|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Ноя 13, 2003 12:43:03 Собвственно, имеется сабж. Ничего не ипортирует, но работает. Под Вин2003. В разделе "вирусоводство" я уже упоминал об этом, но мне тогда ответили примерно следующее: "Хмм... Под XP, без импорта?.. Не-а.. Вроде не запускается." "Да, такой файл будет признан ядром, но его не пропустит ntdll.dll." Сам я тогда под XP не тестил... А сегодня решил проверить - все прекрасно работает под XP. 2000-го у меня сейчас нету - но может, знающие люди подскажут - будет ли пресловутый PE нормально работать в Вин2000 ? Или все только в XP и старше? |
|
|
Дата: Ноя 13, 2003 13:18:35 У него может быть bounded импорт. Смотреть на сам файл нужно. |
|
|
Дата: Ноя 13, 2003 13:32:05 masquer Я видимо, не совсем точно выразился - это я сам компилю FASM'ом прогу - так что никаких импортов там нет и в помине. Мне такой изврат нужен для тестирования "вирусоподобного кода" - поиск базового адреса ntdll и т.д. Так что вопрос в другом - поддерживает ли загрузчик W2K подобные файлы, или же нет (как утверждает Dr.Golova) |
|
|
Дата: Ноя 13, 2003 14:17:34 > поддерживает ли загрузчик W2K подобные файлы Ну почему нужно по десять раз говорить одно и то же - я уже писал что win2k НЕ ЗАПУСТИТ такой файл, и не надо тыкать в другие ОС, я говорил только про 2к. |
|
|
Дата: Ноя 13, 2003 15:12:02 Dr.Golova Просто некоторые товарищи говорили, что и под XP не пойдет - а он работает. Отсюда и сомнение. Сам бы 10 раз проверил - но нету под рукой дистрибутива ни одного. |
|
|
Дата: Ноя 13, 2003 17:34:51 Grenader Проверял, давно, не работает. При запуске такого файла система даже ничего не говорит. |
|
|
Дата: Ноя 13, 2003 17:43:31 Grenader А ты выложи свой файлик в этом форуме - я его и запущу. |
|
|
Дата: Ноя 13, 2003 19:13:31 volodya Здесь NEOx выкладывал коллекцию, там есть файл и без импорта (в PE.zip). Так, кажется, и называется - NoImport.exe, на нем я и пробовал. |
|
|
Дата: Ноя 13, 2003 19:58:27 Win2k более тщательно все проверяет(ИМХО) Из личного опыта - написал dll на асме. Все отлично работает на Windows98,Xp. На 2k не работает, стал ковырять оказалось забыл при инициализации dll возвращать 1. Xp,98 - по барабану, 2k - ругается |
|
|
Дата: Ноя 13, 2003 20:00:30 Max Это коллекцию я ему и дал. |
|
|
Дата: Ноя 14, 2003 07:48:45 volodya Вот файлик. У меня был просто научный интерес... Но если не трудно - запусти :) (int3; xor eax, eax; ret) MoKC0DeR Вот инетересно - а почему тогда эти "навороченные" проверки из WinXP убрали-то? Неужели признали неудачными?  2063815933__test.exe |
|
|
Дата: Ноя 14, 2003 18:05:51 Grenader Не запускает как и следовало ожидать. Читай статью об ntdll.dll - линк в первой части упаковщиков. Как я уже говорил - ядро проверяет валидность секций - файл валиден, лоадер проверяет все остальное - для этого смотри псевдокод в статье и дополняй из первой части. Усе. |
|
|
Дата: Ноя 14, 2003 18:17:58 volodya Спасибо за тест. Придется самому за IDA засесть ()где только времени взять столько) - интересно, однако, количество подобных измененений в 2003-м по сравнению с W2K... |