eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Inline Empty Byte Finder
Посл.ответ Сообщение

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 18:47 · Поправил: dosprog New!
Цитата · Личное сообщение · #1

Inline Empty Byte Finder

--> Интересная тулза для отыскания свободного места в PE-EXE для врезки туда вставки. <--


Inline Empty Byte Finder это тулза, помогающая отыскать внутри EXE/DLL файла свободное место для врезки туда собственного кода. Тулза может проверять секции на наличие желаемых флагов, необходимых для инлайна. Inline finder ищет поля, имеющие заданный размер, но также отображает и найденные свободные поля большего размера, нежели заданный. При поиске также проверяется, не пересекает ли найденное свободное поле границу секции.

Фичи:

- Поддержка "перетаскивания" файла-аргумента
- Поддержка командной строки OS
- Задание значения символа-заполнителя искомого свободного поля
- Задание желаемых флагов секции, где ищутся свободные поля.
- Вызов Hex-редактора (Hiew32) с передачей ему найденного смещения в файле.

| Сообщение посчитали полезным: hypn0, Boostyq, VOLKOFF, chessgod101, v00doo, 4kusNick, AKAB, GMAP, DICI BF


Ранг: 241.7 (наставник)
Статус: Участник

Создано: 15 июля 2018 19:00 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #2

Есть какие-то принципиальные отличия от ToPo 99 года?

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:07 · Поправил: dosprog New!
Цитата · Личное сообщение · #3

Да тут совсем другой принцип.
ToPo добавляет секцию,
а эта тулза просто ищет и отображает список свободных участков в файле,
которые потенциально можно использовать.

Это приходилось делать вручную, нашаривая в Hiew и помечая участок,
чтобы увидеть его размер - устраивает ли он.

Тулза же выводит список таких найденных участков, и можно сразу "перейти"
на любой из них, вызвав из неё же Hiew.

Весьма симпатично.

| Сообщение посчитали полезным: TryAga1n


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 15 июля 2018 19:09 New!
Цитата · Личное сообщение · #4

TryAga1n Не знаю как ToPo, но этот PE+ поддерживает.


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 15 июля 2018 19:09 New!
Цитата · Личное сообщение · #5

все таки лучше перестраховаться и ручками в два клика добавить свой секцион

| Сообщение посчитали полезным: shellstorm


Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:10 · Поправил: dosprog New!
Цитата · Личное сообщение · #6

Kindly пишет:
все таки лучше перестраховаться и ручками в два клика добавить свой секцион

Секции тулза не добавляет, - для этого можно пользоваться чем-то другим, по желанию.


Ранг: 241.7 (наставник)
Статус: Участник

Создано: 15 июля 2018 19:18 New!
Цитата · Личное сообщение · #7

ToPo умеет не только добавлять секции, но и искать cave'ы в существующих. Однако выбора он не дает, в этом софте функционал явно интереснее. Спасибо, заберу в коллецию.


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 15 июля 2018 19:19 New!
Цитата · Личное сообщение · #8

dosprog пишет:
Секции тулза не добавляет

да понятно, я к тому, что лучше оставить выбор за собой. и не обязательно свободным местом могут быть нули, могут быть и другие байты и прочий кодес, который может быть никогда не вызван.

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:19 New!
Цитата · Личное сообщение · #9

ToPo какая-то сумбурная. Никогда не пользовался ею.

Добавлено спустя 1 минуту
Kindly пишет:
и не обязательно свободным местом могут быть нули, могут быть и другие байты и прочий кодес, который может быть никогда не вызван.

Это уже другой случай, автоматикой такое делать смысла не имеет.


Ранг: 127.6 (ветеран)
Статус: Участник

Создано: 15 июля 2018 19:24 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #10

Прикольно, но так-то есть готовые решения.

В CE вполне неплохой поиск code cave реализован, хоть и вывод не самый информативный.
Есть OllySpelunk (code cave finder for OllyDbg v2.01)
Есть скрипт Code Cave Finder
Есть pycave
Есть CAVE MINER
тысячи их...

Ранг: 241.7 (наставник)
Статус: Участник

Создано: 15 июля 2018 19:27 New!
Цитата · Личное сообщение · #11

VOLKOFF, ну ставить питон, чтобы найти кейвы - это наркомания)

| Сообщение посчитали полезным: dosprog


Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:28 · Поправил: dosprog New!
Цитата · Личное сообщение · #12

VOLKOFF, так-то оно да, - но тут совпало желаемое с имеющимся.
Подумывал когда-то сам завоять функционально такую же утиль, да всё ленился.
И вот пожалуйста..


Ранг: 127.6 (ветеран)
Статус: Участник

Создано: 15 июля 2018 19:39 New!
Цитата · Личное сообщение · #13

TryAga1n пишет:
ставить питон, чтобы найти кейвы - это наркомания

в 2018 заниматься реверсом и не иметь на машине питон это наркомания

dosprog пишет:
Подумывал когда-то сам завоять функционально такую же утиль

ну все вышеприведенное опенурс ;)

| Сообщение посчитали полезным: -Sanchez-


Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:42 New!
Цитата · Личное сообщение · #14

VOLKOFF пишет:
ну все вышеприведенное опенурс ;)

) Как-то так выходит, что чаще всего ковыряться начинаю "с ноля".
А в опенсурс если, бывает, влезу, то ковырну самую малость и дальше дело нейдёт, в благоговении.


Ранг: 241.7 (наставник)
Статус: Участник

Создано: 15 июля 2018 19:42 · Поправил: TryAga1n New!
Цитата · Личное сообщение · #15

VOLKOFF, я из староверов
А реверсинг для меня - это приятное времяпровождение, а не сфера деятельности или средство заработка)
Но раз уж на то пошло, может сделаете топик с подборкой юзабельных в реверсе скриптов на питоне? Было бы занятно посмотреть и узнать что-нибудь новое и интересное.

| Сообщение посчитали полезным: sefkrd, Lambda


Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 15 июля 2018 19:44 New!
Цитата · Личное сообщение · #16

Кстати, да.

Ранг: 127.6 (ветеран)
Статус: Участник

Создано: 15 июля 2018 20:05 New!
Цитата · Личное сообщение · #17

TryAga1n пишет:
я из староверов

В уме дизассемблируете?
Для той же иды подавляющая часть плугов хочет питон, хотя усложнять себе жизнь не запретишь

TryAga1n пишет:
может сделаете топик с подборкой юзабельных в реверсе скриптов на питоне?

А что разве нет по сабжу тут инфы? Странно... Надо будет это упущение как-нибудь исправить.

| Сообщение посчитали полезным: shellstorm



Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 16 июля 2018 03:01 New!
Цитата · Личное сообщение · #18

dosprog пишет:
Это приходилось делать вручную


code cave finder


Ранг: 292.8 (наставник)
Статус: Участник

Создано: 16 июля 2018 18:15 New!
Цитата · Личное сообщение · #19

Сжать модуль и прицепить загрузчик. И не нужно портить ничего и искать пространства

Секцию добавлять или как то вообще изменять модуль не вариант - отвалится оно после проверок целостности. А с загрузчиком таких проблем не возникнет.

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 17 июля 2018 21:03 · Поправил: dosprog New!
Цитата · Личное сообщение · #20

--post removed--
 eXeL@B —› Софт, инструменты —› Inline Empty Byte Finder

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS