Доброе утро всем!Возможно мой вопрос для вас покажеться глупым,или кто-то уже такой вопрос задавал,на форуме я подобного не нашел.((((

В некоторых exe собраных в Visual Studio,а также запакованых ехе,например Upx-сом в одной секции содержитться несколько секций,например в ехе упакованом Upx в секции .rsrc содержиться секция инициализированых данны,а также секция имопрта и ресурсов.Чтобы найти адреса этих секций,нужно посмотреть адреса их директорий через структуру DataDirectory,в которой только два параметра это VOffset и VSize,для code директории нет,для определения ее местоположения юзаються два поля из опционального заголовка-Base of Code и Size of Code.Мне нужно узнать ROffset и RSize.С ROffset-ом все понятно,там по формуле вычисляеться,а какая формула для RSize,как его вычислить?

| Сообщение посчитали полезным:

Вроде была такая тема, только давно. Кажись сошлись что только примерно и сигнатурно можно определить некоторые секции.

| Сообщение посчитали полезным:

не совсем воткнул в вопрос, чем Size of Code не устраивает? ну или как вариант, смотреть какой секции принадлежит Base of Code и считать её кодовой?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn,мне перед тем как работать с секциями,нужно кое что проверить:
1)Есть ли в секции оверлей if(RSize>VSize) или в ней содержаться неинициализированые данные if(RSize<VSize),или же RSize==VSize

2)Мне секцию шифровать нужно только в пределах ROffset~ROffset+RSize;

Короче,как не крути а нужно знать RSize((

| Сообщение посчитали полезным:

Sawyer
в секции оверлей? оверлей идет после всех секций и им не принадлежит. обычно в кодовой секции находится только код.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ну я кодовую секцию так для примера привел.
Читал статью zOmbie,он там привел примеры ситуаций,которые я выше описал.
Вобщем суть в том чтобы зашифровать содержимое секции на диске,а так как я незнаю ее реального размера,то могу выйти за ее пределы,и покоцать следующую секцию.

| Сообщение посчитали полезным:

Sawyer ну в таблице секций же есть размер секции (виртуальный и реальный)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn так и есть.Ты меня немного не понял.Я же привел пример с Upx.

например Upx-сом в одной секции содержитться несколько секций,например в ехе упакованом Upx в секции .rsrc содержиться секция инициализированых данны,а также секция имопрта и ресурсов

Например мне нужно зашифровать секцию инициализированых данны,а ее реального размера я незнаю.Может быть покоцана секция импорта,если ROffset+VOffset секции с данными будет больше чем ROffset секци импорта.Я понимаю конечто,что можна проверять долго и уныло не выходит ли каждая директория за границу следующей,но может есть более нормальный способ?

| Сообщение посчитали полезным:

Мне, при распаковке программ, упакованных PEP, Themida и т.п., часто приходится восстанавливать оригинальные секции файлов. Для этих целей, я определяю, на каком языке была написана программа, нахожу неупакованные программы, написанные на этом языке, и путем тупого сравнения, нахожу нужные секции с их размерами. Для этих целей, я даже написал скрипт, который, перед дампированием памяти программы, корректирует PE-заголовок файла. Правда, в этот скрипт, начало каждой секции я ввожу вручную, а дальше скрипт сам вычисляет размеры секций, и корректирует PE-заголовок.

b6d1_30.03.2012_EXELAB.rU.tgz - Themida - Корректировка PE-заголовка и дампирование распакованного файла.osc

| Сообщение посчитали полезным: Sawyer

vnekrilov спасибо,но это все не то.Я начал писать свой протектор,так что он должен быть универсальным для всех PE файлов,реальный размер нужно автоматически определить.Просто думал что есть какой то документированый способ,формула что ли.(((((

| Сообщение посчитали полезным:

Sawyer, тебе лень проверить что тебе Hellspawn сказал?
на примере блокнота под upx



Что мы видим? Base of code = VAddr UPX1, Size of code = VSize UPX1.
Отсюда RAddr= RAddr UPX1, RSize = min(Size of code, RSize UPX1)
Импорт и ресурсы лежат уже в следующей секции, и не попадают в Base of code+Size of code

| Сообщение посчитали полезным:

Veliant ну а например как бысть с WinSpy++,собран в Visual C++ 6.0



BaseOfCode RVA=00001000;VA=4000001000;ROffset=400;

SizeOfCode вобще равен 0,и что теперь делалать?

| Сообщение посчитали полезным:

Sawyer пишет:
SizeOfCode вобще равен 0,и что теперь делалать?
Пробежаться по всем секциям и посмотреть, у которых стоят IMAGE_SCN_MEM_EXECUTE и IMAGE_SCN_CNT_CODE

Если боишься нарваться на импорт, ресурс и прочее, то почему бы не посмотреть их адреса, и не лезть за них

Не спорю, есть exe у которых и эти биты затерты. Получается нужно смотреть размер секции на которую указывает baseofcode и пропускать в ней все остальные данные при шифровании

| Сообщение посчитали полезным: Sawyer

Veliant все я суть уловил.Благодарю

| Сообщение посчитали полезным:

Sawyer
А вот я не уловил. Получается, я при компиляции собираю свой софт с указанием линкеру слить всё в одну секцию (опция /merge), потом выставляю всем секциям одинаковые атрибуты, и затираю неиспользуемые Base of Code/Data, и чё - протектор такой файл не упакует? Хреновый какой-то у вас протектор получается.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL кстати верная мысль, посмотреть как поступают другие пакеры/проты,
например тот же упх

з.ы. антивирус на такой файл будут верещать будь здоров

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ARCHANGEL пишет:
А вот я не уловил. Получается, я при компиляции собираю свой софт с указанием линкеру слить всё в одну секцию (опция /merge), потом выставляю всем секциям одинаковые атрибуты, и затираю неиспользуемые Base of Code/Data, и чё - протектор такой файл не упакует? Хреновый какой-то у вас протектор получается.
Да тут ненадо ничего изобретать после расскриптовки-расспаковки файла в памяти поставит атрибуты c помощью VirtualProtect на чтение,запись,исполнение и всё будет воркать

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
А вот я не уловил. Получается, я при компиляции собираю свой софт с указанием линкеру слить всё в одну секцию (опция /merge), потом выставляю всем секциям одинаковые атрибуты, и затираю неиспользуемые Base of Code/Data, и чё - протектор такой файл не упакует? Хреновый какой-то у вас протектор получается.

ARCHANGEL я пока алгоримт общий подбираю,чтоб для всех ехе работал.

| Сообщение посчитали полезным:

Нет такого алгоритма. Лучше ответь на вопрос, для чего нужно принциально обрабатывать только код?

| Сообщение посчитали полезным:

Archer пишет:
Лучше ответь на вопрос, для чего нужно принциально обрабатывать только код?

Несовсем понял вопрос.Ты в плане зачем нужно шифровать секцию с кодом?Или что ты имееш в виду?

| Сообщение посчитали полезным:

Зачем шифровать ТОЛЬКО код и закидывать ногу за ухо, пытаюсь отделить его секции. Почему бы не зашифровать весь образ, размеры которого вполне фиксированы, как это все делают.

| Сообщение посчитали полезным:

Разобрался с данным вопросом.Спасибо всем кто принимал участие!

| Сообщение посчитали полезным:

К чему в итоге пришел? Шифровать все и восстанавливать образ полностью? Или все таки шифровать только часть как задумывалось?

| Сообщение посчитали полезным:

Veliant пишет:
К чему в итоге пришел? Шифровать все и восстанавливать образ полностью? Или все таки шифровать только часть как задумывалось?

шифровать только часть как задумывалось.Все-таки коректный алгоритм подобрал.

| Сообщение посчитали полезным: