tuts4you.com - загляни, надеюсь не пожалеешь

Может кому пригодится:

Understanding the Import Address Table
http://tuts4you.com/download.php?view.1505

Understanding Import Tables
http://tuts4you.com/download.php?view.198

Import Address Table Rebuilding
http://tuts4you.com/download.php?view.194

PE Files Import Table Rebuilding
http://tuts4you.com/download.php?view.196

Васм ты весь прочитал?) там есть "Об упаковщиках в последний раз". а если прочитал и мало то тогда гугл читай чо).

совершенно тупой вопрос:
как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

>> как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

конкретизируйте. что значит не работает?

конкретизирую: либо не устанавливает JMP вообще, либо он не работает

jmp adress, может не работать из-за отсутствия прав на execute в секции, куда ты прыгаешь, либо так неудачно ставится jmp, что сразу после него вылетает ошибка из-за невыровненого стека.
Пример: jmp 0040101D

Прочитал статью Broken Sword*а про Code rip Broken Sword*а http://www.wasm.ru/article.php?article=coderip01 В общих чертах понял. Но меня интерисует вопросы:

1) Как отследить изменения стека до (какие параметры приготавливаются до исполнения функции) и во время исполнения функции (может быть туча записей в стек)?

2) Как компелировать выдранный код?

3) Хотелось бы посмотреть как это работает на практике! Broken Sword обещал продолжение этой статьи (практическое воплощение статьи), но к сожалению тема заглохла!!!

Может есть какая статья или дока ( на русском!) где это всё подробно (пошагово) описывается!!!

В гугл не отсылать там только ссылки на эту статью, и ещё на какуюто прогу для выдирания кода из Html

2tekton
С рипом кодом сталкнулся только раз. Так что нижеследующее из собственного маленького опыта )) если что - старшие товарищи поправят

1)

Тк рипал кусок кода, а не полностью функцию то точно сказать не могу. Но там были определенные параметры, ктр инициализировались до и были константами в принципе, но создавались гдето в глубине материнских функций. Так вот вылавливал их опытным путём, считая рипнутый код черным ящиком, подавал на вход определенные параметры и смотрел, что получается на выходе. На выходе должно было получится только либо ноль, либо 1, так что много это времени не заняло )) А вот в случае функции цельной я вообще проблем не вижу. Главное найти её вызов и понять, для чего нужен каждый аргумент, что при знании назначения функции достаточно просто. А каким образом стек изменяется во время исполнения кода функции нас не должно волновать, ибо чёрный ящик ))).

2)

Ну я компилили фсм-вставками в Си-код. Естественно необходима доработка напильником ) хотя это смотря из чего выдирать ) я из Olly выдирал - нудно исправлял потом jmp и метки (( из IDA видимо проще )).

3)

А что там глядеть, делать надо ^____^