а кто сказал, что у меня его нет... тут на форуме много людей уже переписали загрузщик винды, и только один Клерк на всех ругался и пророчил использовал стандартный... он когда то пытался мне объяснить, как в нтдлл находить неэкспортируемые функции загрузщика винды, но я так и не понял... что-то там было про отладочные строки... какие эмоциональные выпады? я вам по каждой строчке написал в другой теме... что-то от этого изменилось? ЗЫ и я так и не понял, чем UPX угэ? и какое он имеет отношение к левым загрузщикам? если загрузщик нормальный, то он может одинаково грузить и упакованные и неупакованные файлы...
Мой вопрос был теоретический по устройству,адрессного пространства процесса и загрузчика винды.Но начали грузить по практическому т.е. по коду.ИМХО это и есть эмоции.
Rel > тут на форуме много людей уже переписали загрузщик винды, и только один Клерк на всех ругался и пророчил использовал стандартный.. Вариант действительно лучший из возможных. Находить ссылки не обязательно, это один из вариантов получения управления (инвалидация указателей и тд), проще - можно трассировать с самого начала ntdll!LdrLoadDll. ++ Клерк, увы, вывалил кусок непонятной дрочни / некоторые хеккеры, увидев код, не только о*уели, но и е*анулись (С) /, работающей только под x86 и только для бинарей с релоками. Хотя, например, в случае с пакером - для модулей с фиксированной базой загрузки все легко решаемо.
так причем тут упх вообще? тут вопрос в практике... как автоматизировать такую трассировку я плохо себе представляю... это IDP? или как-то так он это называл - неясной аббревиатурой из трех букв... вы об этом?
Rel Это ясная оббревиатура. Interactive Pointer Destruction. Он просто привел так сказать пример. Хоть я и не понимаю сути всего написанного кроме PI кода, но идея есть и имеет место быть! В нашем ареале это его идея, где бы он ее не взял! Суть ее на данный момент проста до ужоса. Реализация чуть сложнее. Но я до сих пор готов с ним поспорить, что для реализации как он говорил обяязательно нужен асм, я могу реализовать это на вб
)))) нет, это о примере использования загрузчика ОС для настройки exe/dll из дампа-файла в памяти вольный перевод типа? ну все точно - не понимаете сути
