Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Armadill0
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 ноября 2004 04:32 New!
Цитата · Личное сообщение · #1

Вроде бы с сабжем не первый раз сталкиваюсь, скачал getright последний и никак не могу понять каким образом первый процесс расшифровывает кодовую секцию второго процесса. WaitForDebugEvent не используется, Get/SetThreadContext не вызываются.

OEP = 552A30

На oep как и во всей кодовой секции одни нули. Обычно waitfordebugevent ловит exception и подставляет страницу кода.

Я уже стал думать, что этим начал заниматься второй процесс - но в FS:0 обработчика исключений нет.

Каким еще образом может ловиться исключение ???
UnhandledExceptionFiltr установлен, но управление туда не передается.

Если кто знает - ПОДСКАЖИТЕ!

www.getright.com/get.html

или прям здесь

dl.filekicker.com/send/file/127298-4834/getrt52a.exe

Ранг: 192.3 (ветеран)
Статус: Участник
stoned machine-gunner

Создано: 21 ноября 2004 09:36 New!
Цитата · Личное сообщение · #2

хех, может там не арма теперь? =) peid что говорит?

Ранг: 45.7 (посетитель)
Статус: Участник
EBFE

Создано: 21 ноября 2004 14:41 New!
Цитата · Личное сообщение · #3

а пейд давно уже новые версии армы не знает

Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 ноября 2004 17:12 New!
Цитата · Личное сообщение · #4

gloom пишет:
хех, может там не арма теперь? =) peid что говорит?


Это арма, там есть наномиты и они обрабатываются стандартным образом через WaitForDebugEvent.
Расшифровка же кодовой секции идет не стандартным образом - и вообще непонятно как такое возможно. Если бы она юзала дрывера еще можно было бы понять - а так, хз.

Видимо, всем всем лень качать 3 метра

Ранг: 1.0 (гость)
Статус: Участник

Создано: 21 ноября 2004 18:54 New!
Цитата · Личное сообщение · #5

Вопрос снимается.
Следствие из первого поста: дешифрование секции там не используется - только наномиты и хренова туча переходов (E9) из кодовой секции.
 eXeL@B —› Основной форум —› Armadill0

Видеокурс ВЗЛОМ