hidden, если тебе интерсно, могу сказать над чем вчера бился. Думаю другим будет тоже полезно. Так вот в своём первом посте я показал где hidden ищет смещение функций, так вот он пропускает mov edi,edi. Если пронопить add eax,2h, то смещение будет к первому байту апи.
И олька будет показывать куда ведёт jmp. Бился я над автоматизацией процесса.
Таблица:
0040128A -E9 4BBB417C JMP kernel32.ExitProcess
...
00401352 -E9 404AB177 JMP GDI32.SetTextColor
Но как только я узнал, что у Протиуса уже начали вырисовываться квадратики я забил на это неблагодарное дело. И начал реверсить...
Вот теперь решил вернуться к скрипту))) Естественно улучшил его, теперь он call'ы редактирует. И теперь ненадо по ним ходить.
Код:
var vesp
var xx
sti
FINDOP eip,#E92A#
bp $RESULT
run
bc $RESULT
bp 00401BF0
run
bc 00401BF0
sto
sto
sto
sto
sti
asm 00401444,"nop"
asm 00401445,"nop"
asm 00401446,"nop"
bp 0040100E
run
bc 0040100E
var AddrJmp
mov AddrJmp,0040128A
sub AddrJmp,5
metka1:
add AddrJmp,5
bp AddrJmp
cmp AddrJmp,00401352
jne metka1
run
back:
mov vesp,[esp]
bp vesp
sto
mov xx,eip
sub xx,vesp
sub vesp,4
mov [vesp],xx
run
bc eip
run
jmp back
Адреса естественно свои должны стоять))