| Сейчас на форуме: zds (+5 невидимых) |
 |
eXeL@B —› Программирование —› Вопрос по лоадеру-2 |
| Посл.ответ | Сообщение |
|
|
Создано: 23 января 2014 17:32 · Личное сообщение · #1 Коллеги, еще раз спасибо за наставления в теме все работало как надо и было хорошо... Теперь ситуация изменилась - возникло два вопроса. Для начала цель: Приложение упаковано UPX. Нужно загрузить его с помощью лоадера и пропатчить код. Остальное такое же как по ссылке выше. Вопрос: При загрузке упакованного/распакованного приложения загрузчик не находит адреса нужных функций как это было реализовано в вышеуказанной теме - подскажите куда копать в таком случае и где их, адреса импортируемых функций, искать... Спасибо. З.Ы. Извините старую тему закрыл по глупости...  | Сообщение посчитали полезным: enquired |
|
|
Создано: 23 января 2014 17:44 · Поправил: Vovan666 · Личное сообщение · #2 figgler Ну дык и перечитай ссылку выше.... Ставишь хук на последний jmp и пошел-поехал код патчить. |
|
|
Создано: 23 января 2014 17:48 · Поправил: Rio · Личное сообщение · #3 Code:
после распаковки записываем по адресу 004533AC (у тебя естественно другой) напрмер инструкцию nop и прыгаем на OEP |
|
|
Создано: 23 января 2014 18:35 · Поправил: figgler · Личное сообщение · #4 Может чего не понял или вопрос не правильно задал - спрошу еще раз - При загрузке упакованного/распакованного приложения загрузчик не находит адреса нужных функций как это было реализовано в вышеуказанной теме. Если ранее функция которая ищет адреса выдавала адрес то теперь она выдает 0000000 и таблица импорта в которой оно пытается найти адреса тоже пустая... Это происходит и в запакованной версии и в заранее распакованной... Или оно не находит адреса так как еще не распаковалось? Но тогда почему не находит в распакованной версии...? |
|
|
Создано: 23 января 2014 20:58 · Поправил: Dr0p · Личное сообщение · #5 > загрузчик не находит адреса нужных функций Угадаю на личном опыте. Фейлит RtlpWalkImportDeskriptor() из за отсутствия длл флага в пе хидере. Возможно название апи немного иное, так как пишу по памяти. Ну а далее - есть разница между подгрузкой длл и экзе. Для длл лучший лодер - мой LWE, для экзе приемлимых нет. Есть нерабочий фикалий. |
|
|
Создано: 23 января 2014 21:06 · Личное сообщение · #6 Речь не о ДЛЛ... |
|
|
Создано: 23 января 2014 21:16 · Личное сообщение · #7 Закройте, чтоль тему, тс, нифига не учится.... |
|
|
Создано: 23 января 2014 21:36 · Поправил: figgler · Личное сообщение · #8 Vovan666 извини конечно за тупость, но все же... уже и предидущую тему сто раз перечитал и перепробовал все что в голову пришло - ну вот тупо не вижу... в чем фишка? Даже достаточно будет намекнуть почему с РАСПАКОВАННЫМ файлом поиск функций не работает - хотя раньше (до того как файл начали паковать ЮПХ) все работало... Провел тест - взял файл который РАБОТАЕТ, запаковал , распаковал - НЕ работает... |
|
|
Создано: 23 января 2014 22:19 · Личное сообщение · #9 figgler пишет: Провел тест - взял файл который РАБОТАЕТ, запаковал , распаковал - НЕ работает... ты сам ответил: >>распаковал - НЕ работает... |
|
|
Создано: 23 января 2014 23:37 · Личное сообщение · #10 figgler пишет: Провел тест - взял файл который РАБОТАЕТ, запаковал , ... -- на этом этапе работает (после упаковки)? Если нет - то UPX не подходит. Может, и не только UPX. |
|
|
Создано: 23 января 2014 23:52 · Поправил: figgler · Личное сообщение · #11 В общем я все еще туплю - если уважаемые гуру объяснят почему так происходит (в смысле не почему я туплю, а почему запакованное/распакованное приложение перестает работать с загрузчиком) буду весьма рад... Свою проблему я решил совершенно другим способом, гораздо проще и к удивлению по не известной причине не пришедшей мне в голову еще раньше, хотя в этом решении тоже мугут быть свои нюансы. Завтра закрою тему. Спасибо. |
|
|
Создано: 24 января 2014 02:41 · Поправил: Vovan666 · Личное сообщение · #12 Сами себе геморрой устраивают, обязательно тему создадут, скажут, что это где-то в районе жопы и в конце нихера не скажут как лечить. Тему нахера создавал-то? |
|
|
Создано: 24 января 2014 04:36 · Поправил: figgler · Личное сообщение · #13 Vovan666 пишет: Тему нахера создавал-то? Хотел и хочу понять почему программа неупакованная, лоадером грузится нормально (нормально в моем случае это создан процесс, остановлен, найдены необходимые адреса в таблице импорта и тд), а упакованная UPXom также как и потом распакованная (эта же) делает все тоже самое кроме связанного с таблицей импорта. На текущий момент проблему решил используя загрузку нужной длл в лоадер после чего получаю адреса функций длл и патчу их. При этом такой метод в старом приложении не срабатывает , там я находил адреса функций через таблицу импорта. Вот и интересно почему так. |
|
|
Создано: 24 января 2014 20:24 · Личное сообщение · #14 figgler > если уважаемые гуру объяснят почему так происходит (в смысле не почему я туплю, а почему запакованное/распакованное приложение перестает работать с загрузчиком) буду весьма рад.. Да не гуру, вам к гадалкам. Цигане это умеют. Я вот не могу угадать. Не работает" это не описание и даже не симптом. Отладчик не православненько как обычно 
|
|
eXeL@B —› Программирование —› Вопрос по лоадеру-2 |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати