| Сейчас на форуме: asfa, bartolomeo, hgdagon (+6 невидимых) |
 |
eXeL@B —› Программирование —› Вопросы по структуре PE файла |
| Посл.ответ | Сообщение |
|
|
Создано: 05 мая 2006 02:32 · Личное сообщение · #1 1. в _IMAGE_DATA_DIRECTORY поле Size это физический размер обьекта на который указывает поле VirtualAddress? И после загузки может ли различаться реально занимаемый обьем обьекта и это значение? 2. всегда ли секциям PE файла присваиваются RVA по возрастающей? Как будет работать файл с нарушенным порядком адресации секций? ----- DREAMS CALL US  |
|
|
Создано: 05 мая 2006 02:37 · Личное сообщение · #2 =TS= пишет: 2. всегда ли секциям PE файла присваиваются RVA по возрастающей? Как будет работать файл с нарушенным порядком адресации секций? petite посмотри |
|
|
Создано: 05 мая 2006 03:32 · Личное сообщение · #3 Asterix пишет: petite посмотри а можно заттачить что-нить небольшое им упакованое? ----- DREAMS CALL US |
|
|
Создано: 05 мая 2006 04:08 · Поправил: Asterix · Личное сообщение · #4 нет, ничего нет, скачай сам прот _http://www.exetools.com/files/compressors/win/petite22.zip |
|
|
Создано: 05 мая 2006 18:07 · Личное сообщение · #5 Asterix Спасибо, а касательно 1го вопроса? (потом будут еще и другие, тут одна весчь пишется...) ----- DREAMS CALL US |
|
|
Создано: 05 мая 2006 18:56 · Личное сообщение · #6 1. Да это физический размер. Если в PE Tools открыть что-нибудь то будет видно, что это за поле. После загрузки прога может туда записать что угодно, значит различаться может. |
|
|
Создано: 05 мая 2006 20:35 · Личное сообщение · #7 =TS= пишет: И после загузки может ли различаться реально занимаемый обьем обьекта и это значение? 1. Под импорт выделяется секция, выровненная на SectionAlignment, возможность изменения объекта - в соответствии с аттрибутами секции в файле, в пределах секции, если только чтение, то необходимо изменять аттрибуты секции после загрузки. |
|
|
Создано: 06 мая 2006 15:04 · Личное сообщение · #8 =TS= пишет: 1. в _IMAGE_DATA_DIRECTORY поле Size это физический размер обьекта на который указывает поле VirtualAddress? И после загузки может ли различаться реально занимаемый обьем обьекта и это значение? А ты попробуй занулить это поле в файле на диске 
|
|
|
Создано: 08 мая 2006 03:55 · Личное сообщение · #9 Asterix пишет: petite посмотри Посмотрел, попаковал несколько файлов -- RVA у секций шли по возрастанию... ----- DREAMS CALL US |
|
|
Создано: 08 мая 2006 04:14 · Личное сообщение · #10 =TS= хм, странно, я снимал petite с одной dll - там точно секции были перемешаны, может у меня версия petite была более ранняя.. |
|
|
Создано: 08 мая 2006 12:25 · Поправил: Hellspawn · Личное сообщение · #11 вот приатачил файлик... (WinUpack 0.36) Name:____VOffset:_VSize:____ROffset:__RSize:___Flags:___Scan: ________00001000 00003000 00000010 000001F0 E0000060 code .Upack___00004000 00008000 00000200 0000028C E0000060 none .ByDwing_0000C000 00001000 00000010 000001F0 E0000060 imp вроде бы, то что нужно (как я понял) з.ы. ступил... тут оффсет странно идёт, а с RVA всё в порядке, кажется так всегда... скока я пакеров пересмотрел, у всех так...  0140_08.05.2006_CRACKLAB.rU.tgz - TestDebugger.EXE
----- [nice coder and reverser] |
|
|
Создано: 08 мая 2006 16:35 · Личное сообщение · #12 прекрасно следующий вопрос качательно оверлея я определяю его месторасположение как максимальный_оффсет_секции+ее_размер но в примере започенным by Hellspawn я , присмотревшись повнимательнея в HIEW, увидел, что вся секция .ByDwing является оверлеем Как он это определил? в _IMAGE_OPTIONAL_HEADER и _IMAGE_FILE_HEADER я ничего такого вроде бы не видел, а флагт секций как бы ни при чем... ----- DREAMS CALL US |
|
eXeL@B —› Программирование —› Вопросы по структуре PE файла |
Для печати