Возникла маленькая проблема при внедрении кода в последнюю секцию 1)Когда инфицируемый файл спроецирован,мы записываем в конец секции свои код( что я как считаю сделано ) http://img294.imageshack.us/my.php?image=68253469.jpg 2)Точка входа в инфицируемом файле изменена, но при открытии в отладчике файла в EP 00000000000000 http://img294.imageshack.us/my.php?image=75046684.jpg 3) Опять проецируем инфицируемый файл ,в который мы вроде бы писали и видим... http://img294.imageshack.us/my.php?image=84813090.jpg Что эти байты записаны. Может быть сейчас не все так понятно, но посотрев на скрины будет ясно в чем проблема.
скажу честно, что скрины, что вопрос - ниче не понятно. Еще раз и по-русски, в чем проблема и что ты делаешь по шагам
Файл номер 1 проецирует файл номер 2 с помошью MapViewOfFIle В конец секций файла номер 2 записываеться код,изменяеться точка входа , изменяються размеры последней секции,изменеяеться размер образа. При открытии файла номер 2 в отладчике по EntryPoint одни нули ,а должен же быть код При повторной проекции файла номер 2 (ничего нового не записываем), по тому смещению по которому раньше записывали код есть! Вопрос почему когда отдельно отркывешь файл в отлладчике по EP нули а не мой код
sandis Чудеса на виражах! Убедись, что делаешь анмап перед тем как открывать файл в отладчике. И еще закрой процесс, который писал в файл. И убедись, что когда пишешь, процесс 2 не запущен... Иначе, я не могу объясить, почему в первый раз ничего нет, а если открыть во второй раз, то все появляется...
ты убежден, что ты не перепутал физ. смещение и рва? судя по той информации, которая есть, ты скорее всего не в то место записал код
MSoft +1 Потому, что проекция файла и загруженный образ - разные вещи. Посчитай, куда загрузится записанный тобой код, и на это значение меняй энтри_пойнт. А лучше ставь джамп с последующим восстановлением оригинального кода.
