информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / programming		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

				объясни точно каким образом файлы склеиваются 26.04.03 23:10  Число просмотров: 1098 Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Просто склеены "copy file1 file2+file3", ну и подправлена( добавлена) секция, чтобы он попал в память.
				<programming>

[Win32] ЕХЕ, 2 в 1 25.04.03 22:46   Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>

Видел как в одном ЕХЕ файле было "склеено" несколько ЕХЕ файлов подрят. Каким образом запустить второй файл не сохраняя его на диск? Может можно как-то использовать ключ /STUB при компиляции, но ему почему-то не передается управление :( А то вручную испровлять ссылки на таблицу импорта гиморно.

	Не изобретайте велосипед... 29.04.03 14:36   Автор: leo <Леонид Юрьев> Статус: Elderman <"чистая" ссылка>
	http://www.logiccell.com/~jean/Win32comp/ в конце, под заголовком "EXE bundlers" в конце, под заголовком "EXE bundlers"

	а что если начальный адрес поменять? 26.04.03 00:57   Автор: vh <Дмитрий> Статус: Member <"чистая" ссылка>

		а что если начальный адрес поменять? 26.04.03 10:17   Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>
		А кто будет табличу импотра заполнять, мне в ручнюя влом. Да и RVA секции c offset'ом не совподают :(

			объясни точно каким образом файлы склеиваются 26.04.03 15:14   Автор: vh <Дмитрий> Статус: Member <"чистая" ссылка>
			а то ведь не понятно вообще об каких условиях надо думать. есть файло из двух прог....при запуске запускается первая, так? куда суется вторая? в дополнительную секцию, чтоли?

				объясни точно каким образом файлы склеиваются 26.04.03 23:10   Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Просто склеены "copy file1 file2+file3", ну и подправлена( добавлена) секция, чтобы он попал в память.

					попробуй это... 27.04.03 21:19   Автор: vh <Дмитрий> Статус: Member Отредактировано 27.04.03 21:27  Количество правок: 1 <"чистая" ссылка>
					идейка небольшая... меняешь в досовской заголовке - Offset to PE Header на адрес той секции где находится второй файл, и делаешь простой CreateProcess.. другой вопрос, как ты будешь вносить изменения в открытый файл.. :) подожди...уточни откуда ты хочешь запустить второй файл? (я так понял что из загруженного первого)

						попробуй это... 27.04.03 22:41   Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>
						Идея неплоха, но если прога вылетит, и не вернет обратно РЕ заголовок, первый файл больше не когда не получит управления. Может у кого есть исходник вируса , который заражает Win32 файлы?

							пожалуйста 27.04.03 23:29   Автор: vh <Дмитрий> Статус: Member <"чистая" ссылка>
							> Идея неплоха, но если прога вылетит, и не вернет обратно РЕ > заголовок, первый файл больше не когда не получит > управления. чего? опять ничего не понял. Объясни пожалуйста по шагам, кто кого запускает и кто откуда запускается что возвращает. Я же не могу читать твои мысли :) >Может у кого есть исходник вируса , который > заражает Win32 файлы? вот с этого бы сразу и начинал :) на z0mbie.host.sk как всегда есть почти все...там же содержится элементарный вирус (хотя на мой взгляд его можно было и еще более упростить для наглядности, но это дело автора. В принципе он довольно не плох для обучения) в исходниках с некоторыми комментариями. Но одного его мне не хватило чтобы понять весь механизм заражения. Почитай статьи на http://sbvc.cjb.net/ по написанию простейших вирусов под win32. если будут вопросы - спрашивай.

								пожалуйста 28.04.03 11:52   Автор: freeExec Статус: Незарегистрированный пользователь <"чистая" ссылка>
								Объясняю: Есть 2 файла. Первый - большой, который я не могу изменить. Другой мой, и сним я могу делать все, что угодно. Задача: из моего файла запустить первый. Оба они должны быть в одном ЕХЕ файле. Полностью эмулировать загрузчик не выход. ЗЫ. Вообщем я переписал прогу, оставив в ней всего 2 импортированных функции: LoadLibraryA & GetProcAddres. Теперь проблема в другом: как заставить линковщик, для каждой секции назначить RVA самому, или можно изменить только ImageBase?

					объясни точно каким образом файлы склеиваются 27.04.03 14:10   Автор: amirul <Serge> Статус: The Elderman <"чистая" ссылка>
					> Просто склеены "copy file1 file2+file3", ну и подправлена( > добавлена) секция, чтобы он попал в память. Нереально. Как минимум надо настроить таблицу импортов и фиксапов (если есть). Потом, конечно можно передавать туда управление, но даже не представляю на фига такое может понадобиться. Вообще-то я делал лоадер, который запускается, распаковывает/расшифровывает из секции данных другой exe-шник по тому же ImageBase, перенастраивает все таблицы и переходит на EntryPoint, но простым copy file1 + file2 file3 там не ограничивалась. Была специальная прога, которая по необходимому экзешнику создавала шифрованный.

1

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach