Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
PE 32-bit упакованный помогите!!! 05.10.01 10:31 Число просмотров: 920
Автор: ggg <ggg> Статус: Elderman
|
> Народ! Имеется прога. Упакованный екзешник (PE), не знаю
> что за упаковщик. Я её уже поломал... в опертивной памяти
> процесса ;-), после того, как он сам себя распаоквал,
> естественно... Дык не запускать же мне её каждый раз под
> отладчиком - хотелось бы с диска сразу... Может кто
> посоветует чего?
ReadProcessMemory();
начальный адрес - скорее всего 0x400000 (image base)
размер - размер всего образа
обе величины прописаны в заголовке PE файла (см структуру IMAGE_OPTIONAL_HEADER)
сохраняешь то что прочитал на диск - вот тебе готовый экзешник
только его нужно немного поправить:
1) в поле FileAlignment нужно прописать то что есть в SectionAlignment
2) в поле AddressOfEntryPoint прописать RVA (address-image_base) настоящей точки входа (которую вызывает распаковщик после распаковки)
может я ещё чё-нить забыл :)
удачи
|
|
<hacking>
|
PE 32-bit упакованный помогите!!! 04.10.01 23:19
Автор: Alex_wh Статус: Незарегистрированный пользователь
|
|
Народ! Имеется прога. Упакованный екзешник (PE), не знаю что за упаковщик. Я её уже поломал... в опертивной памяти процесса ;-), после того, как он сам себя распаоквал, естественно... Дык не запускать же мне её каждый раз под отладчиком - хотелось бы с диска сразу... Может кто посоветует чего?
|
|
Тебе прямая дорога на... 05.10.01 12:39
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
http://212.14.34.87/~fkiepski/patcherye.html
там есть патчеры (в том числе и мемори-патчеры)
выбирай какой-хочешь
указываешь в них какой файл им запускать и какое смещение в памяти патчить.. и все и получает простенький лоадер
З.Ы. кстати неплохой сайт по ехе-тулзам
|
| |
Спасибо!, загляну 05.10.01 12:55
Автор: Ђacker Статус: Незарегистрированный пользователь
|
|
|
|
PE 32-bit упакованный помогите!!! 05.10.01 10:31
Автор: ggg <ggg> Статус: Elderman
|
> Народ! Имеется прога. Упакованный екзешник (PE), не знаю
> что за упаковщик. Я её уже поломал... в опертивной памяти
> процесса ;-), после того, как он сам себя распаоквал,
> естественно... Дык не запускать же мне её каждый раз под
> отладчиком - хотелось бы с диска сразу... Может кто
> посоветует чего?
ReadProcessMemory();
начальный адрес - скорее всего 0x400000 (image base)
размер - размер всего образа
обе величины прописаны в заголовке PE файла (см структуру IMAGE_OPTIONAL_HEADER)
сохраняешь то что прочитал на диск - вот тебе готовый экзешник
только его нужно немного поправить:
1) в поле FileAlignment нужно прописать то что есть в SectionAlignment
2) в поле AddressOfEntryPoint прописать RVA (address-image_base) настоящей точки входа (которую вызывает распаковщик после распаковки)
может я ещё чё-нить забыл :)
удачи
|
| |
Интересно, а как в айсе скинуть дамп на диск? 05.10.01 11:07
Автор: Ђacker Статус: Незарегистрированный пользователь
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
