Копаю я прот с наномитами. И попался один наномит странный. В дочернем процессе выполняется следующее:

lea eax,dword ptr [00401000]
shr,eax,2
int 3
int 3
nop
nop
nop
nop


А в процессе - родителе считывается из контекста eax и делается следующее:

shl eax,2
add eax,4
ReadProcessMemory(hProcess,eax,*buff,4,Dummy,0);
mov Context.Eip,dword ptr [buff]
SetThreadContext...

Т.е. это безусловный джамп.

Посмотрел в дочернем процессе по адресу 00401004 лежит 00401В30, а дальше идут названия импортируемых библиотек. По адресу 00401В30 идет вызов GetCommandLineA ну далее нормальное выполнение программы. И вот у меня проблема - что это за иструкция? Единственное, что приходит на ум, что это какой то макрос. Типа вставляешь в исходник и прот превращает команду после него в наномит.
Пример:

[nano_start]
jmp 00401В30
[nano_end]


После этого прот формирует табличку всех похереных аресов и потом при срабатывании читает из дочернего процесса. Может у кого нибудь есть другие мысли? Самое плохое, что такой наномит только один в программе поэтому не поэксперементируешь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Копаю я прот с наномитами.
А что за прот ? Арма ? PESpin ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Может ли это быть jmp d,[imm32] ?

| Сообщение посчитали полезным:

DrGolova а add eax,4 вместо shr eax,2? Ну не знаю... Вроде больше 1 инструкции прот не прет. (PESpin)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ты бы прогу чтоли выложил =)

| Сообщение посчитали полезным:

pediy.com/tools/packers.htm

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

чего-то оно не брякается на SetThreadContext if Context.Eip == 401b30 %)

| Сообщение посчитали полезным:

Mario555 Этот адрес я от балды взял. Реальный не помню, 401D42 ? Не помню в общем. Посмотри он в дочернем лежит по адресу 401004.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ну макрос явно CLEAR_START/CLEAR_END только вот из-за того что версия пакера неполная понять как в общем случай этот макрос связан с наномитом... =)

| Сообщение посчитали полезным:

а CLEAR_START/CLEAR_END разве не call dword ptr [xxxxxxxx] эмулируется?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

чего ? этот макрос используется для удаления (одноразового выполнения) участков кода вроде... кста экзампл этого макроса после запаковки непашет %) может потому что собрал я его в 2005 студии а может сам пакер кривой.

| Сообщение посчитали полезным:

Mario555 интересно, а как ты наномит хочешь проверить, если прот наномиты навешивает только с Private лицензией.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

я никак ) говорю же
Mario555 пишет:
только вот из-за того что версия пакера неполная понять как в общем случай этот макрос связан с наномитом ...
... - оно же хз, оно же малореально ;) это про общий случай, а так - нафиг оно надо ? посмотреть как обрабатывается один наномит и повторить.
PS врятли когда-нить этот pespin попадётся хоть на одной реальной проге, тем более его приватная версия.

| Сообщение посчитали полезным:

Mario555 пишет:
врятли когда-нить этот pespin попадётся хоть на одной реальной проге
Да знаю я. Его распаковывать - 1 час (со всеми настройками + DebugBlocker + Nanomites). Просто это идеальный вариант для продолжения написания движка для распаковки. На нем и IAT реконструктор тестить буду. Ну а раз наномиты есть, то я уже придумал алгоритм их восстановления (может в арме пригодится ;))

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
может в арме пригодится
ну в арме основная проблема - это отделение fake наномитов от реально наномитов ) а остальное там уже описано и разобрано, основная часть вместе с исходниками в статье Драгона, а про нововведения (шифрованные таблицы и усложнение определения типа переходов) было у испанцев.

| Сообщение посчитали полезным: