Русский / Russian English / Английский

Сейчас на форуме: Lumpupu (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› inline patch для PEtite 2.x -> Ian Luck
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 14 октября 2004 02:02 New!
Цитата · Личное сообщение · #1

Кто нибудь делал inline'ы для этого пакера (PEtite 2.x -> Ian Luck), если можно ссылочку или како-нибудь тутор. Зарание благодарен, а то сам че то порыл не смог.



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 октября 2004 02:42 New!
Цитата · Личное сообщение · #2

Лучше распаковать, хотя можно и патчить..




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 14 октября 2004 02:47 New!
Цитата · Личное сообщение · #3

Дык распаковать, то хорошо, но лучше заинлайнить и патч сделать, чем крякед.ехе распространять.

WaNDeR
А в чём именно проблема? Не можешь переход на ОЕР найти?



Ранг: 450.1 (мудрец)
Статус: Участник

Создано: 14 октября 2004 03:07 New!
Цитата · Личное сообщение · #4

Вот, нашёл у ся в дебрях винта ;)

_1582032370__petite_21.txt



Ранг: 0.0 (гость)
Статус: Участник

Создано: 15 октября 2004 00:46 New!
Цитата · Личное сообщение · #5

WELL
Да не OEP я нашел и распокавал, а вот как допустим исправить переход с правельного OEP на мой, я допустим не доганяю в UPX допустим все просто там по адресу лежит jmp OEP, взяли и исправили а здесь по адресу где должен быт jmp OEP, адреса нет так как он я понимаю еще упакован .
Asterix
Почитаю пасиб

Но я так понимаю на практике это ни кто не делал?




Ранг: 266.8 (наставник)
Статус: Участник
very WELL :)

Создано: 15 октября 2004 01:28 New!
Цитата · Личное сообщение · #6

WaNDeR пишет:
а здесь по адресу где должен быт jmp OEP, адреса нет так как он я понимаю еще упакован

jmp OEP вообще кажись только в УПИксе лежит открытым текстом.
Дай ссылку на прогу, я потом гляну.



Ранг: 0.0 (гость)
Статус: Участник

Создано: 15 октября 2004 23:21 New!
Цитата · Личное сообщение · #7

www.snapfiles.com/dlnow/rdir.dll?id=107553
прога Hmonitor



Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 18 октября 2004 03:11 New!
Цитата · Личное сообщение · #8

Я делал инлайн для петита так:
в аттаче выше
0137:004DA047  682A1C4100          PUSH    00411C2A

0137:004DA04C 64FF3500000000 PUSH DWORD PTR FS:[00000000]
0137:004DA053 64892500000000 MOV FS:[00000000],ESP

Вот сразу после EP идет push 411c2a. Это указатель обработчика SEH. Петит после первого слоя распаковки вызывает кривой опкод, и попадает в это обработчик для проверки CRC. Просто заменяете этот адрес на свой, делаете свое дело (прога уже распакована) и передаете упарвление оригинальному SEH. Поправить мессаджбокс с сообщением о вирусе можно там же - думаю, разберетесь как, это несложно.


 eXeL@B —› Основной форум —› inline patch для PEtite 2.x -> Ian Luck

Видеокурс ВЗЛОМ