Добрый вечер. Не могли бы вы пояснить теоретический алгоритм поиска code caves?
Как отличить реально пустое место от потенциально опасного? Например если брать чистый файл, то много пустых мест есть в секции кода, однако неизвесто используется ли оно. То же самое и с секцией данных. Другой пример - упакованный UPX'ом файл, в хидере очень часто довольно большое пространство(перед версией пакера). Его использовать можно, но как это определить програмно? Возможно есть какой-то правильный алгоритм, потому что мне кроме поиска последовательности из нужного количества нулей, ничего в голову не приходит.

| Сообщение посчитали полезным:

курить доку по исполняемому формату. сначала искать место - 00/CC/90. дальше перебрать из всех таблиц указатели на этот кусок, ... и в этом случае рез-т на 100% не гарантирован. а возможно просто секцию прилепить.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Вариант с прикручиванием секции и дописыванием в оверлей даже не рассматривается, я достаточно точно описал, что конкретно меня интересует.

По поводу поиска 00/СС/90, почему именно этот паттерн? Так же интересуют вышеуказанные "таблицы" - что это, первый раз слышу. Я так понимаю вы предлагаете дизассемблировать весь код и в статике проанализировать обращение к конкретному участку кода? Это просто безумная работа, которая абсолютно не эффективна, для такой мелочной задачи

| Сообщение посчитали полезным:

TryAga1n пишет:
По поводу поиска 00/СС/90, почему именно этот паттерн?
Это отдельные.
00 - это понятно, что за область.
СС - выравнивание.
90 - ну и нопы.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

TryAga1n пишет:
Так же интересуют вышеуказанные "таблицы" - что это, первый раз слышу
ajax пишет:
курить доку по исполняемому формату
section table, tls table, relocation table - для начала. придется подумать а если задача мелочная, то проще ручками вставить код

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Теперь суть в целом мне ясна, а то все не мог понять что за таблицы, почему-то возникали ассоциации с радужными таблицами для брута)
Идея хорошая как один из вариантов проверки, но хочется еще как-нибудь перестраховаться. Подумываю сделать 2 дампа секций кода у работающей и не работающей программ, а затем проверить адреса кейвов на наличие данных...как сообщество смотрит на такую идею?)

| Сообщение посчитали полезным:

TryAga1n пишет:
2 дампа секций кода у работающей и не работающей программ
они будут одинаковые на подавляющем большинстве EXE или речь не о PE/PE+ формате?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
они будут одинаковые на подавляющем большинстве EXE
Да понятно что будут одинаковые, но это послужит еще одной ступенью, которая немного увеличит шанс успеха. Хотя возможно и не стоит так заморачиваться) Речь о ПЕ формате

| Сообщение посчитали полезным:

100% дыры будут в концах секций файла при условии VSize < RSize

-----
Everything is relative...

| Сообщение посчитали полезным: TryAga1n

Vamit
в т.ч. на это намекал но, как показала практика, не всегда. а ТС, хрен хочет думать, все ему разжуй...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Позвольте поинтересоваться, а что вы мне разжевали? Я лишь попросил подкинуть идею, либо правильный алгоритм, если такой существует. Если вас что-то не устраивает - всегда можно пройти мимо. По поводу вашего ответа, в котором вы "намекали" - можете закрыть глаза и в любом топике написать: "Иди курить мануалы, нуб". Если бы вы небыли столь самодовольным снобом, то знали бы, что не на все вещи есть мануалы и иногда, чтобы найти выход, нужна помощь других людей.

| Сообщение посчитали полезным:

TryAga1n пишет:
не на все вещи есть мануалы и иногда, чтобы найти выход, нужна помощь других людей

Действительно, мануалов по вытиранию задницы не встречал.

Я лишь попросил подкинуть идею, либо правильный алгоритм, если такой существует

Google на запрос Code Caves выдал первую --> Ссыль <--, по которой можно скачать софт, который ищет то, что вам надо. Дизассемблируйте и вперёд. Вот и алгоритм.

Если вас не устраивает столь простая несовершенная реализация, то обратите ваше внимание на программное построение графа потока выполнения игры, что невозможно сделать без качественного эмулятора. Тут для разбора имеющегося теоретического материала и алгоритмов вам понадобится год (минимум). Вот и подумайте, стоит ли ваш будущий (примитивный до умопомрачения) чит в виде dll, которая через удалённые потоки подгружается к какой-то игре и на основе чужих СДК или чужого реверсинга хучит пару неэкспортируемых обработчиков, чтоб поправить парочку значений, тех трудозатрат.

Позвольте поинтересоваться, а что вы мне разжевали?

Думаю, готовых сорцов вряд ли можно ожидать здесь.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: ajax, uinor

давайте всё таки без оскорблений

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

TryAga1n, моя идея по поводу:
- открываем pe-файл, проверяем действительно ли он pe
- сканируем секции с первой по последнюю, ищем с параметрами чтения и запуска
- сканируем найденные секции на наличие блоков с 0x00, 0xCC, 0x90 нужной длины
- затем берем дизассемблер длин (по типу distorm или lde), удостоверяемся что в этих блоках реально ничего полезного нет
- выводим юзеру сообщение, мол блок такой то, по адресу такому то, длиной такой то, обнаружен

| Сообщение посчитали полезным: TryAga1n

А зачем дизасмить блоки, в которых заведомо известные повторящиеся данные?
И да, на нопы я бы лучше не ориентировался, тогда уж нули и CC.

| Сообщение посчитали полезным: TryAga1n

drone пишет:
- затем берем дизассемблер длин (по типу distorm или lde), удостоверяемся что в этих блоках реально ничего полезного нет
А это то зачем?

Проще всего проверить в секции кода последние N-байт (N - количество байт, которое вам нужно), если там нули, то с вероятностью 99.9% можно использовать это пространство.
СС - оно же выравнивание не будет превышать 16 байт, а этого наверно будет мало.
90 - они же нопы вряд ли встретишь в чистой программе.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: TryAga1n

кажется нужный функционал есть в Cheat Engine, исходники которой открыты.

| Сообщение посчитали полезным:

BoRoV пишет:
Проще всего проверить в секции кода последние N-байт
Ну как-бы после компиляции файла он уже оптимизирован и записать туда получится только после проицирования файла в память
BoRoV пишет:
90 - они же нопы вряд ли встретишь в чистой программе
а я в mfc вядил где заместо СС ипользовались 90
TryAga1n пишет:
То же самое и с секцией данных
Ну скажу посекрету свободный конец секции данных можно определить в некоторых файлах зная компилятор

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Ну как-бы после компиляции файла он уже оптимизирован и записать туда получится только после проицирования файла в память
Сути то не меняет.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

drone пишет:
затем берем дизассемблер длин (по типу distorm или lde), удостоверяемся что в этих блоках реально ничего полезного нет
и, как задать начало дизасма и удостовериться, что там стопудово ничего нет? теоретики, млин
Позвольте поинтересоваться, а что вы мне разжевали?
не хотел отвечать, но "раз уж пошла такая пьянка" мануал по PE формату - четко прописано, что к чему. к теоретикам - аффтар ничего не сказал про файло - поипитесь с кодекэйвами в файлеге с upx, например

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

начало дизасма - начало блока

| Сообщение посчитали полезным:

Ебанулись что ли code caves автоматом искать. Кто реализует - станет миллионером, ибо наконец то решит единственную глобальную проблему высокоуровневого дизасма.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: ajax, Gideon Vi, Nightshade

drone пишет:
затем берем дизассемблер длин (по типу distorm или lde), удостоверяемся что в этих блоках реально ничего полезного нет
сорри, но это бред. что даст дизасм, вообще, для куска из одинаковых инструкци?

ps: так, поржать - просканируй конец секции после упаковки пекомпактом. запиши туда что-нибудь. и офигей, когда компакт туда пару-тройку двордов запишет после отработки механизма анпака

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

сорри, но это бред. что даст дизасм
Да не про эти блоки речь. Предлагается просканировать всю прогу на предмет ссылок на эти блоки
Если я правильно понял начальные посты ...

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Google на запрос Code Caves выдал первую --> Ссыль <--, по которой можно скачать софт, который ищет то, что вам надо. Дизассемблируйте и вперёд. Вот и алгоритм.
Можно и не дизассемблировать, есть исходник. Внутри него тс и найдет ответ на свой вопрос.


508e_04.02.2012_EXELAB.rU.tgz - CodeCaver_src.rar

| Сообщение посчитали полезным:

TryAga1n

Зада не мелочная, решай этот вопрос индивидуально, на практике этот метод самый эффективный, бери иду, бери подопытную программу, прокрути ее в дебаге, напиши Скрипт на питоне по поиску Индивидуальных Особенностей Кэйв, далее анализируй, потом в в раз два пишешь свою программу на базе полученного результата на конкретную цель. В итоге ты быстро решишь задачу, получишь дополнительную без геморойную методику дальнейшего изучения, а также соберешь многие особенности которые тебе нужны. Иначе ты хочешь сделать суперчудесную программу простым способом наскоком, это не серьезно. Тем более слишком много особенностей разброса. По выше описанным этапам ты реализуешь конечную цель быстро и эффективно ..

Если уже прям так лень, есть альтернативные методы Кэйвинга ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: