|
Título: Problema al mover Bound Import Problema para copiar y pegar Publicado por: kisk en 2 Abril 2017, 23:00 pm Hola amigos viendo los diferentes tutoriales sobre el PE Header el de Ferchu y el de The Swash ;-) ;-) ;-) me surgio un problema al mover el Bound Import del Tutorial The Swash de la parte "practica #2:" con un archivo en visual basic que en si es un msgbox nada mas
cito Citar ¿Hay solución? Si, te cuento que hay 2 una menos ortodoxa que la otra pero ambas funcionan. Una preservadora y otra no presevadora. Primera solución: Yoda(creador de LordPE) alguna vez mencionó que se puede establecer el RVA del directorio BOUND_IMPORT_DIRECTORY a 00 porque este era poco importante. Mi amigo karmany opinó al respecto y estoy de acuerdo con él, este directorio tiene como utilidad optimizar entonces me parece que importa. El ejecutable no deja de funcionar pero no preserva el estado original del ejecutable. Segunda solución: Personalmente me parece la mejor y consiste en mover de sitio el BOUND_IMPORT_DIRECTORY. Si sabemos que está justo despues de la última sección, tranquilamente lo desplazamos 0x28 bytes y así tenemos espacio para una función. Posteriormente se actualiza el RVA en el Directorio de datos y lo habríamos solucionado. Metodo 1 poner en 0 RVA: 0x000,Size: 0x00 correcto hasta aqui EL PROBLEMA ( seguro es algo bien sencillo lo que me falla ) Cuando muevo 0x28 bytes para mover ahi osea quedaria 0x228 + 0x28 =0x250 vamos al HEX editor PASOS QUE ESTOY SIGUIENDO EN LAS IMAGENES PASO 1 Compio los bytes de la bound Import despues me voy 0x28 bytes despues (http://i64.tinypic.com/35k9188.png) PASO 2 y ahi pego los datos posteriomente con el LORD PE cambio el RVA:0x250 pero (http://i64.tinypic.com/296ky95.png) Pero me rompe el archivo ahora si tecleo a mano los datos de la Bound Import me jala no me rompe el archivo alguien sabe si estoy haciendo algo mal en el HEX porque cuando pego veo que me hace mas chico el ARCHIVO de 1 a 4 bytes maximo por los offsets que me muestra al final ya lo pongo en la imagen alguien sabe que podria estar haciendo mal ??? Antes me posiciono al ultimo y me dice que es el offset 4000 despues de pegar los Bytes me dice 3FFB (http://i64.tinypic.com/or046p.png) Ya Logre mover la Bound Import pero tecleando todos los datos a mano en este archivo son 20 pero supongo si quiero modear algo mas grande van a ser mas por eso quiero saber como copiarlos y pegarlos desde el editor HEX (http://i63.tinypic.com/2e3x1yp.png) Gracias y Saludos!!! MOD: Imágenes adaptadas a lo permitido. Título: Re: Problema al mover Bound Import Problema para copiar y pegar Publicado por: fary en 3 Abril 2017, 16:55 pm Cual es el archivo que estas usando para las pruebas? Podrías subirlo?
saludos. Título: Re: Problema al mover Bound Import Problema para copiar y pegar Publicado por: kisk en 4 Abril 2017, 03:13 am Es un simple msgbox
https://www.sendspace.com/file/jx9j7r Saludos ;) ;) ;) |