Задача: Программно найти точку входа у EXE-шника.
Сталкивался кто-нибудь?
Примеры были бы бесценны...
Про точку входа
Правила форума
Темы, в которых будет сначала написано «что нужно сделать», а затем просьба «помогите», будут закрыты.
Читайте требования к создаваемым темам.
Темы, в которых будет сначала написано «что нужно сделать», а затем просьба «помогите», будут закрыты.
Читайте требования к создаваемым темам.
Сообщений: 11
• Страница 1 из 1
- |kerish|
- Постоялец
- Сообщения: 831
- Зарегистрирован: 22.10.2004 (Пт) 0:31
Про точку входа
|kerish| » 18.12.2006 (Пн) 23:34
- |kerish|
- Постоялец
- Сообщения: 831
- Зарегистрирован: 22.10.2004 (Пт) 0:31
|kerish| » 19.12.2006 (Вт) 1:42
Дело в том, что у меня очень мало времени для чтого, чтобы мучаться со структурой PE 
Перефразирую: Кто-нибудь встречался с примерами нахождения точки входа EXE файла на VB?
Ну или на крайняк на C++...
Перефразирую: Кто-нибудь встречался с примерами нахождения точки входа EXE файла на VB?
Ну или на крайняк на C++...
- FaKk2
- El rebelde gurú
-
- Сообщения: 2031
- Зарегистрирован: 09.03.2003 (Вс) 22:10
- Откуда: Los Angeles
FaKk2 » 24.12.2006 (Вс) 22:27
|kerish|
Чуть чуть усилий нужно приложить. Я начал с поиска "PE structure", гугла мне выдала, чтото не по теме. Второй поиск пошел со словами "portable executable structure". Первая ссылка ведет на Википедию, где этот формат описывается. Жаль но спецификаций нет, поэтому прокручиваем вниз к источникам и внешним ссылкам. Видим "Microsoft Portable Executable and Common Object File Format Specification", переходим на официальную спецификацию формата. Соглашаемся с лицензией использования, скачиваем документ в Ворде. Ищем "entry point" и находим описание на 11-ой странице - поле называется AddressOfEntryPoint. Теперь ищем код на VB6 где фигурирует данный термин. Ради интереса я поискал на нашел форуме и нашел исходники инжектинга в живой процесс. Если посмотреть на содержимое файла mod_RunIn.bas можно увидеть нужные структуры для чтения PE файла. Но скажем мы совсем совсем не понимаем как грузить бинарный файл, поэтому мы запрягаем гуглу на поиск "vb6 AddressOfEntryPoint". Среди них есть много интересных результатов например этот. Собирая по кусочкам ты получишь то что тебе нужно.
Чуть чуть усилий нужно приложить. Я начал с поиска "PE structure", гугла мне выдала, чтото не по теме. Второй поиск пошел со словами "portable executable structure". Первая ссылка ведет на Википедию, где этот формат описывается. Жаль но спецификаций нет, поэтому прокручиваем вниз к источникам и внешним ссылкам. Видим "Microsoft Portable Executable and Common Object File Format Specification", переходим на официальную спецификацию формата. Соглашаемся с лицензией использования, скачиваем документ в Ворде. Ищем "entry point" и находим описание на 11-ой странице - поле называется AddressOfEntryPoint. Теперь ищем код на VB6 где фигурирует данный термин. Ради интереса я поискал на нашел форуме и нашел исходники инжектинга в живой процесс. Если посмотреть на содержимое файла mod_RunIn.bas можно увидеть нужные структуры для чтения PE файла. Но скажем мы совсем совсем не понимаем как грузить бинарный файл, поэтому мы запрягаем гуглу на поиск "vb6 AddressOfEntryPoint". Среди них есть много интересных результатов например этот. Собирая по кусочкам ты получишь то что тебе нужно.
- Lumen
- Постоялец
-
- Сообщения: 841
- Зарегистрирован: 03.12.2005 (Сб) 16:09
- Откуда: Брянск
Lumen » 25.12.2006 (Пн) 0:02
Могу скинуть свой модуль для работы с PE. Главная функция AnalyzeExe. После вызова её адрес Entry Point лежит в в поле AddressOfEntryPoint структуры inh.OptionalHeader
- Вложения
-
modPE.rar- Модуль для работы с PE
- (4.04 Кб) Скачиваний: 97
Подпись проходит рефакторинг
Сообщений: 11
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: YaCy [Bot] и гости: 88