| Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Как сравнить |
| Посл.ответ | Сообщение |
|
|
Создано: 10 сентября 2005 12:59 · Личное сообщение · #1 Например есть две одинаковые программы. Одна взломана патчем. Как узнать, что именно было изменино в пропатченной проге, то есть как сравнить в их ассемблеровском виде? Двоичное сравнение не подходит, различия видны, а адреса не катят  |
|
|
Создано: 10 сентября 2005 13:14 · Личное сообщение · #2 AVE пишет: то есть как сравнить в их ассемблеровском виде? AVE пишет: Двоичное сравнение не подходит, различия видны, а адреса не катят Бред какой-то Если файлы до патча идентичны то и сравнивай побайтно, т.е. в бинарном виде |
|
|
Создано: 10 сентября 2005 13:36 · Личное сообщение · #3 под форточками достаточно и такого: comp file1 file2 ----- Computer Security Laboratory |
|
|
Создано: 10 сентября 2005 13:38 · Личное сообщение · #4 Asterix пишет: сравнивай побайтно, т.е. в бинарном виде fc.exe /B <file1> <file2> А потом берете HIEW или BIEW и смотрите в указанных адресах что изменилось.... AVE пишет: Двоичное сравнение не подходит, различия видны, а адреса не катят Куда и что не катят адреса? Если не секрет... |
|
|
Создано: 10 сентября 2005 14:12 · Личное сообщение · #5 Наверно адреса не катят, потому что почти всегда выдается файловое смещение в качестве адреса несравнения, естественно оно не совпадает с виртуальным адресом команды. |
|
|
Создано: 10 сентября 2005 15:39 · Личное сообщение · #6 hiew может показывать файловые адреса, да и в Иде их видно в статусной строке |
|
|
Создано: 10 сентября 2005 17:28 · Личное сообщение · #7 Тоталком Сравнить по содержимому... ----- TBR |
|
|
Создано: 10 сентября 2005 17:42 · Личное сообщение · #8 наверное парню инлайн патч нужен... или он просто разучился пересчитывать Virtual Address в Offset. Если первое: юзай мой Inliner (если надо выложу) или инлайнер arnix'а... мой поддерживает UPX и ASPack и сделан по принципу нажал на кнопочку и сделал готовый патч... арниксовый патчер поддерживает больше пакеров, но не генерит готовые патчи. Так что тут на вкус сам выбирай Если второе, что RVA=Virtual Address (тот что выводит IDA) - ImageBase (берется из заголовка EXE файла) затем считаешь Offset. Для этого ищешь секцию в файле в адресное пространство которой входит RVA. и к RVA прибавь Offset и вычти Virtual Address данной секции (насчет того, что сложить а что вычесть мог перепутать - по памяти пишу - подробее в статье Володи про упаковщики). Если Offset и RVA адреса секции равны, то можно считать, что RVA=Offset и ничего вычислять не нужно... многие это юзают вообще всегда в своих прогах, из-за чего те не всегда работают на всех EXE ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 10 сентября 2005 20:04 · Личное сообщение · #9 GPcH это с чего ты так решил  ?
ЗЫ опять реклама инлайнера своего ;) ----- Пиво, сиськи, транс |
|
|
Создано: 11 сентября 2005 01:20 · Личное сообщение · #10 -= ALEX =- пишет: ЗЫ опять реклама инлайнера своего ;) Так он же бесплатный! я надеюсь... ;) От рекламы таких тулз, кроме пользы ничего не бывает! З.Ы. Реклама - двигатель торговли. (с) Даешь! Freeware & GNU в массы! |
|
|
Создано: 11 сентября 2005 01:54 · Личное сообщение · #11 AVE бери CodeFusion |
|
|
Создано: 11 сентября 2005 02:10 · Личное сообщение · #12 Z0oMiK пишет: AVE бери CodeFusion ИМХО diablo2oo2's Universal Patcher рулит! туда xm вставить можно ;) |
|
|
Создано: 11 сентября 2005 10:22 · Личное сообщение · #13 -= ALEX =- Охренеть... у меня нет слов просто... народ смотрю тут просто помешался на мании рекламы... уже любое упоминание о любой тулзе, которая может помочь автору вопроса - реклама или пиар. Меня уже это бесить начинает. Особенно когда кричат те, кто сами кругом пиарят свои протекторы/тиму/статьи ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 12 сентября 2005 11:11 · Личное сообщение · #14 НЕ РЕКЛАМА! У Арникса есть тулза для сравнения, посмотри на его сайте. |
|
|
Создано: 12 сентября 2005 12:22 · Личное сообщение · #15 Может я тупо вопрос задал. На примере сравниваю в Тоталком первая прога: 0B3218: 55 8B EC B9 1B 00 00 00 <---- это оригинал вторая вторая: 0B3218: 33 C0 40 C3 1B 00 00 00 <---- эту ломанули патчем Мне нужно найти это место в ассемблеровсеом листинге например в OLLY У Арникса есть тулза для сравнения, посмотри на его сайте. Может и ссылку за одно? |
|
|
Создано: 12 сентября 2005 12:39 · Личное сообщение · #16 AVE пишет: Может я тупо вопрос задал. нет! ты не правильно ответы парсишь!!!1 AVE пишет: первая прога: 0B3218: 55 8B EC B9 1B 00 00 00 <---- это оригинал вторая вторая: 0B3218: 33 C0 40 C3 1B 00 00 00 <---- эту ломанули патчем Вот смещение в файле 0B3218.... Пошагово для .... расписываю! 1. берешь BIEW (biew.sf.net); 2. запускаешь biew your.exe; 3. нажимашь F5 и вводишь 0B3218, видишь код где изменено; 4. нашимашь Ctrl-F6 и выбараешь "Local ..." и созерцаешь виртуальные адреса. |
|
|
Создано: 12 сентября 2005 12:52 · Личное сообщение · #17 в hiew после открытия файла переходим в режим decode потом Alt-F1 -> F5 и вбиваем адрес .000B3218 для сравнения лучше юзать WinHEX |
|
|
Создано: 12 сентября 2005 13:27 · Поправил: Error_Log · Личное сообщение · #18 -= ALEX =- пишет: ЗЫ опять реклама инлайнера своего Ну человек помочь стремится, что плохого, в том что свои тулзы рекомендует? Это только хорошо! ЗЫ: 2AVE в Olly грузишь .ехе, и в листинге в меню правой кнопки выбираешь go to expression и вводишь в поле адрес 0В3218 попадешь прямо на команду которую вписыват патч ЗЫЫ: к адресу нужно прибавить ImageBase, обычно 00400000, т. е получится 004В3218 ----- Research is my purpose |
|
eXeL@B —› Основной форум —› Как сравнить |
Для печати