eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Vicshann (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Что это за ошибка? (листинг из HexRays)
Посл.ответ Сообщение

Ранг: 6.8 (гость)
Статус: Участник

Создано: 18 октября 2017 16:50 New!
Цитата · Личное сообщение · #1

Что это за ошибка - и как её исправлять .

--> Link <--

Ранг: 376.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 18 октября 2017 17:53 New!
Цитата · Личное сообщение · #2

Название темы и содержание многообещающие.
Листинг из HexRays??

| Сообщение посчитали полезным: difexacaw


Ранг: 19.7 (новичок)
Статус: Участник

Создано: 18 октября 2017 18:23 New!
Цитата · Личное сообщение · #3

если вы про MEMORY[ADDR] - то это же очевидно, данный елемент находится в памяти которая инициализируется самой прогой
этот же вариант подтвержает вротой аргумент со значением 0x12345678 в предыдущей функции, которая скорее всего и аллоцирует то что ей нужно по этому адресу.
так что это не ошибка, и её не исправишь.
потом функция скорее всего void типа, а не _DWORD *(во всяком случае так более логично)

Ранг: 6.8 (гость)
Статус: Участник

Создано: 18 октября 2017 20:25 New!
Цитата · Личное сообщение · #4

ELF_7719116 пишет:
(во всяком случае так более логично

Да листинг из HexRays.

RevCred пишет:
если вы про MEMORY[ADDR] - то это же очевидно, данный елемент находится в памяти которая инициализируется самой прогой
этот же вариант подтвержает вротой аргумент со значением 0x12345678 в предыдущей функции, которая скорее всего и аллоцирует то что ей нужно по этому адресу.
так что это не ошибка, и её не исправишь.
потом функция скорее всего void типа, а не _DWORD *(во всяком случае так более логично)


То-есть на это не обращать внимание ,это не ошибка ???


Ранг: 291.2 (наставник)
Статус: Участник

Создано: 18 октября 2017 20:45 New!
Цитата · Личное сообщение · #5

Покажите же исходный листинг, при свёртке теряется инфа. Декомпиль нужен лишь тем, кто не знает исходного языка, который декомпилится. Что за наркоманские конструкции (void *)..

Ранг: 6.8 (гость)
Статус: Участник

Создано: 18 октября 2017 21:00 New!
Цитата · Личное сообщение · #6

difexacaw пишет:
Покажите же исходный листинг, при свёртке теряется инфа. Декомпиль нужен лишь тем, кто не знает исходного языка, который декомпилится. Что за наркоманские конструкции (void *)..


Ну тык - не я же кодил то что ковыряю
Исходный код на C++ ...

Добавлено спустя 3 минуты
Не понятные в листинге sub_00000 например ,это то что не смог распознать декомпилятор???

Ранг: 126.6 (ветеран)
Статус: Участник

Создано: 18 октября 2017 22:38 New!
Цитата · Личное сообщение · #7

SlaxHook пишет:
Не понятные в листинге sub_00000 например ,это то что не смог распознать декомпилятор?

Это функция автоматически именованная IDA
Для типичных случаев происходит так:
-sub_XXXXXX() при декомпиле x86/64 бинарников (Windows, OSX) с адресом функции в XXXXXX
-_name/__name() для функций распознанных алгоритмом FLIRT
-чистые имена только если в файле содержится инфа об изначальном именовании

Ранг: 12.2 (новичок)
Статус: Участник

Создано: 19 октября 2017 08:07 New!
Цитата · Личное сообщение · #8

SlaxHook, Это функция - шаблон для шелкода. В данном виде она не выполняется. Найди ссылки на неё из других, скорее всего 0x12345678 в ней заменяются на конкретные адреса, код грузится в другой процесс и выполняется уже там.

Ранг: 6.8 (гость)
Статус: Участник

Создано: 19 октября 2017 08:40 · Поправил: SlaxHook New!
Цитата · Личное сообщение · #9

VOLKOFF пишет:
Это функция автоматически именованная IDA
Для типичных случаев происходит так:
-sub_XXXXXX() при декомпиле x86/64 бинарников (Windows, OSX) с адресом функции в XXXXXX
-_name/__name() для функций распознанных алгоритмом FLIRT
-чистые имена только если в файле содержится инфа об изначальном именовании


Большое спасибо за развёрнутый ответ.


srm60171 пишет:
SlaxHook, Это функция - шаблон для шелкода. В данном виде она не выполняется. Найди ссылки на неё из других, скорее всего 0x12345678 в ней заменяются на конкретные адреса, код грузится в другой процесс и выполняется уже там.


То-то я и смотрю
То что она выполняется в другом процессе - это да - так как есть функция CreateProcess ,вот не могу найти ,какими данными заполняется CreateProcess


Ранг: 1010.0 (!!!!)
Статус: Участник

Создано: 22 октября 2017 13:24 New!
Цитата · Личное сообщение · #10

SlaxHook пишет:
Ну тык - не я же кодил то что ковыряю
Исходный код на C++ ...

исходный код подразумевалось АСМ код из ИДЫ
что бы понять правильно ли рейс его декомпильнул или что то не так прооптимайзил
 eXeL@B —› Вопросы новичков —› Что это за ошибка? (листинг из HexRays)

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS