Пишу свой криптор.В ходе работы возник вопрос-почему нельзя шифровать таблицу импорта так же как например таблицу данных или таблицу кода? Объясните кто-нибудь или киньте ссылки-как решить данную проблему.
При запуске программы загрузчик ОС получает адреса используемых в программе функций и записывает их в массив адресов имен функций, на который ссылаются поля FirstThunk, и в котором до этого были RVA, ссылающиеся на имена соответствующих функций. После того, как этот массив заполнен адресами функций, он называется Таблицей Адресов Импорта (Import Address Table, сокращенно IAT). После того, как IAT заполнена адресами нужных функций, программа может начать работу. Исхожу из этого отрывка об описании таблицы импорта.Если таблица импорта будет зашифрована то тогда IAT не сможет заполниться реальными адресами функций, так как в "таблице просмотра импорта" находятся зашифрованные данные.Соответственно программа не загрузится.
а что мешает криптору сделать свою таблицу импорта, зашифровать ИАТ программы и потом восстановить =)
вообще IT шифровать нужно обязательно. А потом ты просто пишеш код который сам загрузит все данные. т.е. ручная обработка импорта и потом LoadLibrary и GetProcAddress КОгдато писал для криптера, то вышло гдето строк 100 на асме. мож меньше
если быть более подробным то делал примерно так (кусок кода из криптера моего) Надеюсь алгоритм будет понятен. Если знаеш ASM /me ехидно улыбнулся ) Code: ESI = PE ............. pushad mov edx,eax cmp [esi+80h],0 je @_exit add eax,[esi+80h] //; IT mov esi,eax @_next1: cmp dword [esi+10h],0 //; если нет больше загружаемых библиотек jz @_exit push edx push ecx add edx,[esi+0Ch] push edx call [my_LoadLibrary] //; загрузить библиотеку pop ecx pop edx mov ebx,eax //; сохранить в ebx module handle библиотеки mov edi,[esi+10h] //; в EDI будет адрес на Addres_Table_RVA add edi,edx @_nextProc: cmp dword [edi],0 //; проверить текущий указатель на импортируемую функцию. jz @_nextDLL //; если больше нет импортируемых функций для текущей библиотеки push edx push ecx //; если есть IAT add edx,[edi] bt edx,31 //; проверка импорта по имени или ординалу jnc @_next3 and edx,$0000ffff push edx //; если ординал jmp @_next4 @_next3: inc edx //; если имя inc edx push edx //; поместить в стек адрес имени функции @_next4: push ebx //; module handle call [my_GetProcAddress] //; получить адрес функции pop ecx pop edx mov [edi],eax //; сохранить адрес @_next2: inc ecx add edi,4 //; перейти на слудующий элемент. jmp @_nextProc @_nextDLL: //; больше нет элементов. add esi,14h //; сместить указатель на следующую библиотеку jmp @_next1 @_exit: popad
slesh, спасибо за пояснение. Это код на MASM или на чём? Просто немного непонятно что делают эти значики собаки в начале имён меток (@_nextProc: @_next4 + что значит знак доллара в инструкции and edx,$0000ffff?
Это ассемблерная вставка из дельфяной проги ) А там $ - это типа HEX значение т.е. аналог буквы h в конце @ - там все метки начинаются с сабаки.
Если смотрешь в код ты асма И увидел там знак бакса Крикни в воздух с другом разом -Это млять же сцуко "ФАСыМ"!!!!! ----- (C) х0ман) мухаха) P.S. (для тех кто не может понять, что это перед ним fasm или masm) ^^. про делфу потом напишу
