 |
eXeL@B —› Основной форум —› Рипнуть ф-цию ? |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 11 июля 2006 23:13 · Личное сообщение · #1 Реверсирую одну прогу. Возникла нужда вставить рипнутую ф-цию. И - облом. 0057FA5C /$ 55 PUSH EBP ; 0057FA5D |. 8BEC MOV EBP, ESP 0057FA5F |. 83C4 F8 ADD ESP, -8 0057FA62 |. 8955 F8 MOV [LOCAL.2], EDX ; ntdll.KiFastSystemCallRet 0057FA65 |. 8945 FC MOV [LOCAL.1], EAX ; unpacked.00583F34 0057FA68 |. A1 14985800 MOV EAX, DWORD PTR DS:[589814]------>>>>>> ВОТ ЭТО 
0057FA6D |. 8B00 MOV EAX, DWORD PTR DS:[EAX] 0057FA6F |. B2 01 MOV DL, 1 0057FA71 |. E8 BE70EFFF CALL unpacked.00476B34 0057FA76 |. 59 POP ECX ; unpacked.00584404 0057FA77 |. 59 POP ECX ; unpacked.00584404 0057FA78 |. 5D POP EBP ; unpacked.00584404 0057FA79 \. C3 RETN Этот адрес идет в DATA. Ф-ция вызывает свое окно. Данные всегда одни и теже - 9CDAFD. Чо с этой хренью можно сделать? Или можно долго и нудно искать и нихрена не найти?  |
|
|
Создано: 19 июля 2006 22:40 · Личное сообщение · #2 1) Добавляешь через load секцию и просто в PETools тюкни кнопку с вопросом сбоку от SizeofImage - он сам пересчитает. И ни в коем случае не делай REBuild PE - у меня еще ни разу на дампе не получался рабочий экзешник. Так я так и делаю. Фигня одна и таже.  Добавляют же как-то секции. И даже удлинняют существующие. Лан - будет время - займусь вплотную этим вопросом. А в эту прогу уже не надо добавлять. Прав Nitrogen, слишком много там исправлять вручную. Можно сделать, но нет заинтересованности.
Но демку я все-таки заюзал 
|
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› Рипнуть ф-цию ? |
Для печати