Pokaż wyniki 1 do 5 z 5

Temat: Edycja wyeksportowanych funkcji z dll ?

  1. #1
    Zarejestrowany
    Feb 2009
    Postów
    2

    Question Edycja wyeksportowanych funkcji z dll ?

    Witam.
    Znalazłem w IDA Pro i OllyDbg nazwe interesującej funkcji.
    Jak mogę przejść do "ciała" tej funkcji?



  2. #2
    Zarejestrowany
    May 2010
    Postów
    184

    Domyślnie

    no przeciez masz adres

  3. #3
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    teraz nie jestem na windows, ale z tego co pamietam filtrowalem odwolania call / jmp / jz / jnz / jne / je i te ktore mnie interesowaly

    danej procedury, w IDA musi byc taka opcja bo sam z niej korzystalem.

    co do wypowiedzi kolegi @linux_aa:
    no przeciez masz adres
    ten adres to odwoladnie do 1 procedury a moze ich byc wiele w trakcie wykonywania kodu.
    Ostatnio edytowane przez smurf : 03-15-2011 - 14:43

  4. #4
    Zarejestrowany
    May 2010
    Postów
    184

    Domyślnie

    Przeciez adres exportowanej funkcji jest w EAT. Skad ida/olly by inaczej wzieli nazwe/ordinal?

  5. #5
    Zarejestrowany
    Mar 2011
    Skąd
    Obecnie, jestem przy komputerze
    Postów
    80

    Domyślnie

    @linux_aa:
    tak, to procedura eksportowana, ale koledze chodzi o to gdzie leży jej ciało, inaczej kod.

    @Hooch:
    najczesciej eksporty biora sie z osobnych modulow, prawdopodobnie bedzie do modul .dll, stamtad loaduje procedury ktore sa gotowe do uzycia. Musisz zdeasemblowac biblioteke dll ktora laduje do pamieci, polecam zastawic jakis hook na funkcje LoadLibrary, jest to mozliwe w OllyDbg i sprawdzenie argumentu jakie moduly laduje do pamieci nastepnie zdeasemblowanie wyszukanej i wyszukanie ciala procki.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj