IAT scanner без шансов?

Сейчас на форуме: (+5 невидимых)

Посл.ответ	Сообщение
strain29a Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июля 2007 18:56 · Личное сообщение · #1 Ppl, плиз помогите! Немогу разобратся с IAT. Как оно вообще считается я чето где-то и когда-то провтыкал!?! Вот пример XP sp2 calc.exe смещение [pe+80h] 00000170: 80 2B 01 00-8C 00 00 00-00 60 01 00-70 8A 00 00 Ну я и пробил этот первый дворд а там по этому RVA дуля! LordPe показывает все ок какие тут хитрости?!?! Пользуюсь доком Hard Wisdoma...

FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 18 июля 2007 19:09 · Личное сообщение · #2 strain29a Напиши конкретней, что интересует. Если ты хочешь найти IAT в запакованной проге, то напиши, какой пакер/прот, если же ничем не упаковано, то чего там искать-то? Загрузи в Олю и промотай до адреса загрузки проги в память, =1001000h, там и увидишь таблицу импорта. ----- Программист SkyNet
strain29a Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июля 2007 19:23 · Личное сообщение · #3 Не ничем не пакована, и дело не втом, что мне хочется увидеть эту ИАТ глазами, а вто де хорошо описано желательно на русском процесс формирования ИАТ какинить источники плиз, если можно! И потом FrenFolio, Оля рулит 100-пудов но что-то ты тут нето посоветовал : в Олю и промотай до адреса загрузки проги в память, =1001000h Но и за это пасибо есть где у кого какие доки где взять надо позарез!!!!
asd Ранг: 162.2 (ветеран) Активность: 0.09↘0 Статус: Участник	Создано: 18 июля 2007 19:29 · Личное сообщение · #4 FrenFolio пишет: Загрузи в Олю и промотай до адреса загрузки проги в память, =1001000h, там и увидишь таблицу импорта. Ого, чего-то новое в пе формате strain29a Для начала "ФОРМАТ ИСПОЛНЯЕМЫХ ФАЙЛОВ" от Hard Wisdom потом "От зеленого к красному: Глава 2: Формат исполняемого файла ОС Windows. PE32 и PE64. Способы заражения исполняемых файлов. " от Bill / TPOC (Имхо лучшее, что есть в рунете)
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 18 июля 2007 19:51 · Личное сообщение · #5 asd пишет: Ого, чего-то новое в пе формате Хорошо, некорректно выразился, для calc.exe Image Base = 1000000. А 1001000 - это адрес с учетом Base of Code. ----- Программист SkyNet
strain29a Ранг: 2.0 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июля 2007 23:21 · Личное сообщение · #6 FrenFolio, ты меня неправильно понял, я имел ввиду что мне надо работать с ИАТ не в загруженом виде, а на винте при заражении мне надо вычислить ИАТ в ехешнике спроецированом виде... Конечно я могу обратится на васм но я думаю, что с ИАТ на этом портале лучше знакомы... А насчет доков, что ты мне предложил - спасиба прочитал не раз и они у меня перед глазами...
overwriter Ранг: 155.4 (ветеран) Активность: 0.14↘0 Статус: Участник Робо-Алкаш	Создано: 18 июля 2007 23:23 · Поправил: overwriter · Личное сообщение · #7 strain29a, Пирогов Ассемблирование и дизасемблирование. Поможет. Пробовал. Если не поможет пиши в личку. З.Ы. линк ищи здесь проскакивала: http://www.exelab.ru/f/action=vthread&forum=2&topic=2387 ----- Researcher
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 18 июля 2007 23:48 · Личное сообщение · #8 Читай "От зеленого к красному" на васме. Еще читай М. П. ЛЮБУШКИН "Hook Development Kit" там есть код на сях для подмены ИАТ на диске. Можешь стукнуть в асю - помогу. ----- Уважайте других и пишите грамотно.

Для печати