Добрый день. Подскажите, как в OllyDbg можно создать пустую область или найти ее программным методом? Есть программа и нужно сделать переход в пустую область, дам выполнить нужный мне код и вернуться обратно. Места на мой код не хватает в исходном расположении нужного мне участка и надо создать где то в отдельном месте, не повредив при этом программу. Надеюсь вы поймете то, что я настрочил)) Спасибо

| Сообщение посчитали полезным:

skew, создай секцию. Делается это легко: обнуляешь в LordPE Bound Imports, создаешь заголовок секции, назначаешь ей нужные атрибуты, затем расширяешь при помощи хекс-редактора файлик на размер секции.

Всё, осталось только исправить EntryPoint (тем же LordPE).

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
К чему столько много непонятных телодвижений?
CFF Explorer -> Section Headers -> Add Section (Empty Space)

| Сообщение посчитали полезным: Dr0p

А дальше будет "ой, после добавления секции программа перестала запускаться. что мне делать дальше?"

| Сообщение посчитали полезным:

skew пишет:
как в OllyDbg можно создать пустую область или найти ее программным методом?
вопрос такой был

| Сообщение посчитали полезным:

XDD ну тогда добавлю, чтобы программа работала)) после создания этой области стабильно

| Сообщение посчитали полезным:

skew, почитай про PE формат чтоле, а то следующий вопрос будет - какие атрибуты выставлять.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

http://exelab.ru/art/?action=view&id=146 <=== PE tutz

| Сообщение посчитали полезным:

Vovan666 пишет:
К чему столько много непонятных телодвижений?

Ок, создай секцию и запусти файл. Посмотрим, отработает ли он)))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler для чего необходимо обнулять Bound Import?

| Сообщение посчитали полезным:

JKornev, а ты подумай. Структуру PE представляешь? Если заявлена bound-таблица, загрузчик будет ее использовать. А если ты затрешь ее при добавлении секции, но не обнулишь поле BoundImports, то получится полное говно. Либо пересчитывай и двигай таблички, либо, что наиболее легко и логично, просто обнуляй.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: JKornev

Хм ... забавно, никогда не обращал внимания на то что Bound Import складывается в заголовок

| Сообщение посчитали полезным:

> как в OllyDbg можно создать пустую область или найти ее программным методом?

Пустую область где и с какими атрибутами ?

RWE ?

Обычно W и E не совместимы. Абсолютно не понятный вопрос. Ваш код как то где то откуда то выполянется, значит это лодер, не иначе. В таком случае нет смысла искать пустое место в секциях. Имхо бред полнейший.

| Сообщение посчитали полезным:

Dr0p пишет:
Обычно W и E не совместимы
почему? в старые-старые времена, кодя всякие мемпатчеры на XP, тупо не задумывался о восстановлении аттрибутов. все пахало. сейчас, естественно, возвращаю взад. на вин7-8 началось огребание проблем?
ps: стоп. а тот же upx? hiew: UPX0 xxx xxx xxx xxx E0000080

Crawler пишет:
Ок, создай секцию и запусти файл. Посмотрим, отработает ли он)))
пистелли где-то накосячил? у меня работало. но, не уверен, что руками до ума не доводил что-нибудь

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax,
да вроде, нормально и на Win7 работает запись в секцию RWE.
В крайнем случае, можно сделать её изначально RE, а атрибуты поменять уже в процессе выполнения.
Почему бы нет? Упаковщики же так делают...

| Сообщение посчитали полезным:

ajax

У меня уже давно идея(на руткитсах обсуждалось) созрела по выпиливанью патчей на x86. Заокнчу текущие прожекты, займусь вплотную этим. Вся малварь будет даже в самом принципе выпилена. Конечно и легал софт тоже. Но нормальный софт не должен кодосекции писать, если он пишет, значит он малварь. Если бы я был авером, то любую попытку изменения даных в RE секциях сразу блочил, даже попытку открыть запись. Можно чучуть поправить мап секций(даже в юзермоде, зачем лишний раз в ядро лазать, типо как EMET; я это в крякме капче заюзал), чтобы далее нельзя было из юзермода в них писать. Хотя признаюсь - у меня в опциях линкера установлен RWE для кода, но это сугубо в целях упрощения дебага.

| Сообщение посчитали полезным:

Dr0p пишет:
если он пишет, значит он малварь.
Железно конечно. А как же навесные протекторы/пакеры и просто хитроумные защиты от самих авторов софта?

| Сообщение посчитали полезным:

TryAga1n

Пусть выделяют буфер и там исполняют код. Или виртуализируют. Стопицот есть способов. На стеке например код исполняться не должен. Так же и переменных в RE памяти быть не должно. А школота, которая крипторы пищет даже общих концептов защиты не понимает. Они и в ядре до сих пор Cr3.WP сбрасывают. А за это нужно руки отрезать. Да и вообще, RWE память это потенциальная дырка. Если переменные исполняемые, их можно изменить и выполнить. Вот свежак http://yadi.sk/d/X5i3wXE3CXtFu но на старших версиях системы не заведётся и всё благодаря RE -> R памяти.

| Сообщение посчитали полезным: TryAga1n