Странности с экспортом

Код (Text):

1. mov ebx,3ch
2.       mov eax,offset WS
3.       call read              ;в буфе адрес начала пе
4.       mov eax,offset WS
5.       mov ebx,buf
6.       add ebx, 78h
7.       call read       ;в буфе адресс экспортной таблы
8.       mov eax,offset WS
9.       mov ebx,buf
10.       add ebx, 18h
11.       call read     ;в буфе имя библы

процедура реад принимает два параметра, имя в еах и смещение в ебх, пишет в двордный буф, но почемуто после последнего калл, в буфе не адресс имени библы, хотя вроде всё так как надо.

 

Покажи read или жди телепатов.

 

Код (Text):

1. push 0h
2.       push 80h
3.       push 3h
4.       push 0h
5.       push 1h
6.       push 80000000h
7.       push eax
8.       call CreateFile
9.       mov hf, eax
10.       push 0
11.       push 0
12.       push ebx
13.       push eax
14.       call SetFilePointer
15.       push 0
16.       push offset sh
17.       push offset 4
18.       push offset buf
19.       push hf
20.       call ReadFile
21.       ret

А зачем он тебе не подскажешь?

 

Но это RVA, а не адрес в файле!

+12, а не +18h

Тут тоже RVA.

 

Ну это я ваще искал Num of Name Pointers, но для примера лучше искать имя библы 0ch.

Ну в принцепе я знаю, но и как быть дальше, я думал что смещение относительно аймедж база, будет указывать в мамяти тудаже куда, и смещение относительна 0 в файличке, или я не прав?

 

Всё понял, надо перебирать все секции в поисках нужной, ух блин.

 

SPA
Упаковщики иди читай! Это ж одна из лучших статей

 

Необязательно. Можно выделить память размером SizeOfImage и скопировать туда содержимое секций используя поле VirtualSize секции (остаток - VirtualSize-SizeOfRawData - заполняем нулями). Т.е. сформировать в памяти образ программы в том виде, в каком он будет после загрузки лоадером. Потом можно читать данные, используя RVA как смещение от начала массива.

 

Или LoadLibraryEx заюзать