В программе PortExplorer в Optional_Header элемент NumberOfRvaAndSizes имеет следующее значение: Код (Text): 0040015C DEDDFFDF DD DFFFDDDE ; NumberOfRvaAndSizes = DFFFDDDE тогда как в описаниях указано, что там всегда должно быть 0х10. В результате OLLY не может загрузить данную программу - пишет: файл поврежден и т.д., IDA обрабатывает нормально, сам файл также нормально запускается. Есле в HIEW-e установить правильное значение NumberOfRvaAndSizes=0х10, PortExplorer грузится в OLLY, но перестает запускаться из винды, видимо проверяет NumberOfRvaAndSizes на модификацию. Эксперементы с РЕ файлами показали, что если установить NumberOfRvaAndSizes = DFFFDDDE то данные файлы продолжают корректно загружаться в винду, но не загружаются OLLY. Кто нибуть с этим сталкивался ? Имеется ли плагин для OLLY ?
wowan значит ты где-то что-то не так прочитал! Или заголовки "хорошо" составлены. Если ты читаешь это из памяти, то вероятно прога уже сама во время выполнения поправила как ей надо, чтобы тебе жизнь "облегчить" ))) ЗЫ: Если вдруг это в самом файле такое, шо мало вероятно. То давай сюда такой файл, я люблю такие
Сорри, файл не прикрепился, еще раз... опять нет =( Вот лучше ссылки: http://ifolder.ru/8490781 - обычный MessageBox, но в OLLY не загружается http://ifolder.ru/8491207 - сама программа PortExplorer, симптомы - как уже постил ранее. ЗЫ: неправельное значение NumberOfRvaAndSizes именно в дисковом образе программ. Для PortExplorer - по смещению 0х15С от начала файла, для MB_OK - 0х134 от начала файла
Древний трик, именно в файле и правится. Олю чел писал по спецификациям и не знал что мс на них давно забила. Есть плагин адвансед для оли там это патчится.
Каюсь, каюсь, я толи с недосыпу, толи с невнимательности прочитал не NumberOfRvaAndSizes, как NumberOfSections и потому был жутко удивлен )))
