Witam
Mam taki problem. Mam exeka,moduł .dll i pliki .ini. Następnie w deassemblerze mogę podejrzeć kod assemblerowy exeka i modułu. I sytuacja jest taka, że w module .dll jest pod pewnym adresem instrukcji włożenie na stos długości nazwy pliku i samej nazwy pliku. Ale neistety w tym module nie ma już żadnego odwołania do adresu tych instrukcji które umieszczają na stosie te dane. Więc może w exeku jakoś jest odwołanie do tego ale jak to znaleźć?!
0
0
Postaw breakpoint w tym miejscu i puść program a potem zobacz sobie stos wywołań funkcji i zobaczysz jak się do tego twojego wywołania dostałeś.
0
niestety w deassemblerze po starcie exe-ka a przed załadowaniem modułu .dll występuje problem, że nie można uruchomić wymaganego modułu zabezpieczeń. ntdll.dll powoduje ten problem. Jak uruchamia się poza dessamblerem to problem nie występuje. Więc z tego powodu nie mogę zastosować metody z breakpointem.
0
Aplikacja - proces, czy też wątek, ma zawsze tylko jeden stos... a także ten sam obszar pamięci, w której są umieszczone wszelkie dane.
0
Jak startujesz aplikacje to są dziesiątki modułów ładowanych wraz z tą aplikacją. Zauważyłem, że jak odpalam exe-ka w deassemblerze to moduł windowsowy ntdll wywala info że nie może załadowac jakiegoś modułu. Niestety to info jest wywalane przed załadowaniem modułu który ma interesującą mnie instrukcję której wywołanie chciałbym zdebugować.
Jak nie odpalam exe-ka w deassemblerze to aplikacja się uruchamia.
0
właściwie to user32.dll zgłasza ten błąd. Przed nim ntdll coś robi a potem jest jump to user32 i taki komunikat.
0
gh85_1985 napisał(a):
właściwie to user32.dll zgłasza ten błąd. Przed nim ntdll coś robi a potem jest jump to user32 i taki komunikat.
Jakieś brednie opowiadasz.
Gdyby tak było, wówczas żadnej aplikacji nie mógłbyś debugować, bo ten user32 jest praktycznie do każdej ładowany - podobnie jak i wiele innych standardowych dla windows.
0
- Załaduj to jakimś x64dbg a nie narzędziami starszymi od twoich rodziców
- W zasadzie to co ty chcesz znaleźć? Bo nie do końca cię rozumiem. Chcesz zobaczyć gdzie w twoim .exe wywoływana jest metoda z tej dllki?