|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Май 3, 2004 02:46:00 Здраствуйте! Помогите прочитать байты с Entry point. К примеру я высчитал EP. Он хранится у меня в edi. Как мне прочитать и вывести первые байты. Например такое есть в PEiD и PE Sniffer. First bytes (HEX) - кажись называется. За любые ценные предложения буду благодарен. И еще сейчас созрел вопросик как мне потом сравнить первые байтики с маской поиска. А то нигде не могу найти примерчик. 68::::::::FF25::::::::0000000000::00::::00000 Если кто-то считает что я много хочу, дайте хоть намек как это сделать. |
|
|
Дата: Май 3, 2004 03:08:02 Намекаю: BOOL ReadProcessMemory(
HANDLE hProcess, // handle of the process whose memory is read
LPCVOID lpBaseAddress, // address to start reading
LPVOID lpBuffer, // address of buffer to place read data
DWORD nSize, // number of bytes to read
LPDWORD lpNumberOfBytesRead // address of number of bytes read
); |
|
|
Дата: Май 3, 2004 03:35:59 Asterix Но тогда мне придется запускать прогу, или я ошибаюсь, а мне хочется сделать как в Pe Sniffer. |
|
|
Дата: Май 3, 2004 03:41:09 дополнение: я уже отобразил файл в память с помощью MapViewOfFile. |
|
|
Дата: Май 3, 2004 04:06:00 Вообще то как парсить буфер в памяти я кидал такой исходник в форум, даже в двух интерпретациях на fasm'е и masm'е, так что ищи, кнопка поиск вверху ;-) |
|
|
Дата: Май 3, 2004 04:25:05 Asterix Сейчас буду искать. До самого утра я подозреваю, а может и вечера :) Не посоветуешь редактор ресурсов для создания rc скриптов, а то в блокноте как то не удобно. Не знаешь где можно скачать Masm 5.0 мне нужен под дос. |
|
|
Дата: Май 3, 2004 05:11:43 Я использую Borland'овский редактор из Borland C++ ver.5.01A любезно вырипанный для меня одним уважаемым человеком, т.к. самого пакета Borland С++ у меня нет, и считаю его лучшим :-) А что до masm 5.0 думаю если погуглишь то найдёшь www.google.com ;-) > До самого утра я подозреваю, а может и вечера :) :-))) ищи по ключевым словам типа "парсить", "пропарсить", "лоадер", "loader"... |
|
|
Дата: Май 3, 2004 05:44:38 Asterix Borland C++ ver.5.01A он много весит? Если не много можешь куда-нибудь залить или скинуть на мыло ник+bk.ru |
|
|
Дата: Май 3, 2004 06:02:04 Много, но я же говорю что у меня его всего нет, есть только рип, да и он по моим меркам весит много 10Мб в архиве, придётся тебе где-нибудь его искать самому. |
|
|
Дата: Май 3, 2004 06:12:21 Asterix Мне и нужен был токо рип, для меня 10мб тоже много. Ну чтож, делать нечего будем искать. А насчет темы я нашел, Спасибо, даже больше чем нужно. |
|
|
Дата: Май 3, 2004 11:14:57 Edmos Ну если у тебя есть маска, то можно попробовать магическую команду AND. |