хм, я пробовал упаковать другую DLL и распаковать тем же способом... Все работает. может что-то с релоками связано? сыпется в момент, когда из...
Прошу помощи. Снимаю конверт с DLL. ( OEP, импорт восстановлен, см файл для IMP_REC тут: hччp://rapidshare.com/files/48299078/packed.rar.html (2...
Такая ситуация: Имею восстановленный в ImpRec импорт: 1 005DC190 kernel32.dll 0147 GetCurrentThreadId 1 005DC194 kernel32.dll 0082...
вот таким вот образом..., как и приведено по ссылке ниже. падает в момент перезаписи. INTERRUPT_OFF; OldMmMapIoSpace = (MMMAPIOSPACE)...
Метод как описано тут: (у меня работает для ZW...) http://www.donews.net/zwell/archive/2004/10/24/146350.aspx
Вопрос: ставлю хук на: typedef NTSYSAPI NTSTATUS (*ZWCREATEFILE)( ...... typedef NTKERNELAPI PVOID (*MMMAPIOSPACE)( IN PHYSICAL_ADDRESS...
У тебя уже бала такая задачка? :-) Получилось ли алго восстановить полностью? Для: 1 2 2 3 3 3 ... 1B 1B 1B... 32 15 33 16 34 59 35 24 5A 17...
Ну да, я подаю данные переменной длины от 1 до 255 байт, есть зависимость от длины данных и от их значений. Кроме того, внутри, по-меому есть...
Да, верно, 8-байтовый массив используется? У меня идут сдвиги на 32,9,27 байтах.... с длиной последовательности 64. Ты Мегамозг :-)
Привет! Какие есть тонкости при переносе асма для получения компилябельного кода на FASM? В частности столкнулся с позициями ES:[], ds:[] и...
ну что есть идеи??
Имена участников (разделяйте запятой).
