|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Авг 24, 2003 09:22:25 NewEIP equ $-4 mov dword ptr [ebp+ModBase],eax ;и далее: add eax,12345678h org $-4 ModBase dd 00400000h jmp eax NT ругаеться на то, что память не может быть "written". Что у него за фигня такая написана? Код и данные ведь, вроде не могут быть в одном сегменте? И как пофиксить такой глюк, не понятно где вирь должен хранить свои данные? |
|
|
Дата: Авг 24, 2003 09:32:18 Да и что такое вообще org $-4 |
|
|
Дата: Авг 24, 2003 10:29:33 [ Zervide: Код и данные ведь, вроде не могут быть в одном сегменте? ] Если использовать секцию кода для хранения данных, то могут. [ Zervide: И как пофиксить такой глюк... ] VirtualProtect,,,PAGE_READWRITE [ Zervide: где вирь должен хранить свои данные? ] В любом доступном месте. [ Zervide: Да и что такое вообще org $-4 ] org - упрасляет при компиляции счетчиком текущего адреса. $ - значение этого самого счетчика org $-4 - уменьшает при компиляции значение счетчика текущего адреса на 4. |
|
|
Дата: Авг 24, 2003 12:28:43 VirtualProtect,,,PAGE_READWRITE Хм.. если можно, чуть подробнее. ЭТО ЧТО? Насколько я понимаю, это что то типа параметров дескриптора сегмента. Но как я смогу их изменить под ring 3. |
|
|
Дата: Авг 24, 2003 13:12:34 · Поправил: Asterix Zervide Можно попробовать выставить свойство секции(характеристику) таким: C0000040 с помощью LordPE. А по поводу VirtualProtect-MSDN однако ;-) |
|
|
Дата: Авг 24, 2003 13:35:39 Спасибо. Попробую. |
|
|
Дата: Авг 25, 2003 08:28:07 Получилось :) вирь начал жить!!! (правда не долго я его повырезал сразу же, просто убедился что он рабочий(распостраняется)) Изменил характеристику секци, не на C0000040, уже не помню на что, но заработало. Теперь еще небольшой вопросик, что грамотнее изменять характеристику секции или VirtualProtect - что вызовет большие подозрения у AV программ? Я думаю что VirtualProtect, тк его можно замаскировать. Я прав или нет? |