Русский / Russian English / Английский

Сейчас на форуме: seb77 (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Что делает код.
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 6 декабря 2004 11:21 New!
Цитата · Личное сообщение · #1

Имеется следующий код:

push ebp
push $004DC6FE
push dword ptr fs:[eax]
mov fs:[eax], esp

Как узнать, что в 004DC6FE и что значит - fs: ?


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 6 декабря 2004 11:27 New!
Цитата · Личное сообщение · #2

FuckMan учи ассемблер... это SEH конструкция, $004DC6FE адрес обработчика исключительных ситуаций... А вообще - это тебе не пригодится, если прогу ломаешь ))

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 6 декабря 2004 13:30 New!
Цитата · Личное сообщение · #3

FuckMan пишет:
что значит - fs

FS - сегментный регистр процессора. Во всех доках пишется, что он используется виндами внутренне, но многие программы так не считают (естественно, сохранив содержимое). В данном случае, похоже, тебе (как крякеру) это действительно не нужно, но чисто из интереса напишите, пожалуйста, где об этой конструкции можно прочитать.


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 6 декабря 2004 13:58 New!
Цитата · Личное сообщение · #4

Bitfry
про сехи чтоли ? на ваме почитай =)

Ранг: 3.6 (гость)
Статус: Участник

Создано: 6 декабря 2004 14:32 New!
Цитата · Личное сообщение · #5

Bitfry
Энджой!
h**p://glm.nm.ru/seh.c

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 6 декабря 2004 15:31 New!
Цитата · Личное сообщение · #6

Gloomy
Спасибо


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 7 декабря 2004 00:06 New!
Цитата · Личное сообщение · #7

FuckMan пишет:
push ebp
push $004DC6FE
push dword ptr fs:[eax]
mov fs:[eax], esp

Короче это стандартный мусор любого протектора - SEH... суть такова - если после этого кода произойдет ошибка в проге, то программа jmp'ается на $004DC6FE. То есть обычно это юзается в нормальных прогах для установки обработчиков исключений, а в протекторах для запутывания кода... и юзается лишь как jmp аналог (но только для запутывания кода).

fs - сегмент fs, но в винде нет сегментов - это пережиток 16 битной винды (3.11)

А вообще почитай книжки по асму или хотябы статьи на wasm'е - в них дао


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 7 декабря 2004 02:54 · Поправил: -= ALEX =- New!
Цитата · Личное сообщение · #8

GPcH нихуя се ты прогнал ) Какой же это мусор, это как раз нужный код в программе, обработчик исключительных ситуаций, например как в дельфие "try ..... except", вот он так и будет выглядить...
А насчет мусора в протекторе, где ты видел один в один такое начало кода ))


Ранг: 534.7 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 7 декабря 2004 05:43 New!
Цитата · Личное сообщение · #9

-= ALEX =-
А по-моему гпч весьма внятно пояснил (для новичка во всяком случае).


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 7 декабря 2004 06:18 · Поправил: Mario555 New!
Цитата · Личное сообщение · #10

GPcH пишет:
в протекторах для запутывания кода... и юзается лишь как jmp аналог (но только для запутывания кода).

ну нет, далеко не только для этого =)
Используется например для самотрассировки (запись в DR регистры) ;) да и вообще доступ к структуре CONTEXT это полезно и использовать можно по-разному...
PS Шайнера спроси, он тебе ещё что-нить про применение сехов расскажет ;)

Ранг: 2.0 (гость)
Статус: Участник

Создано: 7 декабря 2004 07:25 · Поправил: gost New!
Цитата · Личное сообщение · #11

FuckMan
Вот дока по SEH на инглише

Ранг: 2.0 (гость)
Статус: Участник

Создано: 7 декабря 2004 07:28 New!
Цитата · Личное сообщение · #12

прицепил заново (чето опера глючит)

702998410__seh.rar


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 7 декабря 2004 07:52 · Поправил: -= ALEX =- New!
Цитата · Личное сообщение · #13

Bad_guy млин, тот код, что нам предложен, не МОЖЕТ говорить нам о том, что это антиотладочный код !!! А нам он говорит о нормальном начале обработчика, коих в прогах написанных, к примеру на дельфи, дофига... Вот если б там были инструкции явно делающие исключительную ситуацию, можно было б грить об антиотладочных приемах... А так не надо парня путать...


Ранг: 631.1 (!)
Статус: Участник
Автор VB Decompiler

Создано: 7 декабря 2004 09:16 New!
Цитата · Личное сообщение · #14

-= ALEX =- пишет:
где ты видел один в один такое начало кода

Угадай

Mario555
Насчет самотрассировки я не знал


-= ALEX =- пишет:
А так не надо парня путать...

Я лишь сказал все места, где это РЕАЛЬНО использоваться может... а насчет try.. except.... врядли у чела именно этот случай, хотя, хз, если так и есть, то ты прав конечно


Ранг: 534.7 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 7 декабря 2004 09:39 New!
Цитата · Личное сообщение · #15

-= ALEX =- пишет:
Bad_guy млин, тот код, что нам предложен, не МОЖЕТ говорить нам о том, что это антиотладочный код !!!

Согласен, но не может говорить и обратного.


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 7 декабря 2004 09:52 New!
Цитата · Личное сообщение · #16

GPcH вот уверен в 99,9 % что именно такой код, который здесь приведен, именно в такой последовательности врятли юзается в антиотоадке :P Похожее по смыслу - несомненно. Это типичное начало try.. except

Ранг: 0.0 (гость)
Статус: Участник

Создано: 7 декабря 2004 23:08 New!
Цитата · Личное сообщение · #17

вобще этот код выдрпнный из DeDe

...
* Reference to: system.@LStrAddRef;
|
004DC500 E83F80F2FF call 00404544
004DC505 33C0 xor eax, eax
004DC507 55 push ebp
004DC508 68FEC64D00 push $004DC6FE

***** TRY
|
004DC50D 64FF30 push dword ptr fs:[eax]
004DC510 648920 mov fs:[eax], esp
004DC513 BF07000000 mov edi, $00000007
004DC518 BB21000000 mov ebx, $00000021
004DC51D EB16 jmp 004DC535
004DC51F 8D45EC lea eax, [ebp-$14]
004DC522 8BD3 mov edx, ebx

* Reference to: system.@LStrFromChar(String;String;Char);
|
004DC524 E8637DF2FF call 0040428C
004DC529 8B55EC mov edx, [ebp-$14]
...

типа это просто присваивание....


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 8 декабря 2004 01:54 New!
Цитата · Личное сообщение · #18

НУУ ??? и кто тут прав был ???? ))))


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 8 декабря 2004 02:13 New!
Цитата · Личное сообщение · #19


Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 8 декабря 2004 03:13 New!
Цитата · Личное сообщение · #20

FuckMan пишет:
типа это просто присваивание....

Ты не видел DOS программ, там сегмент обязательно нужно вписывать, посмотри любой учебник. Только FS в простых примерах не используется. Короче да.
 eXeL@B —› Основной форум —› Что делает код.

Видеокурс ВЗЛОМ