В продолжение темы создания инлайн патчей предлагаю свою тулзу. Она не создает патч, а патчит экзешник, не изменяя его размера, думаю кому-нибудь пригодится. Поддерживаются UPX - все версии (наверное=)), ASPack - 2.12 only, PECompact 2.x (тоже наверное =)). По поводу PECompact'a - я тестил только на трех файлах, поэтому не могу гарантировать успешной работоспособности, поэтому прошу - у кого есть файлы, упакованные PECompact'ом 2.x, киньте на мыло (в профайле) или приаттачте здесь. Подробнее - в ридми.

817c_bkinline.rar

| Сообщение посчитали полезным:

Jupiter пишет:
с новой версией никаких проблем с UPX на третьем режиме не обнаружил
Самое интересное, что в новой версии я ничего с этим связанного не изменял =)

| Сообщение посчитали полезным:

bkslash
странно, но я сейчас уже тоже не могу повторить ;)
но трабла была: прыжок на oep был неправильным
сейчас всё ok

-----
EnJoy!

| Сообщение посчитали полезным:

Добавил поддержку nSPack 1.3, не знаю нужно ли кому-нибудь, но вдруг пригодится. Еще появилось лого (спасибо Grim Fandango =)).

c2fe_bkinline.rar

| Сообщение посчитали полезным:

Не хвататет возможности выбрать "стартовый" offset для патча,
т.е. чтобы иметь возможность размещать код патча не только в заголовке, но и в произвольном месте файла

к тому же небольшой совет по поводу пропатчивания файлов, слинкованных MS Linker'om:
в каждом файле, созданном майкрософтовским линкером (начиная с ранних версий и заканчивая последними)
существует дополнительная (и избыточная!) информация после PE заголовка, завершающаяся словом Rich
поскольку эта инфа избыточна (по идее, её не должно быть), то можно смело писать поверх неё, не корёжа собственно сам заголовок

-----
EnJoy!

| Сообщение посчитали полезным:

Что-то файлы не качаются.

| Сообщение посчитали полезным:

YDS пишет:
М.б. замылите мне на yarosh_d@mail.ru

Что значит М.б. ???

3e4e_bkinline.rar

| Сообщение посчитали полезным:

может быть

| Сообщение посчитали полезным:

Thank's

| Сообщение посчитали полезным:

В последних версиях UPX (3.09) при попытке пропатчить код перед прыжком на оеп происходит Access violation, как это дело пролечить ?

| Сообщение посчитали полезным:

YURETZS пишет:
как это дело пролечить
Вызывать VirtualProtect или всей секции давать права Writeable

| Сообщение посчитали полезным:

YURETZS,
Похоже, изменять sources.
утилитка красивая, но польза от неё сомнительная. 2005 год же.
Думаю, автор уже сам о ней позабыл. (?)

| Сообщение посчитали полезным:

dosprog
Я утилиту не рассматриваю, инлайн-патч пишу вручную.
Veliant
В импорте запакованной программы есть VirtualProtect и VirtualAlloc, но их вызов запакован, а права Writeable как дать ??
В блоке перед прыжком вызвать VirtualProtect с какими-то определенными параметрами, а как тогда определить RVA запротекченного блока ? он каждый раз разный.

| Сообщение посчитали полезным:

Поменять права на секцию в PE-файле статически?
YURETZS пишет:
он каждый раз разный.
базо-независимый код вставьте, а вообще без жертвы не понятно что вы хотите сделать

| Сообщение посчитали полезным:

YURETZS,
..В импорте запакованной программы есть VirtualProtect и VirtualAlloc, но их вызов запакован,
-- Ну, уж адреса-то функций LoadLibrary/GetProcAddress есть наверняка.

| Сообщение посчитали полезным:

int
Жертва в аттаче.
Участок кода с патчем:


В таком варианте вроде патч проходит, но как-то не стабильно работает и не на всех системах.
Вообще он предназначен для PE-сборки.


151a_14.01.2014_EXELAB.rU.tgz - ERD_Inlined_Final.zip

| Сообщение посчитали полезным:

> В импорте запакованной программы есть VirtualProtect и VirtualAlloc, но их вызов запакован, а права Writeable как дать ??

Тоесть отложен. Очевидно что и нужно отложить есчо дальше обработку, тоесть заюзать лодер.

Если у вас дллка то ваще проблем не вижу. Если это экзешник, то могут быть проблемы. Но они очень маловероятны, посему и описывать их не буду.

| Сообщение посчитали полезным:

Dr0p
Dll-ка тут в качестве прицепа, без нее экзешник не запустится.
В принципе первоначально рассматривался вариант перепаковки с патчем инсайд, но как оказалось после штатной распаковки upx -d <имя файла> экзешник валится с непонятной ошибкой типа память не может быть рид.

Защиты в этой проге нет, просто необходимо чуть поменять функционал.

| Сообщение посчитали полезным:

YURETZS

Я не понимаю вашу задачу, а перечитывать весь топ не охота.

| Сообщение посчитали полезным:

YURETZS пишет:
после штатной распаковки upx -d <имя файла> экзешник валится с непонятной ошибкой типа память не может быть рид.
[Overlay]
YURETZS пишет:
Жертва в аттаче.
давай нормальную жертву, не патченную, тут ты чего-то накарулесил, разбираться неохото.

| Сообщение посчитали полезным:

Dr0p
Задача - сделать инлайн-патч модуля, запакованного UPX 3.09
По смещению 01002F14 записать такой код:
.01002F14: E98F1D0000 jmp .001004CA8 --↓C
.01002F19: 90 nop
По началу код вел себя как-то странно, под отладчиком уходило в кернел с сообщением Access Violation.
Но после небольшой модификации - (RVA стал брать из edx) вроде заработало, но уход в кернел всё-же возникает, но уже после того как программа загружена и выполняется, первоначально падало сразу.

| Сообщение посчитали полезным:

YURETZS

Что значит в кернел, синело чтоле

> По смещению 01002F14 записать такой код:

Ну вот я и говорю, чтоб не парится с самозащитой, депаком и прочей хернёй юзаете лодер, выбираете событие когда всё проверено/анпакано и делаете что нужно. Ну или сначало делаете. Короче смысл понятен.

| Сообщение посчитали полезным:

Vovan666
Оригинал.
Глянь пожалуйста, почему он падает после анпака.


6969_14.01.2014_EXELAB.rU.tgz - ERD_Exit_Original_Packed.zip

| Сообщение посчитали полезным:

http://rghost.ru/51656540

| Сообщение посчитали полезным: YURETZS

Vovan666
Спасибо огромное, всё работает как надо.
А в чем была проблема штатного анпака (upx -d)

| Сообщение посчитали полезным:

Я же выше ответил [Overlay]

| Сообщение посчитали полезным:

Vovan666
Ясно, а как ты его распаковывал, вручную, или есть правильные анпакеры ?

Уже нашел - правильный анпакер зовется "Pe Explorer"

Еще раз спасибо.

| Сообщение посчитали полезным: