 |
eXeL@B —› Основной форум —› Атрибуты секции ресурсов 40000040 |
| Посл.ответ | Сообщение |
|
|
Создано: 24 июня 2010 13:05 · Поправил: Hexxx · Личное сообщение · #1 Встретил интересную штуку на одной проге. На ней самописная защита, ресурсы покриптованы и секция ресурсов имеет атрибуты 40000040. Когда программу запускаешь просто - запускается без проблем. Если из под отладчика, то валится с C0000005 на коде распаковке ресурсов. Вылечил простой заменой аттрибутов 40000040 -> E0000020. Теперь дебажится. Но как же так? Без отладчика получается можно писать в read-only секции? Простым mov, без всяких там VirtualProtect? ----- Реверсивная инженерия - написание кода идентичного натуральному  |
|
|
Создано: 24 июня 2010 13:47 · Личное сообщение · #2 Может там ZwProtectVirtualMemory? ----- Shalom ebanats! |
|
|
Создано: 24 июня 2010 14:17 · Личное сообщение · #3 Hexxxесли не слишком секретно,то можно файл? Ну или в личку ;) |
|
|
Создано: 24 июня 2010 14:20 · Личное сообщение · #4 Нельзя писать даже из SEH обработчика. VirtualProtect не единственное, чем можно менять атрибуты памяти. Можно сделать прямой системный вызов, можно через драйвер (если он есть у защиты). В любом случае лучше выложить сам файл. P.S. Есть ещё вариант, что отладчик чем-нибудь палится и защита начинает тупить. Попробуй взять мой вариант IDAStealth. |
|
|
Создано: 24 июня 2010 14:31 · Личное сообщение · #5 sys_dev пишет: если не слишком секретно XmlShell 1.5 ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 24 июня 2010 14:45 · Личное сообщение · #6 Вот функция обработки исключений 0x481170. NtProtectVirtualMemory вызывается из UnhandledExceptionFilter. Ничего не патчил, всё прекрасно отлаживается. Какие проблемы? 
|
|
|
Создано: 24 июня 2010 15:23 · Личное сообщение · #7 протупил ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
eXeL@B —› Основной форум —› Атрибуты секции ресурсов 40000040 |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати