ANTICHAT — форум по информационной безопасности, OSINT и технологиям

2ntldr

да выполняться код может везде, где проставлены соответствующие аттрибуты. Olly просто обращает внимание на тот факт, что точка входа проги находится не в пределах BaseOfCode <= EP <= BaseOfCode + SizeOfCode. Но это ниначто впринципе не влияет ))).

Расширить - это смотря какую секцию по счёту. Если последнюю - то элементарно - исправляешь VirtualSize (выравнивать не нужно), SizeOfRawData (выровнить на filealignment), SizeOfImage (выровнять на sectionalignment) ну и точку входа по желанию. Ну и всё вроде. Если не последняя, то нужно сдвигать и остальные секции, править релоки, таблицу директорий и тд.

Ну да и следи чтобы 1) VirtualSize => SizeOfRawData 2) PointerToRawData + SizeOfRawData не вылетало за границу файла.

Ну и в общем, если файл запускается, те нет банального - это приложение не является блаблабла, то всё ты делаешь правильно. А вообще иди на wasm.ru в раздел вирусология, ну и статьи по PE формату почитай.

2ядровенды, надо еще обратить внимание на number of rva & sizes. т.к. ты канпилишь в сях, можешь взять сорцы йадокриптера 1.3 портированные с асма на ц и посмотреть, как там добавляется секция, выставляются все нужные атрибуты и подсчитываются необходимые значения

2s0l_ir0n
а зачем? Если для того чтобы перейти к таблице секций есть же более лучший вариант через IMAGE_FILE_HEADER.SizeOfOptionalHeader. А в остальном для добавления-расширения секции это значение не нужно 0___o

Расскажите пожалуйста как найти функцию проверки\чтения файла в программе на VB?))
там как то всё не по человечьи =\ к тому же не видно какие окна имеются в приложении.
Какие особенности трепанации софта на Visual Basic???

VB Decompiler Pro или Lite поможет в работе
http://cracklab.ru/download.php?action=get&n=NzE1

ок, это получилось, а вообще - как можно в ольге определить аттрибуты безопасности какого-либо байта, типа чтения, записи и выполнения?

и еще
вопрос про фрагментацию - один сенд на клиенте всегда равен одному рекву на сервере?
Если НЕТ, то подскажите какой-нибудь несложный алгоритм шифрования по ключу, чтобы если пакет неожиданно разбился на 2 пакета, или 2 пакета слились в 1, все нормально расшифровалось - то есть шифровался по одному символу.

Вот почитай надеюсь тебе эта статья поможет разобраться с аттрибутами безопасности.

_http://wasm.ru/article.php?article=1021004

2ntldr
атрибуты безопасности не ставятся на отдельные байты, минимальное с чем работать можно - страница - 4Кб, посмотреть можно в окне Памяти (alt-m). но изменения там вроде не показываюцца (или я чего то туплю). А да страницы с одинаковыми аттриьутами там объединяются в единый регион -_-

PS если туплю сорри, тк пьян ^________^

Возможно ли не внедряя код в процесс определить виртуальные адреса каких-либо модулей, может даже и функций?