|
Загуглил, и так и не понял где я ошибся.
Хорошо. Не подскажешь где найти правильные примеры (даже не знаю как это), и где найти правильные формулировки для описания: IAT/RAT ?
Нет, я вынес лишь пару функций dpt в тему, но их куда больше, именно по этому это не так.
До ребута чего? Приложения? Пк? Как ты себе это представляешь на разных пк?
Видимо плохо гуглил, раз не понял, что для "linear sweep disassembly" тебе не нужна отправная точка входа.
Крутой анонс в стиле No Mans Sky. Путь развития походу такой же будет, разве что без части камбека.
А из контекста не понятно? Офк речь идет о перезагрузке ПК. Что я должен представлять на разных пк? Загрузку по одним и тем же адресам? А ее представлять и не надо. До появления ASLR все так и работало, даже после перезагрузки пк. Или я должен представить загрузку по разным адресам? Тогда я тем более не понимаю смысл этого вопроса.
Загуглил, интересно как это перенести на JNA.
Спасибо, единственный годный совет.
Загружать дампы нужно на разных ПК, и на разных программах. Энивей тебе надо будет фиксить адреса импортов и адреса релоков т.к форс адрес для VirtualAlloc может быть занят.
тебе while(start <= end) помочь реализовать?
Если ты делаешь все правильно, то не может.
Нет. Я говорю об том интересно как это все реализовать.
У меня есть процесс 'x', я сдампил модуль 'test' по адресу 0x4000000. На другом компьютере у меня есть такой же процесс, какая вероятность того что этот адрес будет вновь доступен?
Ясно, можешь не продолжать.
Если ты форсишь загрузку модуля по нужному тебе адресу, то тебе не нужно беспокоится об этом. :think about it man:
Что за бред? Этот адрес может быть уже занят, и функция вернёт тебе вместо указателя на выделенную память просто NULL. :think about it man:
Форсишь загрузку модуля НЕ по 0x4000000 и дампишь его с нормальным(читать как подходящим под твои нужды) адресом. А пока иди над задачкой думай, мастер восстановления релоков.
С каким нормальным адресом? Торч? У юзера абсолютно рандомный адрес модуля, будешь при дампе писать ему: "Нет ну давай-ка перемести модуль по другому адресу".
Т.е у меня есть модуль, мне его нужно загрузить еще раз по n адресу и сдампить чтобы что блять?
Ахуеть меня поражают люди которые думают что я буду делать то что они хотят, и при этом присваивают мне выдуманный титул.
Hint: Хуки.
push 0
push 0x4001000
call 0x4003200
Без понятия. Для таких целей я юзаю Zydis. Так ты могешь объяснить зачем два раза дампить?
Собсна, на этом моменте сомнений в твоей "компетенции" не осталось. Ты даже не знаешь, что zydis умеет, а что нет. Максимум, что оно умеет, так это предоставлять информацию об инструкции (плюс есть есчо пару утилитарных функций). Zydis не содержит в себе никаких алгоритмов анализа бинарника. И он не скажет тебе нужно ли релокать этот аргумент. (spoiler: Я тебе больше скажу. Никто не сможет тебе этого сказать со 100% вероятностью не имея на руках relocation table или не проведя полноценный анализ функции, которой этот аргумент предоставляется.)
В каком месте я тебе предложил два раза дампить что либо? Я предлагал вмешаться в процесс выделения памяти для модуля. Не более.
С помощью этой информации можно попытаться понять является ли это релокацией, или нет. Да, на все 100% угадать невозможно. (Компетенцию можно поглядеть прямо когда релизнится софт)
Я у тебя спросил: "У меня базовый адрес модуля 'test' 0x4000000, я его сдампил, релокации у меня прежние, возможно ли на другом пк с таким же приложением выделить регион памяти с таким же адресом?".
Доеби Хошимина, если он тебя в ЧС есчо не кинул. Спроси у него, почему ты разумист не по годам.
