| Сейчас на форуме: bartolomeo, johnniewalker, NIKOLA, vasilevradislav (+6 невидимых) |
 |
eXeL@B —› Софт, инструменты —› HzorInline |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 04 августа 2005 16:37 · Поправил: arnix · Личное сообщение · #1 Вот, GPcH мне вчера напомнил что у меня есть такая программа  Решил возобновить разработку Что нового: + Новый модуль для FSG v2 + Новая команда (FREE=APPEND) * Алгоритм поиска свободного места (FREE=AUTO) стала получше Что ожидается? Патч мейкер Автоматическое определение пакера Модули для других пакеров, может и протекторов HzorInline_v1.2_b20050804.rar (35 KB) HzorInline_v1.2_b20050804_and_Tutorial.rar (142 KB)  |
|
|
Создано: 05 августа 2005 01:00 · Личное сообщение · #2 arnix пишет: HzorInline Блин, arnix, у тебя есть хоть одна программа с названием, которое можно произнести вслух, а? То аксцт, то хзор какой-то... |
|
|
Создано: 05 августа 2005 13:04 · Личное сообщение · #3 arnix Не отвлекайся, доделывай лучше asckt ----- Всем не угодишь |
|
|
Создано: 05 августа 2005 13:41 · Личное сообщение · #4 deNULL пишет: Блин, arnix, у тебя есть хоть одна программа с названием, которое можно произнести вслух, а? То аксцт, то хзор какой-то... Хе, это потому что ты пытаешься читать английский текст русскими буквами Ты же не говоришь "гибдд" а говоришь "Ги-Бэ-Дэ-Дэ", вот и это, не аксцт а "Эй-Кей-Эс-Си-Ти" (а вообще-то Serials Treasury ;) )
Bad_guy пишет: Не отвлекайся, доделывай лучше asckt Да особо не отвлекаюсь Но вчера у меня ЧП был блин  Включаю комп а 90 процентов контента папки D:\Programs пропало! Не понимаю в чём дело, ничего я не удалял, только пару дней назад запустил тест DFT32, неужели он испортил? Щас пытаюсь регистрировать программy Tiramitsu For FAT32 v1.19, говорят он находит потерянные файлы и папки...
|
|
|
Создано: 05 августа 2005 13:43 · Личное сообщение · #5 arnix DFT если в режиме лечения запустить, то он всё снесет нах ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 05 августа 2005 13:50 · Поправил: arnix · Личное сообщение · #6 nice Я делал Quick Test, он мне сказал чтo проблем нет (Error code: 0) |
|
|
Создано: 05 августа 2005 14:54 · Личное сообщение · #7 arnix, спасибо за обновление патчера ;) (я переписал некоторые модули из прошлой версии под масм, если нужно - могу прислать) по поводу харда: лучше всего в таком случае помогает R-Studio, реально лучшая прога ----- EnJoy! |
|
|
Создано: 05 августа 2005 15:19 · Личное сообщение · #8 Jupiter пишет: я переписал некоторые модули из прошлой версии под масм, если нужно - могу прислать Да, отлично, конечно нужно
Jupiter пишет: по поводу харда: лучше всего в таком случае помогает R-Studio, реально лучшая прога Спасибо, попробую найти. |
|
|
Создано: 05 августа 2005 16:07 · Личное сообщение · #9 arnix как на счёт того, чтобы прикрутить PESniffer.dll в кач-ве анализатора? я помню, что ты говорил по поводу определения пакера; мол тот, кто патчит, уже распаковал прогу и знает, чем она упакована, но всё же мне наличие PESniffer'a кааца нелишним. если ты всё же решишь прикрутить PESniffer.dll, я могу те прислать исходники на масме по поводу R-Studio, у меня была R-Studio.v2.0.121.WinAll.Retail-UnderPl, которая, несмотря на год выпуска (2002), справилась с задачей лучше всего из того, что я пробовал. ----- EnJoy! |
|
|
Создано: 06 августа 2005 00:12 · Личное сообщение · #10 почитал раздел [ Planning for the near future... ] файла whatsnew.txt и решил поделиться кое-какими идеями: Интерфейс --------- ComboBox со списком модулей больше в высоту, т.к. при наличии модулей шести (у меня во время отладки модулей их гораздо больше), приходится скролить (либо пихать '_' перед именем модуля). На данный момент у combo Height=59, лучше сделать минимум 90 Алгоритм -------- - сделать алгоритм генерации патча настраиваемым Пример для ASPack v2.12 ----------------------- стандартный переход на OEP: Code:
фактически выглядит так: Code:
как известно, push 0 преобразуется в push OEP, а Code:
вызывается только в случае ошибки при распаковке при этом до команды popad регистр EDX содержит ImageBase файла, а EAX - начало кода, что грех не использовать! т.о. можно делать относительный патч допустим, ImageBase файла 00400000, BaseOfCode - 1000, нам нужно пропатчить 00401015, так вот, вместо Code:
можно просто Code:
если смещение далеко от ImageBase (например, 00407015) то сначала Code:
а потом уже Code:
т.о. экономится уйма места при пропатчивании большого кол-ва данных/кода плюс ко всему можно делать переход на патч таким образом: патч располагается по определённому смещению от начала файла, допустим, что в заголовке по адресу 7Ah Благодаря ASPack, edx содержит ImageBase (400000), eax содержит ImageBase+BaseOfCode (401000) патч лоадера аспака: Code:
код патча же выглядит так: Code:
при таком подходе значительно экономится место под патч, да и код для патча получается более универсальным - возможность прикрутить поиск в памяти на входе: стартовый адрес, размер данных для поиска, шаблон для поиска на выходе: адрес начала данных из шаблона в данном случае можно скомпилить код поисковика в памяти, а потом просто пихать его в тело пропатчиваемой проги, т.к. скомпиленый код будет "адресо-независимым" пример: Code:
- возможность использовать ассемблерные вставки, либо просто вставлять последовательность данных, например в HEX-виде - возможность вручную задавать оффсет для патча часть этого я пытался реализовать через модули, потому и пришлось их конвертить в масм, но всё равно нужного результата не смог добиться без поддержки со стороны хоста (собсно HzorInline'a) если что - пиши на мыло ----- EnJoy! |
|
|
Создано: 06 августа 2005 12:57 · Личное сообщение · #11 Спасибо за хорошие идеи, вот только некоторые комменты: Jupiter пишет: - возможность использовать ассемблерные вставки, либо просто вставлять последовательность данных, например в HEX-виде Такое уже давно есть (команда BIN,XX,XX,XX,...) Jupiter пишет: - возможность вручную задавать оффсет для патча о каком оффсете идёт речь? Есть команда FREE=XXXXXXXX, тогда код инлай патча будет писатся туда, Есть команда OUT=XXXXXXXX, тогда прыжок на код инлайн патча будет по этому адресу, а каком оффсете ты говоришь? P.S. Вчера System Mechanic v5 вытащил из небытья исходники HzorInline и ещё многo чего Recover4All и HandyRecovery не справились... Теперь буду хранить бэкапы
|
|
|
Создано: 06 августа 2005 17:00 · Личное сообщение · #12 arnix Спасибо за хорошие идеи всегда пожалуйста ;) Такое уже давно есть (команда BIN,XX,XX,XX,...) опа... проглядел ;) но в любом случае, запятые вставлять... я для чего попросил: я компилирую кусок кода NASM'ом в bin, потом открываю его в WinHex, выделяю всё, жму Ctrl-Shift-C (copy Hex), текущая команда BIN требует разбиения по два символа, а ведь проще... BIN <данные> т.е. ты сам считываешь данные, проверяешь на кратность двум и усё, не нужно будет запятые вставлять о каком оффсете ты говоришь? не так выразился, имел в виду команду патча по оффсету... т.е. .... проблемы русский язык говорить ;) короче, возможность задавать собсно прыжок, т.е. не jmp <...>, а call ebx, к примеру и т.п. поздравляю, что инфу не потерял; бэкапы хороши, когда их делаешь. ----- EnJoy! |
|
|
Создано: 30 августа 2005 14:29 · Поправил: arnix · Личное сообщение · #13 Новая версия, уже не альфа а бета. Kусок из whatsnew.txt: <i> - [ v 1.3 beta build 20050830 ] + New module (for NsPack v1.x-2.x) + New command (MAX_SIZE=XXXXXXXX), see readme.txt for more info + New command (OUT_CODE=#XXYYZZ#), see readme.txt for more info * Now the commands "BIN=" and "OUT_CODE=" can be used by 2 styles. Example 1: "BIN=EB,05,00,00". Example 2: "BIN=#EB050000#". </i> Ссылки: |
|
|
Создано: 31 августа 2005 00:09 · Поправил: GPcH · Личное сообщение · #14 arnix Что хотелось бы видеть: - автоопределение пакера; - XP кнопки; - генерацию готового патча (лень для такой тривиальной задачи юзать несколько прог, хотя может это и не критично); - хочется поддержки UPack Все это лишь хотелки, а реализовывать тебе или нет - решай сам ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 31 августа 2005 03:26 · Личное сообщение · #15 GPcH - автоопределение пакера; об этом уже много раз говорилось... а воз и ныне там PESniffer.dll подключить оч. просто - XP кнопки в смысле манифест XPшный? - генерацию готового патча так ведь и так можно (на выбор) пропатчить файл и создать исходник для патча разница лишь в одном лишем действии... хотя... всё равно морока, согласен ;) - хочется поддержки UPack будет ----- EnJoy! |
|
|
Создано: 31 августа 2005 14:44 · Личное сообщение · #16 GPcH пишет: Что хотелось бы видеть: - автоопределение пакера; - XP кнопки; - генерацию готового патча (лень для такой тривиальной задачи юзать несколько прог, хотя может это и не критично); - хочется поддержки UPack Все это лишь хотелки, а реализовывать тебе или нет - решай сам Идентификацию пакеров уже добавил, да и модуль для Upack почти готов, только есть одна маленькая проблема, при распаковке он уничтожает мой инлайн патч... C этим еще бороться... Завтра окончательно протестирую идентификацию пакеров и выпушью в релиз, а сегодня Treasury буду мучить
|
|
|
Создано: 01 сентября 2005 12:47 · Поправил: arnix · Личное сообщение · #17 Новая версия... <i> + Новый модуль (для Upack (tested only with v0.29)) + Автоидентификация пакеров * Обнавлён движок модулей (now v3) * Пофиксен не очень серёзный баг в модуле NsPack * Все модули обновлены чтоб работали с новым движком * Пофиксен серёзный баг в двух предыдущих версиях, советую их не использовать + Новое правило "OUT=XXXXXXXX"можно использовать только После "FREE=XXXXXXXX" </i> HzorInline_v1.3_b20050901.rar (24 KB) HzorInline_v1.3_b20050901_with_tutorial.rar (129 KB) |
|
|
Создано: 29 ноября 2005 22:36 · Поправил: arnix · Личное сообщение · #18 Новая версия! - [ v 1.3 beta build 20052911 ] + New module (for eXPressor (tested with 1.2.0.1, 1.3.0.1, 1.4.5.1)) + Added support for the newest versions of NsPack (tested with v1.3,v2.3,v2.4,v2.9,v3.0,v3.1,v3.3,v3.4) + Added support for some older and newer versions of upack (tested with 0.11,0.12,0.20,0.27,0.29,0.32) * Fixed bug when RETN command couldn't been used without PUSH _SOMETHING_ command * Fixed another small bug * Modules updatet, improved their PE format handling algos, now they will not fail when parsing some unusual but correct PE files * Fixed bug in modules when they could generate incorrect _SOMETHING_=#XXYYZZ# type commands when one of the bytes was smaller than 0x10 * Fixed bugs in module template HzorInline_v1.3_b20051129.rar (27 KB) HzorInline_v1.3_b20051129_with_tutorial.rar (134 KB) |
|
|
Создано: 30 ноября 2005 10:20 · Личное сообщение · #19 тож люблю fasm
|
|
|
Создано: 30 ноября 2005 10:36 · Личное сообщение · #20 arnix а че все так крупно то? у меня при 1280*1024, окно патча занимает 2/3 экрана
----- Пиво, сиськи, транс |
|
|
Создано: 30 ноября 2005 19:15 · Личное сообщение · #21 Av0id пишет: тож люблю fasm
;) -= ALEX =- пишет: а че все так крупно то? у меня при 1280*1024, окно патча занимает 2/3 экрана
Странно... Вот у меня 1024х768 и выглядит так: (аттач) Может у тебя фонт Terminal не установлен? |
|
|
Создано: 30 ноября 2005 19:17 · Личное сообщение · #22 |
|
|
Создано: 30 ноября 2005 19:20 · Личное сообщение · #23 arnix пишет: Может у тебя фонт Terminal не установлен? Так он вроде по умолчанию ставится. ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 30 ноября 2005 21:51 · Личное сообщение · #24 arnix пишет: Странно... Вот у меня 1024х768 и выглядит так: (аттач) Может у тебя фонт Terminal не установлен? и че форма и контролы свои размеры растягивают ?
у меня вот так выглядит:  5611_hz_vid.jpg.zip
----- Пиво, сиськи, транс |
|
|
Создано: 01 декабря 2005 00:03 · Поправил: arnix · Личное сообщение · #25 -= ALEX =- пишет: и че форма и контролы свои размеры растягивают ? у меня вот так выглядит: Мдаа.. Что называется растянуло
Вот сам помотри ресурсы в аттаче (скриншот из ResHack), размер окна указан 429х182. У кого-то еще подобное происходит или только у -= ALEX =- ?? 010f_hi_res.png.zip
Добавлено 0:27 По ходу, никто не тестил? Какие впечатления от работы программы? Что еще сделать? Предложения какие-нибудь? |
|
|
Создано: 01 декабря 2005 03:48 · Личное сообщение · #26 У меня все ok ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 01 декабря 2005 04:15 · Личное сообщение · #27 arnix пишет: По ходу, никто не тестил? Добро! Размеры на месте. ----- Computer Security Laboratory |
|
|
Создано: 01 декабря 2005 09:11 · Личное сообщение · #28 arnix У меня все в норме... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 01 декабря 2005 10:22 · Личное сообщение · #29 NSPack 3.4 патчит у всех ? 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 декабря 2005 21:23 · Личное сообщение · #30 Smon пишет: NSPack 3.4 патчит у всех ? Нет, была маленькая ошибка в модуле, OEP определялся на байт больше, вот новая версия.. - [ v 1.3 beta build 20051201 ] * Fixed "OEP +1 byte" NsPack modules bug + Added XP style manifest, if you don't like it just delete the "HzorInline.exe.manifest" file + Some PE file parsing improvments in the main program 05d4_HzorInline_v1.3_b20051201.rar.zip
|
| . 1 . 2 . >> |
|
eXeL@B —› Софт, инструменты —› HzorInline |
Для печати
