 |
eXeL@B —› Софт, инструменты —› Inline Empty Byte Finder |
| Посл.ответ | Сообщение |
|
|
Создано: 15 июля 2018 18:47 · Поправил: dosprog · Личное сообщение · #1 Inline Empty Byte Finder Inline Empty Byte Finder это тулза, помогающая отыскать внутри EXE/DLL файла свободное место для врезки туда собственного кода. Тулза может проверять секции на наличие желаемых флагов, необходимых для инлайна. Inline finder ищет поля, имеющие заданный размер, но также отображает и найденные свободные поля большего размера, нежели заданный. При поиске также проверяется, не пересекает ли найденное свободное поле границу секции. Фичи: - Поддержка "перетаскивания" файла-аргумента - Поддержка командной строки OS - Задание значения символа-заполнителя искомого свободного поля - Задание желаемых флагов секции, где ищутся свободные поля. - Вызов Hex-редактора (Hiew32) с передачей ему найденного смещения в файле.  | Сообщение посчитали полезным: hypn0, Boostyq, VOLKOFF, chessgod101, v00doo, 4kusNick, AKAB, GMAP, DICI BF |
|
|
Создано: 15 июля 2018 19:00 · Поправил: TryAga1n · Личное сообщение · #2 Есть какие-то принципиальные отличия от ToPo 99 года? |
|
|
Создано: 15 июля 2018 19:07 · Поправил: dosprog · Личное сообщение · #3 Да тут совсем другой принцип. ToPo добавляет секцию, а эта тулза просто ищет и отображает список свободных участков в файле, которые потенциально можно использовать. Это приходилось делать вручную, нашаривая в Hiew и помечая участок, чтобы увидеть его размер - устраивает ли он. Тулза же выводит список таких найденных участков, и можно сразу "перейти" на любой из них, вызвав из неё же Hiew. Весьма симпатично. | Сообщение посчитали полезным: TryAga1n |
|
|
Создано: 15 июля 2018 19:09 · Личное сообщение · #4 TryAga1n Не знаю как ToPo, но этот PE+ поддерживает. |
|
|
Создано: 15 июля 2018 19:09 · Личное сообщение · #5 все таки лучше перестраховаться и ручками в два клика добавить свой секцион 
----- Array[Login..Logout] of Life | Сообщение посчитали полезным: shellstorm |
|
|
Создано: 15 июля 2018 19:10 · Поправил: dosprog · Личное сообщение · #6 Kindly пишет: все таки лучше перестраховаться и ручками в два клика добавить свой секцион Секции тулза не добавляет, - для этого можно пользоваться чем-то другим, по желанию. |
|
|
Создано: 15 июля 2018 19:18 · Личное сообщение · #7 ToPo умеет не только добавлять секции, но и искать cave'ы в существующих. Однако выбора он не дает, в этом софте функционал явно интереснее. Спасибо, заберу в коллецию. |
|
|
Создано: 15 июля 2018 19:19 · Личное сообщение · #8 dosprog пишет: Секции тулза не добавляет да понятно, я к тому, что лучше оставить выбор за собой. и не обязательно свободным местом могут быть нули, могут быть и другие байты и прочий кодес, который может быть никогда не вызван. ----- Array[Login..Logout] of Life |
|
|
Создано: 15 июля 2018 19:19 · Личное сообщение · #9 ToPo какая-то сумбурная. Никогда не пользовался ею. Добавлено спустя 1 минуту Kindly пишет: и не обязательно свободным местом могут быть нули, могут быть и другие байты и прочий кодес, который может быть никогда не вызван. Это уже другой случай, автоматикой такое делать смысла не имеет. |
|
|
Создано: 15 июля 2018 19:24 · Поправил: VOLKOFF · Личное сообщение · #10 Прикольно, но так-то есть готовые решения. В CE вполне неплохой поиск code cave реализован, хоть и вывод не самый информативный. Есть OllySpelunk (code cave finder for OllyDbg v2.01) Есть скрипт Code Cave Finder Есть Есть тысячи их... |
|
|
Создано: 15 июля 2018 19:27 · Личное сообщение · #11 VOLKOFF, ну ставить питон, чтобы найти кейвы - это наркомания) | Сообщение посчитали полезным: dosprog |
|
|
Создано: 15 июля 2018 19:28 · Поправил: dosprog · Личное сообщение · #12 VOLKOFF, так-то оно да, - но тут совпало желаемое с имеющимся. Подумывал когда-то сам завоять функционально такую же утиль, да всё ленился. И вот пожалуйста.. |
|
|
Создано: 15 июля 2018 19:39 · Личное сообщение · #13 TryAga1n пишет: ставить питон, чтобы найти кейвы - это наркомания в 2018 заниматься реверсом и не иметь на машине питон это наркомания  dosprog пишет: Подумывал когда-то сам завоять функционально такую же утиль ну все вышеприведенное опенурс ;) | Сообщение посчитали полезным: -Sanchez- |
|
|
Создано: 15 июля 2018 19:42 · Личное сообщение · #14 VOLKOFF пишет: ну все вышеприведенное опенурс ;) ) Как-то так выходит, что чаще всего ковыряться начинаю "с ноля". А в опенсурс если, бывает, влезу, то ковырну самую малость и дальше дело нейдёт, в благоговении. |
|
|
Создано: 15 июля 2018 19:42 · Поправил: TryAga1n · Личное сообщение · #15 VOLKOFF, я из староверов  А реверсинг для меня - это приятное времяпровождение, а не сфера деятельности или средство заработка) Но раз уж на то пошло, может сделаете топик с подборкой юзабельных в реверсе скриптов на питоне? Было бы занятно посмотреть и узнать что-нибудь новое и интересное. | Сообщение посчитали полезным: sefkrd, Lambda |
|
|
Создано: 15 июля 2018 19:44 · Личное сообщение · #16 Кстати, да. |
|
|
Создано: 15 июля 2018 20:05 · Личное сообщение · #17 TryAga1n пишет: я из староверов В уме дизассемблируете? Для той же иды подавляющая часть плугов хочет питон, хотя усложнять себе жизнь не запретишь TryAga1n пишет: может сделаете топик с подборкой юзабельных в реверсе скриптов на питоне? А что разве нет по сабжу тут инфы? Странно... Надо будет это упущение как-нибудь исправить. | Сообщение посчитали полезным: shellstorm |
|
|
Создано: 16 июля 2018 03:01 · Личное сообщение · #18 dosprog пишет: Это приходилось делать вручную code cave finder |
|
|
Создано: 16 июля 2018 18:15 · Личное сообщение · #19 Сжать модуль и прицепить загрузчик. И не нужно портить ничего и искать пространства Секцию добавлять или как то вообще изменять модуль не вариант - отвалится оно после проверок целостности. А с загрузчиком таких проблем не возникнет. ----- vx |
|
|
Создано: 17 июля 2018 21:03 · Поправил: dosprog · Личное сообщение · #20 --post removed-- |
|
eXeL@B —› Софт, инструменты —› Inline Empty Byte Finder |
Для печати