Сейчас на форуме: asfa, Rio (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Сохранить изменённую информацию
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 24 августа 2013 12:53
· Личное сообщение · #1

У меня имеется программа, в которой нужно изменить название файла, который она создаёт после запуска. Сама программа написана на ассемблере.
В дампе памяти я нашёл, то место, в котором нужно изменить название, изменяю, но почему-то сохранение не выходит. Сейчас расскажу, как я всё делаю:
Запускаю Олли – открываю файл – F9 – кнопка M – Поиск – ввожу имя – находит результат – выделяю нужное название – ctrl+e –вписываю изменение – ок.
Теперь мне нужно сохранить. Почитав информацию с гугла, делаю таким образом:
Правой клавишей- copy to executable – selection-(открывается окно) – Copy –select all –save file.
И получаю сообщение, что нету изменений.



В итоге, ничего не изменилось. Подскажите, что я делаю не так. Уже перечитал кучу справок, но нужного ответа найти не могу. Спасибо.




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 24 августа 2013 13:03
· Личное сообщение · #2

Видимо, изменяете значение в виртуальной памяти, но этот участок памяти не принадлежит образу. Т.е. говоря простым языком, вы меняете значение, которое к самому ехе никакого отношения не имеет. В результате Олли и пишет, что изменений нет, т.к. память, в которой вы что-то поменяли, выделяется программой во время её работы и на диске не сохраняется. В общем, не то место нашли.

-----
Stuck to the plan, always think that we would stand up, never ran.

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 24 августа 2013 13:05
· Личное сообщение · #3

Givemelov4
Для начала: Вы проверяли, упакована ли программа? Может там UPX какой нибудь - возьмите PEiD и посмотрите, или скажите имена секций. Вообще, неплохо бы Вам выложить саму программу.



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 24 августа 2013 13:25 · Поправил: Givemelov4
· Личное сообщение · #4

Насколько я понял,упакована UPX1:


Скрин секции:


Изменение происходит в этом месте:

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 24 августа 2013 14:12
· Личное сообщение · #5

Распаковывай UPX и патч
Либо инлайнь.
и то и то просто и мануалов много.



Ранг: 61.7 (постоянный), 12thx
Активность: 0.090.02
Статус: Участник

 Создано: 25 августа 2013 00:04 · Поправил: Gerpes
· Личное сообщение · #6

--> Для другана ка-то записывал по инлайну упх <-- думаю, подойдет, имхо, все понятно.




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

 Создано: 25 августа 2013 00:32 · Поправил: Модератор
· Личное сообщение · #7

Заюзайте загрузчик, не занимайтесь ... http://exelab.ru/f/action=vthread&forum=1&topic=22089&page=0#18

Если нет виртуализации и антидампа, то ресерч есть абсурд. ... нужен депак, ежели в памяти всё анпаковано

ARCHANGEL
Со статикой только инфекторы работают.

От модератора: ты утомил уже материться, веди себя прилично, в следующий раз будет бан


 eXeL@B —› Вопросы новичков —› Сохранить изменённую информацию
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати