| Сейчас на форуме: vasilevradislav, site-pro, johnniewalker, NIKOLA, vsv1, r0lka (+6 невидимых) |
 |
eXeL@B —› Софт, инструменты —› mPack - mario PACKer |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 25 июня 2006 18:26 · Личное сообщение · #1 mPack - mario PACKer simple Win32 PE Executable compressor Coded in Delphi 5! Proof of Concept that a Packer can be done in Delphi! mPack version 0.0.2 © DeltaAziz Забавная штука если это пакер то он ни хрена жмет если протектор то отстойный 
 a95f_25.06.2006_CRACKLAB.rU.tgz - mpack0.0.2.rar
 |
|
|
Создано: 27 июня 2006 18:56 · Личное сообщение · #2 Может я туплю? Но я не понимаю чего ты хочешь сделать ? Чем тебя первый вариант не устраивает? |
|
|
Создано: 27 июня 2006 19:25 · Личное сообщение · #3 pavka Я хочу прикрутить импорт тэбл, чтобы загрузчик виндовс разбирал его и заполнял импорт аддресс тэбл. Что такое у нас импорт аддресс тэбл - массив адресов, которые используются для перехода на апи типа call [addr], где [addr]=addr of API func, то, что ты показываешь. Для чего это делать? В разных версиях системы ImageBase библиотек немного различается, и поэтому в одной версии адрес мисажбкс 77885678, а в другой 77975432, так вот у тебя таблице 1-ый вариант, принёс на работу, а там система другая. Загрузчик бы занёс правильный адрес для неё(второй вариант), но так как ты ему инфы не даёшь (импорт тэбл), то он ничего ин не делает. Угадай что при вызове случится Так вот в памяти как раз валяется целая импорт тэбл, это же вставляет и импрек. Если просто скопировать и указатели поменять в хидере, то мы не должны юзать импрек. Вот и хочу припаять ИТ.
----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 28 июня 2006 04:42 · Личное сообщение · #4 Вот посмотри он заполняет таблицу которую будет использовать! 003916B2 42 inc edx 003916B3 51 push ecx 003916B4 52 push edx 003916B5 52 push edx 003916B6 56 push esi 003916B7 FF95 06190000 call dword ptr ss:[ebp+1906] ; kernel32.GetProcAddress 003916BD 8907 mov dword ptr ds:[edi],eax 003916BF 5A pop edx 003916C0 0FB642 FF movzx eax,byte ptr ds:[edx-1] 003916C4 03D0 add edx,eax 003916C6 59 pop ecx 003916C7 42 inc edx 003916C8 83C7 04 add edi,4 003916CB ^ E2 E5 loopd short 003916B2 003916CD ^ EB B0 jmp short 0039167F |
|
|
Создано: 28 июня 2006 09:58 · Поправил: Rascal · Личное сообщение · #5 pavka Я это видел уже 3 раза ) Итак, вспоминаем, как работает PE!!! Я в предыдущем написал примерно. Теперь расскажи, что по-твоему будет, если мы перенесём дамп в другую винду!?
[ADDED] http://exelab.ru/art/?action=view&id=325 Вот то, что я хочу сделать =)) Директорию импорта восстановить сам, ибо импорт валяется целый, точнее THUNKS ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 28 июня 2006 10:12 · Поправил: PE_Kill · Личное сообщение · #6 Rascal так ты хочешь без импрека обойтись? Или я тоже не вкурил? ЗЫ Все допер, удачи... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 июня 2006 10:13 · Поправил: Rascal · Личное сообщение · #7 PE_Kill Опередил на секунд 10
PE_Kill пишет: так ты хочешь без импрека обойтись Я это вроде 2 раза написал, ну 1 точно! ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 28 июня 2006 10:52 · Личное сообщение · #8 Rascal Я это видел уже 3 раза ) А к чему тогда вопросы как это будет работать на другой системе! Если он этой прцедурой заполняет таблицу под ось на которой запущен! А впрочем все равно получается разговор слепого с глухим! ;) Удачи! |
|
|
Создано: 28 июня 2006 13:16 · Личное сообщение · #9 pavka пишет: Если он этой прцедурой заполняет таблицу под ось на которой запущен! Если в дамп забацать эту функцию, тогда да, но всё равно копировать надо имена апи. Короче, тему закрывай, и не будем париться 
----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 28 июня 2006 13:19 · Личное сообщение · #10 Rascal Наконец томы друг друга поняли закрываем!
|
| << . 1 . 2 . |
|
eXeL@B —› Софт, инструменты —› mPack - mario PACKer |
Для печати