ciao
mi serverebbe sapere l'indirizzo di memoria da cui partono gli eseguibili su windows e se c'è un modo per calcolarlo o magari anche una qualche funzione delle librerie di c/c++ .
ho effettuato un po di ricerche su google e ho trovato che i pe partono da imagebase ma ho trovato anche che è solo su xp che partono da un indirizzo fisso ,su vista o seven invece sono in un qualche modo randomazzati.
grazie
Ma per fare cosa?
No MP tecnici (non rispondo nemmeno!), usa il forum.
accedere alla sezione .text dell'eseguibile ed effettuare alcuni controlli
Utilizza il file .exe ... accedi a quello e trovi tutto quello che ti serve.
P.S. Indica, come da regolamento, anche il linguaggio ...
No MP tecnici (non rispondo nemmeno!), usa il forum.
devo accedere all'exe a run-time.. come piu o meno fanno gli antivirus quando cercano la firma nel momento in cui l'eseguibile viene eseguito...
in pratica devo fare questo..
prendo un exe
con un editor vado a vedere se ci sono un po di offset null
scrivo in c o c++ il codice che deve accedere alla sezione dove risiedono le istruzioni del exe
a questo punto faccio un controllo e restituisco un risultato
converto il codice scritto in modo che lo posso incollare sull'hexeditor agli indirizzi scelti prima che contenevano null.
salvare il tutto ed eseguire l'exe modificato.
devo capire come accedere alla sezione dove risiede il codice cosi faccio i miei controlli..
per quanto riguarda il titolo non lo riesco a modificare mi fa potevo farlo solo entro 60 min dall'apertura del post
Gli antivirus utilizzano un driver (a livello kernel) che si inserisce tra il sistema e il gestore del file system. Tutta un'altra storia.Originariamente inviato da j4ck_andros
devo accedere all'exe a run-time.. come piu o meno fanno gli antivirus quando cercano la firma nel momento in cui l'eseguibile viene eseguito...
Ok ... passo la mano ad altri ... modificare un eseguibile non rientra in quello che, secondo me, è lecito fare.in pratica devo fare questo..
prendo un exe
con un editor vado a vedere se ci sono un po di offset null
scrivo in c o c++ il codice che deve accedere alla sezione dove risiedono le istruzioni del exe
a questo punto faccio un controllo e restituisco un risultato
converto il codice scritto in modo che lo posso incollare sull'hexeditor agli indirizzi scelti prima che contenevano null.
salvare il tutto ed eseguire l'exe modificato.
E non mi è chiara neanche la finalità di tutto ciò ... cosa che tu - accuratamente - non precisi.devo capire come accedere alla sezione dove risiede il codice cosi faccio i miei controlli..
No MP tecnici (non rispondo nemmeno!), usa il forum.
Dll injection + GetModuleHandle(NULL).
Amaro C++, il gusto pieno dell'undefined behavior.
La discussione di tecniche di hacking di altri eseguibili per procedere alla loro modifica, comportamento tipico dei malware, non è ben tollerato qui.
MARCO BREVEGLIERI
Software and Web Developer, Teacher and Consultant
Home | Blog | Delphi Podcast | Twitch | Altro...
Permessi di invio
