вызов функций - Страница 4

Demion · 14.01.2013, 09:39

Цитата:

Сообщение от maxilam

Demion, дополнил ответом свой предыдущий пост

Спасибо конечно, но по-моему суть не в этом. Я сам то знаю как получить параметры функции и как расшифровать ее название. Дело в том, что только декорированного вида никак не хватает, для работы с функцией. А как ее расшифровывать не важно. В данном случае, ты расшифровываешь с помощью IDA. Можно с помощью undname или WinAPI.

maxilam · 14.01.2013, 09:42

Цитата:

Сообщение от Demion

декорированного вида никак не хватает, для работы с функцией

я не знаю как там в ассемблере, но в дельфях этого хватает сполна.
увы, тогда я тут уже не помощник )))

Demion · 14.01.2013, 09:46

Цитата:

Сообщение от maxilam

я не знаю как там в ассемблере, но в дельфях этого хватает сполна.
увы, тогда я тут уже не помощник )))

Что-то мы о разных вещах говорим. Под "работы с функцией" я подразумевал, что чтобы вызывать функцию, нужно знать ее параметры. А чтобы знать ее параметры, нужно расшифровать ее название до нормального вида. Из этого вывод, что только декорированного вида для работы не хватает.

В любом случае, заканчиваю этот "флуд".

St1mul · 14.01.2013, 14:39

maxilam, у тебя какая IDA?
проблема в том, что во в вкладке View A левые байты
залей твой engine.dll сюда если не сложно, и ссылку на твою IDA

Попробую по другому написать рукописную программу считывающую байты с адресса функции и потом записывающую в txt файл

mira · 14.01.2013, 15:01

Цитата:

Сообщение от St1mul

Я бросил уже затею с получением потока.
ThreadID можно получить с помощью WinSpy (в атаче ) Переводим из 16ричной системы в 10 и записываем в екзешник в константу ThreadId

очень умно задавать переменную ядра ОС как константу

Добавлено через 5 минут

Цитата:

Сообщение от maxilam

так и есть. но этого достаточно для работы с ними.
[code]

Сразу видно что в качестве параметра нужно передать указатель на L2ParamStack. А что там выполняется с ним дальше, для написания бота знать не обязательно

Вкладка IDA View-A, откуда и берем декорированое имя функции для импорта в нашу длл
Вложение 2793

там почти все функции принимают единственный агрумент - парамстек) это чето типа класса-обертки для массива параметров.

maxilam · 14.01.2013, 15:39

engine.dll с текущих хроник руоффа (как есть, без какой либо дешифрации, без снятия защиты, порчи, сглаза, приворота и еще чего там иннова вешает на свои файлы

)
http://rghost.ru/43019527

ida скачана с торрентов, уже не помню точно откуда

Нажмите на изображение для увеличения
Название: ida.jpg
Просмотров: 34
Размер: 28.5 Кб
ID: 2795

Guzh · 14.01.2013, 17:48

Зачем искать где-то распакованные дллки, если можно просто снять дамп уже распакованного в памяти библиотеки. Я так всегда делаю.

St1mul · 14.01.2013, 17:50

Цитата:

Зачем искать где-то распакованные дллки, если можно просто снять дамп уже распакованного в памяти библиотеки. Я так всегда делаю.

а IAT вы как простите хотите востанавливать?

Guzh · 14.01.2013, 17:58

А зачем его восстанавливать? Для изучения работы длл хватает и того что есть, ведь дамп сделан для изучения дллки,а не изменения с последующей заменой. IDA со всем справляется,главное задать ему адрес в который была загружена дллка. Правда с импортируемыми функциями немного сложнее будет - ручками придется изменять/добавлять названия

St1mul · 14.01.2013, 17:58

Неужели заработало
Приношу свои извенения Guzh, не поверил, что IDA может анализировать нерабочую dll