 |
|
21.12.2008, 01:19
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
С нами:
9442961
Репутация:
3
|
|
Как записать сообщёние "Привет мир" из стека в строку кода программы ?
Код:
0012EBBC I 00A589E0 ASCII "Привет мир"
И этоже значение из регистра например
Код:
ЕАX 00A589E0 ASCII "Привет мир"
в строку кода программы ?
О бычно в учебниках пишут как загрузить ASCII сообщение из строки,
например:
Код:
MOV EDX, 48DBA0 ; скопировать в EDX сообщение из строки 48DBA0
или
Код:
MOV EDX, offset String
А как занести строку в код, в определённый адрес вида 004ХХХХХ пока не нашёл? 
Последний раз редактировалось tekton; 21.12.2008 в 01:21..
|
|
|
21.12.2008, 02:23
|
|
Участник форума
Регистрация: 03.01.2008
Сообщений: 156
С нами:
9660439
Репутация:
110
|
|
2tekton
ты очень невимательно читаешь книжки по асму.
Код:
0012EBBC I 00A589E0 ASCII "Привет мир"
Это не строка в стеке, а её адрес в стеке(если быть вообще точным, то адрес её первого символа). Сама строка расположена там, где её поместил компилятор или сам человек, писавший на ассемблере. В секции данных к примеру. Примерно вот таким образом:
Код:
message db 'hello world' , 0x00
И далее мы оперируем уже адресом строки, загрузив его для удобства в какой нибудь регистр ))
Код:
MOV EDX, offset String
Перемещать строки можно цепочечными командами. Или в цикле ^_____^
И вообще этот вопрос по сути к реверсингу относится опосредованно. Задавай вопросы по асму ЗДЕСЬ |
|
|
|
21.12.2008, 10:26
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
С нами:
9442961
Репутация:
3
|
|
Сообщение от izlesa
tekton
Код:
0012EBBC I 00A589E0 ASCII "Привет мир"
Это не строка в стеке, а её адрес в стеке(если быть вообще точным, то адрес её первого символа). [/CODE] Я знаю что в стек ложится адрес по которому записано сообщение , а потом вызывается!
Просто не правильно выразился!
Прошу прощения !!!
Мене просто надо скопировать сообщение с одного адреса в другой! Спасибо за ссылку!
|
|
|
|
21.12.2008, 17:24
|
|
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
С нами:
10437270
Репутация:
117
|
|
Сообщение от tekton
Мене просто надо скопировать сообщение с одного адреса в другой!
Код:
;=====================================================================
; StrCpy
;=====================================================================
; This procedure copies a string into a buffer. If the buffer is smaller
; than the string to copy, it returns 0.
;=====================================================================
StrCpy PROC uses edi esi StrBuffer:DWORD,String:DWORD
invoke StrLen,String
mov ecx,eax
mov edi,StrBuffer
mov esi,String
rep movsb
ret
StrCpy ENDP
Код:
;=====================================================================
; StrLen
;=====================================================================
; This procedure takes an address of a string as its parameter and
; returns the length of the string in eax
;=====================================================================
StrLen PROC uses edi String:DWORD
mov edi,String
mov al,0
mov ecx,0FFFFFFFFh
repne scasb
sub ecx,0FFFFFFFFh
neg ecx
dec ecx
mov eax,ecx
ret
StrLen ENDP
полезно смотреть хорошие исходники).
|
|
|
|
Не могу распаковать файл... |
22.12.2008, 03:59
|
|
Новичок
Регистрация: 21.12.2008
Сообщений: 2
С нами:
9151267
Репутация:
9
|
|
Не могу распаковать файл...
Доброго времени суток! Потихоньку осваиваю реверсинг, тренируюсь на пакерах/крипторах и все бы ничего, но следующий файл вызвал сложности при не однократных попытках найти оригинальную точку входа. Сам файл - Data_1.zip, пасс на архив:123 Вимание, запускать только после отключения от и-нета! Это "приватный" билд пинча, упакованного PECompact-ом и закриптованого чем-то опять таки "приватным" )), и вот этот криптор и обламывает мои попытки распаковать файл. Сразу скажу, меня не интересует, куда он что отправляет, конечная цель - распаковать.  Судя по всему это какой-то инжектор, (да и NOD32 обзывает его как Win32/Injector.GA) т.к. создается новый процесс, правда при обычном запуске этого почему-то не видно, на 2 процесса разбивается только при трассировке через Olly, постепенно куда-то разшифровывается и, в конце концов 2 процесс получает управление и срабатывает, а я остаюсь на первом, т.е. ни как не могу попасть на 2 процесс, попытка приattachится к нему приводит к ошибке (не корректный PE-заголовок). Замучался.  Посмотрите, у кого время есть, пожалуйста. Не может же быть, что его уже не возможно распаковать. Заранее спасибо!
Последний раз редактировалось Alex_Lite; 22.12.2008 в 04:26..
|
|
|
|
22.12.2008, 12:44
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами:
9769287
Репутация:
711
|
|
Сообщение от Alex_Lite
..следующий файл вызвал сложности при не однократных попытках найти оригинальную точку входа
На адресе 0015636B можно дампить данные, которые пишутся в дочерний процесс (можно и чуть раньше, но все же я там дампил)
А второй процесс - обычный pecompact как я понял
|
|
|
|
23.12.2008, 22:38
|
|
Новичок
Регистрация: 21.12.2008
Сообщений: 2
С нами:
9151267
Репутация:
9
|
|
С трудом, но все-таки распаковал. Спасибо за помощь по асе, neprovad ! |
|
|
|
28.12.2008, 05:08
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
С нами:
9619229
Репутация:
445
|
|
здрасти всем гуру раздела
и так есть программа... он требует активации но активация производиться через инет! (ключем) возможно ли как нибуть активировать ее???
|
|
|
|
28.12.2008, 05:32
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
С нами:
11291486
Репутация:
2175
|
|
возможно. отрубать руками проверку, либо эмуль подимать на локалхосте, изу4ив ответ сервака авторизации
|
|
|
|
28.12.2008, 06:53
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
С нами:
9619229
Репутация:
445
|
|
эмуль подимать на локалхосте
Это как это? то есть нужны еще знания кодинга? я не совсем понимаю этО
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
