вопросик вот в чем не могу разобратся уже дофига статей перелопатил но не где не описывается то что я хочу узнать короче вопрос вот в чем importrec пишет что iat лежит 0011a000 и там size такой то так вот я пытаюсь посмотреть че тама лежит а там ????? почему imortrec пишет что там iat и востанавливает ее ? вообще все мои попытки поймать 0011a000 с таблицой увенчались провалом там все время ????? или так и должно быть мне кажется там должны быть адреса api или я ошибаюсь обясните мене плиззз я в распаковке неспец много го не знаю прошу обясните

angel_aka_ks

Честно тебе ответить - если бы ты много статей перелопатил, этого вопроса бы не было. А для ответа - см. исходники импрека (часть их лежит на васме).

angel_aka_ks

А как ты смотришь? Если imprec говорит что там iat и даже восстанавливает,
то значит там она и есть, imprec может ошибаться но не часто ;-)

Asterix

Это не всегда так. С армадилло импрек практически всегда ошибается... Ошибался (я брал версию 1.42 - с 1.6 не игрался пока).

volodya

Конечно ошибается, тогда приходится руками ему указывать..

volodya поверь мне я стоко статей перелопатил но не чего конкретного там не написанно вооот
Asterix вот я наскок понял чтоб найти таблицу надо поймать инструкцию типа того mov edx, [edi]
mov [edx], eax и типа в edx будет таблица импорта вот я такое место отловил по bpx MapViewOfFile, а затем bpx GetProcAddress вот нашел адрес начало таблицы но кода даю это importrec то он на меня все маты складывает и выдоет кучу dll и все unresolved и они не как не отрезвляются я все перепробовал мля чето я не врубаюсь может я не правильно нашел вот как узнать на 100% что это таблица адреса наскоко я понял должны выглядеть типа 77...... ну в общем болжны указывать на сис функции или я ошибаюсь поправьте меня если так

angel_aka_ks

Попробуй почитать эту статью..


842479265__IAT.zip

Asterixспасиб за статью я пока не все там понял но вскоре разберусь

спаибо всем во всем разобрался сам
все теря понимаю :)))) спасибо за ответы