Поэтому я загружаю paltalk.exe в качестве аргумента в программу командной строки на С ++ и получаю следующий вывод:
[Walk_Imports]: Imported DLL [0] WSOCK32.dll
--------------------------------------------------
[Import_By_Ordinal]: address: 80000016
[Import_By_Ordinal]: address: 80000003
[Import_By_Ordinal]: address: 80000073
[Import_By_Ordinal]: address: 80000017
[Import_By_Ordinal]: address: 80000015
[Import_By_Ordinal]: address: 8000000B
[Import_By_Ordinal]: address: 80000014
[Import_By_Ordinal]: address: 8000000E
[Import_By_Ordinal]: address: 8000000A
[Import_By_Ordinal]: address: 80000034
[Import_By_Ordinal]: address: 80000011
[Import_By_Ordinal]: address: 80000013
[Import_By_Ordinal]: address: 80000010
[Import_By_Ordinal]: address: 80000009
[Import_By_Ordinal]: address: 80000002
[Import_By_Ordinal]: address: 80000008
[Import_By_Ordinal]: address: 8000006F
[Import_By_Ordinal]: address: 80000097
[Import_By_Ordinal]: address: 80000012
[Import_By_Ordinal]: address: 80000004
[Import_By_Ordinal]: address: 8000000F
[Import_By_Ordinal]: address: 8000000C
22 functions imported (22 ordinal)
Paltalk импортирует wsock32.dll хорошо, отличная новость. Я иду по импорту и вижу там все порядковые имена.
Как мне взять эти порядковые имена импорта и с помощью c или c ++ загрузить wsock32.dll и просмотреть таблицу экспорта, чтобы сопоставить порядковое имя с соответствующим именем функции?
Я надеюсь, что этого достаточно, чтобы ответить на мой вопрос. Если нет, я могу добавить больше информации.
Спасибо
По такому широкому вопросу об инфраструктуре Portable Executable, взгляните на Мэтта Пьетрека. http://www.wheaty.net и как он реализовал поиск таких деталей в PEDUMP (код предоставлен).
Других решений пока нет …