Захват разрушением указателей.

kaspersky
Клерк забанен за неподобающе оскорбительное отношение к пользователям форума на срок одна неделя. А вообще есть тема про жалобы. Человек интересный, но с социальными навыками у него не особо.

 

Great
> Клерк забанен за неподобающе оскорбительное отношение
> к пользователям форума на срок одна неделя.
правосудие восторжествовало, поздравляю! формально и по сути вы правы, раз человек нарушает Устав, его нужно по всей строгости закона....

но! клерк таки пришел сюда со своими идеями. новыми и интересными. и продуктивно участвует в их обсуждении. и что вы выиграли забанив его? соотношение полезной инфы на форуме к срачу от этого только ухудшилось ;(

> А вообще есть тема про жалобы.
во, правильно. вы еще и меня забаньте что пожаловался не там

> Человек интересный, но с социальными навыками у него не особо.
клерк и мне говорил (публично) все, что он про меня думает. и небезызвестный Dr. Golova писал, что мыщъх: выскочка, неудачник и баклан. как будто остальные хакеры социальные люди. а на обиженных вообще-то воду возят. это ж какое нужно больное самолюбие иметь, чтобы обижаться на каждый высер, вместо того чтобы улыбнуться

короче, собираем кворум. мыщъх за то, чтобы клерка тут же разбанили и больше не банили, потому как клерк - гуру.

кто еще? кто за клерка?

 

kaspersky

Дык а я то и не обижался ни на кого, вообще речь не обо мне. И он писал не обо мне. А тут речь о том, что оскорбления пользоватеей на этом форуме неприемлимы. Ты бы удосужился еще почитать его посты, а не просто лепить тут непонятное. И да, заметь, я тебе это прямо говорю.

 

kaspersky возьми уже контакты у клерка и пообщайтесь приватно...Проблем-то..забанили...А то устраиваете тут государственный переворот прямо...кто за кого..

 

kaspersky
Вы подпись Clerk'а пропускаете мимо кассы? Думаю, virustech.org он все же посещает. Там он, так сказать, в своей среде.

 

+1000

На моей - раз в 20-й.

правила для всех одни.
kaspersky Вы как ребенок ей-богу..

 

Мое мнение кагбэ всем пох, но задумайтесь: когда Клерк был забанен, форум стал в стопицот раз менее интересным. Да и вообще, как-то глупо банить кого-то за то, что он кого то оскорбил, перерастет топик в срач -- закройте. Имхо, для форума полезнее Клерк, отвечающий на идиотские посты в духе "ты гоvно и быдло", и при этом совершенно нормально на нормальные темы, чем мир и спокойствие =\.
Зачем банить за оскорбления? Просто потому что это плохо? Типа боженька покарает? =\

 

Потому что это не приемлимая манера поведения. С такими манерами поведения на другой форум, либо в личку.

 

Да я как бы говорил о том почему есть правило "бан 2 недели за оскорбление".. кого _адекватного_ это вообще может волновать?.. и о прямых последствиях для форума =) Об этом были 3 последних предложения предыдущего поста =)

 

Движок не позволяет разделять темы. Однако, дальнейшее обсуждение предлагаю продолжить в WASM.SITE. Если, конечно, у кого-нибудь еще осталось что обсудить. Есть тема жалоб модераторам, о чем я Крису сразу же сообщил

Тему я закрываю временно. Когда клерк вернется, может отписать мне в ПМ, или любому другому модератору или администратору, тему откроют снова.

 

Открыто по просьбе начинателя темы.

 

Клерку респект. Весьма интересная техника захватов и его IDP, такого кол-ва интересных примеров как у него на вирустече ни у кого не видел. Ещё бы научить его писать всё на пуре си вместо асма для портабельности

 

Обсуждали долго, думаю будет апдейт. Деограмка:

Вобщем можно описать маршрут битовой картой. Тогда двиг сделает полностью всё сам, например для этой схемы:

Код (Text):

1. ~~~~~~~~ По шагам последовательно ~~~~~~~~
2. 1. Бактрейс(2 шага(процедуры или фрейма)).
3. 2. Трассировка(1 процедура).
4. 3. Skip(пропускаем 1 процедуру).
5. 4. Трассировка(1 процедура).
6.  
7. ; Route flags
8. ;
9. RF_CONTINUE equ 0   ; Прекращение трассировки.
10. RF_TRACE_INTO   equ 1   ; Трассировка(вход в процедуру).
11. RF_TRACE_OVER   equ 2   ; Пропускание процедуры.
12. RF_TRACE_BACK   equ 3   ; Бактрейс(захват адреса возврата).
13.  
14. ~~~~ Карта(маршрут) ~~~~
15. Dim Flag(Type)  Count
16. [+0]    RF_TRACE_BACK   2
17. [+1]    RF_TRACE_INTO   1
18. [+2]    RF_TRACE_OVER   1
19. [+3]    RF_TRACE_INTO   1

Если принять описатель одного шага за один байт, то два бита займут тип операции, тогда счётчик - 64 процедуры. Для данного графа маршрут займёт 4 байта.

 

Кстати, картинки на эту тему только у тебя есть
А мне бы вот на Си научиться определять адрес возврата функции... Удобно, к примеру, для определения из какого модуля вызывают твою функцию (либо захваченную).

 

d2k9

void *ret_addr;
__asm mov ret_addr,dword ptr [ebp+4];

 

_ReturnAddress()
_AddressOfReturnAddress()

 

Код (Text):

1. ...function(a1,a2,a3,....an)
2. //stdcall, cdecl, thiscall
3. ret_addr=*((((DWORD*)&a1)-1));
4. //pascal
5. ret_addr=*((((DWORD*)&an)-1));