение посчитали полезным:

>>(это важно, т.к. адрес в коде может указывать на FuncAddr+x)
важный нюанс! +1

-----
My love is very cool girl.

| Сообщение посчитали полезным: