Прочитал статьи про ручную расспаковку и про изменение кода в памяти после того, как пакер расспаковал прогу в памяти. И вот возник такой вопрос: а можно ли этот прием применить к не запакованной программе? Т.е. в начале делаем прыжок на наш код, он меняет нужные байты в секции кода, возвращаемся и прога работает дальше. Или это возможно только когда код в памяти?

| Сообщение посчитали полезным:

Так когда прога не запакована это ещё проще сделать. В заголовке проги есть такое понятие как ЕР - точка входа. Записываем в фаил свой код и меняем точку входа.
Только зачем, если прога не запакована, то можно раз и навсегда пропатчить её на диске.

| Сообщение посчитали полезным:

Можно сделать такой патч, если разобраться как прога распаковывается и раскриптовывается, то можно подставить такие цифры, что при распаковке эти цифры превратятся в джампы и тд...
Но тогда ты будешь человеком "который распаковывает в уме"

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

asd: "Записываем в фаил свой код и меняем точку входа. "

Ну да, а код такой например: mov word ptr cs:[00405234],00b0, т.е. mov al, 0. Пробую это в Olly - пишет access violation when writing.
Я так понимаю, что этого кода еще нет в памяти, а только на диске и поэтому его нельзя менять?

| Сообщение посчитали полезным:

KondraT
Пробую это в Olly - пишет access violation when writing.


Это смотря куда писать собрался. Если в секцию кода, то туда обычно писать нельзя. Сначала права на запись надо получить.
А код в память загружается.

| Сообщение посчитали полезным:

Вобщем, легче патчить на диске, чем морочиться с секцией кода, меняя там что надо на лету.

| Сообщение посчитали полезным: