мне надо как-то запихнуть запись о длл в импорт проги. Нужно чтобы длл получила управление сразу после всех остальных длл, тоесть ее в конец нада добавить....
Чувствую нада писать перепаковщик, который будет добавлять эту сраную запись.
1) Есть какойнить путь проще?
2) какие особености при пересборке учитывать? надо ли импортировать хотя бы одну функцию, или достаточно просто имя длл вписать в нужное место?

| Сообщение посчитали полезным:

http://exelab.ru/f/action=vthread&forum=6&topic=6281&page= 0
Там есть аттач мой. Добавление в импорт новой библиотеки. Работает только с асмовыми прогами. Влом было доделывать. Прога работала, тестил. Новая библа получала управление.
Перестраивать маловероятно что-нить заработает. Только новую секцию с импортом цеплять, это когда нулей не хватит для добавления новой библиотеки и функции.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

fix200 пишет:
мне надо как-то запихнуть запись о длл в импорт проги.

можно с помощью импрека, вручную подредактировав текстовый файл импорта который генерит импрек

| Сообщение посчитали полезным:

fix200, так тебе надо изменить таблицу импорта. Беда только в том, что "уедут" offset-ы внутри файла. Я бы написал кусок кода который бы добавлял в конец файла секцию .newImport, перемащал туда то что лежит по указателю import directory и потом добавлял туда свою .dll и её функцию. Но, придётся писать код.

Попробуй сделать те же шаги но используя LordPE, imprec, pe explorer....

| Сообщение посчитали полезным:

fix200 пишет:
мне надо как-то запихнуть запись о длл в импорт проги. Нужно чтобы длл получила управление сразу после всех остальных длл, тоесть ее в конец нада добавить....
IID King поможет отцу русской демократии
искать на wasm.ru

| Сообщение посчитали полезным:

Можно минизагрузчик на EntryPoint засандалить.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

1) Создаешь новую секцию, забитую нулями;
2) в начало секции копируешь все Import Directory Table (их размер и количество определяется легко);
3) дописываешь к перенесенным свою Import Directory Table, остальное оставляешь забитым нулями;
4) в ПЕ-хидере меняешь указатель на виртуальный адрес твоей новой секции.

Это все. В своей Import Directory Table проставишь ссылки на имя либы, табличку адресов на имена и на табличку адресов импорта из этой либы. Все эти указатели пусть кажут в твою же секцию. Думаю - это все.

ЗЫ Новую секцию желательно создавать, поскольку в старой может не быть места для добавления.

| Сообщение посчитали полезным:

MoonShiner
это все делает импрек автоматом

сохраняем импорт в .txt

FThunk: 0000303C NbFunc: 00000003
1 0000303C kernel32.dll 00B7 ExitProcess
1 00003040 kernel32.dll 013C GetCurrentProcess
1 00003044 kernel32.dll 002E CheckRemoteDebuggerPresent

FThunk: 0000304C NbFunc: 00000002
1 0000304C user32.dll 01DD MessageBoxA
1 00003050 user32.dll 02D9 wsprintfA

добавляем нужные функции

FThunk: 0000303C NbFunc: 00000003
1 0000303C kernel32.dll 00B7 ExitProcess
1 00003040 kernel32.dll 013C GetCurrentProcess
1 00003044 kernel32.dll 002E CheckRemoteDebuggerPresent

FThunk: 0000304C NbFunc: 00000002
1 0000304C user32.dll 01DD MessageBoxA
1 00003050 user32.dll 02D9 wsprintfA

FThunk: 00003058 NbFunc: 00000002
1 00003058 kernel32.dll 0242 LoadLibraryA
1 0000305C kernel32.dll 0198 GetProcAddress

загружаем обратно

| Сообщение посчитали полезным:

__, а если необходимо сделать для большого количества файлов на автомате? Будешь писать скрипт и прогу, которая будет запускать импрек, получать через него импорт, править его и нажимать в импреке кнопочку, чтобы сохранить его? Я просто описал алго, по которому можно написать соответствующую тулзу.

ЗЫ А если у тебя есть ехе-шник, но нет специфических библиотек, которые он использует? Ты не сможешь его запустить, чтобы в дальнейшем натравить на него импрек...

| Сообщение посчитали полезным:

спасибо всем

ИмпРеком получилось.

Прога Rascal'a вылетает при загрузке в функции CImportEditor::FindImportSection на 3 строке mov ax, [ebx + 0x06]. Не разобрался почему.

Вручную не получается что-то. Я добавил новую секцию размером 1000h, в хедер и физически. Посмотрел в хедере указатель на таблицу импорта, скопировал ее в новую секцию. Странно, но размер там стоял 64h, хотя там явно больше. Поправил указатель на последнюю секцию на начало моего импорта. Туда же влепил 1 мою функцию и имя DLL. Прога грузится. Но об моей длл ни слуху не духу. В списках импорта ее тоже не видно (( тоже незнаю почему, чтото неверно сделал.

PE_Kill, загрузчик можно. А если GetProcAddress нету в импорте?

| Сообщение посчитали полезным:

fix200 пишет:
Странно, но размер там стоял 64h
Чтож странного - значит в импорте 4 библиотеки

fix200 пишет:
Туда же влепил 1 мою функцию и имя DLL
А добавил свою Import Directory Table.

fix200 пишет:
А если GetProcAddress нету в импорте?
Найти ручками в кернеле.

| Сообщение посчитали полезным:

fix200 пишет:
Прога Rascal'a вылетает при загрузке в функции CImportEditor::FindImportSection на 3 строке mov ax, [ebx + 0x06]. Не разобрался почему.
Хехе, плохо смотрел. Там чётко задано имя файла - calc.exe Нужно переименовать асмовую прогу в calc.exe, кинуть в папку с прогой и запустить.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

А как автоматом добавить dll в импорт, НЕ СОЗДАВАЯ НОВОЙ СЕКЦИИ ? (нулей вроде хватает)

В PeTools почему-то добавление недоступно, а LordPE создает новую секцию

| Сообщение посчитали полезным:

ручками добавляй ;) если не знаешь как - поищи в паках т53, там было именно то, что тебе надо

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
поищи в паках т53
Это где?

| Сообщение посчитали полезным:

0xy пишет:
Это где?
http://www.exelab.ru/f/action=vthread&forum=2&topic=3530
а поточнее:
http://lord-phoenix.com/t53/

| Сообщение посчитали полезным: