виндовый cmd.exe
"Отражение" секции в память,ну и если это .data чтение из неё уже по RVA того что нужно.
Иероглифы вместо имен дллок из таблицы импорта.
Ладно вижу этот макрос убер-пупер секрет за который голову режут.По этому пробую загрузить файл в память по всем правилам и потом посмотреть что...
при обработке таблицы импорта используется VA приложения?Или для работы с дллками оно другое?
Где взять макрос "ALING_UP"?
Я ненашол в этом заголовке поле которое указывает это.
Файл неотображен,файл на диске,есть значения смещений RVA(примерно 1.2 гигабайта допустим) указывающие на текст,какой арифметикой эти RVA...
Что нужно отнять от RVA смещения что бы получить смещение в PE файле?
Вот пока в целях улутчшения своих знаний продолжил дальше копатся в PE файлах.И столкнулся ещё с одной проблемой,неполучается считать таблицу...
Допустим приложение А используя нестандартный загрузчик PE файлов в память загружает приложение Б в свою память,определяет точку входа приложения...
Как так?Почему тогда тут http://msdn.microsoft.com/en-us/library/ms633559(VS.85).aspx переменные в функции помечены как " __in "??
Вы меня не правильно поняли.Выражусь максимально ясно.Как выяснить что нужно пихать в точку входа конкретного PE файла для его нормального запуска?
Речь идет о том как понять,какие переменные "ожидает" точка входа.
Нет.Как обозначена точка входа у сервиса?
Консольные это MAGE_SUBSYSTEM_NATIVE ? А что же тогда за точки входа у сервисов??
Да всякие произвольные значения. ЗЫ:а как система определяет какому приложению(консоль,гуи) принадлежит точка входа?
Ещё такой вопрос- что из себя представляет DWORD AddressOfEntryPoint в _IMAGE_OPTIONAL_HEADER,что это за цифра?Это смещение внутри файла,или это...
О_о хоть и работало без #include <stdio.h>,но действительно одинаковые значения появились только с этим инклудом.Мистика какая то. ЗЫ:VS 2008
HANDLE f=CreateFileA("C:\\windows\\notepad.exe",GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0); LARGE_INTEGER SZ;...
Имена участников (разделяйте запятой).
