 |
eXeL@B —› Вопросы новичков —› Как правильно скопировать секцию |
| Посл.ответ | Сообщение |
|
|
Создано: 24 октября 2011 12:00 · Личное сообщение · #1 собственно сабж. РЕ заголовок по адресу 400000 нужно скопировать секцию с адресом 180000. как правильно в РЕ эдиторе ее отредактировать?  |
|
|
Создано: 24 октября 2011 12:30 · Личное сообщение · #2 Во-первых, вопрос сформулируй нормально. Как минимум в 1 месте не хватает предлога. В итоге непонятно, что и куда надо скопировать. И при чём тут вообще PE Editor. |
|
|
Создано: 24 октября 2011 12:56 · Личное сообщение · #3 Насчет вопроса метко сказано. Если РЕ заголовок по адресу 400000, значит заголовок уже размаплен в память процесса и я не знаю PE редактор, который правит PE структуру внутри процесса. При этом как может секция размапиться ниже адреса базы образа (180000 < 400000) это вообще, что за магия? Заголовок: Как правильно скопировать секцию Вопрос: как правильно в РЕ эдиторе ее отредактировать? Так отредактировать или скопировать? Если скопировать, то куда, если отредактировать, то что? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 24 октября 2011 13:24 · Личное сообщение · #4 PE_Kill у него видимо это секция антидампа, которая когда-то была по адресу 180000, и теперь он не знает как её прикрутить к распакованой проге. tiranosaur если так - то отлавливай момент, когда эта секция в пакованой программе выделяется через VirtualAlloc/VirtualAllocEx и подмени адрес на нужный при выходе из API | Сообщение посчитали полезным: tiranosaur |
|
|
Создано: 24 октября 2011 15:27 · Поправил: tiranosaur · Личное сообщение · #5 блин, пора на курсы ораторского мастерства. значит задача: после снятия дампа прога ссылается по косвеннымпереходам на секцию 180000. секцию скопировал PUPE (кстати есть что нить получше или мануал на нее или хотя бы русификатор или англ версия?) нужно вставить эту секцию в дамп и определить Virtual Offset. Короче склеитьдо рабочей версии. IT отремонтировал. из антидампа осталось только это вроде. зы Спасибо за ответы |
|
|
Создано: 24 октября 2011 15:40 · Поправил: r99 · Личное сообщение · #6 del |
|
|
Создано: 25 октября 2011 05:40 · Личное сообщение · #7 PETools->Sections->Load section from disk ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 октября 2011 06:37 · Личное сообщение · #8 |
|
|
Создано: 25 октября 2011 11:50 · Поправил: tiranosaur · Личное сообщение · #9 PE_Kill а как оффсет править? меня это интересует. я знаю как поправить если он больше ЕР а если меньше хз |
|
|
Создано: 25 октября 2011 12:07 · Личное сообщение · #10 tiranosaur пишет: я знаю как поправить если он больше ЕР а если меньше хз может стоит ещё раз мой пост прочитать? |
|
|
Создано: 25 октября 2011 12:19 · Поправил: ClockMan · Личное сообщение · #11 tiranosaur пишет: если он больше ЕР а если меньше хз Если у проги есть релоки то можно перебить базу на меньшую ну и соответственно прикрутить свою секцию либо перечитай пост tihiy_grom насчёт VirtualAlloc/VirtualAllocEx ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 25 октября 2011 12:49 · Личное сообщение · #12 Для начала видимо нужно почитать мануал по PE формату. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 октября 2011 23:32 · Личное сообщение · #13 если я правильно понял суть вопроса - проблема состоит не в том как ВООБЩЕ добавить секцию к exe-шнику , а в том , что эта секция должна располагаться в определенном регионе памяти (намного ниже базового адреса exe-шника). решение: 1.tihiy_grom +localalloc 2 прилепить секцию из дампа и написать загрузчик для копирования этой секции в нужное место до EP 3.попробовать на VMware посмотреть на эту же прогу - у меня часто этот регион перемещался выше exe-шника 4.патч - перенаправление на добавленную секцию 5. ХЗ | Сообщение посчитали полезным: tiranosaur |
|
eXeL@B —› Вопросы новичков —› Как правильно скопировать секцию |
Для печати