|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Янв 4, 2004 13:50:44 Правка Копался в заглушках (DOS Stub at PE32), захотелось посмотреть, что они делают (некоторые попадались довольно оригинальные). Но не понял, как это сделать под Win32 NT. Не грузить же эмулятор DOS'a (да и не знаю, где взять эту ОС) ради просмотра заглушки. Раскопал флаг (~FORCEDOS) для функции CreateProcess, но он не для PE32… Кто-нибудь подскажет, как это сделать? Или нужно затирать данные в приложении по смещению 3Ch и ещё где-то? Заранее извиняюсь, если подобный вопрос уже проскальзывал… |
|
|
Дата: Янв 4, 2004 20:44:21 · Поправил: volodya HIEW: F8, F8, F5 00000040: 0E push cs 00000041: 1F pop ds 00000042: BA0E00 mov dx,0000E ;" ♫" 00000045: B409 mov ah,009 ;"○" 00000047: CD21 int 021 00000049: B8014C mov ax,04C01 ;"L☺" 0000004C: CD21 int 021 int 21, код 9 - вывести ASCIIZ-строку, DS:DX - смещение на строку |
|
|
Дата: Янв 5, 2004 08:05:59 IceStudent Поменяйте первые байты в PE файле с MZ на ZM. И просто запускайте из виндоса. Потом можно обратно поменять |
|
|
Дата: Янв 5, 2004 23:07:53 |
|
|
Дата: Янв 6, 2004 14:41:43 Правка volodya Хм… Это что, нужно исправить код для просмотра того, что в заглушке? Видимо, я пока не догоняю, помедитирую дома… S_T_A_S_ Попробую… Спасибо всем за отклики! |
|
|
Дата: Янв 9, 2004 17:04:42 IceStudent Это старый трюк, основан на том, что ДОС понимает обе сигнатуры MZ и ZM, а виндос - только первую :) |
|
|
Дата: Янв 11, 2004 16:26:16 Правка S_T_A_S_ Да, и это работает :) QuickeneR Не-а, ничего не вышло! volodya Ничего не понял :( (точнее, код-то я понимаю, но для чего он?) Это код для своей заглушки? |
|
|
Дата: Янв 11, 2004 22:23:07 Ты спрашивал - что делает заглушка. Вот тебе код того, что она делает. И какие кнопочки в HIEW надо нажать. Ты ж не объяснил, для чего тебе это надо - может, вирус или еще что... Вот я так и ответил. :)> |
