eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Прошу помощи с EXE и DLL без PE заголовка
Посл.ответ Сообщение


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 19 апреля 2014 14:17 New!
Цитата · Личное сообщение · #1

Здравствуйте!
С наступающим праздником Пасхи!
Есть EXE и DLL без PE заголовка извлекаемые в память по жёстко установленным адресам, далее этому всему передаётся управление.
Я сдампил память, однако вручную воссоздать PE заголовок не хватает знаний. Может быть есть какие-то полуавтоматические средства или для кого-то это минутное дело?
По адресу 03700000 - находится EXE. Оба файла на Си написаны. Так же хотелось бы найти OEP и суметь правильно загрузить в IDA, чтобы работали все ссылки на строки и определялись импортируемые функции. Подозреваю, что в IDA что то нужно с базовым адресом мутить, однако пока не получается. Буду благодарен за любую помощь!

{ Атач доступен только для участников форума } - dumps.zip


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 19 апреля 2014 16:01 New!
Цитата · Личное сообщение · #2

дам "навотку" - для длл в иде выставить оффсет, по которому идет дамп. или хиевом сразу прописать. файлы не смотрел, думаю, все обычно

| Сообщение посчитали полезным: TLN



Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 19 апреля 2014 16:03 New!
Цитата · Личное сообщение · #3

ToBad пишет:
С наступающим праздником Пасхи!

Тебя также!
Вот погляди(dll инициализирована поэтому при загрузке системой вылетает) в иде все функции расозноются


{ Атач доступен только для участников форума } - rest.zip

| Сообщение посчитали полезным: ToBad



Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 19 апреля 2014 17:18 New!
Цитата · Личное сообщение · #4

ajax пишет:
для длл в иде выставить оффсет, по которому идет дамп


Да я пытался, результат не особо пригоден...

ClockMan пишет:
в иде все функции распознаются


Супер, для изучения этого более чем достаточно!
Это всё делалось вручную? Много ушло времени?
Спасибо огромное за помощь!


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 19 апреля 2014 17:33 New!
Цитата · Личное сообщение · #5

ClockMan пишет:
dll инициализирована поэтому при загрузке системой вылетает


Забыл сказать, эта DLL для Win98, хотя на XP (находясь на своём месте) тоже работает если по адресу $7FE19AF6 занопить int 1ah который кстати вызывается из недр DllMain.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 23 апреля 2014 00:36 New!
Цитата · Личное сообщение · #6

ClockMan
Я попытался аналогично собрать ещё одни файл, однако где-то накосячил, подозреваю что-то совсем банальное...
Если будет время, глянь пожалуйста.


{ Атач доступен только для участников форума } - dump2.zip


Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 23 апреля 2014 02:54 New!
Цитата · Личное сообщение · #7

ToBad пишет:
Если будет время, глянь пожалуйста.



{ Атач доступен только для участников форума } - DUMP.zip

| Сообщение посчитали полезным: ToBad



Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 23 апреля 2014 17:31 New!
Цитата · Личное сообщение · #8

ClockMan - Спасибо! Снова выручил!
Теперь вижу где я накосячил с секциями и размером импорта...
Подскажи пожалуйста, чем ты правишь импорт?
У меня возможно ещё будут подобные файлы, хочу уметь делать это сам.


Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 24 апреля 2014 15:26 · Поправил: ClockMan New!
Цитата · Личное сообщение · #9

ToBad пишет:
Подскажи пожалуйста, чем ты правишь импорт?

ToBad пишет:
и размером импорта...

гляди в низ и сравни с таблицой думаю до тебя дойдёт ))
и не забуть исправить
Base of Code, Base of Data и их размеры чтоб помочь иде всё правильно распознать.
 eXeL@B —› Вопросы новичков —› Прошу помощи с EXE и DLL без PE заголовка

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS