Besoin d'un connaisseur en format PE/COFFRésolu

Question

Bonjour,

je travaille sur un logiciel permettant de lister les dependances d'une image PE sous windows (DLL, EXE, OCX), exactement comme Depends, en moins bien .
En fait ca n'a pas d'interet utile, c'est surtout pour ma culture personnelle du format.
Entrons dans le vif du sujet.
Pour ceux qui connaissent, j'ai reussi :
- a verifier que c'est un PE valide
- a copier la table des sections en memoire vive
- a copier le DataDirectory en memoire vive

Mon probleme se situe au niveau de la table d'importation (en gros ce qui m'interesse reellement).
J'ai pris la VirtualAddress du DataDirectory[1] (la table d'importation d'apres les docs) 
et je fais un seekg a cette addresse (qui est valide, j'ai verifie avec un PE loader). Puis j'enregistre tous les IMAGE_IMPORT_DESCRIPTOR jusqu'a trouver une structure nulle. Mais j'obtient de tres mauvaises valeurs et mon tableau vide est tres tres loin (je me retrouve avec une table d'importation de 49 structures).
Le probleme est donc surement au niveau du positionnement dans le fichier. 
Si vous avez une idee, merci d'avance. (si vous avez un code qui marche bien ca me va aussi ).

Jah bless mycode

vecchio56 · Accepted Answer

Tu peux regarder ce code, que j'adore personnellement:
http://www.cppfrance.com/codes/FONCTIONS-IMPORTEES-EXPORTEES-EXECUTABLE-WIN32_25603.aspx

Kangourou_Nomade · Answer

Merci.
Mais c'est ce que je craignais : il a la meme technique (GRRRR).
C'est partit pour le debuggage...

Jah bless mycode

Besoin d'un connaisseur en format PE/COFF

2 réponses

Votre réponse

Discussions similaires