http://forum.geizhals.at/feed.jsp?id=664913 Geizhals-Forum http://forum.geizhals.at/t664913,5699378.html#5699378 Was fehlt bei<br><a href="http://win32assembly.online.fr/pe-tut6.html" rel="noopener" target="_blank">http:/<wbr/>/<wbr/>win32assembly.online.fr/<wbr/>pe-tut6.html</a> <br>?<br/> Thu, 08 Oct 2009 12:47:42 GMT http://forum.geizhals.at/t664913,5699378.html#5699378 kombipaket 2009-10-08T12:47:42Z http://forum.geizhals.at/t664913,5699436.html#5699436 Vielleicht<br><a href="http://win32assembly.online.fr/pe-tut6.html" rel="noopener" target="_blank">http:/<wbr/>/<wbr/>win32assembly.online.fr/<wbr/>pe-tut6.html</a> <br>oder<br><a href="http://www.reverse-engineering.info/PE_Information/rebuild.txt" rel="noopener" target="_blank">http:/<wbr/>/<wbr/>www.reverse-engineering.info/<wbr/>PE_Information/<wbr/>rebuild.txt</a> <br/> Thu, 08 Oct 2009 12:47:42 GMT http://forum.geizhals.at/t664913,5699436.html#5699436 kombipaket 2009-10-08T12:47:42Z http://forum.geizhals.at/t664913,5699106.html#5699106 Ich weiß, ist 'n eher esotherisches Thema und ich erwarte nicht dass es viele gibt die darauf 'ne Antwort wissen, aber die Hoffnung stirbt ja bekanntlich zuletzt...<br><br>Ich muß für einen Entschlüsseler für einen Laufzeitpacker den originalen Importable eines PE-Files rekonstruieren. Natürlich lädt der Runtimepacker die originär verwendeten Importe nicht über den Table sondern erstellt zur Laufzeit seinen eigenen über LoadLibrary und GetProcessAdress.<br><br>Kennt jemand 'ne brauchbare Seite, auf der der Import Table hinreichend gut erklärt und der Aufbau beschrieben wird? Bisher hab ich jedenfalls nix gefunden, das mir den Unterschied zwischen FirstThunk und OriginalFirstThunk bzw. die Bedeutung der Forwarderchain sinnvoll erklärt.<br><br>Ich nehm auch gern Verweise auf 'n Forum das sich mit solchen abgehobenen Themen beschäftigt oder 'ne PE-Doku die etwas mehr bietet als die von MS.<br><br>Merci.<br/> Thu, 08 Oct 2009 11:04:34 GMT http://forum.geizhals.at/t664913,5699106.html#5699106 Fly 2009-10-08T11:04:34Z