Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5

ClassInformer x64
#1

Cześć. Po pierwsze przepraszam za mój angielski.   Ostatnio wypróbowałem tę wtyczkę i nie działało w ogóle dla dwóch plików wykonywalnych x64, więc żadna klasa nie została znaleziona przez obie wtyczki.   Powodem jest to, że wszystkie przesunięcia w strukturach RTTI są wyrównane przez odjęcie bazy obrazów (w moim przypadku 0x400000), aby uzyskać rzeczywiste przesunięcie do struktur, nazw itp., Musimy dodać adres bazowy obrazu, aby zaadresować go w strukturze.   W związku z tym, czy nie możesz stworzyć nowej wersji z opcją obliczenia wszystkich przesunięć z dodaniem bazy obrazów do adresu? Po prostu nie znalazłem żadnego kodu źródłowego   Detale: offset przed vftable jest poprawny, ale jest 64-bitowy, jak wszystkie przesunięcia w vftable   stru_D4CAB0 _RTTICompleteObjectLocator <0, 0, 0, 0A557A0h, 94CAD0h, 0> jest nieprawidłowy, ale + ImageBase (0x400000) stru_D4CAB0 _RTTICompleteObjectLocator <0, 0, 0, 0E557A0h, 0D4CAD0h, 0> jest poprawne   "Wskaźnik deskryptora typu RTTI" do deskryptora typu ma wartość 64-bitową i jest poprawny, więc powinien być .data: 0000000000E557A0 dq offset off_D3F5A8 .data: 0000000000E557A8 dq 0 .data: 0000000000E557B0 a_? avcozone @ @ db '.? AVCGeoZone @ @', 0   _RTTIClassHierarchyDescriptor <0, 0, 1, 94CAE8h> jest nieprawidłowy, ale + ImageBase (0x400000) _RTTIClassHierarchyDescriptor <0, 0, 1, 0D4CAE8h> jest poprawny   `Tablica klasy podstawowej RTTI 'również musi być wyrównana   Pytanie brzmi, czy ktoś może zmodyfikować tę wtyczkę, aby dodać opcję ponownego obliczenia przesunięć w x64?
Reply




Users browsing this thread: 1 Guest(s)