Помогите разобраца с форматом .ЕХЕ файла под винду А именно с импортом функций (3 суток уже не сплю) Вот код .idata Код (Text): 7230000000000000 0000000050300000 7E300000AB300000 0000000000000000 5D300000EB300000 1032000000000000 0000000068300000 1C32000000000000 0000000000000000 0000000000000000 4B45524E454C3332 2E444C4C00555345 5233322E444C4C00 47444933322E444C 4C008A3000009D30 0000000000008A30 00009D3000000000 000000004765744D 6F64756C6548616E 646C654100000045 78697450726F6365 7373002B3100003C 3100004E3100005F 3100006D31000080 31000093310000A2 310000B0310000BC 310000C8310000D8 310000E5310000F0 310000FE31000000 0000002B3100003C 3100004E3100005F 3100006D31000080 31000093310000A2 310000B0310000BC 310000C8310000D8 310000E5310000F0 310000FE31000000 0000000000526567 6973746572436C61 7373410000004372 6561746557696E64 6F77457841000000 44656657696E646F 7750726F63410000 004765744D657373 6167654100000054 72616E736C617465 4D65737361676500 0000446973706174 63684D6573736167 654100000053656E 644D657373616765 410000004C6F6164 437572736F724100 00004C6F61644963 6F6E410000004C6F 61644D656E754100 0000476574436C69 656E745265637400 00004D6F76655769 6E646F7700000053 6574466F63757300 00004D6573736167 65426F7841000000 506F737451756974 4D65737361676500 2832000036320000 0000000028320000 3632000000000000 0000437265617465 466F6E7441000000 44656C6574654F62 6A65637400000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 Я былбы очень благодарен если-бы ктонибуть написал коминтарии к нему натипо это Таблица экспорта а это Таблица ординалов и к каждому полю таблицы коментарий натипо это количество функций а это зарезервировано на будущее =0 Я думаю здесь есть умные люди зарание спасибо.
DedMazday Я нашел только одно полное описания формата на русском кстати на этом сайте поэтому эдесь и спросил я зациклился на описания импорта уже четвёртые сутки не сплю помогите плиз.
DOB, гик! Где-то рядом есть розетка, в неё вставлен штепсель - выдерни его! затем иди в душ, а потом спать - не мучай себя! с утра с новыми силами и свежей головой... P.S. я понимаю что этот пост будет удален, но может он его успеет прочесть...
я зациклился на описания импорта уже четвёртые сутки не сплю помогите плиз Значит слушай сюда - сейчас беги в мазазин, возьми пива и водки, раздели водку и пиво на 4 части. Выпиваешь первую - медитируешь на первом столбце (а их же там всего 4), и так далее, до просветления. /* Не, смешат такие посты, не спю, памагите... а маны читать не хочу, смееешной народец пошел. И запостил где "WASM.A&O" причем тут формат? Тему не удалять, пускай смотрят и делают выводы.
optio Я и сам уже об этом думаю ^-^ К стати твой совет пока самый полезный dermatolog Я жи сказал что мало Я разбираюсь вроде по этому http://wasm.ru/docs/2/pe_docs.zip (по русской его части) Ну если ты шариш прокомментируй код пожалуйста
Люди ну хотябы к такому Код (Text): 35200000 00000000 00000000 28200000 3D200000 00000000 00000000 00000000 00000000 00000000 4B45524E454C33322E444C4C ;KERNEL32.DLL 00 452000 000000 000045 200000 000000 000000 4578697450726F63657373 ;ExitProcess 00
masquer С английским я совсем не дружу. А на счёт "не дано" так я и создал тему чтобы дано стало И не 4 а четвёртый
2 DOB: 1. Скачиваешь http://wasm.ru/docs/2/pe_docs.zip 2. Открываешь архив - там будет еще один ZIP - pefmt003.zip 3. Разархивируешь его - получаешь ДОКУМЕНТАЦИЮ НА РУССКОМ (файло называется PEFMT003.TXT) 4. Читаешь в этом файле все что относится к экспорту п. 5 - 5.5. 5. Никто не будет за тебя читать мануал и разжевывать тебе написанное. Будут конкретные вопросы - будут конкретные ответы.
DOB Теория это хорошо, но теория+практика еще лучше Разложить импорт по полочкам с комментариями можно с помощью OllyDbg Если импорт находится в секции кода, то Оля сама все проанализирует и распишет при загрузке exe, а если в отдельной секции, то можно воспользоваться плагином AnalizeThis! - в окне CPU делаешь переход на начало секции импорта и по правой кнопке вызываешь AnalizeThis! - готово, изучай и сверяй со спецификацией PE Разумеется, в загруженном exe адреса IAT и пара полей дескрипторов уже изменена загрузчиком - сравни с оригиналом для лучшего усвоения теории
Дружище, PEView тебя сильно выручит, по тому, как он распарсит тебе это дело, уже сам поймешь, какие WORD(ы)/DWORD(Ы) чего там значат...
dermatolog Я по этой книги и разбираюсь выше дажи ссылку на неё оставил leo а на dobdobdob@onego.ru не скинешь эту чуда прогу ? StatusError Она только PE заголовак показывает а не импорт Kozyr__ Спасибо посмотрю
DOB > "не скинешь эту чуда прогу ?" OllyDbg можно скачать с wasm.ru > Инструменты > Отладчики Там же есть ссылка и на сайт разработчиков Ссылку на AnalyzeThis! я уже приводил Качай и пользуйся наздоровье
leo <font size=12>Спасибо огромное !!!!!!!!!!!</font><!--size--> З.Ы А я уж начел думать тут людей хороших нету... ^-^
