да были бы исходники... Есть процесс который подключает длл(криптованая) - вот в этом длл я и меню код в олли уже копаю через memcpy
Помогите, необходима программа, которая может открыть установочник и изменить пару файлов. Чем это лучше сделать? заранее СПС
Зависит от того, какой инсталл-мейкер использован, какой версии и с какими параметрами. В большинстве случаев быстрей и проще перепаковать с нуля, чем вносить изменения в готовый файл
Обычный установочник QIP Infium 42 версии нужно всё оставить как есть, просто переименовать Infium.exe и всунуть пару текстовиков. Какую прогу посоветуете?
Если мне не изменяет память, то там Insatall Shield, поэтому оптимальный вариант - перепаковка с нуля
Всё бы ничего, если бы не выбор языка в начале установки, да и установочник Qip infium,а трудно будет подделать. Может есть какой нибудь вариант?
Установка инфиума базируется на Inno Setup 5.3.7, распаковать его можно, а потом добавить нужные файлы и собрать все самим установочным билдером Inno
У меня стоит Inno Setup 5.4.0 распоковать получилось и создались папки: {app},{userappdata},{tmp},embedded и какой то скрипт install_script, а запаковыать - не хочет Поможешь с прогой ?
В install_script хранится вся информация об установке, его может открыть ISTool воссоздай структуру на основе этого скрипта
Появился вопрос по реверсу руткитов семейства TDL(а именно версии TDL4). Всем известно что руткит устанавливается через дропер. Так вот у меня вопрос. Как обойти этот дропер? То есть как в IDA загрузить именно руткит, а не дропер? А то дропер за несколько секунд отрабатывает свое и спокойно убивает свой процесс и удаляется из системы.
дропер грузим в ida, трассируем и через некоторое время видим что создается временный файл. уж функцию то createfile и ей подобные можно перехватить поставив на них бряк. Еще была утилита не помню от кого филтрующая события загрузки драйверов и копирующая их в свою папку.
вопрос по патчингу: мне надо изменить (в том числе расширить) строку в программе. Я открываю приложение hex editor'ом, нахожу строку, меняю n символов (n=длине оригинальной строки), а дальше идут данные, которые переписывать нельзя. Как корректно в данном случае поступить (т.е расширить строку)?
1)если не делфи то найти свободное место на которое ничего не ссылается (конец секции например) или добавить новую секцию. если делфи то изменить байт длины строки на соответствующее значение 2) найти код обращающийся к данной строке, это даже можно в hiew'е сделать и поменять старый адрес на новое смещение. 3) если dll то подправить таблицу перемещаемых эл-ов
В середину не получится, придется затереть пару команд, вместо них прописать прыжок на свободное место, а там уже выполнить затертые команды и свой код
