Адрес таблицы экспорта
Как в памяти по имеющемуся ImageBase,скажем,Kernel32.dll,найти его экспорт?RVA из DataDirectory не даёт правильное смещение отн. ImageBase.К чему же прибавлять RVA?
В пакете МАСМ есть пример как это делается. Называется NOIMPORT.
Цитата: @pixo $oft
Как в памяти по имеющемуся ImageBase,скажем,Kernel32.dll,найти его экспорт?RVA из DataDirectory не даёт правильное смещение отн. ImageBase.К чему же прибавлять RVA?
Недавно обсуждалось:
http://forum.codenet.ru/showthread.php?p=208768
А можно поточней про обход таблицы экспорта?И что там за нюанс?
Уточню-мне надо экспорт Kernel32.dll(может,там будет проще)
И желательно на Ассемблере(а то этот жёсткий typecast и всё такое...)
Уточню-мне надо экспорт Kernel32.dll(может,там будет проще)
И желательно на Ассемблере(а то этот жёсткий typecast и всё такое...)
было же сказано: возьми пример NOIMPORT из пакета MASM
или же возьми движок для поиска API функций из какого нибудь вируса.
или же возьми движок для поиска API функций из какого нибудь вируса.
Там в заголовке написано "this program demonstrates how to write portable code".Ага!Особенно портабельности добавляет оператор Offset.Такая портабельность!!!:eek:
Меня интересует именно то,как по RVA найти адрес таблицы импорта.К чему прибавлять RVA?К базовому адресу?Не помогает!
Меня интересует именно то,как по RVA найти адрес таблицы импорта.К чему прибавлять RVA?К базовому адресу?Не помогает!
Посмотри пример по приведенной выше ссылке. Там же все понятно, как работать с таблицей экспорта. Даже приведен рабочий код, который обходит эту таблицу и выводит на экран её содержимое.