Снова вопросы снова ночь без сна

Сейчас на форуме: tyns777 (+5 невидимых)

Посл.ответ	Сообщение
ixtorio Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 апреля 2011 00:15 · Личное сообщение · #1 поспешили вы закрыть тему вот эту --> Link <-- . уменя возникла проблемма с темже сорцем..он выдаёт ентри поинт но он какойто нетакой как в PEiD и как в OllyDbg...посмотрите плиз еще раз сорец и скажите в чём проблемма. Code: #include <stdlib.h> #include <stdio.h> #include <windows.h> //------------------------------------ int PEScan(char pszFileName) { PIMAGE_NT_HEADERS nt_headers_ptr; PIMAGE_DOS_HEADER dos_header_ptr; HANDLE hFile = CreateFile(pszFileName, GENERIC_READ, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0); if (hFile == INVALID_HANDLE_VALUE) { MessageBox(0, "Could not open file!", "Error", 0); return(0); } HANDLE hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY , 0,0,0); if (hMapFile == NULL) { MessageBox(0, "Could not create file map!", "Error", 0); return(0); } PDWORD pMapFile = (PDWORD)MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, 0); if (pMapFile == NULL) { MessageBox(0, "Could not mapped file! ", "Error", 0); return(0); } dos_header_ptr = (PIMAGE_DOS_HEADER)pMapFile; nt_headers_ptr = (PIMAGE_NT_HEADERS)((DWORD)pMapFile + dos_header_ptr->e_lfanew); DWORD* ImageBase = nt_headers_ptr->OptionalHeader.ImageBase; DWORD EP = nt_headers_ptr->OptionalHeader.AddressOfEntryPoint; return EP+ImageBase; } //--------------------------- int main(int argc, char* argv[]) { char buffer[7]; char Path[1024]; char EP[9]="00"; printf("Enter path:"); scanf("%s",Path); printf("\n%d",PEScan(Path)); //itoa(PEScan(Path),buffer,10); strcat(EP,buffer); //MessageBox(0, EP, "Entry Point", 0); return 0; }

SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 05 апреля 2011 00:38 · Личное сообщение · #2 google RVA to offset. ----- Shalom ebanats!
SergX Ранг: 226.0 (наставник), 67thx Активность: 0.16↘0 Статус: Участник	Создано: 05 апреля 2011 00:39 · Личное сообщение · #3 ВСЁ ТУТ
ixtorio Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 05 апреля 2011 01:06 · Личное сообщение · #4 полезные ответы =\ но я уже писал что не шарю в этой структуре,я читал статью которую ты мне дал - SergX а в гугле рва ту офсет функций на с++ нету а сам я хз как реализовывать - SLV
Kaimi Ранг: 60.6 (постоянный), 87thx Активность: 0.06↘0 Статус: Участник	Создано: 05 апреля 2011 01:18 · Поправил: Kaimi · Личное сообщение · #5 PeID и OllyDbg показывают EP в хексе насколько я помню, а в этом коде он отображается в виде десятичного числа. Или в уме/на калькуляторе переводишь в одну систему и не совпадает?
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 05 апреля 2011 04:09 · Личное сообщение · #6 ixtorio Просто переведи число в шестнадцатеричную систему счисления(если у тебя в десятеричной) и прибавь ImageBase. Получится всё как в ольке. Честно, если не разбираешься в этом, напиши свою прогу/модуль для чтения структур, тогда всё станет понятно для тебя и не будет возникать подобных вопросов. Конечно, если цель оправдывает средства. ----- Research For Food
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 05 апреля 2011 07:52 · Личное сообщение · #7 ixtorio пишет: в чём проблемма Убери strcat, сделай wspintf с таким параметром %08X
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 05 апреля 2011 10:00 · Личное сообщение · #8 ixtorio пишет: а в гугле рва ту офсет функций на с++ нету а сам я хз как реализовывать - При чём тут рва в оффсет перевод? Ни PeID, ни Ollydbg оффсеты не показывают. SLV глумится, походу. Но раз вы, ixtorio, согласны, что этот перевод нужно выполнить, тогда юзайте ImageRvaToSection. Из Рва вычитайте VirtualAddress из IMAGE_SECTION_HEADER, найденного предыдущей функцией, и к полученному результату прибавляйте PointerToRawData. Да, кстати, если олли покажет ЕР RVA + ImageBase, то PeID - только ЕР RVA. Убирать strcat не нужно, вводить wspintf - тоже, в данном случае достаточно чего-то типа этого: Code: printf("EP = %08X\n",TheEP); // DWORD TheEP - hex value of the entry point ----- Stuck to the plan, always think that we would stand up, never ran.
int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 05 апреля 2011 13:41 · Личное сообщение · #9 ixtorio пишет: int main(int argc, char* argv[]) { char buffer[7]; char Path[1024]; char EP[9]="00"; printf("Enter path:"); scanf("%s",Path); printf("\n%d",PEScan(Path)); //itoa(PEScan(Path),buffer,10); strcat(EP,buffer); //MessageBox(0, EP, "Entry Point", 0); return 0; } Переделай: int main(int argc, char* argv[]) { char buffer[7]; char Path[1024]; char EP[9]; printf("Enter path:"); scanf("%s",Path); sprintf(EP, "EntryPoint:\n%08X",PEScan(Path)); MessageBox(0, EP, "Entry Point", 0); return 0; } Изучай функции форматированного ввода/вывода в я зыке Си. Будешь понимать всякие спецификаторы %s, %d, %x ARCHANGEL пишет: При чём тут рва в оффсет перевод? Ему это тоже надо. Он хочет получать байты с EntryPoint... SergX пишет: ВСЁ ТУТ ixtorio Из этого источника выдирай функу: Code: //Base - файл проецируется в память, это его база //RVA - значение, которое нужно преобразовать в Offset DWORD RVAtoOffset(DWORD Base,DWORD RVA) { PIMAGE_NT_HEADERS pPE=(PIMAGE_NT_HEADERS)((long)Base+((PIMAGE_DOS_HEADER)Base)-»e_lfanew); short NumberOfSection=pPE-»FileHeader.NumberOfSections; long SectionAlign=pPE-»OptionalHeader.SectionAlignment; PIMAGE_SECTION_HEADER Section=(PIMAGE_SECTION_HEADER) (pPE-»FileHeader.SizeOfOptionalHeader+(long)& (pPE-»FileHeader)+sizeof(IMAGE_FILE_HEADER)); long VirtualAddress,PointerToRawData; bool flag=false; for (int i=0;i«NumberOfSection;i++) { if ((RVA>=(Section-»VirtualAddress))&& (RVA«Section-»VirtualAddress+ ALIGN_UP((Section-»Misc.VirtualSize),SectionAlign) )) { VirtualAddress=Section-»VirtualAddress; PointerToRawData=Section-»PointerToRawData; flag=true; break; } Section++; } if (flag) return RVA-VirtualAddress+PointerToRawData; else return RVA; } И передавай туда значение EP (из строчки DWORD EP = nt_headers_ptr->OptionalHeader.AddressOfEntryPoint;) и указатель на файл (pMapFile). P.S. Тему можно было просто попросить открыть (у любого из модераторов), не надо было создавать новую.
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 05 апреля 2011 17:16 · Личное сообщение · #10 Может проще нанять кодера, если нужен сорс того, в чем не разбираешься и разбираться не хочешь? ----- Yann Tiersen best and do not fuck \| Сообщение посчитали полезным: tihiy_grom, TeamSMU
ixtorio Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 06 апреля 2011 20:39 · Поправил: ixtorio · Личное сообщение · #11 спасибо всем и в томто и дело что я учусь =) разбираться,познаю и не безуспешно...чтото даётся самому чтото даётся с помощью других людей=)
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 06 апреля 2011 20:45 · Личное сообщение · #12 Вот учиться надо самому, сидеть и гуглить, а не спрашивать про каждый чих на форуме. И не надо рассказывать, что десятичную форму от 16-ричной нельзя отличить без очередного топика на форуме, когда и так все сорцы уже выпросил. Данный форум поощряет людей, кто учится, но это называется попрошайничество, сделайте за меня кто-нибудь. Будешь так продолжать-надолго здесь не задержишься.

Для печати