| Сейчас на форуме: vasilevradislav, Magister Yoda, site-pro, Rio (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Заголовок PE в памяти |
| Посл.ответ | Сообщение |
|
|
Создано: 03 апреля 2013 17:39 · Личное сообщение · #1 Доброго времени суток, мб кто подскажет насколько безопасно изменять заголовки PE загруженного в память процесса? И часто ли используется эти заголовки в WinApi?  |
|
|
Создано: 03 апреля 2013 17:42 · Личное сообщение · #2 знаю, что сверяется MZ в некоторых апишках. поставть бряк в отладчике на заголовок и вперёд. ----- [nice coder and reverser] |
|
|
Создано: 03 апреля 2013 17:52 · Личное сообщение · #3 Я таким макаром нашел RtlImageNtHeaderEx, но мб еще чтото есть, мало ли кто знает |
|
|
Создано: 03 апреля 2013 18:05 · Личное сообщение · #4 это недокументировано и не нужно туда лезть, можно глянуть, что делают популярные пакеры, проты с заголовком. для какой цели это нужно? ----- [nice coder and reverser] |
|
|
Создано: 03 апреля 2013 18:17 · Личное сообщение · #5 Да так, просто заметил что отладчики и дамперы обламывает когда им суешь кривой PE заголовок, вот и исследую фитчу на юзабельность |
|
|
Создано: 03 апреля 2013 18:17 · Поправил: Модератор · Личное сообщение · #6 Для начала определись, что ты там собрался менять и зачем такие костыли нагораживать. Как минимум работа с ресурсами отвалится+экспорт/импорт, относящийся к модулю. Safe-исключения тоже пользуются этим, насколько помню. Возможно, ТЛС. Короче, много чего отвалится. Коряво написан софт, вот и валится. Если нормально писать, можно вообще без заголовка обойтись и построить его с нуля. ELF_7719116 Не списывай у меня! :-P Отмаз detected 
|
|
|
Создано: 03 апреля 2013 18:19 · Поправил: ELF_7719116 · Личное сообщение · #7 neox0r пишет: часто ли используется эти заголовки в WinApi? В WinAPI загрузки ресурсов используют вроде как. Archer пишет: ELF_7719116 Не списывай у меня! я первым зашел в тему, но начал читать личные смс и только после ответил уже 
|
|
|
Создано: 03 апреля 2013 20:13 · Поправил: VodoleY · Личное сообщение · #8 ну блин.. что по факту заголовок это то, что указывает виндовому лоадеру как грузить файл.. это на этапе загрузки.. в разных местах можно вклиниватся и делать разные вещи.. Хоронов вон вообще линковщик сделал с упакованным заголовком.. НО главное ж не в этом. Прежде чем чтото делать надо представлять стадии загрузки и последствия.. Как вариант у проги есть свой GetProcAdress.. как у большенства протов.. З.Ы. я б советовал посмотреть как реализован вмпрот.. и Арчи хорошо вспомнил про ТЛС.. там еще на стадии полузагрузки можно из говна сделать конфету ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 03 апреля 2013 20:29 · Личное сообщение · #9 Archer Знаю один протектор, он оставляет только MZ. Остальное просто трет. Правда все эти "антидампы" обходятся восстановлением заголовка из файла. Так что лучше обратить свой взор в другую сторону. ----- старый пень |
|
|
Создано: 04 апреля 2013 01:53 · Личное сообщение · #10 Впринципе да согласен с Archer, костыли эти незачем накалачивать, слишком много чего будет работать некоректно, спасибо всем за помощь |
|
eXeL@B —› Крэки, обсуждения —› Заголовок PE в памяти |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати