Вообщем есть адрес в памяти к примеру 0040BC18 Как узнать его порядковый номер в EXE файле? скажите если не трудно

P.S. Учусь писать патчи...

| Сообщение посчитали полезным:

Есть проги LordPE или PE Tools, в них есть FLC (File Location Calculator) который и делает переводы.

| Сообщение посчитали полезным:

Да мне не нужно что бы это делали программы так как по моему мнению крякер должен знать всё и уметь применить. А если (!К ПРИМЕРУ!) в будущем мне захочется написать подобную программу и я не буду знать как это делается? Что так и писать: зайди туда перевиди вот это и вставь сюда?

| Сообщение посчитали полезным:

SeQuick, из кода это делается примерно так - читаешь в PE заголовки секций и смотришь в какую секцию этот адрес попадает. Потом смотришь смещение этой секции в файле и счетаешь разницу.

| Сообщение посчитали полезным:

Ну это мне кажется лишний геморрой... Ведь если можно определить по адресу номер значить есть формула а если если есть формула значит проще посчитать чем ехать в Москву через Париж. Может я ошибаюсь

| Сообщение посчитали полезным:

фомула есть) обычный поиск по RvaToOffset
но там много ньюансов, но в большинстве случае будет работать....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

SeQuick пишет:
Ведь если можно определить по адресу номер значить есть формула
Есть не формула, а подпрограмма - это разные вещи. И я больше чем уверен, что она не в 100% правильный ответ дает. Поэтому два пути - использовать готовые инструменты/подпрограммы, либо написать свою. Второй путь ведет в никуда.

| Сообщение посчитали полезным:

Это все примерно выглядит так (кусок кода)

for (num = 0; num < n_head->FileHeader.NumberOfSections; num++)
{
if (IN_REGION(entry->offset, section[num].VirtualAddress, section[num].SizeOfRawData))
{
offset = entry->offset - section[num].VirtualAddress + section[num].PointerToRawData;
break;
}
}

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

А можно в цифрах? На примере какого-нить конкретного адреса?

| Сообщение посчитали полезным:

SeQuick
Для разных файлов будут разные цифры. Что непонятно в посте Ms-Rem?

| Сообщение посчитали полезным:

SeQuick пишет:
Да мне не нужно что бы это делали программы так как по моему мнению крякер должен знать всё и уметь применить.

Конкретно в данном случае, чтобы решить задачу, нужно знать формат PE файла. Тогда ты сразу поймешь, что универсальной формулы (типа "разделить на три и прибавить два") здесь НЕТ. Нужно парсить exe (PE), находить описатель секции, которая отвечает за нужный тебе диапазон адресов и, относительно ее начала (в файле и в виртуальных адресах) уже есть простая формула.

Представление о том какая информация содержится в описателе секции можно получить нажав в HIEW: F8, F6

| Сообщение посчитали полезным:

....кста, просто посмотреть можно и в hiew - смотрим disasm - слева адреса. Нажимает F3 (edit) - слева смещения.

| Сообщение посчитали полезным:

Проводил эксперименты дабы вычислить хотя бы как это происходит на деле и вывел небольшую закономерность. Причём испытана она на 3 разных прогах. Вообщем если хотите потестируйте. Берётся адрес байта из процесса (без имаг баз) к примеру DEC(0040BC2F - 00400000 - BFF(hex)) = порядковый номер байта в РЕ файле. и что самое странное это всё работает!!!

| Сообщение посчитали полезным:

SeQuick, Ёлки-палки - мы же все тебе популярно объясняем, что это счетается используя виртуальные адреса по которым секции из PE файла загружаются в память. Перестань делать свои миклухо-маклайские арифметические попытки, и сделай правильно.

Утиль который делает все такие пересчёты смотрит PE - т.к. заголовок всегда в памяти.

| Сообщение посчитали полезным:

SeQuick А теперь возбми свою формулу и посчитай смещение mz сигнатуры.

| Сообщение посчитали полезным:

Просто клиника какая-то...

wasm.ru/article.php?article=packlast01#21

| Сообщение посчитали полезным:

мля понаписали из за пустяка, всю необходимую инфу челу дали, ну если не хочет он следовать
советам, то зачем просить тогда помощь? а вообще, чтобы всегда правильно переводить
RvaToOffset нужно учитывать выравнивание в файле...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

AmLupus пишет:
Просто клиника какая-то...
LOL!!! +1

| Сообщение посчитали полезным: