eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: CDK1234 (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Атрибуты секции ресурсов 40000040
Посл.ответ Сообщение


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 24 июня 2010 13:05 · Поправил: Hexxx New!
Цитата · Личное сообщение · #1

Встретил интересную штуку на одной проге. На ней самописная защита, ресурсы покриптованы и секция ресурсов имеет атрибуты 40000040. Когда программу запускаешь просто - запускается без проблем. Если из под отладчика, то валится с C0000005 на коде распаковке ресурсов. Вылечил простой заменой аттрибутов 40000040 -> E0000020. Теперь дебажится.

Но как же так? Без отладчика получается можно писать в read-only секции? Простым mov, без всяких там VirtualProtect?

Ранг: 309.8 (мудрец)
Статус: Участник

Создано: 24 июня 2010 13:47 New!
Цитата · Личное сообщение · #2

Может там ZwProtectVirtualMemory?

Ранг: 57.1 (постоянный)
Статус: Участник

Создано: 24 июня 2010 14:17 New!
Цитата · Личное сообщение · #3

Hexxxесли не слишком секретно,то можно файл? Ну или в личку ;)


Статус: Пришелец

Создано: 24 июня 2010 14:20 New!
Цитата #4

Нельзя писать даже из SEH обработчика. VirtualProtect не единственное, чем можно менять атрибуты памяти. Можно сделать прямой системный вызов, можно через драйвер (если он есть у защиты). В любом случае лучше выложить сам файл.

P.S. Есть ещё вариант, что отладчик чем-нибудь палится и защита начинает тупить. Попробуй взять мой вариант IDAStealth.


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 24 июня 2010 14:31 New!
Цитата · Личное сообщение · #5

sys_dev пишет:
если не слишком секретно

XmlShell 1.5


Статус: Пришелец

Создано: 24 июня 2010 14:45 New!
Цитата #6

Вот функция обработки исключений 0x481170.
NtProtectVirtualMemory вызывается из UnhandledExceptionFilter. Ничего не патчил, всё прекрасно отлаживается. Какие проблемы?


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 24 июня 2010 15:23 New!
Цитата · Личное сообщение · #7

протупил
 eXeL@B —› Основной форум —› Атрибуты секции ресурсов 40000040
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS