|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Окт 6, 2003 15:48:17 Народ, такая трабла, как я могу получить доступ к секциям файла-носителя моего вируса из самого вируса. К примеру, если я хочу изменить пару байт и т.п Не бросайте душу грешную плиз! Заранее благодарен! |
|
|
Дата: Окт 6, 2003 16:03:34 У тебя не правильная характеристика у секции, бери пример у АСПра меняй свойство секции на С0000040 и всё будет, т.е. используй VirtualProtect. |
|
|
Дата: Окт 6, 2003 16:09:29 Asterix Извини, не совсем понял... |
|
|
Дата: Окт 6, 2003 16:17:43 У твоего файла атрибуты страниц памяти имеют доступ Read поэтому писать не получается. Засунь в OllyDbg этот файл и посмотри. |
|
|
Дата: Окт 6, 2003 16:25:50 Asterix Теперь понял, слушай если я не ошибаюсь, то С0000040 означает: секция инициализированных данных с доступом на чтение и запись. Момент про данные: это никак не помешает ее нормальной работе? |
|
|
Дата: Окт 6, 2003 16:29:36 Вот смотри примерчик, сейчас если запустить exe'шник то всё патчиться, но если ты перекомпилишь то патч работать не будет, потому что в своём exe'шнике я вручную выставил атрибуты секции, а после компиляции они были другие.  _1037421241__ptch_mem.zip |
|
|
Дата: Окт 6, 2003 16:31:39 [ Zaratustra: Момент про данные: это никак не помешает ее нормальной работе?] Может и помешает на каких-нибудь хитрых файлах которые отлавливают ошибку на доступ к странице с помощью SEH для своих нужд. |
|
|
Дата: Окт 6, 2003 16:33:38 Asterix Я вот при заражении ставлю твои атрибуты для своего вируса и вот что получается: запись проходит нормально, но кошда управление возвращается носителю, сразу возникает AV Write Address = XXXXXXXX Что не так? |
|
|
Дата: Окт 6, 2003 16:44:17 Asterix А как правильно найти из-под вируса нужную секцию программы носителя? Не сочти за наглость просто я кажется просто порчу носитель не там где надо! Может можно вирусу при заражении вместе с информацией о точке загрузки передать еще и инфу о секции??? или как? Заранее благодарен! |
|
|
Дата: Окт 6, 2003 16:48:32 Asterix Все!!! Разобрался, большое С-П-А-С-И-Б-О !!! |
|
|
Дата: Окт 6, 2003 18:08:17 Asterix Блин, почти все файлы с таким атрибутом все равно не дают доступа, как быть? Есть еще варианты? |
|
|
Дата: Окт 6, 2003 18:13:09 Это ты что-то не так делаешь, видимо не туда свой код пихаешь ;-) |
|
|
Дата: Окт 6, 2003 18:26:11 Asterix Вот исходники, глянь что не так плиз. Это криптовалка, которая просто по xor 13 изменяет внешний вид :) секции кода. _779442853__BIN.rar |
|
|
Дата: Окт 6, 2003 19:03:56 Неее, это мне нужно долго в твоем коде разбираться, а я ленивый ;-) Что значит изменяет "внешний вид секции кода"?? |
|
|
Дата: Окт 6, 2003 19:13:35 Asterix Я по "xor 13" преобразую всю секцию файла носителя при "заражении", а при запуске в памяти привожу ее (также) в исходный вид и передаю туда управление. При изменении атрибутов(на С0000040h) получилось у меня только с одним файлом, остальные дают AV при попытке записи в секцию кода! Вот. Что не так? P.S. а исходник маленький и с комментариями |