Модифицирую exe по инструкции с Xaker. Весь добавленный мною код на прикрепленном скриншоте. Программа запускается, но когда доходит до строки 00AAD6FF CALL <&USER32.MessageBoxA> вылетает с ошибкой, подскажите, если кто этим занимался, где моя ошибка.
Для упрощения я точку входа заменил на адрес 00AAD6F1 и затем делаю jmp на старую точку входа, но ошибка вылезает даже если этот момент выполнять по инструкции.
Программа http://rghost.ru/47546795 , там 2 экзешника, тот что orig - без модификации.



0c6d_20.07.2013_EXELAB.rU.tgz - 1.gif

| Сообщение посчитали полезным:

CALL 00AAE6B4->CALL DWORD PTR DS:[AAE6B4]

| Сообщение посчитали полезным:

Вместо
00AAD6FF E8 B00F0000 call <&USER32.MessageBoxA>

Надо
00AAD6FF FF15 B4E6AA00 call dword ptr ds:[<&USER32.MessageBoxA>; USER32.MessageBoxA

Вован первый)

| Сообщение посчитали полезным:

Ок, спасибо, щас попробую, тему пока не закрывайте

| Сообщение посчитали полезным:

Не получается, делаю как вы сказали и не помогает.
http://rghost.ru/47546795
orig.exe запускается (только его надо переименовать чтоб без orig было) и запускается патченный экзешник если call заменить нопами. Может я чтото упустил?

| Сообщение посчитали полезным:

Kadet89 пишет:
Может я чтото упустил?
релоки.

На 7 без правки релоков такой код работать не будет.

Вот примерно как должно быть
http://rghost.ru/47547121

| Сообщение посчитали полезным:

Vovan666, а можете расписать как вы это сделали? необязательно подробно. Я в той инструкции ничего подобного не видел... весь код изменен

| Сообщение посчитали полезным:

Kadet89
можно в хидере отключить "is image can be relocated" или типа того, и прибить секцию релоков. будет проще. но, если Vovan666 если объяснит - больше знаний

added: есть еще метод: текущий оффсет + дельту до мессбокса. потом типа call [eax], релоки тогда пофик

added2: Vovan666: как вариант - call $+5; pop eax; add eax,delta; call [eax] - как-то так, тоже по дельте инкрементим, тогда PEB не трогаем. ASLR - ничего особо не несет, кроме как показатель правильности кода, imho

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Что за инструкция? какого года? инструкция небось была написана еще до 7 с ее долбаным ASLR.



| Сообщение посчитали полезным:

У меня есть несколько вопросов. Первая страка фак с восклицательными знаками, а вторая восклицательные знаки? если так, то вопрос такой, как вы посчитали 36973Ch и 369730h ? Они никак не соотносятся с реальными адресами, даже расстояния между ними другое.
И второй вопрос - в точке входа программы код без изменения, как происходит вызов кода месенжбокса? Если этот способ проще изменения точки входа, яб хотел его знать.

| Сообщение посчитали полезным:

Kadet89 пишет:
Первая страка фак с восклицательными знаками, а вторая восклицательные знаки?



Kadet89 пишет:
как вы посчитали 36973Ch и 369730h ?
VA-адрес строки минус ImageBase

Kadet89 пишет:
И второй вопрос - в точке входа программы код без изменения, как происходит вызов кода месенжбокса?

OEP:
call xxxxxxxx
jmp xxxxxxxx - отсюда, а оригинальный jmp в конце "патча"

| Сообщение посчитали полезным:

Гдето я ошибась, у меня выходит 01989730 - 00400000 = 01589730, а должно выйти 0076973C,


| Сообщение посчитали полезным:

А то что у тебя софтина в ольке грузится по базе 01620000, ни на что не наводит?

| Сообщение посчитали полезным:

Спасибо за помошь, вроде разобрался.
Тему пока не закрывайте, может появятся сопутствующие вопросы чуть позже

| Сообщение посчитали полезным: