Сделал простейшую программу с Qt. Снял с неё дамп с помощью gdb generate-core-file. Загрузил дамп в ida и не обнаружил в дампе libqt, хотя при аттаче к процессу библиотека присутствует в списке загруженных. Вообще, ida смог определить, что это дамп, но не более, хотя с блеском отреверсил исходный elf файл. Что я делаю не так?
логично, когда я запускаю PETools и дапю exe, все dll которые использует этот exe, не дапмятся вместе с exe
А в ELF файле вроде есть какой-то аналог import table. Вообще, как разобрать структуру ELF файла вручную в случае дампа? Потому как ida loader не справляется сам.
есть импорт и что? ты сдамил фиг в пойми в каком формате, сдампи секциями и собери секции в обычный ELF про дампы хз я дампы ниразу не юзал зачем когда везде нормальные ELF
Ты бы не правил, а новый ответ написал, а то я и не заметил. Ну ненормальный эльф попался, часть кода криптована, похоже. Пока непонятно как собрать. Как я понимаю, секции при загрузке отображаются на сегменты, которым системный загрузчик присваивает имя .load, плюс появляются сегменты для хипа и прочей муйни. Куда что отобразилось, пока неясно. Как проясню этот момент, попробую сделать, как ты советуешь (ну или что-то в этом роде).
Удалось сдампить вот какой штукой http://www.phrack.org/issues.html?issue=63&id=12#article . Он нормально пересобрал эльфа. Спасибо за дискурсию.
