Visualizzazione dei risultati da 1 a 8 su 8
  1. #1

    Primo indirizzo di memoria processo

    ciao

    mi serverebbe sapere l'indirizzo di memoria da cui partono gli eseguibili su windows e se c'è un modo per calcolarlo o magari anche una qualche funzione delle librerie di c/c++ .
    ho effettuato un po di ricerche su google e ho trovato che i pe partono da imagebase ma ho trovato anche che è solo su xp che partono da un indirizzo fisso ,su vista o seven invece sono in un qualche modo randomazzati.

    grazie

  2. #2
    Utente di HTML.it L'avatar di oregon
    Registrato dal
    Jul 2005
    residenza
    Roma
    Messaggi
    36,480
    Ma per fare cosa?
    No MP tecnici (non rispondo nemmeno!), usa il forum.

  3. #3
    accedere alla sezione .text dell'eseguibile ed effettuare alcuni controlli

  4. #4
    Utente di HTML.it L'avatar di oregon
    Registrato dal
    Jul 2005
    residenza
    Roma
    Messaggi
    36,480
    Utilizza il file .exe ... accedi a quello e trovi tutto quello che ti serve.

    P.S. Indica, come da regolamento, anche il linguaggio ...
    No MP tecnici (non rispondo nemmeno!), usa il forum.

  5. #5
    devo accedere all'exe a run-time.. come piu o meno fanno gli antivirus quando cercano la firma nel momento in cui l'eseguibile viene eseguito...
    in pratica devo fare questo..
    prendo un exe
    con un editor vado a vedere se ci sono un po di offset null
    scrivo in c o c++ il codice che deve accedere alla sezione dove risiedono le istruzioni del exe
    a questo punto faccio un controllo e restituisco un risultato
    converto il codice scritto in modo che lo posso incollare sull'hexeditor agli indirizzi scelti prima che contenevano null.
    salvare il tutto ed eseguire l'exe modificato.

    devo capire come accedere alla sezione dove risiede il codice cosi faccio i miei controlli..


    per quanto riguarda il titolo non lo riesco a modificare mi fa potevo farlo solo entro 60 min dall'apertura del post

  6. #6
    Utente di HTML.it L'avatar di oregon
    Registrato dal
    Jul 2005
    residenza
    Roma
    Messaggi
    36,480
    Originariamente inviato da j4ck_andros
    devo accedere all'exe a run-time.. come piu o meno fanno gli antivirus quando cercano la firma nel momento in cui l'eseguibile viene eseguito...
    Gli antivirus utilizzano un driver (a livello kernel) che si inserisce tra il sistema e il gestore del file system. Tutta un'altra storia.

    in pratica devo fare questo..
    prendo un exe
    con un editor vado a vedere se ci sono un po di offset null
    scrivo in c o c++ il codice che deve accedere alla sezione dove risiedono le istruzioni del exe
    a questo punto faccio un controllo e restituisco un risultato
    converto il codice scritto in modo che lo posso incollare sull'hexeditor agli indirizzi scelti prima che contenevano null.
    salvare il tutto ed eseguire l'exe modificato.
    Ok ... passo la mano ad altri ... modificare un eseguibile non rientra in quello che, secondo me, è lecito fare.

    devo capire come accedere alla sezione dove risiede il codice cosi faccio i miei controlli..
    E non mi è chiara neanche la finalità di tutto ciò ... cosa che tu - accuratamente - non precisi.
    No MP tecnici (non rispondo nemmeno!), usa il forum.

  7. #7
    Dll injection + GetModuleHandle(NULL).
    Amaro C++, il gusto pieno dell'undefined behavior.

  8. #8
    Moderatore di Programmazione L'avatar di alka
    Registrato dal
    Oct 2001
    residenza
    Reggio Emilia
    Messaggi
    24,465

    Moderazione

    La discussione di tecniche di hacking di altri eseguibili per procedere alla loro modifica, comportamento tipico dei malware, non è ben tollerato qui.
    MARCO BREVEGLIERI
    Software and Web Developer, Teacher and Consultant

    Home | Blog | Delphi Podcast | Twitch | Altro...

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.