eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subword (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› mPack - mario PACKer
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 25 июня 2006 18:26 New!
Цитата · Личное сообщение · #1

mPack - mario PACKer
simple Win32 PE Executable compressor
Coded in Delphi 5!
Proof of Concept that a Packer can be done in Delphi!
mPack version 0.0.2
© DeltaAziz
Забавная штука если это пакер то он ни хрена жмет если протектор то отстойный


{ Атач доступен только для участников форума } - mpack0.0.2.rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 27 июня 2006 18:56 New!
Цитата · Личное сообщение · #2

Может я туплю? Но я не понимаю чего ты хочешь сделать ?
Чем тебя первый вариант не устраивает?


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 27 июня 2006 19:25 New!
Цитата · Личное сообщение · #3

pavka
Я хочу прикрутить импорт тэбл, чтобы загрузчик виндовс разбирал его и заполнял импорт аддресс тэбл. Что такое у нас импорт аддресс тэбл - массив адресов, которые используются для перехода на апи типа call [addr], где [addr]=addr of API func, то, что ты показываешь. Для чего это делать? В разных версиях системы ImageBase библиотек немного различается, и поэтому в одной версии адрес мисажбкс 77885678, а в другой 77975432, так вот у тебя таблице 1-ый вариант, принёс на работу, а там система другая. Загрузчик бы занёс правильный адрес для неё(второй вариант), но так как ты ему инфы не даёшь (импорт тэбл), то он ничего ин не делает. Угадай что при вызове случится Так вот в памяти как раз валяется целая импорт тэбл, это же вставляет и импрек. Если просто скопировать и указатели поменять в хидере, то мы не должны юзать импрек. Вот и хочу припаять ИТ.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июня 2006 04:42 New!
Цитата · Личное сообщение · #4

Вот посмотри он заполняет таблицу которую будет использовать!
003916B2 42 inc edx
003916B3 51 push ecx
003916B4 52 push edx
003916B5 52 push edx
003916B6 56 push esi
003916B7 FF95 06190000 call dword ptr ss:[ebp+1906] ; kernel32.GetProcAddress
003916BD 8907 mov dword ptr ds:[edi],eax
003916BF 5A pop edx
003916C0 0FB642 FF movzx eax,byte ptr ds:[edx-1]
003916C4 03D0 add edx,eax
003916C6 59 pop ecx
003916C7 42 inc edx
003916C8 83C7 04 add edi,4
003916CB ^ E2 E5 loopd short 003916B2
003916CD ^ EB B0 jmp short 0039167F


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 28 июня 2006 09:58 · Поправил: Rascal New!
Цитата · Личное сообщение · #5

pavka
Я это видел уже 3 раза ) Итак, вспоминаем, как работает PE!!! Я в предыдущем написал примерно. Теперь расскажи, что по-твоему будет, если мы перенесём дамп в другую винду!?

[ADDED]
http://exelab.ru/art/?action=view&id=325
Вот то, что я хочу сделать =)) Директорию импорта восстановить сам, ибо импорт валяется целый, точнее THUNKS


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 28 июня 2006 10:12 · Поправил: PE_Kill New!
Цитата · Личное сообщение · #6

Rascal так ты хочешь без импрека обойтись? Или я тоже не вкурил?

ЗЫ Все допер, удачи...


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 28 июня 2006 10:13 · Поправил: Rascal New!
Цитата · Личное сообщение · #7

PE_Kill
Опередил на секунд 10

PE_Kill пишет:
так ты хочешь без импрека обойтись

Я это вроде 2 раза написал, ну 1 точно!

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июня 2006 10:52 New!
Цитата · Личное сообщение · #8

Rascal Я это видел уже 3 раза )

А к чему тогда вопросы как это будет работать на другой системе! Если он этой прцедурой заполняет таблицу под ось на которой запущен!
А впрочем все равно получается разговор слепого с глухим! ;) Удачи!


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 28 июня 2006 13:16 New!
Цитата · Личное сообщение · #9

pavka пишет:
Если он этой прцедурой заполняет таблицу под ось на которой запущен!

Если в дамп забацать эту функцию, тогда да, но всё равно копировать надо имена апи.
Короче, тему закрывай, и не будем париться

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 28 июня 2006 13:19 New!
Цитата · Личное сообщение · #10

Rascal
Наконец томы друг друга поняли закрываем!
<< . 1 . 2 .
 eXeL@B —› Софт, инструменты —› mPack - mario PACKer

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS