|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Апр 15, 2004 05:25:00 Я пишу защитку-шифровальщик файлов. Во время написания процедуры заражения столкнулся с непонятной проблемой: при получении управления мой код может только читать память, при любой попытке записи возникает access violation. Пробовал менять аттрибут секции файла, писать в область данных - тот же результат :(. Заражаю добавлением к последней секции, модифицирую поля PE так: //Добавим к виртуальной и физической длинам секции dptr=(dword *)&LastSection[0x08]; //VirtualSize *dptr+=ObjectAlign; dptr=(dword *)&LastSection[0x10]; //PhysicalSize *dptr+=FileAlign; //Поправим Image Size в PE заголовке dptr=(dword *)&pe_hdr[0x50]; *dptr+=ObjectAlign; .......... //Выровняем нулями до FileAlign for(;i<FileAlign;i++) LastSectionEnd[i]=0; |
|
|
Дата: Апр 15, 2004 06:26:52 [ d1z:Я пишу защитку-шифровальщик файлов. Во время написания процедуры заражения..] Ага, дык всё-таки пишем вирь.. ;-))) |
|
|
Дата: Апр 15, 2004 06:46:34 Защиту. Просто я называю вещи своими именами. Заражение есть заражение. Паразитирование есть паразитирование. Симбиоз есть симбиоз. Далее хотел-бы читать высказывания по делу. |
|
|
Дата: Апр 15, 2004 11:25:58for ( int I = 0; I < PE->FileHeader.NumberOfSections; I++ ) ((IMAGE_SECTION_HEADER*)(&Section[I]))->Characteristics |= IMAGE_SCN_MEM_WRITE; |
|
|
Дата: Май 22, 2004 05:01:01 по поводу заражения файлов - в "Системном Администраторе" недавно была статья, посвященная заражению ELF-файлов. там описан десяток механизмов внедрения в оные. сейчас готовится аналогичная статья, но про PE32 по поводу записи - менять атрибуты секции самоубийственно, лучше (и правильне) вызовать VirtualProtectEx, меняя атрибуты налету. если интересно, могу кинуть конкретный пример |