|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Ноя 24, 2003 11:11:30 · Поправил: nice Как рапаковать UPX :) - шутка. А вопрос следующий, вот начало процедуры распаковки UPX PUSHAD MOV ESI,LoadDLL.00443000 LEA EDI,DWORD PTR DS:[ESI+FFFBE000] MOV DWORD PTR DS:[EDI+5670C],DFAB540E // ЧТО ЭТО! PUSH EDI В UPX v1_00 вот такое начало, я посмотред в файле по адресу EDI+5670C лежит как раз DFAB540E, подумал, что это проделки "защиты", но когда в Olly загрузил, то моему удивлению не было предела, по этому адресу 00000000 и команда MOV не лишняя, почему так происходит, получается загрузчик пишит туда нули, но зачем??? Вот файл выслал и UPX 1_00 (пропатченный по статье) |
|
|
Дата: Ноя 24, 2003 15:43:18 Файл, про который идет разговор, в ходе экспирементов выяснил, что процедура входа изменилясь, на вот такую, после добавления модуля, для работы с jpeg, и на Delphi > 200kb стандартных, UPX тоже использует извращеный вход.  1670444376__Form.exe |
|
|
Дата: Ноя 24, 2003 15:43:59 |
|
|
Дата: Ноя 24, 2003 15:44:41 |
|
|
Дата: Ноя 24, 2003 23:01:41 · Поправил: volodya.00434610: 60 pushad .00434611: BE00F04100 mov esi,00041F000 -----↑ (1) .00434616: 8DBE0020FEFF lea edi,[esi][0FFFE2000] .0043461C: 57 push edi |