Странный импорт

Тема в разделе "WASM.RESEARCH", создана пользователем k3internal, 19 сен 2007.

  1. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Господа програмеры.
    У мня такой вопрос. Как то заметил одну штуку непонятную. Использовал загрузку Dll через AppInit_DLLs. Так вот што интересно. когда делал разбор импорта, то заметил, что в момент когда выполняются все DllEntry во время инициализации Dll и создания связей, pImageThunkData ехешника уже содержат адреса, но это адреса не функций требуемых в импорте, а адреса функций, находящихся в ntdll.dll. Причём ехешник не импортирует функций ntdll.dll. Что это такое ? и почему ? Это что фича такая или я чего то не знаю ? Ось 2k3 sp0.
     
  2. Agent666

    Agent666 New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2007
    Сообщения:
    98
    Forwarded export?

    З.Ы. пример такиех функций: HeapAlloc, HeapFree, InterlockedPushEntrySList и.т.д.
     
  3. Mental_Mirror

    Mental_Mirror New Member

    Публикаций:
    0
    Регистрация:
    7 май 2007
    Сообщения:
    431
    k3internal
    Тебе-то и не знать про передачу иморта.
     
  4. asd

    asd New Member

    Публикаций:
    0
    Регистрация:
    12 мар 2005
    Сообщения:
    952
    Адрес:
    Russia
    Я так понимаю у k3internal это носит массовый характер, и передача импорта тут ни причём.
     
  5. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Реально говорю, весь импорт ехека заполнен разными функциями ntdll.dll. к Forwarded export
    это никакого отношения не имеет. может это глюк ?
     
  6. PROFi

    PROFi New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2003
    Сообщения:
    690
  7. Guest

    Guest Guest

    Публикаций:
    0
    Это же и есть передача (форвардинг) экспорта?
     
  8. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Гы. Фигня. Сам проверил. Там реально прописаны реальные точки входа функций из ntdll.dll, а не вот эта фигня што выше. айс врать не будет, и на такую фигню я вряд ли бы купился сразу без проверки.
     
  9. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Я весь импорт пересмотрел, нифига не форвардинг. Там во всём импорте функции из ntdll. Некоторые даже по нескольку раз повторяются. Смысл в таком форвардинге ? чо - то здесь не то.
     
  10. yuzvir

    yuzvir New Member

    Публикаций:
    0
    Регистрация:
    20 май 2005
    Сообщения:
    97
    может кто-то криво Dll'ку сдампил/распаковал?)
     
  11. PROFi

    PROFi New Member

    Публикаций:
    0
    Регистрация:
    13 июл 2003
    Сообщения:
    690
    k3internal

    Перешли dll, и прогу для тестирования.
     
  12. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    Гы, корка. Проверил я на другой системе. Нет такова. Буду капать свою тачку. Кто то здесь отдуши насрал паходу