Сейчас на форуме: igorcauret (+8 невидимых)

 eXeL@B —› Вопросы новичков —› дамп PE с виртуальной памятью и восстановлением импорта. LastBranchFromIP x64
Посл.ответ Сообщение

Ранг: 1.8 (гость)
Активность: 0.010
Статус: Участник

 Создано: 30 июня 2014 20:04 · Поправил: AlekId
· Личное сообщение · #1

Два вопроса
1. Как сделать дамп PE с виртуальной памятью(жертва пишет часть код туда, а не в имадж) и восстановлением импорта.Scylla показывает импорт, но не дампит Вирт Память. На выходе нужен PE для анализа(а не для запуска)
2.Как увидеть LastBranchFromIP после хв бряка в ollydbg (или что советуете) под W7x64



Ранг: 92.1 (постоянный), 83thx
Активность: 0.110
Статус: Участник

 Создано: 30 июня 2014 20:18
· Личное сообщение · #2

AlekId пишет:
1. Как сделать дамп PE с виртуальной памятью(жертва пишет часть код туда, а не в имадж) и восстановлением импорта.Scylla показывает импорт, но не дампит Вирт Память. На выходе нужен PE для анализа(а не для запуска)
Как вариант создать секцию и все выделения памяти перехватывать и перенаправлять туда.



Ранг: 262.5 (наставник), 337thx
Активность: 0.340.25
Статус: Участник

 Создано: 30 июня 2014 20:50
· Личное сообщение · #3

Недавно сталкивался с такой же херней, артаин протектор весь импорт, столенбайт и свой загрузчик пишет в аллоченую память. мало того, что аллочит раз 30, так еще и все это сдобрено толстым слоем трэша и антиотладки. Ночь просидел, не добил, плюнул...


 eXeL@B —› Вопросы новичков —› дамп PE с виртуальной памятью и восстановлением импорта. LastBranchFromIP x64
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати