Русский / Russian English / Английский

Сейчас на форуме: AlexUm, _MBK_ (+8 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Bad or unknow format exe file (olly)
Посл.ответ Сообщение

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 февраля 2007 21:55 New!
Цитата · Личное сообщение · #1

При попытке загрузки в olly файла выдаётся сабж. По каким параметрам olly проверяет файл на правильность? Win запускает файл без проблем.
И ещё - программа использует драйвер, лежит в той-же папке. Похоже подгружается со стартом программы, он будет загружатся во время инициализации программы в отладчике или дальше по коду?

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 1 февраля 2007 22:10 New!
Цитата · Личное сообщение · #2

В PE заголовке нужно исправить размер NumOfRvaAndSizes, должно быть = 10 (проты обычно его ставят в 12)

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 1 февраля 2007 22:18 · Поправил: Bitfry New!
Цитата · Личное сообщение · #3

Freecod пишет:
При попытке загрузки в olly файла выдаётся сабж. По каким параметрам olly проверяет файл на правильность? Win запускает файл без проблем.

А это точно PE-файл?

Freecod пишет:
И ещё - программа использует драйвер, лежит в той-же папке. Похоже подгружается со стартом программы, он будет загружатся во время инициализации программы в отладчике или дальше по коду?

Если нет TLS, то скорее всего по ходу.
Или ещё может быть драйвер нужен какой-то dll из импорта, тогда она может при инициализации его подгрузить.

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 1 февраля 2007 23:45 New!
Цитата · Личное сообщение · #4

BoOMBoX/TSRh пишет:
NumOfRvaAndSizes, должно быть = 10

Но ведь это DWORD, у меня = 7A23A9FFh

Bitfry пишет:
А это точно PE-файл?

Freecod пишет:
Win запускает файл без проблем

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 2 февраля 2007 00:20 New!
Цитата · Личное сообщение · #5

Freecod пишет:
Но ведь это DWORD, у меня = 7A23A9FFh


А что, DWORD не может быть такого вида: 00000010h?

Подправь на 00000010.

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 2 февраля 2007 00:28 New!
Цитата · Личное сообщение · #6

Логично чтож, ругнулся отладчик пару раз на becase read memory но программу загрузил
Спасибо за совет.

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 2 февраля 2007 06:57 New!
Цитата · Личное сообщение · #7

Freecod пишет:
Bitfry пишет:
А это точно PE-файл?
Freecod пишет:
Win запускает файл без проблем

Не вижу логики. Не всё что в Windows запускается есть PE-формат.

Ранг: 214.1 (наставник)
Статус: Участник

Создано: 2 февраля 2007 09:06 New!
Цитата · Личное сообщение · #8

Не всегда можно изменять NumOfRvaAndSizes на 10. если пакован протом, то файло пакованное может и не стартанет - пример только что выложили в "EXEcrypt или нет?". Если нельзя менять, то Ctrl+G (JMP) OEP
я чаше встречал Ah

Ранг: 108.7 (ветеран)
Статус: Участник

Создано: 2 февраля 2007 09:28 New!
Цитата · Личное сообщение · #9

Bitfry пишет:
Не всё что в Windows запускается есть PE-формат

Между тем файл всё-таки PE (Ведь врядли в com есть поле NumOfRvaAndSizes в заголовке ).

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 2 февраля 2007 13:12 New!
Цитата · Личное сообщение · #10

Freecod пишет:
При попытке загрузки в olly файла выдаётся сабж

OllyShadow рулит!

Ранг: 116.1 (ветеран)
Статус: Участник

Создано: 2 февраля 2007 13:14 New!
Цитата · Личное сообщение · #11

gegter пишет:
Не всегда можно изменять NumOfRvaAndSizes на 10



Ну есссссенно, если прот проверяет CRC PE заголовка, то и не стартанет


Ранг: 1121.8 (!!!!)
Статус: Участник

Создано: 2 февраля 2007 17:21 New!
Цитата · Личное сообщение · #12

Freecod пишет:
При попытке загрузки в olly файла выдаётся сабж.


Используй плагин Olly Advanced - вкладка с багфиксами.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 2 февраля 2007 19:33 New!
Цитата · Личное сообщение · #13

Freecod пишет:
При попытке загрузки в olly файла выдаётся сабж

А можно юзать дьябло эдишн. Там вроде этот глук убран...
 eXeL@B —› Основной форум —› Bad or unknow format exe file (olly)

Видеокурс ВЗЛОМ