MZP !

Тема в разделе "WASM.BEGINNERS", создана пользователем sofydone, 22 июн 2005.

Статус темы:
Закрыта.
  1. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Подскажите в чем разница?!

    Есть файлы MZP - 4D 5A 50 - заражаются без ошибки.

    А есть 4D 5A 90 - после заражения не работают, хотя вроде обыкновенный PE заголовок. Это какой-то упакованный формат чтоли??

    Заражение в конец последней секции без файлмеппинга.
     
  2. d0rki

    d0rki New Member

    Публикаций:
    0
    Регистрация:
    9 июл 2004
    Сообщения:
    24
    Адрес:
    Ukraine
    struct IMAGE_DOS_HEADER

    .e_magic dw ?

    .e_cblp dw ? ; /* Bytes on last page of file*/

    ...
     
  3. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Я что-то ничего более подробного не нашел. Есть ссылка?
     
  4. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
  5. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Ни в одном из этих документов нету описания этого слова, кроме его названия!!
     
  6. IceStudent

    IceStudent Active Member

    Публикаций:
    0
    Регистрация:
    2 окт 2003
    Сообщения:
    4.298
    Адрес:
    Ukraine


    "MZP" — компиляторы Borland, "MZђ" — VC++, но не факт. Если перез "PE.." идёт мусор, оканчивающийся на "Rich", — точно MS VC++.
     
  7. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
    слушай, ну зачем тебе это

    это же не PE заголовок

    тебя должно интересовать то что после "PE"

    всё что до этого можешь просто вырезать на хрен - программа будет работать в win32

    это dosstub и обслуга его



    затык не там
     
  8. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Так вот чтобы выяснить в чем затык, хочу узнать в чем отличие. Потому как проверенно - файлы первого типа заражаются без проблем!
     
  9. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
    повторяю, ты не там ищеш

    отрежь вообще эту часть от "MZ" включительно до "PE"

    исключительно , чтобы файл начинался с "PE"



    ничего не изменится , программа будет работать как не в чём не бывало



    и , кстати , что значит не работает ?
     
  10. d0rki

    d0rki New Member

    Публикаций:
    0
    Регистрация:
    9 июл 2004
    Сообщения:
    24
    Адрес:
    Ukraine
    sofydone





    затык в другом ;) а про поле, то



    struct IMAGE_DOS_HEADER

    .e_magic dw ? ; 'MZ'

    .e_cblp dw ? ; /* Bytes on last page of file*/

    .e_cp dw ? ; /* Pages in file*/

    ...

    ( e_cp - 1 ) * 512 + e_cblp <= рамер файла
     
  11. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Блин...

    Посмотрите внимательно PE файлы!

    Они все начинаются или с 4D 5A 50 00

    Или 4D 5A 90 00



    При чем тут размеры файлов??!! Какие байты на последней странице?? При чем тут компиляторы???? Их всего два чтоли?



    И самое инетерсное, что первый тип файлов у меня прекрасно инфицируются (всегда!), а вторые нет (тоже всегда!)
     
  12. d0rki

    d0rki New Member

    Публикаций:
    0
    Регистрация:
    9 июл 2004
    Сообщения:
    24
    Адрес:
    Ukraine
  13. MoKC0DeR

    MoKC0DeR New Member

    Публикаций:
    0
    Регистрация:
    13 ноя 2003
    Сообщения:
    136
    Адрес:
    Russia
    sofydone

    50 00 и 90 00 это Bytes on last page of file. Ни какого тайного смысла они не несут. Проверяй свой код - не корректно обрабатываешь заголовок
     
  14. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
    веди себя скромнее

    например

    летом тепло , зимой холодно , летом деревья зелёные , зимой голые и это происходит каждый год !

    вывод ->зелёные деревья нагревают воздух !!!!

    ура , нобелевская премия !
     
  15. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Никто не хочет код поглядеть? :)

    Кстати, я не делал выравнивание. Может в этом дело? :)
     
  16. _staier

    _staier New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2003
    Сообщения:
    738
    Адрес:
    Ukraine
    скажи сначала, что значит не работает ?
     
  17. MoKC0DeR

    MoKC0DeR New Member

    Публикаций:
    0
    Регистрация:
    13 ноя 2003
    Сообщения:
    136
    Адрес:
    Russia
    staier

    все телепаты в отпуске.
     
  18. warsem

    warsem Сеня

    Публикаций:
    0
    Регистрация:
    26 янв 2005
    Сообщения:
    170
    Адрес:
    Германия, NRW
    (попытка телепатии)

    А может ты как то криво смотришь смещение на ПИ заголовок в МЗ? Может stub с 50 и 90 разных длин?



    Вооющем скажи как ты на ПИ выходишь в своих полу нерабочих поделках.
     
  19. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    sofydone

    По-моему, проще прицепить пример на 50 кило, чем толочь воду в ступе. Информации слишком мало. Ты ведь не мог все существующие файлы в мире перебрать - значит твой вывод сомнителен. Скорее всего все файлы с 90 обладают еще какой-то особенностью, которая и мешает.
     
  20. sofydone

    sofydone New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2005
    Сообщения:
    31
    Адрес:
    Волгодонск
    Секундочку. Я думал просто тему удалили. Случайно наткнулся :)

    И еще я стек правил не на кратное 4-м.

    Щас все проверю еще раз и если не получится выложу немного кода инфектора.
     
Статус темы:
Закрыта.