Discussion :

[rogerio]

bon ça y est je m'y remet (à essayer de bidouiller du c++)

au bout de 3 heures de recherches je crie au secours


je voudrai utiliser la fonction imageload(pointer image_name,pointer file_path)

je ne comprend pas trop bien, le resultat est un pointeur sur une structure definie dans imagehlp.h ou DbgHelp.h (pas grave j'ai inclu les deux)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
LOADED_IMAGE
 
Contains information about the loaded image.
 
typedef struct _LOADED_IMAGE {  
    PSTR ModuleName;  
    HANDLE hFile;  
    PUCHAR MappedAddress;
    PIMAGE_NT_HEADERS32 FileHeader;
    PIMAGE_SECTION_HEADER LastRvaSection;
    ULONG NumberOfSections;
    PIMAGE_SECTION_HEADER Sections;
    ULONG Characteristics;
    BOOLEAN fSystemImage;
    BOOLEAN fDOSImage;
    BOOLEAN fReadOnly;
    UCHAR Version;
    LIST_ENTRY Links;
    ULONG SizeOfImage;
} LOADED_IMAGE,  *PLOADED_IMAGE;

donc j'ai fait ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
using namespace::std;
 
char *filename = "C:\\windows\\system32\\calc.exe";
char *img_name = "calc.exe";
 
int main()
{
    using namespace std;
 
    PLOADED_IMAGE = ImageLoad(img_name,filename);

j'ai tout essayé à la place de PLOADED_IMAGE, declaration de pointeur, rajouter des * etc.. mais j'ai toujours un message d'erreur

quelqu'un pourrait m'éclairer sur le mode d'exploiter cette ressource ?

rogerio

[swirtel]

Tu as une déclaration de structure LOADED_IMAGE et une déclaration d'un type ( PLOADED_IMAGE ) qui est directement un pointeur de type LOADED_IMAGE.

Dans ton code,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
PLOADED_IMAGE pImage = ImageLoad( img_name, filename );

Le problème ne provient pas de la lib, mais semblerait-il d'une mauvaise compréhension du langage que tu utilises sans vouloir te vexer

J'espère t'avoir aider.

[rogerio]

t'inquietes pas, je suis déjà habitué à me faire insulter par mon compilateur

bon sinon ça ne marche pas non plus

j'ai a peu près tout fait et quand le compilo est pas trop enervé il me sort ça

undefined reference to `_imp__ImageLoad@8'

ça m'a mis la puce à l'oreille et je me rend compte que l'ai bien les fichiers headers mais je n'ai pas les fichiers ci-dessous qui sont cités comme required par msdn

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Library Use Imagehlp.lib. 
DLL Requires Imagehlp.dll.

le pire c'est que je fais mes essais sous windows mais le script final sera compilé sous linux

rog

[Médinoc]

ImageLoad() est une fonction Windows exclusivement.
Et j'ignore si tu le sais, mais "Image" ici ne signifie pas "une Image qu'on regarde" mais "Un fichier exécutable qu'un veut déboguer"...

[swirtel]

rogerio attention, je ne t'ai pas insulté loin de là. Je suis aussi passé par des erreurs de programmation ou des incompréhensions de ma part concernant l'utilisation de certaines bibliothèques.

[Médinoc]

Pour désosser un PE, je pense qu'ImageLoad() est bon dans ce cas (tu n'avais pas précisé au début).

Par contre, comme ImageLoad() n'existe que sous Windows, ne pense même pas à utiliser ça sous Linux (quant à ReactOS, je ne sais pas s'ils implémentent ImageHlp). Sinon, tu te documentes un peu plus profondément sur le format PE et tu charges le fichier en mémoire comme n'importe quel autre fichier binaire pour regarder dans ses en-têtes...

[plugin_1]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
#include <windows.h>
#include <imagehlp.h>
 
int _tmain(int argc, _TCHAR* argv[])
{
	char *filename = "C:\\windows\\system32\\";
        char *img_name = "calc.exe";
	PLOADED_IMAGE ploadImage = ImageLoad(img_name,filename);
	return 0;
}

---> Ajouter la dépendance à imagehlp.lib dans le makefile ou dans les propriétés du projet (en fonction de l'environnement de dév. utilisé)

Tu trouveras l'entrypoint de la manière suivante:

Le pointeur PLOADED_IMAGE pointe sur une structure de type LOADED_IMAGE

Dans LOADED_IMAGE, tu as un attribut de cette structure qui s'appelle FileHeader qui est un pointeur de type PIMAGE_NT_HEADERS32. Ce pointeur pointe vers une structure de type IMAGE_NT_HEADERS32

Dans cette structure, tu as un attribut de type IMAGE_OPTIONAL_HEADER32 qui s'appelle OptionalHeader.

Dans la structure IMAGE_OPTIONAL_HEADER32, tu as un attribut qui s'appelle AddressOfEntryPoint. Tu y es !!

Donc, pour obtenir ton EntryPoint, tu auras un truc du type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ploadImage->FileHeader->OptionalHeader.AddressOfEntryPoint