Сейчас на форуме: Lohmaty, tyns777, cppasm (+7 невидимых)

 eXeL@B —› Вопросы новичков —› Запуск PE 64bit в памяти. Обфускация.
Посл.ответ Сообщение

Ранг: 1.4 (гость)
Активность: 0.010
Статус: Участник

 Создано: 28 января 2018 21:14
· Личное сообщение · #1

Здравствуйте, подскажите а 64 битный PE файл как то можно запустить в памяти? С 32 битными проблем нету на С# или С++. А вот с 64 битными как то с инфой туговато. Интересует разобраться как устроены обфускаторы. Насколько я понял суть обфускаторов, получить массив байт из файла, наложить какие то алгоритмы кодирования байт, дальше распаковать и выполнить. Но распаковка вроде как в памяти должна происходить и запуск. Или не так дело обстоит? Кто может подсказать?



Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

 Создано: 28 января 2018 21:26
· Личное сообщение · #2

64 битный pe файл устроен и загружается абсолютно так же, как и 32 битный. У них разница только в размере некоторых полей в заголовках (там, где хранятся va, используется QWORD вместо DWORD).



Ранг: 1.4 (гость)
Активность: 0.010
Статус: Участник

 Создано: 28 января 2018 21:29
· Личное сообщение · #3

а да, забыл совсем про qword.


 eXeL@B —› Вопросы новичков —› Запуск PE 64bit в памяти. Обфускация.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати