Log in or Sign up

Переадресованные функции в DLL

Discussion in 'WASM.BEGINNERS' started by hotbird, Jul 25, 2005.

hotbird New Member

Blog Posts:

0

Как программно определить функции, которые были переадресованы одной DLL к другой (например:

Kernel32.SetLastError -> NTDLL.SetLAstError)?

hotbird, Jul 25, 2005

#1
Dr.Golova New Member

Blog Posts:

0

Адрес функции должен попадаеть в гарницу таблицы экспорта. По этому адресу строка с форвардингом.

Dr.Golova, Jul 25, 2005

#2
hotbird New Member

Blog Posts:

0

А по русски?

hotbird, Jul 25, 2005

#3
S_T_A_S_ New Member

Blog Posts:

0

Дык вроде по-русски

подробнее читай в статью + документацию по PE-файлам

Если PE загружен, то можно ещё сравнить адрес интересующей ф-ции с IMAGE_BASE dll и IMAGE_BASE + размер_имиджа. Так мона отследить не только стандартный forwarding, но и патч таблицы импорта.

S_T_A_S_, Jul 26, 2005

#4

(You must log in or sign up to reply here.)

Search