 |
eXeL@B —› Вопросы новичков —› QueryPerformanceCounter + GetTickCount + GetSystemTimeAsFileTime = ? |
| Посл.ответ | Сообщение |
|
|
Создано: 04 марта 2013 08:52 · Поправил: volopas · Личное сообщение · #1 При подгрузке любой DLL отрабатывает странная процедура с означенными функциями, которая XOR-ит полученные значения и записывает 8 байт где-то в начало секции .data . Что это за 8-байтовое число? Для чего оно может применяться? Судя по всему , это корявая попытка сгенерировать случайное число. Я прав?  |
|
|
Создано: 04 марта 2013 09:01 · Личное сообщение · #2 |
|
|
Создано: 04 марта 2013 09:08 · Личное сообщение · #3 Это абсолютно бесполезный мусор от сишного компиля, под названием security_init_cookie | Сообщение посчитали полезным: Dr0p |
|
|
Создано: 04 марта 2013 09:14 · Личное сообщение · #4 В исследуемой длл несколько раз встречается константа-адрес этого куки. То есть этот куки используется? Проблема в том , можно ли удалить из кода куски , которые используют этот куки. Мне нужно дописать свой код в длл , а в конец длл код не влазит. Поставил брейкпоинты на все обращения к куки, вроде при работе программы этот код не используется... Но не уверен, будут ли обращения к куки при последующей работе программы. |
|
|
Создано: 04 марта 2013 09:30 · Личное сообщение · #5 Почитай хотя бы, что это такое, тогда и вопросы такие отпадут. Название уже дали. |
|
|
Создано: 04 марта 2013 15:29 · Поправил: volopas · Личное сообщение · #6 >>Почитай хотя бы, что это такое, тогда и вопросы такие отпадут. Название уже дали. Почитал документ http://msdn.microsoft.com/en-us/library/aa290051(v=vs.71).aspx . Картина несколько прояснилась. Но всё же Ольга не показывает мне , есть ли ссылки из других мест на код например __security_check_cookie routine . То есть вполне возможно где-то в коде есть неявный вызов типа CALL EAX. Как понять, можно ли вырезать __security_check_cookie routine? В документе пишут ,что если какая-то функция использует Buffer Security Check , то она по-любому должна обратиться к security cookie . А тут уже неявно задать адрес трудно. Я таких обращений нашел пару штук, но в конце функций не видно вызова __security_check_cookie routine... |
|
|
Создано: 04 марта 2013 15:59 · Личное сообщение · #7 Ну если действительно прочитал и разобрался, что это такое, то должно быть понятно, что там может лежать любое константное число, можешь забить тупо 0 или оставить то, что лежит изначально, и сэкономить место на инициализации. Но имей в виду, что на безопасность это дурно повлияет. | Сообщение посчитали полезным: volopas |
|
|
Создано: 04 марта 2013 20:00 · Личное сообщение · #8 В тех местах, где были вызовы процедур , какая-то падла меняет введенный мною код. Видимо, пытается адреса поменять. Кроме того секция кода в ольге 1.1 начинается 02481000 , а в ольге 2.0 - 02471000 . |
|
|
Создано: 04 марта 2013 20:04 · Личное сообщение · #9 ответ в четвертом слове твоего первого поста. т.е. DLL, а у длл чего самое главное??? правильно релоки. |
|
|
Создано: 04 марта 2013 22:14 · Личное сообщение · #10 volopas пишет: Мне нужно дописать свой код в длл , а в конец длл код не влазит. Почему не прицепить новую секцию? ----- zzz |
|
|
Создано: 05 марта 2013 02:15 · Поправил: TryAga1n · Личное сообщение · #11 Очень странный топ. |
|
eXeL@B —› Вопросы новичков —› QueryPerformanceCounter + GetTickCount + GetSystemTimeAsFileTime = ? |
Для печати