Смена imagebase налету?

Допустим у меня есть PE exe, естб ли возможность без помощи линкера сменить imagebase в нём, т.е. чтоб потом все переменные и функции были доступны?



Понятное дело, всё под NT based OS

 

в нативном экзешнике? конечно, нет. как релокейшены хендлить будешь?

 

nrg, нельзя. Нуден пересчёт большенства адресных ссылок.

 

nrg

а ты попробуй.

 

А как бы все ссылки ещё поменять :х

Как распознать в коде, что это является адресом.

Есть идеи ?

 

есть. Попоросить линкер сделать это, пересобрав EXE без флага FIXED.

 

Так. Уже ближе. Теперь подскажите, как мне поможет relocation table. ... Хотя я вроде допёр, но всёравно на всякий случай

 

nrg

Есть. Поправить PE Header.

Если есть эта директория (relocation), то загрузчик настроит адреса всех меток относительно нового адреса загрузки.

 

> Теперь подскажите, как мне поможет relocation table



В ней хранятся все адреса, которые нужно пересчитать при смене image base. См. http://uinc.ru/scripts/load.cgi?files/dr.golova/rebaser.zip

 

Ага. Спасибо. Осталось только найти способ восстанавливать релоки после обработки файла пакером (они выгружают таблицу из памяти после обработки) или найти пакер, который не трогает их

 

только найти способ восстанавливать релоки после обработки файла пакером



Описано в первых упаковщиках.