ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
15.01.2009, 01:34
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
в статье есть примеры по работе с таблицей импорта
http://wasm.ru/article.php?article=green2red02
спасиб, будем разбираться 
|
|
|
16.01.2009, 21:14
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
Сделал вывод названий секций и их виртуальных адресов(VA). Результат:
Section: .text
VA: 360178
Section: .data
VA: 3601A0
Section: .bss
VA: 3601C8
Section: .idata
VA: 3601F0
Section: // пусто?
VA: 360218
Последняя секция без названия...это нормально? |
|
|
|
16.01.2009, 22:21
|
|
Участник форума
Регистрация: 26.12.2004
Сообщений: 188
Провел на форуме:
1495357
Репутация:
107
|
|
Последняя секция без названия...это нормально?
в названиях может быть любой мусор. ОС их не проверяет
|
|
|
|
16.01.2009, 22:43
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
а) импорт - читай описание PE-формата
б) прога может быть упакована и восстановлять таблицу импорта в начале своей работы
в) прога может динамически подгружать функции - тогда у тебя немного шансов их найти, не реверся её
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
16.01.2009, 23:36
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
2 desTiny:
а) читаю, мноооого чего читаю.
б) она не упакована, обычный "hello, world"
з.Ы. пытаюсь получить имя из IMAGE_IMPORT_DESCRIPTOR, пока ниче не выходит 
Код:
PIMAGE_IMPORT_DESCRIPTOR Import;
PLOADED_IMAGE pli;
pli = ImageLoad("C:\\test.exe", NULL);
Import = (PIMAGE_IMPORT_DESCRIPTOR) pli->FileHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
тут вылетает экзепшн |
|
|
|
17.01.2009, 00:21
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
ППЦ! Сделал :-) Вывыодится импорт
Осталось разобраться че я сделал)))
P.S. кому интересно, идите по ссылке , которую bons дал
Последний раз редактировалось criz; 17.01.2009 в 17:28..
Причина: upd
|
|
|
|
17.01.2009, 17:30
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
Как определить тип файла(ехе или длл)?
Пробую вот так:
Код:
if(hPE->FileHeader.Characteristics == IMAGE_FILE_EXECUTABLE_IMAGE)
printf("File type: exe\n");
|
|
|
|
17.01.2009, 17:36
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
FileHeader->Characteristics->Dll
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
17.01.2009, 17:50
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 303
Провел на форуме:
811764
Репутация:
119
|
|
Сообщение от desTiny
FileHeader->Characteristics->Dll
Не, так низя
Есть такой способ:
Код:
if(PE->FileHeader.Characteristics & IMAGE_FILE_EXECUTABLE_IMAGE)
printf("File type: EXE\n");
if(PE->FileHeader.Characteristics & IMAGE_FILE_DLL)
printf("File type: DLL\n");
В случае с ехе-файлом все норм, выводится File type: EXE,а если файл является dll'кой, то выводится и File type: EXE, и File type: DLL.
|
|
|
|
17.01.2009, 17:57
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
а я что сказал? я указал не объектное обращение к загруженному файлу на сях, а куда смотреть в пе-заголовке.
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
