Aspr 2.1 SKE VM

Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

Посл.ответ	Сообщение
Styx Ранг: 103.1 (ветеран), 3thx Активность: 0.07↘0.01 Статус: Участник	Создано: 23 ноября 2005 21:52 · Поправил: Styx · Личное сообщение · #1 Борюсь с этой дурью Мне в общем интересно узнать как удобнее её победить. Я вот начал сначала просто по ВМ шататься и 8 ф-ций востановил. Потом из-за того, что зачастили Error 115, выписал там адресок один на который можно стать без еррора и близко уже к возврату в прогу. И начал просто все обращения к ВМ записывать (у меня адрес был 1390000). Заметил, что при повторном вызове тех же функций ВМ не вызывается, посмотрел внутри и понял, что после 1-го выполнения получить имя функции будет намного проще. Ето я так извращался, а как вы поступаете в таком случае? Ведь функций дофигиЩа!!! Не лабать же по всей проге! Как бы ето дело автоматизировать? можно ли вм дурить, т.е. передавать ей что-нить или вызывать с определённого адреса чтоб она преобразования сделала? В общем делитесь экспой (: ----- Crack your mind, save the planet

tar4 Ранг: 136.5 (ветеран) Активность: 0.03↘0 Статус: Участник	Создано: 24 ноября 2005 05:47 · Личное сообщение · #2 Я со скриптом экспериментирую. И прежде, чем разбирать прогу, сначала собираю общую информацию. В каких заалоченных областях находятся вызовы ВМ, сколько их и сколько таких областей? Ну и так далее.
Styx Ранг: 103.1 (ветеран), 3thx Активность: 0.07↘0.01 Статус: Участник	Создано: 24 ноября 2005 18:19 · Личное сообщение · #3 А как потом этот импорт пришить к дампу? Я как заметил, то вроде, функция вызывается только в одном месте, т.е. может быть 2 вызова 1-й апи, но они будут поразному с эмулированы, так ли это или я у меня уже глюки от недосыпания? ----- Crack your mind, save the planet
Mario555 Ранг: 332.0 (мудрец) Активность: 0.18↘0 Статус: Участник •Pr0tEcToRs KiLLeR•	Создано: 24 ноября 2005 23:06 · Личное сообщение · #4 а почему топик про VM, а говорят в нём про импорт ? =) Styx пишет: Я как заметил, то вроде, функция вызывается только в одном месте, т.е. может быть 2 вызова 1-й апи все вызовы идут в одну процедуру, которая в зависимости от переданных параметров (адрес возврата и т.п.) выбирает апи. PS импорт уже обсуждался неоднократно... и вм кста тоже )
Styx Ранг: 103.1 (ветеран), 3thx Активность: 0.07↘0.01 Статус: Участник	Создано: 25 ноября 2005 18:04 · Личное сообщение · #5 Mario555 Сплю мало, мысли мешаются (: я потом понял да поздно было править, название темы то не сменишь... ----- Crack your mind, save the planet
Styx Ранг: 103.1 (ветеран), 3thx Активность: 0.07↘0.01 Статус: Участник	Создано: 25 ноября 2005 18:17 · Личное сообщение · #6 Mario555 а параметром для этой ф-ции является только место вызова или ещё что-то? Я ведь не могу всю прогу искликать, что бы вызывать неизвестные апи? И как собрать все вызовы 1390000, IDA в этом деле помогла не до конца и олли ведь тоже не всегда интерпретирует команды как хотелось бы... ----- Crack your mind, save the planet
ASMax Ранг: 62.9 (постоянный) Активность: 0.02↘0 Статус: Участник	Создано: 25 ноября 2005 19:32 · Личное сообщение · #7 Styx А ты не пробовал просто потрассировать процесс ресолвения импорта? Проследи как аспр это делает, и ты увидишь кучу возможностей получить импорт не "искликивая" программу.
tar4 Ранг: 136.5 (ветеран) Активность: 0.03↘0 Статус: Участник	Создано: 26 ноября 2005 11:10 · Личное сообщение · #8 Styx пишет: А как потом этот импорт пришить к дампу? Так вопрос по импорту? Так ведь этот вопрос уже обсуждался на форуме. Есть скрипт, немного его подправляешь и вперед. Примерно 90% адресов АПИ-функций он вытаскивает и пишет их в пустое место. Потом дампишь прогу и импреком восстанавливаешь импорт. Я так делал. Остальной импорт восстанавливал руками.

Для печати