Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[Win32] сварганил прогу вообще без импортов 17.11.01 08:59 Число просмотров: 532
Автор: z0 <z0> Статус: Member
|
общая идея такая:
pop eax
push eax
and eax,0fffff000h
search_for_kernel:
cmp word ptr [eax],'MZ'
je test_kernel_MZ_header
cmp word ptr [eax],'ZM'
je test_kernel_MZ_header
sub eax,000001000h
jmp search_for_kernel
test_kernel_MZ_header:
db 0cch
mov [kernel_MZ_header],eax
дальше идет обработка PE-header прямо в RAM поиск в экспортах LoadLibrary и вперед
вообще без импорта из kernel32.dll прога под NT не стартует - видимо ошибка в вытаскивании самого себя за волосы CreateProcess поэтому искусственно вводится какой-нибудь импорт из этой непростой длл - Beep() например
дизассемблирование такой проги доставит незабываемое удовольствие
а чтоб мало не показалось - при построении внутренней таблицы импортов используется метода вызова функции не с первой команды (поддерживаются правда не все команды а только push ebp sub esp imm32 etc но список растет) а со второй а первая внутри проги
вот что значит - пару свободных дней...
|
- [Win32] сварганил прогу вообще без импортов - z0 17.11.01 08:59 [532]
|
|
|
подробно о проекте
Анализ криптографических сетевых...
