link

Тема в разделе "WASM.WIN32", создана пользователем m0nkey, 23 авг 2004.

  1. m0nkey

    m0nkey New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2004
    Сообщения:
    5
    Адрес:
    China
    Как отследить код вызываемой функции из другого файлика.



    То есть к примеру internet explorer подсоединяет ntdll.dll и из этого файлика берёт функцию GetCommandLineA. Как в этом файлике найти код этой функции?
     
  2. zzzyab

    zzzyab New Member

    Публикаций:
    0
    Регистрация:
    13 май 2004
    Сообщения:
    115
    Это делается с помощью Софтайс или проги типо. В окне софтайса набери bpx GetCommandLianeA, если нужно из конкретной библиотеки то узнай ее имя в памяти (оно отличается от имени файла ер. ntdll.dll -> ntdll! или что-то типо) и добавь перед сервисом, а также можно и по номеру сервиса - не везде есть словами.
     
  3. m0nkey

    m0nkey New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2004
    Сообщения:
    5
    Адрес:
    China
    Я юзаю W32Dasm. Там выписываются все подсоединяемые функции и их имена. К примеру при вызове функции даётся её имя и ссыка(Я думаю как раз на её код). Ну типа GetCommandLineA, 0rd:0102h.
     
  4. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    m0nkey



    Ты хочешь посмотреть, что делает функция GetCommandLineA ?! Это тяжелее. Недавно здесь вычитал, что в ntdll.dll только переходники к системным функциям

    и придется еще другие dll квырять , а может и ядро.

    А так : тем же W32Dasm детранслируй ntdll.dll

    и ищи код своей функции.

    Можно на отладчике, а другого способа нет : адрес ссылки в ячейке, про которую ты говоришь заполняется динамически при загрузке экзешки и дизассемблер уже ничего больше не даст.....
     
  5. m0nkey

    m0nkey New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2004
    Сообщения:
    5
    Адрес:
    China
    Жаль, что оконные проги нельзя просматривать так же, как и проги написанные под ДОС, а то натерпелись бы майкрософтовцы:)

    Спасибо...
     
  6. zzzyab

    zzzyab New Member

    Публикаций:
    0
    Регистрация:
    13 май 2004
    Сообщения:
    115
    Если есть возможность то попробуй Софтайс, там все это легче - даже код в ядре смотреть можно.
     
  7. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    m0nkey



    Это динамическая линковка. Она ничему не мешает. Просто найти подпрограмму тяжелее. Но прочитав у Касперски про dumpbin /imports dumpbin /exports, я понял что теперь буду делать это еще быстрее. Раньше приходилось лезть в отладчик и я не мог поверить, что люди с помощью одного W32Dasm ломают проги. Теперь верю.