Funktioneinsprung in DLL finden



  • Hi,

    ich soll eine Funktion aus einer DLL verwenden zu der wir leider den Code nicht mehr haben.

    Wenn ich die DLL mit dem Texteditor aufmache finde ich etwas was wie die benötigte Funktion heißt:

    "âk+ @ €/Ä? @Ç(@ff¦? ffffffæ? É—ñ? ˜V @Subsystem CalculateVector 09 06 03 12 UUUUUUå? ^@W E N %Ï
    Ü¥L@ÛI@%d %4d š™™™™™¹?‰ˆ= 4À û!@û! @%d fff@ ÈB zD HC%4.0fm H= "

    Die gesuchte Funktion ist genau dieses "CalculateVector".
    Jetzt habe ich die DLL mit ollydbg geöffnet und nach "All Names (label) in current Modules" gesucht.
    Dort ist dieser gesuchte Name "calculateVector" aber nicht vorhanden.

    Ist das eventuell nur ein Kommentar den ich beim Öfnnen mit dem Texteditor sehe?
    Wenn ja, wie kann ich die Einsprungadresse der dort (wohl in der Nähe) definierten Funktion finden?



  • Kommentare dürften da nicht mehr drin sein

    Unter Linux gibts dlsym mit dem man zur Laufzeit dynamische Bibliotheken laden kann und Symbole exrahieren kann da könntest du mal probieren ob dein name das was zurückgibt ( Ich nehme mal an sowas gibts unter Windows auch )



  • Kürzlich hatte ich für Windows den "PE Explorer" gefunden. Der kostet zwar was, die Testversion läuft aber uneingeschränkt 30 Tage. Der zeigt dir (unter anderem) die exportierten Symbole samt Adressen an.
    Vergleichbare Tools gibts sicher auch als Freeware, da kenne ich aber im Moment keins.



  • ipsec schrieb:

    Vergleichbare Tools gibts sicher auch als Freeware

    http://dependencywalker.com/



  • MisterX schrieb:

    Hi,

    ich soll eine Funktion aus einer DLL verwenden zu der wir leider den Code nicht mehr haben.

    Wenn ich die DLL mit dem Texteditor aufmache finde ich etwas was wie die benötigte Funktion heißt:

    "âk+ @ €/Ä? @Ç(@ff¦? ffffffæ? É—ñ? ˜V @Subsystem CalculateVector 09 06 03 12 UUUUUUå? ^@W E N %Ï
    Ü¥L@ÛI@%d %4d š™™™™™¹?‰ˆ= 4À û!@û! @%d fff@ ÈB zD HC%4.0fm H= "

    Die gesuchte Funktion ist genau dieses "CalculateVector".
    Jetzt habe ich die DLL mit ollydbg geöffnet und nach "All Names (label) in current Modules" gesucht.
    Dort ist dieser gesuchte Name "calculateVector" aber nicht vorhanden.

    Ist das eventuell nur ein Kommentar den ich beim Öfnnen mit dem Texteditor sehe?
    Wenn ja, wie kann ich die Einsprungadresse der dort (wohl in der Nähe) definierten Funktion finden?

    IDA - Verwende ich auch, zeigt mir alles an, was ich brauche. Den Rest kann man unter Windows mit LoadLibrary und GetProcAddress erreichen ( FreeLibrary nicht vergessen) - mit Linux kenn ich mich nun nicht so gut aus.


Log in to reply