rustam Shirinov
2017-10-23 01:19:54 UTC
sain äskettäin käteni yhteen näytteeseen, joka muokkaa itse .text -osaansa. Joten, asetin katkaisupisteen .text -osioon kirjoittamista varten ja jatkoin sitten. Sain selville, että se nollaa .text -osion ja kirjoittaa sitten puretun koodin kyseiseen osioon ja soittaa sitten puretulle OEP: lle. Käytin Scyllaa oikaisemaan OEP: tä ja tyhjentämään .exe -tiedoston.
Kun saan tuonnin se osoittaa, että ohjelma tuo vain koodin kernel32.dll.
Tämä on kokoonpanon code> .exe -tiedosto PEBear.
Tämän saan, kun Yritän avata tyhjennetyn tiedoston ImmunityDbg.
Saamani tuonti eroaa myös hyvin paljon siitä, mitä Scylla antoi minulle + Ohitettu ohjelma ei Suorita se kaatuu heti. Mitä teen väärin?
Kiitos.
voisitko antaa tiedoston sha256-hajautuksen?
Anti-verenpaine 1604 YP 431
ImmunityDbg on OllyDbg-haarukka, molemmilla on joskus vaikea tunnistaa pakkaamattoman osan koodia. Olly-sovelluksessa voit napsauttaa hiiren kakkospainikkeella näitä tunnistamattomia koodeja ja napsauttaa Analyysi> Analysoi koodi. Ehdotan, että seuraat Igorin [tässä vastauksessa] mainittuja vaiheita (https://reverseengineering.stackexchange.com/a/91/18698). Sinulla on usein vaikea tehdä pakkaamattomasta tiedostosta suoritettava tiedosto, pidä tämä mielessä.
Kiitos neuvosta, BTW unohdin mainita aina, kun käyn läpi saman menettelyn, saan erilaisia hajautuksia, vaikka teen samaa asiaa.
Onko mahdollinen haittaohjelma virheenkorjausmenetelmillä?
`` IsDebuggerPresent '' on kutsuttu, mutta olen jo paikannut sen.