Возможно ли изменить имя модуля

Сейчас на форуме: tyns777, zds, JustLife, 2nd, morgot (+4 невидимых)

Посл.ответ	Сообщение
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 22 мая 2009 23:27 · Личное сообщение · #1 Имеется код, загружается по стандартному imagebase = 00400000h Code: MOV ECX,100000h MOV EAX,DWORD PTR FS:[30] ADD EAX,8 MOV DWORD PTR DS:[EAX],ECX PUSH 0 CALL GetModuleHandleA PUSH 300h PUSH offset buff PUSH EAX CALL GetModuleFileNameA После произведенных манипуляций функция GetModuleHandleA вернет 100000h, а функция GetModuleFileNameA не вернет имя модуля т.к. фактически он загружен по 400000h. Возможно ли при изменении адреса загрузки модуля этим способом сделать так чтобы GetModuleFileNameA возвращала верное имя модуля? ----- Nulla aetas ad discendum sera

SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 22 мая 2009 23:39 · Личное сообщение · #2 PEB ----- Shalom ebanats!
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 23 мая 2009 08:03 · Личное сообщение · #3 А если конкретней-возьми и потрассируй функцию эту получения имени. И погляди, где именно ещё нужно базу спатчить, ибо функа чисто юзермодная, насколько я помню.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 23 мая 2009 11:35 · Личное сообщение · #4 PEB + PEB_LDR_DATA на всякий случай ----- [nice coder and reverser]
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 23 мая 2009 11:40 · Личное сообщение · #5 Всем спасибо Сделал так Code: MOV ECX,0100000h MOV EAX,DWORD PTR FS:[030h] ADD EAX,8 MOV DWORD PTR DS:[EAX],ECX MOV EAX,DWORD PTR FS:[030h] ADD EAX,0Ch MOV EAX,DWORD PTR DS:[EAX] ADD EAX,048h MOV DWORD PTR DS:[EAX],ECX PUSH 0 CALL GetModuleHandleA PUSH 0300h PUSH offset buff PUSH EAX CALL GetModuleFileNameA PUSH 0 PUSH offset title PUSH offset buff PUSH 0 CALL MessageBoxA PUSH 0 CALL ExitProcess Интересно на висте теже смещения в структурах? ----- Nulla aetas ad discendum sera
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 23 мая 2009 11:57 · Личное сообщение · #6 PEB Vista www.nirsoft.net/kernel_struct/vista/PEB.html ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
cppasm Ранг: 251.3 (наставник), 81thx Активность: 0.14↘0.11 Статус: Участник	Создано: 23 мая 2009 13:47 · Личное сообщение · #7 Flint это конечно мелочи, но вот это: Code: MOV ECX,0100000h MOV EAX,DWORD PTR FS:[030h] ADD EAX,8 MOV DWORD PTR DS:[EAX],ECX MOV EAX,DWORD PTR FS:[030h] ADD EAX,0Ch MOV EAX,DWORD PTR DS:[EAX] ADD EAX,048h MOV DWORD PTR DS:[EAX],ECX эквивалентно этому: Code: MOV ECX,0100000h MOV EAX,DWORD PTR FS:[030h] ADD EAX,8 MOV DWORD PTR DS:[EAX],ECX ADD EAX,4 MOV EAX,DWORD PTR DS:[EAX] ADD EAX,048h MOV DWORD PTR DS:[EAX],ECX
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 23 мая 2009 17:50 · Личное сообщение · #8 Раз уж на то пошло, можно уместить в 4 строчки, просто предлагаю не заниматься фигнёй, а ближе к делу писать. Если сделал, топик закрыть, может?

Для печати