Lyudi podskojite kak skr@t bpk (perfect keylogger) ot antivirusa.(proshu ne udalyat)...........................ochen srochno
У меня вопрос... Как добавить в таблицу импорта свою API функцию...и как узнать сколько в секций свободного места и по какому адресу...
Вы хотели сказать не свою а чужую (из другой библиотеки). Используйте CFF Explorer, там есть удобная функция добавления импорта. Открыть PE редактором любым и посмотреть конец секции, разве это сложно? Если непонятно то читать до посинения документацию по формату PE
Спасибо за ответ neprovad, я и так, сейчас читаю документацию по формату PE. И ни как не магу понять... Приважу цитату с сайта wasam.... Как Вы уже знаете, в начале PE-файла идёт PE-заголовок. Между окончанием таблицы секции и первой секцией есть промежуток. Этот промежуток появляется из-за файлового выравнивания выравнивания (значение FileAlignment в файловом заголовке). Туда мы можем впихнуть исполняемый вредоносный код. У меня вопрос №2...Что или от чего, надо отнять, чтобы можно было узнать, адрес свободного промежутка...
Обычно нет смысла что-то из чего-то вычитать. Все видно "на глаз" Если же так хочется посчитать, то, например, размер неиспользованый=offset первой секции-смещение у флагов последней секции+4. А вообще - практика и всё встанет на свои места.
Как сделать активным пункт меню? >>>ССЫЛКА на ролик<<< P.S. Строку в меню добавил я сам, т.е. её там раньше не было! Но эта строка не активна! Надо открыть окно, которое находится в ресурсах. Знаю, что окно надо открыть через функцию в коде например через MessagaBox Code: PUSH Style = Title = PUSH адрес строки <<< Заголовок окна Text = PUSH адрес строки <<< текст окна PUSHh Owner MessageBoxA <<< Call адрес функции MessageBoxA Как правильно передать значения в функцию, чтоб открывалось именно моё окно? И закрывалось тоже? С помощью кнопки "Ок" ? Что такое Style = и hOwner ?
доброго дня гуру реверсинга ! помогите плз. есть скомпиленный в линуксе файлик: file name.i686 name.i686: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses shared libs), stripped нужно в нём найти и просто изменить на большее значение константу. каким образом это сделать?? спасибо.
но ведь названия константы нету... я знаю только что она в исходнике такая: #define CWS_NETMSGSIZE 240
отдизассмит в иде, там произвести поиск по hex value 0xF0. когда найдет, запомнить смещение в файле, далее подменить на хоть 0xFF (или 00 00 00 F0 -> FF FF FF FF, соотвественно, если константа DWORD)
Чтобы такого почитать про восстановление IAT, IAT как таковую, и прицип её работы? Про нахождение OEP тоже не помешает. PS: васм читал, надо что-то ещё...
