Внедрение кода в исполняемый фаил

Всем привет! Столкнулся с проблемой в x64bdg:
-добавил новую секцию в exe фаил с помощью LordPe и HEX редактора и поставил в ней точку входа, а из нее управление передается на начальную точку входа(проверил - работает)

-добавил в IAT импорт функции MessageBoxA из user32.dll через приложение CFF Explore(на первом скрине LordPE в кт видно что функция добавлена)

-пытаюсь вызвать MessageBoxA в своей секции через x64dbg, выдает ошибку что нет такого адреса(второй скрин на нем один из способов кт я пытался вызвать эту функцию)
Как я понял нужно импортировать функцию в новую секцию, но я не знаю как

 

У тебя чуть выше jmp:
7FF7BB2EF53C - 7FF7BB33B005 = FFFB4537 (E9 3743FBFF)
Ты кодируешь call (скорей всего ассемблер берет формат CALL rel32):
7FF7BB33B018 - 7FFC3AF7FBE0 = FFFFFFFB803BB438
оффсет просто не влазит в 4 байта. Сделай через call rax. Или изучай синтаксис выбранного ассемблера.

 

Имеет значение на каком виде ассемблера писать в x64dbg? Я только начал изучат эту тему и не знаю куда копать. Не могли бы вы направить?

 

ArturMurMur,
https://www.youtube.com/channel/UChEygfZo7SZ64E0mp038Jvg
https://wasm.in/blogs/makrosy-i-direktivy-kompiljatora-fasm.236/
http://flatassembler.net/examples.php

 

Когда ты ассемблируешь что-то в ексодии, там внизу два чекбокса XEDParse и asmjit - это два разных движка. Видимо одного хорошего не было, подключили два. Ничто не мешает написать во внешнем ассемблере все что надо и запихать в файл (или прямо в фасме ехешник подключить и ассемблировать прямо в него), дело вкуса вобщем.

 

f13nd,

Там что то про релоки в сообщении с ошибкой. Причём там вообще call rel ?

 

relocation relocation'у рознь.

 

f13nd,

Это глюк отладчика, этот x64dbg весьма сырой. Не удивительно что у тс с ним проблемы. Что бы использовать отладчик нужно как минимум понимать архитектуру, набор инструкций.

--- Сообщение объединено, 4 июн 2019 ---

ArturMurMur,

Посчитай сам смещение и вручную собери инструкцию в памяти.

 

Значит не сразу но дошло при чем тут call rel?

 

f13nd,

Я не доставал хрустальный шар. Есть же виндбг, зачем какой то кривой ширпотреб" юзать.

 

А как же аналитическое мышление?

 

f13nd,

В сообщении про ошибку был релок. Откуда мне знать как себя ведёт на них отладчик. Тем более я не использую x64дбг и его фич не знаю. Да и какая разница, есть норм дебаггер, пусть не очень по началу удобный и стрёмный из за командной системы, но всё же лучше один раз разобраться с ним, чем всякую кучу сомнительных тулз юзать.

Вообще странно что человек без понятия начал собирать импорты(IAT), это куда сложнее сборки инструкции. Опять же без понятия втыкая в инструменты добиться результата врядле возможно.

 

Преподаватель дал задание ни чего не объясняя