Переадресованные функции в DLL

Тема в разделе "WASM.BEGINNERS", создана пользователем hotbird, 25 июл 2005.

  1. hotbird

    hotbird New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2005
    Сообщения:
    4
    Адрес:
    Russia
    Как программно определить функции, которые были переадресованы одной DLL к другой (например:

    Kernel32.SetLastError -> NTDLL.SetLAstError)?
     
    hotbird, 25 июл 2005
    #1
  2. Dr.Golova

    Dr.Golova New Member

    Публикаций:
    0
    Регистрация:
    7 сен 2002
    Сообщения:
    348
    Адрес функции должен попадаеть в гарницу таблицы экспорта. По этому адресу строка с форвардингом.
     
    Dr.Golova, 25 июл 2005
    #2
  3. hotbird

    hotbird New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2005
    Сообщения:
    4
    Адрес:
    Russia
    А по русски?
     
    hotbird, 25 июл 2005
    #3
  4. S_T_A_S_

    S_T_A_S_ New Member

    Публикаций:
    0
    Регистрация:
    27 окт 2003
    Сообщения:
    1.754
    Дык вроде по-русски :derisive:

    подробнее читай в статью + документацию по PE-файлам



    Если PE загружен, то можно ещё сравнить адрес интересующей ф-ции с IMAGE_BASE dll и IMAGE_BASE + размер_имиджа. Так мона отследить не только стандартный forwarding, но и патч таблицы импорта.
     
    S_T_A_S_, 26 июл 2005
    #4