calidus Для понимания логики обычно хватает просто исходников :))
Здесь есть ссыль на исходники виртуализера.
Necromancer13 Попробуй прибавить 10E2233E к адресу, следующему за "dec byte [ds:11223344h]" и ты получишь своё 11223344
По скриншоту вообще непонятно что ЭТО будет делать :))
Посчитать энтропию?
im1111 А зачем вам movzx если обычный mov в reg32 как раз и очищает верхнюю часть reg64?
кстати тут же на форуме нашел тему, в которой есть вот такая ссыль: http://12.101.252.19/hotspot/xref/src/os_cpu/win32_amd64/vm/os_win32_amd64.cpp...
agent007 bss это секция данных с неинициализированными переменными (физический размер = 0), поэтому логично что для неё нет настраиваемых...
UbIvItS Упаковку уже давно используют как дополнительный приём против реверсинга. Про уменьшение размера места, занимаемое файлом на винте, уже...
Joes push rcx Такого не будет 100%!!! UNWIND_INFO однозначно определяет глубину стека для ВСЕЙ функции, т.к. при возникновении ошибки в someFunc...
Joes В "Calling convention" написано, что вызывающая функция обязана зарезервировать в стеке 4*8 байтов. Поэтому "sub rsp, 20" ИМХО является...
Joes Если честно, то я не понял эту фразу. В UNWIND_INFO описан размер пролога (зеркальная копия эпилога). На кой еще что-то парсить до RET? И...
green Со всем согласен, только есть одно НО - помимо автоматической генерации кода МС-ными компиляторами есть еще необходимость в "ручной"...
Asterix Уже и пакер до кучи.
Поднял старющую тему, т.к. не согласен с автором последнего поста: Ms Rem У секций есть флаг IMAGE_SCN_MEM_DISCARDABLE и загрузчик "откидывает"...
P.S. Можно глянуть код макросов ".pushreg rbp" и ".endprolog" ?
Joes Там жоп@ полная. Я так и не понял чем их не устраивал вариант с FS:0.
valterg Можно подробнее про ошибку?
KeSqueer Читаем это: http://www.wasm.ru/forum/viewtopic.php?id=18380
zoool Уже обсуждалось много раз - EXE не может быть EXE и DLL одновременно. Поведение загрузчика зависит от наличия флага MAGE_FILE_DLL.
Имена участников (разделяйте запятой).
