Как заставить работать PE файл без импорта?

Пишу тулзу, заменил все вызовы API на вызов по хэшу, соответственно директория импорта исчезла.
Файл превратился в нерабочий - вылетает с AV до передачи управления на точку входа, по адресам, по которым должен лежать kernel32.dll. Соответственно, предполагаю, что в любом PE файле в директории импорта должна быть эта длл. Можно ли обойтись без неё в импорте? Как заставить линкер генерить фейковый импорт без фактического использования функций в коде?

 

винда какая? такие проблемы характерны для 2000

 

Она и есть.. Нужно чтобы на всей NT линейке работало.

 

А что мешает вызвать 1 ф-ию просто так? или PeTools можно попользоваться

 

Одну функцию палевно юзать, наверное нужен добротный фейковый импорт аля блокнот. Можно, конечно, написать доп. тулзу, которая будет сама его создавать в уже готовом файле..

 

Кто-то где-то недавно упоминал, что в FASM'е можно сделать типа a = ExitProcess и он (FASM) добавит функцию в импорт

 

Это как понимать? Ты что, пытаешься их жестко прошить? о_0...... Или я не так понял?

Есть же стандартные VX-методы работы с импортируемыми функциями без секции импорта. Канонический способ:

1. Получить адрес из kernel32.dll
2. Найти его базу
3. Разгрести секцию экспорта библиотеки и получить нужные адреса.

 

qvant
Если конечно ты не пишешь VX -- посмотри вот сюда, PE файл вызывающий MessageBox без всякого импорта, размер 97 байт, правда работать это на всей NT линейке не будет - писалось под XP

 

А TLS у файла есть?

 

AshBone
Не так понял.. Я не пытаюсь "жестко прошить" адреса, а апи вызываю как раз как ты написал. Проблема в том, что
загрузчик юзает что-то из кернела ДО передачи управления моему коду. Если её (кернел32) нет в импорте, то происходит AV. Можно просто скомпилить вот это:

Код (Text):

1. int main()
2. {
3.     return 1;
4. }

И запустить в отладчике под w2k

Mikl__
Спасибо, но мне это вряд ли поможет из-за отсутствия универсальности..

dermatolog
Нету.

2all
Т.е. нельзя обмануть линкер, чтобы он собрал нужный мне импорт БЕЗ фактического использования функций в коде?

 

qvant

При включении функции main() в программу компилятор автоматически добавляет стартовый код, в котором вызываются функции кернела типа GetCommandLine, GetVersion и т.п.

Выход - не использовать main();

Я этого ни разу не делал, но попытайся в справочнике по компилятору/линкеру найти опцию указания альтернативной точки входа (если такое возможно), а может, есть какая-нить прагма для отключения вставки стартового кода....

 

AshBone

Библиотечный код отключается директивой #pragma comment(linker, "/ENTRY:main"), но к моей ситуации это не имеет отношения. Еще раз: AV происходит ДО передачи управления коду моей программы (не важно библиотечного или мною написанного). Проблема не в том, что кернел добавляется непойми из-за чего, а в том, что БЕЗ него программа теряет работоспособность на w2k.

 

Можно руками добавить в импорт kernel32.dll в твой собранный бинарник

 

qvant

Это как понимать? AV происходит в kernel32.dll? Или линкер неправильно собирает PE? Запусти прогу под отладчиком (лучше всего в софтайсе) и посмотри - какая инструкция и в каком модуле вызывает AV.

 

Мне достаточно знать, что .exe без кернела в импорте теряет работоспособность на w2k.
А так как линкер судя по всему обмануть не получится, буду генерить фейковый импорт уже после сборки.

 

Не совсем понятно почему тебе не использовать группу функций ? А использовать их можно в фейковой функции собственно для импорта все равно GetLastError криво по хэшу импортится

 

qvant

Мягко выражаясь, неправда.

 

А ты сам скомпиль вот такой код:

Код (Text):

1. #pragma comment(linker, "/ENTRY:main")
2. int main()
3. {
4.     return 1;
5. }

Потом убедись, что директории импорта действительно нет и загрузи получившийся .exe в отладчик под w2k..

 

С GetLastError всё ок, просто начиная с XP это форвард на ntdll..

Что касается группы - можно, конечно, просто я не хочу юзать в своём коде эти функции только ради нужного импорта. Я его создам руками после сборки.

 

qvant
Зачем мне компилить такой код, чтобы убедиться? Достаточно такого (на асме):

Код (Text):

1. .386
2. .model flat, stdcall
3.  
4. .code
5.  
6. start:
7.  
8. ret
9.  
10. end start

Если твой компилятор не может корректно собрать PE без импорта, то не надо делать вывод, что такое невозможно впринципе.