пишу кряк, такие проблемы:
программу взломал
открываю файл
записываю файл в память!
знаю адрес начала кода в памяти!
как теперь мне узнать адрес того места куда нужно писать код??
знаю смещение в файле также(ну того места куда нужно править байты)
я так думаю что от нужного мне смещения нужно вычисть смещение начала файла и все ето дело добавить к адресу программы в памяти! но вот не задача гдето неполучаеться!
кто что думает по етому поводу???? просто я раньше нечего подобного не делал! а очень хочеться!

| Сообщение посчитали полезным:

Ничего не понял

super_man86 пишет:
знаю смещение в файле также(ну того места куда нужно править байты)
Вот здесь и правь.

| Сообщение посчитали полезным:

super_man86
ИМХО, вам сюда http://exelab.ru/kid.php

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Да уж!
есть адрес например 00432232h начиная с етого адреса записан екзешник
есть начало программы как говорят оффсет 00000600h и есть то место куда код нужно записать например 00044832h
я делаю чтото типа
mov ecx, 00432232h
mov eax, 0044832h
add ecx, eax
mov eax, 00000600h
sub ecx,eax
mov ecx, OFFSET xxxxxx ; где -ххххх 6 байт которые нам нужно записать
я так понимаю что я гдето туплю с адресом так как к остальному не придерешься

| Сообщение посчитали полезным:

В новички унес. Читай теорию, ты путаешься во всем, начиная от смещений, и заканчивая попыткой впихнуть в ЕСХ 6 байт.

| Сообщение посчитали полезным:

хорошо скажи где почитать?? я почитаю!!судовольствием!! а пока взгляни на мою програмку где ошибка??? просто чтобы я знал хоть что читать!!
----
я и есть новичек!! будь я продвинутый то непришел бы на форум!! а пиришел сюда за советом или помощью! учиться! а не потому что мне потрещать о жизни охота))))))))))

4131_11.07.2007_CRACKLAB.rU.tgz - min.asm

| Сообщение посчитали полезным:

ИМХО, super_man86 наверное, имеет в виду, как ему посчитать смещение в отладчике, соответствующее найденному значению в HEX-редакторе. Хотя я тоже не совсем понял, если ты уже знаешь hex-смещение в файле, то зачем тебе RVA-значение?
super_man86 пишет:
знаю смещение в файле также(ну того места куда нужно править байты)
Ну да ладно. Посчитать значение RVA по RawOffset из HEX-редактора можно по формуле:

RVA = RawOffsetForPatch - RawOffsetOfSection + VirtualOffset + ImageBase,

где RawOffsetForPatch - адрес из HEX-редактора интересующего участка памяти для патча,
RawOffsetOfSection - смещение секции,
VirtualOffsetOfSection - виртуальное смещение секции,
ImageBase - адрес размещения в памяти.


Пример (все числа в 16-ричном формате).
RawOffsetForPatch = 1756(h)
RawOffsetOfSection = 400 (h)
VirtualOffsetOfSection = 1000 (h)
ImageBase = 400000 (h)
Нужное смещение для патча в памяти

RVA = 1756 - 400 + 1000 + 400000 = 402356 ((h)

-----
Программист SkyNet

| Сообщение посчитали полезным:

super_man86
Непонятен и смысл исходника.

1. Открываешь два файла
2. Читаешь первый в память
3. Переходишь на смещение 42222h от начала
4. Пишешь первый файл во второй.

Я так понимаю, что ты хочешь пропатчить файл?
Ну нафик тогда два файла открывать? Пиши сразу в первый:
invoke WriteFile ,hf1,ххх,6,OFFSET nBytesWrite,NULL

| Сообщение посчитали полезным:

я знаю смещение в файле
знаю ажрес размещения в памяти
вот мне нудно найти место куда записать мой код! вот ето и не получаеться!
что такое виртуальное смещение секции???
посмотри программу и что там неправильно в том моменте где я считаю место куда писать код

| Сообщение посчитали полезным:

я пишу во второй дабы по пять раз не переписывать оригинал так как после неудачной записи он портится!! приходится его снова обновлять! вот я и зделал второй как временный!
посмотри что я неправильно пишу в память?? где ошибка! допустим я адрес нахожу правильно а тогда как нужно писать в память? да вообще в етом месте пробел у меня сильный и никак немогу понять в чем дело! уже и гнижки пролистал и инет прошарил и все равно не догоняю! понять то хочеться!! если убрать часть кода где патчиться файл в памяти то он записывает второй файл идентичным первому! тоесть из памяти на диск нормально! я именно в памяти пропатчить немогу!

| Сообщение посчитали полезным:

если ты нашел смещение в файле и оно у тебя 42222h - пиши в файл как я написал выше.

Исходник сокаращается примерно до такого (нету асма под рукой, не компилил)

.386
.model flat,stdcall
option casemap:none
includelib kernel32.lib
include \masm32\include\kernel32.inc
include \masm32\include\windows.inc
.data
fname db "tttt.exe",0
xxx db 0E9h,8Ch, 00h,00h,00h,90h
.data?
hf dd ?
nBytesWrite dd ?

.code
WinMain PROC
invoke CreateFile, addr fname,GENERIC_READ or GENERIC_WRITE ,
FILE_SHARE_READ or FILE_SHARE_WRITE,
NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL
mov hf, eax
invoke SetFilePointer,hf,42222h,NULL,FILE_BEGIN
invoke WriteFile ,hf,OFFSET xxx,6,OFFSET nBytesWrite,NULL
invoke CloseHandle,hf
invoke ExitProcess,0
WinMain ENDP
end WinMain


| Сообщение посчитали полезным:

тоесть ты предлагаешь не читать файл в память а сразу писать в него?? так я понял??? ктото мне сказал что так нельзя! нужно его читать в память! или можно прямо на диске патчить????

| Сообщение посчитали полезным:

super_man86 пишет:
посмотри что я неправильно пишу в память??
Не надо писать в память - пиши прямо в файл.

| Сообщение посчитали полезным:

слушай если так все просто!!! то ето хорошо!! я тока за!
но вот все равно интерестно как пропатчить файл в памяти??? может ето и геморойно но лучше разобраться сейчас пока есть такая возможность потому что потом ета проблема у меня опять выплывет!!??? что ты думаешь по етому поводу?

| Сообщение посчитали полезным:

Дык.
Вот ты правильно к началу файла в памяти прибавляешь смещение

mov ecx, pMemory
add ecx, 42222h

А дальше зачем-то делаешь mov ecx,OFFSET xxx

Тут просто надо занести массив байт ххх в память.

MOV ESI,xxx
MOV EDI,ECX
MOV ECX, 6
REP MOVS byte ptr [EDI], byte ptr [ESI]

Типа того.

| Сообщение посчитали полезным:

ну как!! просто я неопытный! и незнающий! вот и пишу неграмотно! ошибки ето называеться! вот видишь благодаря тебе таких больше не будет!
------
спасибо! Ara. просвятил однозначно!

| Сообщение посчитали полезным:

Ну ты проверь всё, а то мож я с ошибками написал.

| Сообщение посчитали полезным:

маленькая неточность есть!!
MOV ESI, OFFSET xxx
а так все правильно!! спасибо!

| Сообщение посчитали полезным:

А да еще! вот что я делал ето геморойно! и если бы изначально делал как ты предложил! сразу в файл писать то ошибок былобы меньше! а то в память с памяти! ну и понеслось! твой способ лучше! он занимает меньше места! а чем меньше программа тем меньше она глючит! закон всесвиту!

| Сообщение посчитали полезным:

Это не мой способ. Это единственно правильный...

| Сообщение посчитали полезным:

super_man86
совет. поищи исходники лоадеров (можно и трейнеров), если хошь сделать патч в памяти, там думаю найдёшь ответы...

| Сообщение посчитали полезным:

super_man86 пишет:
все равно интерестно как пропатчить файл в памяти???

Вот тут почитай cracklab.narod.ru/doc/m_crk.htm

| Сообщение посчитали полезным: