LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe?

**_BlackDragon_**

Hi an die Community,

ich beschäftige mich momentan mit dem PE File Format und bin dabei mir eine Klassenstruktur zu entwickeln und auch schon relativ gut vorangekommen. Nun musste ich bei Tests aber feststellen, dass die Art und Weise, wie ich z.B. den TImageDosHeader ermittle, nicht immer funktioniert. Momentan löse ich das wie folgt:

markieren

Delphi-Quellcode:

			...

    if MapAndLoad(PAnsiChar(FPath), nil, @FImage, false, true) then

    try

      FImageBase := FImage.FileHeader^.OptionalHeader.ImageBase;

...

Das funktioniert soweit. Um nun den TImageDosHeader auszulesen, nutze ich folgenden Ablauf:

markieren

Delphi-Quellcode:

			...

  pDosHeader := PImageDosHeader(PEImage.ImageBase);

...

ImageBase enthält hier den Wert, der im ersten Abschnitt gesetzt wurde.

Das funktionierte bei den Exe-Dateien, die ich getestet hab. Da ich mich aber nun an die Implementierung der Export-Section machen wollte, nutzte ich zum testen einige DLLs aus dem Windows-Verzeichnis (z.B. ImageHlp und WtsApi) und musste feststellen, dass an der Stelle, wohin ImageBase verweist, leider nicht die Struktur für TImageDosHeader liegt und mir das ganze mit einer Zugriffsverletzung um die Ohren fliegt.

Verwende ich allerdings LoadLibrary und ermittle den TImageDosHeader, funktioniert das ganze.

markieren

Delphi-Quellcode:

			...

  FImageBase := LoadLibrary(PAnsiChar(FPath));

  // wts-api.dll -> LoadLibrary = 737C0000

  //             -> OptionalHeader.ImageBase = 3FD00000

...

Gibt es dafür eine Erklärung, bzw. welche?

Ich weiß, es gibt einen anderen Weg via. CreateFile, CreateFileMapping und MapViewOfFile, aber laut Dokumentation und diverser Artikel im Netz, macht MapAndLoad intern das gleiche. Oder irre ich mich da?

Freu mich auf Antworten.

Gruß Olli

**brechi**

ImageBase gibt nur an, wo die DLL am besten - ohne Anpassung der Relocations - geladen werden kann. Dies muss nicht zwingend vom Loader auf die im tatsaechlich geladenen Adresse abgeaendert werden.
Fuer dein Vorhaben brauchst du die doch aber gar nicht...

Wenn du diese trotzdem ermitteln willst, kannst du folgendes verwenden

Hack: PImageDosHeader(Integer(_LOADED_IMAGE.FileHeader) and $FFFFF000)
Sauberer?: PImageDosHeader(LOADED_IMAGE.MappedAddress))

-> google MapAndLoad hilft, gibts viele Units die genau das schon machen

**_BlackDragon_**

Super danke, ich werds mir in Ruhe ansehen, wenn ich etwas mehr Zeit habe. Getestet hab ich es schon kurz und ist genau das, was ich suchte. Nun muss ich es für mich nur noch nachvollziehen können und dafür noch ein wenig lesen. Sobald ich die Zeit dafür finde.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe?

LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe?

AW: LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe?

AW: LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe?

Stichworte

Forumregeln

_BlackDragon_ Registriert seit: 4. Dez 2007 Ort: Eschweiler 64 Beiträge	#3 AW: LoadedImage->OptionalHeader->ImageBase bei DLL anders als bei Exe? 4. Jul 2012, 13:18 Super danke, ich werds mir in Ruhe ansehen, wenn ich etwas mehr Zeit habe. Getestet hab ich es schon kurz und ist genau das, was ich suchte. Nun muss ich es für mich nur noch nachvollziehen können und dafür noch ein wenig lesen. Sobald ich die Zeit dafür finde.
	Zitat