Русский / Russian English / Английский

Сейчас на форуме: Kybyx (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Восстановление импортов DLL
Посл.ответ Сообщение

Ранг: -1.8 (гость)
Статус: Участник

Создано: 12 января 2019 12:24 New!
Цитата · Личное сообщение · #1

Привет. Распаковал DLL, но работает она только на шиндовсе где распаковали, я так понимаю, что проблема с импортами. Но возник вопрос: как восстановить эти импорты в DLL файле? ImpRec при аттаче к loaddll закрывается сразу же. А skylla показывает что все в норме, хотя я посмотрел, на месте где должна быть строгая ссылка на функцию библиотеки, у меня какой-то jmp появляется. по типу call dword ptr ds:[<&JMP.&CloseHandle>]
В общем. Нужна помощь по восстановлению импортов в DLL файле.




Ранг: 569.0 (!)
Статус: Участник
оптимист

Создано: 12 января 2019 12:46 New!
Цитата · Личное сообщение · #2

восстанови релоки

| Сообщение посчитали полезным: ForaN


Ранг: 7.1 (гость)
Статус: Участник

Создано: 12 января 2019 18:17 · Поправил: lx60 New!
Цитата · Личное сообщение · #3

ForaN
В ImpRec справа есть кнопка "Pick DLL", нажимай и выбирай свою длл-ку



Ранг: -1.8 (гость)
Статус: Участник

Создано: 12 января 2019 21:07 New!
Цитата · Личное сообщение · #4

lx60 пишет:
В ImpRec справа есть кнопка "Pick DLL", нажимай и выбирай свою длл-ку

Я же говорю. При присоединении к loaddll вылетает imprec. Соответственно, дллку из процесса взять не могу



Ранг: 420.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 12 января 2019 21:34 New!
Цитата · Личное сообщение · #5

ForaN пишет:
При присоединении к loaddll вылетает imprec.

Для dll'ки ведь должна быть прога, которая юзает её экспорт. Почему бы её не использовать в качестве таргета для аттачинга.
ForaN пишет:
skylla показывает что все в норме

Скрин в студию.




Ранг: 328.4 (мудрец)
Статус: Участник

Создано: 13 января 2019 22:01 · Поправил: difexacaw New!
Цитата · Личное сообщение · #6

ForaN

> работает она только на шиндовсе где распаковали

А чем вы это запускать собрались, вайном; на линуксе нт модуля ?

Быть может не в распаковке проблема(если оно работает на нт), а в эмуляторе ?

Если косяки эмуляции то решение проблемы невозможно на форуме, так как нет инфы по самому эмулятору. Это ведь всё заточено не под никсы.

Добавлено спустя 11 минут
ELF_7719116

> Почему бы её не использовать в качестве таргета для аттачинга.

Потому что это запускается на линуксе. Поэтому тс и в ахуе от обычных ссылок на iat:

> у меня какой-то jmp появляется.

Это попытка запустить не штатный модуль под эмулятором нт(wine).




Ранг: 77.5 (постоянный)
Статус: Участник

Создано: 14 января 2019 01:15 New!
Цитата · Личное сообщение · #7

difexacaw пишет:
Потому что это запускается на линуксе.

Пруф..???



Ранг: 137.4 (ветеран)
Статус: Участник
realist

Создано: 14 января 2019 03:59 New!
Цитата · Личное сообщение · #8

Да и не будет запускаться и правильно работать даже если восстановишь релоки, ты же наверное ни разу не слышал про cpuid и т.д.?! Бросил бы ты эту идею с распаковкой и доверил бы специалисту у которого есть опыт.



Ранг: 251.3 (наставник)
Статус: Участник

Создано: 14 января 2019 15:34 · Поправил: cppasm New!
Цитата · Личное сообщение · #9

difexacaw пишет:
А чем вы это запускать собрались, вайном; на линуксе нт модуля ?


Клерк, объясняю простым языком - у него работает только на том компе где распаковал (и думаю только до ребута ОС).
На другом ПК/другой сборке ОС - не работает, т.к. скорее всего импорт действительно кривой и адреса библиотек не совпадают.
Какой нафиг Линукс?

| Сообщение посчитали полезным: ForaN

 eXeL@B —› Вопросы новичков —› Восстановление импортов DLL

Видеокурс ВЗЛОМ