Chucky Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 У кого есть пример реализации на ассемблере? Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Привет! [Держи]. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Chucky Опубликовано 4 марта, 2015 Автор Поделиться Опубликовано 4 марта, 2015 Спасибо! Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Если конкретнее, то тебе нужен файл scanner.inc, лежащий в папке inc. Ссылка на комментарий Поделиться на другие сайты Поделиться
Chucky Опубликовано 4 марта, 2015 Автор Поделиться Опубликовано 4 марта, 2015 Можешь в ЛС номер аськи скинуть? Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Аськой уже давно не пользуюсь. Есть электропочта - 00keng [at] gmail [dot] com. Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 старый "тормоз" код. мы его давно уже переписали, потому не жалко. хехproc SearchBytes uses ebx ebp esi edi,Buffer,BufferSize,Pattern,PatternSize mov esi, [Pattern] mov ecx, [PatternSize] lea edx, [esi+ecx] mov eax, esiL_0x00062CFE: cmp word [eax], 0xFEEF jne L_0x00062D0D sub ecx, 0x01 add eax, 0x02 jmp L_0x00062CFEL_0x00062D0D: add eax, 0x01 cmp eax, edx jne L_0x00062CFE mov edi, [Buffer] mov edx, [BufferSize] mov ebx, ecx mov ebp, esiL_0x00062D1E: lodsb scasb je L_0x00062D31 sub ecx, ebx add edi, ecx mov ecx, ebx mov esi, ebp sub edx, 0x01 jne L_0x00062D1E jmp L_0x00062D56L_0x00062D31: cmp word [esi], 0xFEEF jne L_0x00062D48 add edi, 0x01 sub ecx, 0x01 sub edx, 0x01 je L_0x00062D56 add esi, 0x02 jmp L_0x00062D31L_0x00062D48: sub ecx, 0x01 jne L_0x00062D1E test edx, edx je L_0x00062D56 sub edi, ebx xchg eax, edi jmp L_0x00062D58L_0x00062D56: xor eax, eaxL_0x00062D58:retendp0xEF,0xFE - ??пример: blaaaah db 0x76,0xEF,0xFE,0x0F,0x2E,0xC3,0x9F,0xF6,0xC4,0x44,0x7B,0xEF,0xFE,0xF3 Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Что-то у меня большие сомнения есть. Стойкое ощущение, что этот код рипнут у кого-то. Причем это даже почти уверенность. И не потому, что я предвзято отношусь, а потому, что видел я подобный код неодкратно у риперов (читай, воров чужого кода).Или ты думал, что мы тут слыхом не слыхивали про IDA? Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Что-то у меня большие сомнения есть. Стойкое ощущение, что этот код рипнут у кого-то. Причем это даже почти уверенность. И не потому, что я предвзято отношусь, а потому, что видел я подобный код неодкратно у риперов (читай, воров чужого кода).ну сам только что его копирнул из очень старого билда своего хака на онлайн игруху. а что? нельзя так делать? lulzя ведь его не сохранил, так как сделалИ круче где то на ~130%. смысл его хранить... тормоз кода не жалко. его еще можно ускорить где то на 30% если заменить древние инструкции lodsb и scasb Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 ну сам только что его копирнул из очень старого билда своего хака на онлайн игруху. а что? нельзя так делать? lulzя ведь его не сохранил, так как сделалИ круче где то на ~130%. смысл его хранить... тормоз кода не жалко. его еще можно ускорить где то на 30% если заменить древние инструкции lodsb и scasb Нелепейший отмаз. Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Код из моего примера все еще проще и читабельнее, а на глаз лично я не уверен что будет сильно заметная разница. Оптимизировать всегда можно, само собой. Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Нелепейший отмаз.пф проверяй (если сможешь распак lol) он в ниже v11 nfsw_hack и в nfsw_carchanger всех билдов Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Ссылку в студию. Поковыряю. Но опять же, не факт, что ты - (со)автор данной проги. Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Ссылку в студию. Поковыряю. Но опять же, не факт, что ты - (со)автор данной проги.ссылка в пм ушла. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Ок. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 ОМГ! FindWindow? You must be kidding!Я только таблицу импорта глянул, уже смешно стало. Кстати, почему она не зашифрована? Вроде как, я должен был распаковать, не? Тогда да, сложно распаковать то, что не запаковано. Но это так, поверхностный взгляд. Завтра-послезавтра, при наличии времени, гляну подробнее. Запускать пока не стал, мало ли что. Воткну на виртуалку ХРюшу, там посмотрим. Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Код из моего примера все еще проще и читабельнее, а на глаз лично я не уверен что будет сильно заметная разница. Оптимизировать всегда можно, само собой.странное оформление у тебя ОМГ! FindWindow? You must be kidding!Я только таблицу импорта глянул, уже смешно стало. Кстати, почему она не зашифрована? Вроде как, я должен был распаковать, не? Тогда да, сложно распаковать то, что не запаковано. Но это так, поверхностный взгляд. Завтра-послезавтра, при наличии времени, гляну подробнее. Запускать пока не стал, мало ли что. Воткну на виртуалку ХРюшу, там посмотрим.финдвиндов рулит ну там 2 вида лоадера и 3 вида пакера. это старые версии, так что говнокоду особо не удивляйся lol Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Тот код - старая версия, еще на masm написанная, с поехавшими переносами при заливке на гитхаб. У самого глаза режет читать этот код, да и на masm я с тех пор толком не пишу Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 ну там 2 вида лоадера и 3 вида пакераИ ни один из них не похерил таблицу импорта до полной нечитаемости? Сомневаюсь. Впрочем, ты хотя бы что-то выложил, так что пока могу сказать, что в части поверхностный знаний твоих я, возможно, мог и ошибаться. Но посмотрим, что дадут исследования твоих (твоих ли?) поделок. Сам себя так поставил, что в тебе сомнений куча. Кстати да, а почему это банальные экзешники, а не самоинжектирующаяся cpl-ка? А, ну да, ну да, это же старый говнокод, как я мог забыть...Я уж молчу о том, что накатывание двух пакеров одного над другим - это вообще бред кобылы сивой, так как в большинстве случаев это приведет к неработоспособности исполняемого файла. Ссылка на комментарий Поделиться на другие сайты Поделиться
Chucky Опубликовано 5 марта, 2015 Автор Поделиться Опубликовано 5 марта, 2015 Да уж, создал дебатную дискуссию.. :-) keng, спасибо, еще раз! Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 5 марта, 2015 Поделиться Опубликовано 5 марта, 2015 И ни один из них не похерил таблицу импорта до полной нечитаемости? Сомневаюсь. Впрочем, ты хотя бы что-то выложил, так что пока могу сказать, что в части поверхностный знаний твоих я, возможно, мог и ошибаться. Но посмотрим, что дадут исследования твоих (твоих ли?) поделок. Сам себя так поставил, что в тебе сомнений куча. Кстати да, а почему это банальные экзешники, а не самоинжектирующаяся cpl-ка? А, ну да, ну да, это же старый говнокод, как я мог забыть...Я уж молчу о том, что накатывание двух пакеров одного над другим - это вообще бред кобылы сивой, так как в большинстве случаев это приведет к неработоспособности исполняемого файла.cpl годится для не пак/не лоадер/упх варианта. типа такой себе dll чит все в одном исходнике.там в 2 чите нету норм импорта, инжектор вроде ~550байт и весь размазан по PE хидерене путай специф. лоадер с ехе/длл пакерами. LZMA пакует лоадер/длл а потом LZSS пакует код распаковки LZMA (такое только в 2 чите)короче эти 2 чита хороший пример тому, сколько ошибок можно допустить при плохой планировке PE лоадера Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения