Форум: "Прочее";
Текущий архив: 2008.02.17;
Скачать: [xml.tar.bz2];
Вниз
Константы дельфи Найти похожие ветки
← →
Stexen (2008-01-16 17:04) [0]Ситуация такая:
есть код следующего вида:
...
1 mov edi,esi
2 add edi,6
3 push edi
4 mov ebx, 152601
5 push ebx
...
Этот код компилятором дельфи компилится и бинарные данные уже выполняются в чужом адресном пространстве допустим при переполнении буфера или упаковщик exe файлов. В общем-то вопрос вот в чем:
Строчка номер 4, там указано непосредственное значение 152601, как это значение можно сменить уже в ходе выполнения программы после компиляции, то есть уже в бинарном коде, или никак кроме замены значения по адресу?
← →
Сергей М. © (2008-01-16 17:06) [1]Кулхацкеры атакуют
← →
Rouse_ © (2008-01-16 17:08) [2]только по адресу
← →
ketmar © (2008-01-16 17:12) [3]спроси у автора кода.
если код родил сам — смени задачу, ибо при незнании подобных вещей рано соваться в дебри.
← →
Stexen (2008-01-16 17:25) [4]Да по адресу не совсем удобно, ну ладно, ибо только в ран тайм.
А если допустим весь ассемблеровский код вынести в длл, скомпилить ее и держать ее как шаблон внедряемого бинароного, а при необходимости в этой дллке найти позицию данной команды и подменить.Вопрос вот в чем если искать по значению второго операнда, тогда возможна коллизия.
На вскидочку никто не знает как представляется команда mov и регистр ebx двоичными данными?
> ketmar © (16.01.08 17:12) [3]
Сам родил, Знаете, меня всегда умиляли люди которые за других умели решать рано им соватся куда либо или нет, спасибо за заботу!(без обид!)
← →
Kerk © (2008-01-16 17:32) [5]
> Stexen (16.01.08 17:25) [4]
Вставь перед кодом что-нить типаjmp @f
db "Kerk is the greatest developer! I love Kerk!",0
@@:
и потом ищи в бинарнике по этой метке нужное место
← →
Rouse_ © (2008-01-16 17:35) [6]
> На вскидочку никто не знает как представляется команда mov
> и регистр ebx двоичными данными?
А отладчик тебе на что даден? :)
BB19540200 = mov ebx,$00025419
← →
Stexen (2008-01-16 17:38) [7]
> Kerk © (16.01.08 17:32) [5]
О точняк, спасибо
А вот тут
@@:
имелось ввиду @f я пологаю?
Еще один ньанс, все таки с размерами команды, может кто их знает, или погуглить?? :)
← →
Сергей М. © (2008-01-16 17:39) [8]
> Stexen (16.01.08 17:25) [4]
Рожать, вообще-то, следует в полной уверенности в умнении и возможности вскормить-воспитать.
А случайная беременность вида
> mov ebx, 152601
не внушает доверия к зачавшему)
← →
Kerk © (2008-01-16 17:44) [9]Stexen (16.01.08 17:38) [7]
> Еще один ньанс, все таки с размерами команды, может кто
> их знает, или погуглить?? :)
http://www.google.com/search?hl=en&q=%D0%B4%D0%B8%D0%B7%D0%B0%D1%81%D1%81%D0%B5%D0%BC%D0%B1%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5+%D0%B2+%D1%83%D0%BC%D0%B5
Выбери там ссылку, по которой книжка Криса Касперского доступна
← →
Stexen (2008-01-16 17:45) [10]
> Rouse_ © (16.01.08 17:35) [6]
Спасибо, можно закрывать тогда топик
> Сергей М. © (16.01.08 17:39) [8]
Буду иметь ввиду!Любят же люди что то подаказывать, особенно не правоту и не компетентность других, наверное основываясь на своем опыте
← →
Stexen (2008-01-16 17:45) [11]
> Kerk © (16.01.08 17:44) [9]
Спасибо!
← →
Rouse_ © (2008-01-16 17:46) [12]
> Спасибо, можно закрывать тогда топик
Ну, как скажешь...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2008.02.17;
Скачать: [xml.tar.bz2];
Память: 0.47 MB
Время: 0.041 c
