UPX угэ?

Начну с того что надумал написать в образавательных целях загрузчик для PE файлов.Вышло у меня вот что:загрузчик(у него таже база что и у загружаемого PE файла) выделяет память под образ,грузит туда образ нужной ПЕшки.Грузит дллку.В ф-цию в дллке передается адрес образа.Образ загрузчика перетирается образом грузимой ПЕшки.Управление передается на её точку входа.
Позабавлялся прогами из папки винды(вин 7 32 бита).Вот что вышло:
1.cmd.exe - OK
2.notepad.exe - OK
3.explorer.exe - fail
4.calc.exe -fail
5.write.exe - перезапустил себя на оригинальный экзешник
Из наглости скачал UPX для теста)
1.cmd.exe - OK
2.notepad.exe - OK
3.explorer.exe - перезапустил себя
4.calc.exe -fail
5.write.exe - перезапустил себя на оригинальный экзешник

Какой можно сделать вывод?UPX угэ?Или я слишком хорошего о себе мнения?

 

можно предположить что UPX сделал чел примерно вашего уровня.

 

я нешарю в эльфах

 

взаимосвязь налицо

 

Мдя mpress почему то считается AVG вирусняком.А аспак рабочий че то невыходит найти =/

 

Ы все таки затестил ласт версию аспака, с их сайта, демку правда.Но резалты как у UPXа.Ы.Втф?Почему таки матерые упаковщики нехавают экзешники из папки 7й винды?

 

А проактивка стоит? Может тупо она не даёт файлы открывать?
Не думаю что там что-то не то с содержимым.

 

AVG фри версия.Незнаю какая там может быть проактивка.Мб какие то магические фичи 7ки =/

 

вспоминая ваш угэ-код, именно этот вариант видимо...

имхо бред... если PE релоцируемый никаких проблем с другой базой не будет... если PE не релоцируемый имеет смысл выбрать для "загрузщика" нестандартную базу... если же базы все-таки совпали, вполне логичным было бы обойтись без длл, "загрузщик" может скопировать сам себя в новую область памяти и подменить свой адрес возврата потока на новую базу, миграция пе-файлов так сказать...

 

Проще свой загрузчик пропатчить по релокам на базу загружаемого файла.

 

а всегда ли так?

 

Да у вас код черезжопный, загрузчик должен работать на 100% экзешников

 

Обоснуйте.

 

чего?

вообще это само собой разумеется, что загрузщик должен уметь загружать PE-файлы...

 

Всё вам верно сказали, жопный. Если не грузит значит гуано. rtfm ();

 

уважаемый напишите САМИ загрузчик который будет обходить все мыслимые антиэмуляяци и антиотладочные фичи.И сам при этом эумулировать все что умеет делать системный,на всех версиях виндов...А код это последнее дело,я же ведь учусь,и причем на своих ошибках.А вы кидаетесь на меня как стая шакалов,которая думает, что я хочу отобрать у них их хлеб.Печально, очень печально.Всмысле вам должно быть стыдно,относительно ваших эмоциональных выпадов в сторону чьего то кода.Будьте конструктивными в критике.Господа.

 

а можно на ваш загрузчик взглянуть?

 

Разве что в ПМ могу показать,если кому интересно,и он попросит.А так не.Не покажу,а то опять будут мой "говнокод" какашками закидывать,все кому не лень.

 

Конечно будут, по крайней мере укажут на ошибки и посоветуют как сделать правильнее. Кидайте тут.

 

_nic, покажи загрузчик в ПМ пожалуйста.