eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Сохранить изменённую информацию
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 24 августа 2013 12:53 New!
Цитата · Личное сообщение · #1

У меня имеется программа, в которой нужно изменить название файла, который она создаёт после запуска. Сама программа написана на ассемблере.
В дампе памяти я нашёл, то место, в котором нужно изменить название, изменяю, но почему-то сохранение не выходит. Сейчас расскажу, как я всё делаю:
Запускаю Олли – открываю файл – F9 – кнопка M – Поиск – ввожу имя – находит результат – выделяю нужное название – ctrl+e –вписываю изменение – ок.
Теперь мне нужно сохранить. Почитав информацию с гугла, делаю таким образом:
Правой клавишей- copy to executable – selection-(открывается окно) – Copy –select all –save file.
И получаю сообщение, что нету изменений.



В итоге, ничего не изменилось. Подскажите, что я делаю не так. Уже перечитал кучу справок, но нужного ответа найти не могу. Спасибо.


Ранг: 657.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 24 августа 2013 13:03 New!
Цитата · Личное сообщение · #2

Видимо, изменяете значение в виртуальной памяти, но этот участок памяти не принадлежит образу. Т.е. говоря простым языком, вы меняете значение, которое к самому ехе никакого отношения не имеет. В результате Олли и пишет, что изменений нет, т.к. память, в которой вы что-то поменяли, выделяется программой во время её работы и на диске не сохраняется. В общем, не то место нашли.

Ранг: 377.9 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 24 августа 2013 13:05 New!
Цитата · Личное сообщение · #3

Givemelov4
Для начала: Вы проверяли, упакована ли программа? Может там UPX какой нибудь - возьмите PEiD и посмотрите, или скажите имена секций. Вообще, неплохо бы Вам выложить саму программу.

Ранг: 0.2 (гость)
Статус: Участник

Создано: 24 августа 2013 13:25 · Поправил: Givemelov4 New!
Цитата · Личное сообщение · #4

Насколько я понял,упакована UPX1:


Скрин секции:


Изменение происходит в этом месте:

Ранг: 617.3 (!)
Статус: Участник

Создано: 24 августа 2013 14:12 New!
Цитата · Личное сообщение · #5

Распаковывай UPX и патч
Либо инлайнь.
и то и то просто и мануалов много.

Ранг: 61.5 (постоянный)
Статус: Участник

Создано: 25 августа 2013 00:04 · Поправил: Gerpes New!
Цитата · Личное сообщение · #6

--> Для другана ка-то записывал по инлайну упх <-- думаю, подойдет, имхо, все понятно.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 25 августа 2013 00:32 · Поправил: Модератор New!
Цитата · Личное сообщение · #7

Заюзайте загрузчик, не занимайтесь ... http://exelab.ru/f/index.php?action=vthread&forum=1&topic=22089&page=0#18

Если нет виртуализации и антидампа, то ресерч есть абсурд. ... нужен депак, ежели в памяти всё анпаковано

ARCHANGEL
Со статикой только инфекторы работают.

От модератора: ты утомил уже материться, веди себя прилично, в следующий раз будет бан
 eXeL@B —› Вопросы новичков —› Сохранить изменённую информацию

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS