Letzte section einer PE Datei auslesen.

**Lyan**

Hallo,

hier ein kleiner Teil meines Codes, den ich vorher in c++ geschrieben habe und nun versuche nach delphi zu portieren:

zusammenfalten · markieren

Delphi-Quellcode:

			  asm

    mov eax, dword ptr fs:[$30]

    mov eax, dword ptr [eax+8]

    mov dwImageBase, eax

  end;

   IDH := Pointer(dwImageBase);

   INH := Pointer(DWORD(IDH) + IDH^._lfanew);

   ISH := Pointer(DWORD(IDH) + IDH^._lfanew + 248 + (40 * (INH.FileHeader.NumberOfSections-1)));

  SetLength(sfile,ISH.Misc.VirtualSize);

  CopyMemory(@sfile[1], Pointer(dwImageBase + ISH.VirtualAddress), ISH.Misc.VirtualSize);

Kurze Erläuterung:

Structs :

IDH = IMAGE_DOS_HEADER
INH = IMAGE_NT_HEADERS
ISH = IMAGE_SECTION_HEADER

IDH + _lfanew + 248 = Ende Optionalheader + 40(grße einer einzelnen section) * anzahl der sections-1 = Pointer zu dem Anfang der letzten Section.

CopyMemory kopiert leider nicht korrekt, irgendetwas stimmt wohl nicht bei @sfile[1] oder so.

**sx2008**

Man kann folgenden Code

markieren

Delphi-Quellcode:

			SetLength(sfile,ISH.Misc.VirtualSize);

CopyMemory(@sfile[1], Pointer(dwImageBase + ISH.VirtualAddress), ISH.Misc.VirtualSize);

so vereinfachen:
SetString(sFile, PAnsiChar(dwImageBase + ISH.VirtualAddress), ISH.Misc.VirtualSize);

**Lyan**

Ja vielen Dank.

Das problem liegt doch nicht daran, sondern an dem Pointer ISH.

Der zeigt nämlich irgendwo in die Mitte bei .idata.

In c++ klappt es so eben super:
ISH := Pointer(DWORD(IDH) + IDH^._lfanew + 248 + (40 * (INH^.FileHeader.NumberOfSections-1)));
Irgendeiner eine Idee?

Letzte section einer PE Datei auslesen.

Letzte section einer PE Datei auslesen.

AW: Letzte section einer PE Datei auslesen.

AW: Letzte section einer PE Datei auslesen.

Forumregeln

sx2008 Registriert seit: 15. Feb 2008 Ort: Baden-Württemberg 2.332 Beiträge Delphi 2007 Professional	#2 AW: Letzte section einer PE Datei auslesen. 12. Jul 2013, 19:57 Man kann folgenden Code markieren Delphi-Quellcode: SetLength(sfile,ISH.Misc.VirtualSize); CopyMemory(@sfile[1], Pointer(dwImageBase + ISH.VirtualAddress), ISH.Misc.VirtualSize); so vereinfachen: SetString(sFile, PAnsiChar(dwImageBase + ISH.VirtualAddress), ISH.Misc.VirtualSize); fork me on Github
	Zitat

Lyan Registriert seit: 5. Aug 2011 188 Beiträge	#3 AW: Letzte section einer PE Datei auslesen. 18. Jul 2013, 21:45 Ja vielen Dank. Das problem liegt doch nicht daran, sondern an dem Pointer ISH. Der zeigt nämlich irgendwo in die Mitte bei .idata. In c++ klappt es so eben super: ISH := Pointer(DWORD(IDH) + IDH^._lfanew + 248 + (40 * (INH^.FileHeader.NumberOfSections-1))); Irgendeiner eine Idee?
	Zitat