Rel, И сразу по вашей ссылке пример: Код (Text): ql.patch(0x004010B5, b'\x90\x90') ql.patch(0x004010CD, b'\x90\x90') ql.patch(0x0040110B, b'\x90\x90') ql.patch(0x00401112, b'\x90\x90') # hook at an address with a callback ql.hook_address(0x00401016, force_call_dialog_func) Напихать точек останова это не метод.
Rel, Это некоторая функция для замены на нопы, наверно какой то промежуточный стаб не важно. Для работы с апп не допустимы моды в код, крутни этим аспротект например покажи что получится
Каждый раз видя подобный заголовок с замиранием сердца лезу в описание и найдя там предсказуемый х86 плеваясь закрываю
Дежавю какое-то каждый раз с этим очень скромным списком архитектур (qemu, unicorn). Бывает например вот так: А поддерживает оно около 50 архитектур.
Разве стоит анализировать опасные зловреды на своей машине? Конкретно в моих целях виртуальная машина отрабаывает свое на 100% - я безнаказанно читаю память игры за пределом виртуальной ос, не привлекая внимание античита, при том, если попытаться подцепить отладчик к процессу игры внутри ос - летит моментальный банан)
"а так разве можно было?" (с) ВМ на то и разрабатывалась, чтобы никак за ее пределы нельзя было выйти, или я чего-то не понимаю?
Наверное, мы не поняли друг-друга. Попробую объяснить. У меня есть комп, на нем установлена программа по типу virtual box, в это проге есть своя винда, в которой и происходит все шоу, но эта самая винда даже не догадывается об существовании родительской винды, на которой установлен VB. Основаня винда читает физическую память, а вот та винда, что внутри симуляции даже не подозревает об этом. Как-то так) Спойлер: а что, так можно было? Самому забавно на сколько приходится изворачиваться, чтобы успокоить свою бурную фантазию в написании бесполезных программ)
Здесь речь не про 50 сортов вмвары, штуки типа этой вообще не подразумевают прямого исполнения кода процом.
LastNoob, > Разве стоит анализировать опасные зловреды на своей машине? Ты не правильно понял, вм нужна что бы запустить апп/ос, но не что бы проводить анализ - следить за апп, это не визоры. За исключением ав вм, но на них апп не запустишь полноценно. Потому что из за оптимизации используется аппаратный запуск и лишь не многие события можно отследить, в частности это не касается памяти. Блок кода напрямую на проце исполняется, выборка(пересылки данных) не будут отслежены. Конечно если ты запустил апп на ос-вм, то можно как то отобразить(транслировать) память вм на хост и прочитать. Но вот отследить манипуляции с этой памятью не получится, потому что их нет софтверно.
