[已解决]AheadLib不能分析Win7 x32的DLL？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 2 楼我都忘了，怎么会有这么搞笑的提示框 2010-7-13 17:53 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 3 楼我看下代码是我写的代码，我倒，怎么当年还这么幽默了我是Win7 X64，刚才用这个分析ws2_32.dll，并不会出现问题。看一下下面的过程，分配内存的地方返回出错了，可能是dll的问题（请把你分析的dll放出来）？ // 打开 DLL 文件 CMapFile mfFile(m_tzDllFile); pszFile = (PSTR) mfFile.m_pvFile; _LeaveExIf(pszFile == NULL, alResult = ALResult_OpenDllFile); _LeaveExIf(mfFile.m_dwSize < 512, alResult = ALResult_InvalidPeFile); // 判断是否为 PE 文件 pInh = (PIMAGE_NT_HEADERS) (pszFile + ((PIMAGE_DOS_HEADER) pszFile)->e_lfanew); _LeaveExIf(pInh->Signature != IMAGE_NT_SIGNATURE, alResult = ALResult_InvalidPeFile); // 定位导出表 dwSize = pInh->OptionalHeader.DataDirectory[0].VirtualAddress; _LeaveExIf(dwSize == 0, alResult = ALResult_NoExportTable); pIed = (PIMAGE_EXPORT_DIRECTORY) (pszFile + RvaToOffset(pInh, dwSize)); // 获取 Names 和 Ordinals pdwNames = (PDWORD) (pszFile + RvaToOffset(pInh, pIed->AddressOfNames)); pwNamesOrdinals = (PWORD) (pszFile + RvaToOffset(pInh, pIed->AddressOfNameOrdinals)); // 分配内存 ppszNames = (PSTR ) _HeapAllocZero(sizeof(PSTR) pIed->NumberOfFunctions); _LeaveExIf(ppszNames == NULL, alResult = ALResult_HeapAlloc); // 获取导出函数名称 for (i = 0; i < pIed->NumberOfNames; i++) { ppszNames[pwNamesOrdinals] = pszFile + RvaToOffset(pInh, pdwNames); } // 分配内存 pszBuffer = (PSTR) _HeapAlloc(4096 + 1024 * pIed->NumberOfFunctions); _LeaveExIf(pszBuffer == NULL, alResult = ALResult_HeapAlloc); 2010-7-13 17:59 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 4 楼 Happy 牛 Year，谁修改过的版本吧？ 2010-7-13 18:06 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 5 楼我把WIn7 Pro x64在 X32的 ws2_32.dll贴出来上传的附件： ws2_32.rar （113.49kb，46次下载） 2010-7-13 21:23 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 6 楼 Yonsm大牛不在? 很奇怪难道PE代码Win7不一样了？ 2010-7-14 20:39 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 7 楼我收到了，调试了一下，发现 pIed 算的不对了，可能是 RavToOffset 函数的计算方法不对了。具体没去分析。 2010-7-14 22:52 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 8 楼 PEInfo 这类软件，应该是用相同的方法算的，所以用PEInfo也无法看到导出表。 2010-7-14 22:53 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 9 楼你的Win7和我的Win7不一样？ 2010-7-17 00:04 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 10 楼估计是PE标志的问题，用PEExplorer说是x64的程序。但是这个就是x32的。 2010-7-17 09:42 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 11 楼整明白了: 1、我贴的是C:\Windows\System32下的dll，所以是x64的PE标志，尽管是x32程序，这个只要将AheadLib修改一下就可以了，按照x64的dll计算偏移量。 2、在目录C:\Windows\SysWOW64下的dll没有问题谢谢Yonsm的源程序。 2010-7-18 12:11 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 12 楼 ws2_32.dll 用xp下的可以，不过win7 Vista必须导入一个注册表文件即可 2010-7-19 12:27 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 13 楼没弄错吧?有带64位标记却是32位PE,可能吗? 具体是什么路径?是C:\Windows\System32\ws2_32.dll 吗? 2010-7-20 09:53 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 14 楼就是这样子的,不信你自己验证。除非MS自己搞错了。 2010-7-21 23:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼 C:\Windows\SysWOW64下的都是32位程序代码，x64系统为了兼容32位设计的加载转向。 2011-5-1 12:43 0
tlHelen 雪币： 216 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	tlHelen 16 楼好东西，收藏了。 2011-6-8 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 2 楼我都忘了，怎么会有这么搞笑的提示框 2010-7-13 17:53 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 3 楼我看下代码是我写的代码，我倒，怎么当年还这么幽默了我是Win7 X64，刚才用这个分析ws2_32.dll，并不会出现问题。看一下下面的过程，分配内存的地方返回出错了，可能是dll的问题（请把你分析的dll放出来）？ // 打开 DLL 文件 CMapFile mfFile(m_tzDllFile); pszFile = (PSTR) mfFile.m_pvFile; _LeaveExIf(pszFile == NULL, alResult = ALResult_OpenDllFile); _LeaveExIf(mfFile.m_dwSize < 512, alResult = ALResult_InvalidPeFile); // 判断是否为 PE 文件 pInh = (PIMAGE_NT_HEADERS) (pszFile + ((PIMAGE_DOS_HEADER) pszFile)->e_lfanew); _LeaveExIf(pInh->Signature != IMAGE_NT_SIGNATURE, alResult = ALResult_InvalidPeFile); // 定位导出表 dwSize = pInh->OptionalHeader.DataDirectory[0].VirtualAddress; _LeaveExIf(dwSize == 0, alResult = ALResult_NoExportTable); pIed = (PIMAGE_EXPORT_DIRECTORY) (pszFile + RvaToOffset(pInh, dwSize)); // 获取 Names 和 Ordinals pdwNames = (PDWORD) (pszFile + RvaToOffset(pInh, pIed->AddressOfNames)); pwNamesOrdinals = (PWORD) (pszFile + RvaToOffset(pInh, pIed->AddressOfNameOrdinals)); // 分配内存 ppszNames = (PSTR ) _HeapAllocZero(sizeof(PSTR) pIed->NumberOfFunctions); _LeaveExIf(ppszNames == NULL, alResult = ALResult_HeapAlloc); // 获取导出函数名称 for (i = 0; i < pIed->NumberOfNames; i++) { ppszNames[pwNamesOrdinals] = pszFile + RvaToOffset(pInh, pdwNames); } // 分配内存 pszBuffer = (PSTR) _HeapAlloc(4096 + 1024 * pIed->NumberOfFunctions); _LeaveExIf(pszBuffer == NULL, alResult = ALResult_HeapAlloc); 2010-7-13 17:59 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 4 楼 Happy 牛 Year，谁修改过的版本吧？ 2010-7-13 18:06 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 5 楼我把WIn7 Pro x64在 X32的 ws2_32.dll贴出来上传的附件： ws2_32.rar （113.49kb，46次下载） 2010-7-13 21:23 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 6 楼 Yonsm大牛不在? 很奇怪难道PE代码Win7不一样了？ 2010-7-14 20:39 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 7 楼我收到了，调试了一下，发现 pIed 算的不对了，可能是 RavToOffset 函数的计算方法不对了。具体没去分析。 2010-7-14 22:52 0
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 8 楼 PEInfo 这类软件，应该是用相同的方法算的，所以用PEInfo也无法看到导出表。 2010-7-14 22:53 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 9 楼你的Win7和我的Win7不一样？ 2010-7-17 00:04 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 10 楼估计是PE标志的问题，用PEExplorer说是x64的程序。但是这个就是x32的。 2010-7-17 09:42 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 11 楼整明白了: 1、我贴的是C:\Windows\System32下的dll，所以是x64的PE标志，尽管是x32程序，这个只要将AheadLib修改一下就可以了，按照x64的dll计算偏移量。 2、在目录C:\Windows\SysWOW64下的dll没有问题谢谢Yonsm的源程序。 2010-7-18 12:11 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 12 楼 ws2_32.dll 用xp下的可以，不过win7 Vista必须导入一个注册表文件即可 2010-7-19 12:27 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 13 楼没弄错吧?有带64位标记却是32位PE,可能吗? 具体是什么路径?是C:\Windows\System32\ws2_32.dll 吗? 2010-7-20 09:53 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 14 楼就是这样子的,不信你自己验证。除非MS自己搞错了。 2010-7-21 23:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼 C:\Windows\SysWOW64下的都是32位程序代码，x64系统为了兼容32位设计的加载转向。 2011-5-1 12:43 0
tlHelen 雪币： 216 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	tlHelen 16 楼好东西，收藏了。 2011-6-8 23:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复