eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: yashechka, Zaxar90800, gggeorggge (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Вопрос по инструменту (ссылки из файла в код и обратно)
Посл.ответ Сообщение

Ранг: 4.6 (гость)
Статус: Участник

Создано: 28 июня 2018 12:35 · Поправил: inkermann New!
Цитата · Личное сообщение · #1

Прошу прощения, что создаю столь быстро еще одну тему.
Понадобилась возможность из дизассемблера 64 с указанного места делать переход на соответствующий ему код в hex редакторе, и, что особенно важно, обратно - тоже. В 64dbg есть такая возможность с дампом, но с файлом нету. В DnSpy нечто подобное есть, но только если предварительно сделать линк с декомпилированного кода, и то на ограниченном участке. А Хотелось бы так именно из дизассемблера, и с почти любого участка файла. Это было бы просто изумительно! Возможно я слишком многого хочу , или не знаю подходящего инструмента (плагина, связки и т.п.) Иду разе, что вплотную не тестил... Буду признателен за подсказку.


Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 28 июня 2018 15:10 · Поправил: f13nd New!
Цитата · Личное сообщение · #2

Тебе нужно преобразование RVA-VA-FileOffset, это много что умеет делать, stud_pe например, hiew (не уверен насчет х64).
По x64dbg вроде это:
Selected RVA in disassembly is available in the infobox (little box under
disassembly) it also shows the section and some other info.

You can navigate to an rva using "module:$rva" (use ":$rva" for the current
module). Replace the $ with a # for file offset.


https://github.com/x64dbg/x64dbg/issues/428

| Сообщение посчитали полезным: inkermann


Ранг: 4.6 (гость)
Статус: Участник

Создано: 28 июня 2018 15:53 · Поправил: inkermann New!
Цитата · Личное сообщение · #3

f13nd пишет:
stud_pe например

Оно похоже для x32 - вылетает.


Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 28 июня 2018 16:11 New!
Цитата · Личное сообщение · #4

inkermann пишет:
Оно похоже для x32 - вылетает.

Не знаю почему он у тебя вылетает, у меня работает с х64 (но не по той базе )

Вобщем переведя пост выше:
--> Link <--

Ранг: 4.6 (гость)
Статус: Участник

Создано: 28 июня 2018 17:19 · Поправил: inkermann New!
Цитата · Личное сообщение · #5

Пробую версию Stud_PE.v2.6.0.5. Причем вылетает не на всем, а на длл-ке с длинными именами в коде. Видимо не переваривает. С другими файлами не проверил, решив, что это под x32. Да.. А было бы классно.. Все равно спасибо! Полезный инструмент.
f13nd пишет:
но не по той базе
Вы догадались над чем я работаю?


Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 28 июня 2018 18:05 · Поправил: f13nd New!
Цитата · Личное сообщение · #6

inkermann пишет:
Вы догадались над чем я работаю?

Нет, я о своем. VA=RVA+BASE, где BASE - базовый адрес модуля, винда может его выбирать сама, если в модуле есть релоки. А в 7зфм.ехе они зачем-то есть и студ пе выбрал не тот базовый адрес. Вобщем удобней через отладчик file offset получать.

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 29 июня 2018 12:25 New!
Цитата · Личное сообщение · #7

Может не так понял хотелку, а что, HIEW уже не катит для таких вещей? Был бы переход из дебаггера, тады да, но дизасм и хекс-редактор по отдельности?


Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 29 июня 2018 12:44 · Поправил: f13nd New!
Цитата · Личное сообщение · #8

GMAP пишет:
HIEW уже не катит для таких вещей?

x64dbg реально сразу выдает смещение в файле и нету смысла страдать фигней. Сам бы я конечно выбрал хью (демоверсию ) А хотелка по-моему самая типичная для новичков: пропатчил процесс в отладчике, хочу закрепить это в файле.

Ранг: 272.3 (наставник)
Статус: Участник

Создано: 29 июня 2018 16:36 New!
Цитата · Личное сообщение · #9

inkermann

Выполнить адресную трансляцию вы можете за десяток строк в компилере. Это вызов пары штатных апи(интерфейсов). Но зачем такое нужно и почему вы это не можете сделать сами остаётся вопросом.

| Сообщение посчитали полезным: gazlan, inkermann


Ранг: 4.6 (гость)
Статус: Участник

Создано: 29 июня 2018 22:56 · Поправил: inkermann New!
Цитата · Личное сообщение · #10

Это может быть полезно для быстрого понимания. что натворили с файлом если есть оригинал и патченный,
и еще кое для чего.f13nd пишет:
А хотелка по-моему самая типичная для новичков

Товарищ прав! Я новичек, мне многое непонятно, а такой инструмент был бы мне очень полезен в приобретении навыков.
Заинтересовал еще CmpDisAsm, частично могло бы помочь: в описании красиво, но у меня не работает..

Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 30 июня 2018 04:24 New!
Цитата · Личное сообщение · #11

Так что, вся проблема в ASLR'е?

Ранг: 4.6 (гость)
Статус: Участник

Создано: 30 июня 2018 09:23 New!
Цитата · Личное сообщение · #12

В общем да.. Да и не только, я ж в основном для изучения.

Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 30 июня 2018 11:08 New!
Цитата · Личное сообщение · #13

Ну, ASLR-то можно и отключить, насильственно.

Ранг: 4.6 (гость)
Статус: Участник

Создано: 30 июня 2018 17:48 New!
Цитата · Личное сообщение · #14

Так вы по ету коноплю? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management]
"MoveImages"=dword:00000000

Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 30 июня 2018 19:22 New!
Цитата · Личное сообщение · #15

Либо так, либо в заголовке файла PE установить бит PECharacteristics.RelocationsStripped.

| Сообщение посчитали полезным: inkermann


Ранг: 407.8 (мудрец)
Статус: Участник

Создано: 1 июля 2018 04:00 · Поправил: dosprog New!
Цитата · Личное сообщение · #16

Вопрос поставлен вполне корректно.
Но желаемый функционал недоступен в hiew,
и, как я понял, только частично доступен в отладчиках.
Этому просто не уделялось внимания. Лишний головняк.

В принципе, теоретически такое можно приделать к hiew в виде hem-плагина.
Но вряд ли кто-то будет заморачиваться.

 eXeL@B —› Вопросы новичков —› Вопрос по инструменту (ссылки из файла в код и обратно)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS