Такая проблема - добавляю в новую секцию PE код, в котором используется куча смещений. Есесно все они становятся невалидными. Какие есть техники исправления этого недоразумения?

| Сообщение посчитали полезным:

получить код под нужное смещение или подогнать имеющийся код под необходимое смещение,
т.е. разместить код по родным адресам ;)

| Сообщение посчитали полезным:

Может немного не в тему, но...
PUSH 4
PUSH 1000
PUSH 1000 ; размер области
PUSH 0 ; адрес
CALL kernel32.VirtualAlloc
Почему часто, когда задаешь адрес ручками вроде бы в свободном участке памяти и подходящего размера, VirtualAlloc не отрабатывает? Хотя при параметре 0 винда сама все создает, получается нужный размер, но адресок не подходит. Просто бывает необходимо скопировать сдампленную область по определенному адресу (при исследовании ASPra, например ), т.е. подогнать имеющийся код под необходимое смещение , но ничего не выходит. Что можно сделать?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Просто бывает необходимо скопировать сдампленную область по определенному адресу (при исследовании ASPra, например ), т.е. подогнать имеющийся код под необходимое смещение , но ничего не выходит. Что можно сделать?

Прицепить секцию, выставить ей правильные виртуальные смещение и размер

| Сообщение посчитали полезным:

ValdiS
Я делал так:
push 4
push 3000
push 1000 - вроде как меньше не бывает, т.к. размер страницы - 1000, или 4кб
push 0C000000 - адрес области
call VirtualAlloc

потом копируем код в область, важно чтобы область была с тем же адресом, что и в аспре, иначе придется ручками все смещения перетыкать.. (репа мовсб или мовсд)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Asterix
А как ей выставить правильное смещение если адрес скажем меньше чем ImageBase ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
если адрес скажем меньше чем ImageBase ?

тогда, лови момент когда эта память выделяется(для этого кода) и подправляй адрес на необходимый,
например на тот что имеет добавленная секция, протектор сам код настроит

| Сообщение посчитали полезным:

в общем случае нужно смотреть в сторону релоков, или прог в исходниках, меняющих базовый адрес загрузки,
кажется что-то было у y0da или DrGolova

| Сообщение посчитали полезным:

Asterix пишет:
тогда, лови момент когда эта память выделяется(для этого кода) и подправляй адрес на необходимый
В том то и дело, что прот сам в основном использует нулевой параметр...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
В том то и дело, что прот сам в основном использует нулевой параметр...
Ты ставишь бряк на функцию выделяющую память, на конец функции, и потом подправляешь
возвращаемое значение на адрес в твоей прицепленной секции

| Сообщение посчитали полезным:

Asterix
Огромное спасибо, все гениальное просто!!! Об этом не думал...
Век живи - век учись... (с)

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Asterix, дело в том, что код и данные в одной куче. интересует именно техника offset-independent кода, в ARM-ах с этим проблем вообще нет )

| Сообщение посчитали полезным:

Broken Sword
я вообще не пойму что тебе нужно %)

Broken Sword пишет:
Есесно все они становятся невалидными.

прям уж так все, а относительные?

| Сообщение посчитали полезным:

Asterix в том то и дело, что на АРМ-е можно писать код так, чтобі все смещения біли оффсет-независиміми (через PC-relative, командами add/sub reg, pc, #imm), а на x86 в некоторых случаях без относительных никак. (?)

| Сообщение посчитали полезным: