Есть ли более корректные сспособы чем поиск ф-й в области кернел? Пытаюсь прикрутить на ехе внешний пароль, соответсвенно нужны как минимум 2 ф-и : геткоммандлине и ехитпроцесс. Вроде все сделал правильно, под 98 идет под 2000- ошибка :-(

Очень вероятно, что данные функции уже присутствуют в таблице импортов данного экзе -> можно искать их в ней.

Возможно проблема в том секции должны идти непрерывно.
----
aka Madness

Попробуй тупо прогони через PE Rebuilder LordPE.
Мож CRC не пофиксил, мож размер секции, мож еще чего...

2 Aquila
Может быть и присутствуют, но я должен быть уверен, поскольку с конечным продуктом(программа снятия-установки защиты) будут работать абсолютно левые люди.
2 Four-F а 2000 проверяет црц? я думал это поле так, для чтоб было

2 Madness
что ты имеешь в виду? все секции с кодом должны идти непрерывно, без секций дат? этож не реально

[Аноним: а 2000 проверяет црц? я думал это поле так, для чтоб было]

Ну мож и не проверяет. Это я к тому, что когда в PE руками залезаешь, то запросто можно забыть че-нить нужное в заголовке пофиксить.

дак, эта, под 98 то работает, зараза блн
А еще антивирус у конечного юзера ругается, грит-вырь это и все тут. Даже название гад дает
Virus Bloodhound.W32.1

Ну так это как раз и говорит скорее всего о том, что в заголовке PE че-нить подправить надо. 98 менее дотошно его проверяет.

Скорее антивирь ругается на код передачи управления а конец pe + добавленная инфа о новой секции в заголовок. Любой эвристик тебе скажет, что если это не защита и не пакер - то, стало быть, неизвестный вирь ;)

ЗЫ. А чем тебе не нравится поиск адресов без таблицы импорта? Дешево и сердито.

Я имел ввиду если цепляешь свою секцию в конец, то она должна идти сразу после всех секций(в памяти), а не перепрыгнув кусок памяти. У меня как-то из-за этого была проблема(под 98 все шло, а вот в2к ругался).
---
aka Madness (че то лень региться, сорри)

Можно попробовать обнануть анитивир вот так :

- при цифровой подписи в конец файла добавляется сертификат и подпись
- в заголовок записывается смещени и размер этого куска данных

Предлагаю - на это место в заголовке записать смещнение и размер
вируса. Может пролезет.

2 aka Madness а примерчика нет?
на антивирус бог с ним, пусть клиент с этим борется
2 90210
ну так у меня защита и есть. Че ж евристики дурные такие?

2 Алл. крыша едет. 98- ок, нт и далее- нац. инд. изба. Пока склоняюсь к тому чтобы воспользоватся таблицей импорта. Вот только как? в тьюторах как то не определился. Может кто подскажет конкретный документ где покопать, или кусочек кода подкинет? имеется в виду воспользоватся чужой таблицей, от той проги на которую подсаживаюсь?
я думаю гетпроц и лоадлиб во всех почти прогах есть. да, если кто знает как эту табличку еще

блин отвлекся. ... как эту табличку еще и модифицировать, вообще было бы идеально.
Вчера попробовал тупо расковырять кернел32 чтобы вытащить из него нужные ф-и. обломался :-(((

Тупо ковырять можно долго, потому что адреса функций находятся во время загрузки. В незагруженом модуле можно нати только названия или
ординал импортрованой функции. И почему бы не записываться в пустоты
секций - антивирь незаметити.