Вызов, получение списка функций процесса из injection dll

@KFan · Регистрация: 05.04.2012

Студворк — интернет-сервис помощи студентам

Есть ли способ получить каким либо образом список функций, или для этого надо дизассемблировать dll, и найти все адреса? Есть ли какой то способ получения адреса только по названию, либо имея дамп памяти перебрать его чтобы найти адреса, названия этих функций. Инжект производится не в свой софт, поэтому ни названия, ни адреса на данный момент не известны, более того dll не просматривается обычными редакторами.

Добавлено через 52 секунды
В данный момент dll инжектится, и вызываются стандартны функции без проблем, но неизвестен способ вызова функций из атакуемого бинарника

quwy · 22.05.2015, 17:46

Если вас интересуют внутренние функции, которых нет в таблице экспорта модуля, то тут только вдумчивое
дизассемблирование.

Сообщение от KFan

Есть ли какой то способ получения адреса только по названию, либо имея дамп памяти перебрать его чтобы найти адреса, названия этих функций

Имена внутренних функций при компиляции обычно теряются, поэтому про названия можно сразу забыть.

Сообщение от KFan

dll не просматривается обычными редакторами

Что ж это за DLL такая? Закриптованная что ли?

@KFan · 22.05.2015, 19:21 **[ТС]**

Полной уверенности у меня нет, так как очень плохо знаком с этим вопросом, известно что в программе есть метод который подключает .lua скрипты, мне нужно найти этот метод, чтобы вызывать свои, произвольные скрипты

dll файл http://rghost.ru/86Nl5XRGr

Добавлено через 50 минут
При необходимости готов заплатить за помощь в решении вопроса

@Энрике · 22.05.2015, 21:56

KFan, ваше "умничество", все-равно ничего ни даст; естестественно - если в контору себе подобных нанимаетесь.
"Сто лет" назад, а именно в 1999 году вышла в свет программа "Обратное Отверстие 2000" ( автор программы, Дилдог ), так вот, в одном из модулей ( доступно на Soursefor... ) DilDog осветил всю работу ( что спрашиваете ). ( запрос строки Гуглу "BO2K" ).

@KFan · 22.05.2015, 23:19 **[ТС]**

Энрике, В данный момент вы умничаете не больше, не меньше моего. В вашем посте я не нашел к сожалению никакой полезной информации.

Убежденный · 23.05.2015, 08:23

Сообщение от KFan

Есть ли способ получить каким либо образом список функций, или для этого надо дизассемблировать dll, и найти все адреса?

Если для dll есть отладочная информация (.pdb), то можно из нее вытащить
нужные функции, структуры, адреса... Если нет, тогда только дизасмом.

@KFan · 06.06.2015, 19:05 **[ТС]**

Используя IDA PRO, я нашел "некоторые" переменные которые меня могут заинтересовать.

Допустим одна из переменных распологается тут ".data:113E9190" в модуле client.dll.
Запустив .exe я смог определить базовый адрес этой загруженой библиотеки к примеру "client.dll:24F80000".

Как мне получить возможность перезаписать переменную?
Если просто прибавить к баз адресу адрес переменной, то адрес выходит далеко за пределы конкретно этого модуля.

Так же при открытии любой dll, базовый адрес (начало dll) начинается с 0x10001000, почему?

Убежденный · 06.06.2015, 20:20

Сообщение от KFan

Как мне получить возможность перезаписать переменную?
Если просто прибавить к баз адресу адрес переменной, то адрес выходит далеко за пределы конкретно этого модуля.

Если модуль загружен, к примеру, по адресу 0x250000, а переменная находится
по адресу 0x254280, то очевидно, нужно высчитать смещение: 0x254280 -
0x250000 = 0x4280. Зная смещение, можно по адресу модуля, если он будет
другим, найти переменную.

Сообщение от KFan

Так же при открытии любой dll, базовый адрес (начало dll) начинается с 0x10001000, почему?

В PE-файле, отображенном в память, каждая секция выравнена на 4096 байт (page size).
В самой первой секции хранится заголовок, дальше обычно идет код или данные.

Новые блоги и статьи Все статьи Все блоги /
Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	Контроль уникальности заводского номера - вариант №2 Maks 24.03.2026 В отличие от предыдущего варианта добавлено прерывание циклов, также добавлены новые переменные для сохранения контекста ошибки перед прерыванием цикла: Процедура ПередЗаписью(Отказ, РежимЗаписи,. . .
SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера - вариант №1 Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере нетипового документа выдачи шин для спецтехники с табличной частью, разработанного в конфигурации КА2. Данные берутся из. . .

@KFan 9 / 7 / 1 Регистрация: 05.04.2012 Сообщений: 150

	Вызов, получение списка функций процесса из injection dll 22.05.2015, 17:41. Показов 1562. Ответов 7 Метки нет (Все метки) Есть ли способ получить каким либо образом список функций, или для этого надо дизассемблировать dll, и найти все адреса? Есть ли какой то способ получения адреса только по названию, либо имея дамп памяти перебрать его чтобы найти адреса, названия этих функций. Инжект производится не в свой софт, поэтому ни названия, ни адреса на данный момент не известны, более того dll не просматривается обычными редакторами. Добавлено через 52 секунды В данный момент dll инжектится, и вызываются стандартны функции без проблем, но неизвестен способ вызова функций из атакуемого бинарника 0

@KFan 9 / 7 / 1 Регистрация: 05.04.2012 Сообщений: 150
	22.05.2015, 19:21 [ТС]
	Полной уверенности у меня нет, так как очень плохо знаком с этим вопросом, известно что в программе есть метод который подключает .lua скрипты, мне нужно найти этот метод, чтобы вызывать свои, произвольные скрипты dll файл http://rghost.ru/86Nl5XRGr Добавлено через 50 минут При необходимости готов заплатить за помощь в решении вопроса 0

@Энрике 0 / 0 / 0 Регистрация: 22.05.2015 Сообщений: 5
	22.05.2015, 21:56
	KFan, ваше "умничество", все-равно ничего ни даст; естестественно - если в контору себе подобных нанимаетесь. "Сто лет" назад, а именно в 1999 году вышла в свет программа "Обратное Отверстие 2000" ( автор программы, Дилдог ), так вот, в одном из модулей ( доступно на Soursefor... ) DilDog осветил всю работу ( что спрашиваете ). ( запрос строки Гуглу "BO2K" ). 0

@KFan 9 / 7 / 1 Регистрация: 05.04.2012 Сообщений: 150
	22.05.2015, 23:19 [ТС]
	Энрике, В данный момент вы умничаете не больше, не меньше моего. В вашем посте я не нашел к сожалению никакой полезной информации. 0

@KFan 9 / 7 / 1 Регистрация: 05.04.2012 Сообщений: 150
	06.06.2015, 19:05 [ТС]
	Используя IDA PRO, я нашел "некоторые" переменные которые меня могут заинтересовать. Допустим одна из переменных распологается тут ".data:113E9190" в модуле client.dll. Запустив .exe я смог определить базовый адрес этой загруженой библиотеки к примеру "client.dll:24F80000". Как мне получить возможность перезаписать переменную? Если просто прибавить к баз адресу адрес переменной, то адрес выходит далеко за пределы конкретно этого модуля. Так же при открытии любой dll, базовый адрес (начало dll) начинается с 0x10001000, почему? 0