Доброго времени суток, товарисчи! Каким образом можно создать приложение, использующее bound-импорт(с пом. masm,fasm...)? Или как это сделать вручную?(В статье в статьях про пе-файлы об этом мало что сказано) Если загрузкой библиотек все более-менее понятно, то как узнать адреса импортируемых функций при боунд-импорте? Заранее спасибо.
FaNt0m формат баунд, это не что иное как new binding . Вот и вывод что ты можешь заюзать тулзу bind.exe для получения самплов и изучить самостоятельно! Там все просто: 1. в баунд директории указываются длл-ки которые нужно загрузить, с учетом связей!!! т.е. kernel32.dll юзает ф-ции ntdll вот тебе и связь 2. Ну и соотвественно поля в описателях импортируемых длл-ок для просмотра инфы о баунде лучше юзать dumpbin.exe , он хоть и валится на извратных файлах, но инфу показывает корректно и термины корректные !
Тут есть немного про импорт, может пригодиться Dynamic Linking in Linux and Windows, part two http://www.securityfocus.com/infocus/1873
bsnake не путай чела! Лучшей доки что на этом сайте про зелень и красноту часть 2 нету! Ну а чтобы точно допер надо самому самплы юзать, там и поймет че и как )
EvilsInterrupt Спасибо, все понял. По сути работает как обычный импорт, только IAT патчится только 1 раз - при линковке проги. P.S. Про статью Криса о взломе Unilink от Харона: как прога умудряетсяя работать в любой Windows-совместимой системе, если юзает боунд, а обычный импорт весь заполнен мусором?