Перейти к содержанию

Рекомендуемые сообщения

старый "тормоз" код. мы его давно уже переписали, потому не жалко. хех

proc SearchBytes uses ebx ebp esi edi,Buffer,BufferSize,Pattern,PatternSize    mov esi, [Pattern]    mov ecx, [PatternSize]    lea edx,  [esi+ecx]    mov eax, esiL_0x00062CFE:    cmp word [eax], 0xFEEF    jne  L_0x00062D0D    sub ecx, 0x01    add eax, 0x02    jmp  L_0x00062CFEL_0x00062D0D:    add eax, 0x01    cmp eax, edx    jne  L_0x00062CFE    mov edi,  [Buffer]    mov edx,  [BufferSize]    mov ebx, ecx    mov ebp, esiL_0x00062D1E:    lodsb    scasb    je  L_0x00062D31    sub ecx, ebx    add edi, ecx    mov ecx, ebx    mov esi, ebp    sub edx, 0x01    jne  L_0x00062D1E    jmp  L_0x00062D56L_0x00062D31:    cmp word [esi], 0xFEEF    jne  L_0x00062D48    add edi, 0x01    sub ecx, 0x01    sub edx, 0x01    je  L_0x00062D56    add esi, 0x02    jmp  L_0x00062D31L_0x00062D48:    sub ecx, 0x01    jne  L_0x00062D1E    test edx, edx    je  L_0x00062D56    sub edi, ebx    xchg eax, edi    jmp  L_0x00062D58L_0x00062D56:    xor eax, eaxL_0x00062D58:retendp

0xEF,0xFE - ??
пример: blaaaah db 0x76,0xEF,0xFE,0x0F,0x2E,0xC3,0x9F,0xF6,0xC4,0x44,0x7B,0xEF,0xFE,0xF3

Ссылка на комментарий
Поделиться на другие сайты

Что-то у меня большие сомнения есть. Стойкое ощущение, что этот код рипнут у кого-то. Причем это даже почти уверенность. И не потому, что я предвзято отношусь, а потому, что видел я подобный код неодкратно у риперов (читай, воров чужого кода).

Или ты думал, что мы тут слыхом не слыхивали про IDA?

Ссылка на комментарий
Поделиться на другие сайты

Что-то у меня большие сомнения есть. Стойкое ощущение, что этот код рипнут у кого-то. Причем это даже почти уверенность. И не потому, что я предвзято отношусь, а потому, что видел я подобный код неодкратно у риперов (читай, воров чужого кода).

ну сам только что его копирнул из очень старого билда своего хака на онлайн игруху. а что? нельзя так делать? lulz

я ведь его не сохранил, так как сделалИ круче где то на ~130%. смысл его хранить... тормоз кода не жалко. его еще можно ускорить где то на 30% если заменить древние инструкции lodsb и scasb

Ссылка на комментарий
Поделиться на другие сайты

ну сам только что его копирнул из очень старого билда своего хака на онлайн игруху. а что? нельзя так делать? lulz

я ведь его не сохранил, так как сделалИ круче где то на ~130%. смысл его хранить... тормоз кода не жалко. его еще можно ускорить где то на 30% если заменить древние инструкции lodsb и scasb

 

Нелепейший отмаз.

Ссылка на комментарий
Поделиться на другие сайты

Код из моего примера все еще проще и читабельнее, а на глаз лично я не уверен что будет сильно заметная разница. Оптимизировать всегда можно, само собой.
Ссылка на комментарий
Поделиться на другие сайты

ОМГ! FindWindow? You must be kidding!

Я только таблицу импорта глянул, уже смешно стало. Кстати, почему она не зашифрована? Вроде как, я должен был распаковать, не? Тогда да, сложно распаковать то, что не запаковано. Но это так, поверхностный взгляд. Завтра-послезавтра, при наличии времени, гляну подробнее. Запускать пока не стал, мало ли что. Воткну на виртуалку ХРюшу, там посмотрим.

Ссылка на комментарий
Поделиться на другие сайты

Код из моего примера все еще проще и читабельнее, а на глаз лично я не уверен что будет сильно заметная разница. Оптимизировать всегда можно, само собой.

странное оформление у тебя

 

 

ОМГ! FindWindow? You must be kidding!

Я только таблицу импорта глянул, уже смешно стало. Кстати, почему она не зашифрована? Вроде как, я должен был распаковать, не? Тогда да, сложно распаковать то, что не запаковано. Но это так, поверхностный взгляд. Завтра-послезавтра, при наличии времени, гляну подробнее. Запускать пока не стал, мало ли что. Воткну на виртуалку ХРюшу, там посмотрим.

финдвиндов рулит :D

ну там 2 вида лоадера и 3 вида пакера. это старые версии, так что говнокоду особо не удивляйся lol

Ссылка на комментарий
Поделиться на другие сайты

Тот код - старая версия, еще на masm написанная, с поехавшими переносами при заливке на гитхаб. У самого глаза режет читать этот код, да и на masm я с тех пор толком не пишу
Ссылка на комментарий
Поделиться на другие сайты

 

ну там 2 вида лоадера и 3 вида пакера

И ни один из них не похерил таблицу импорта до полной нечитаемости? Сомневаюсь. Впрочем, ты хотя бы что-то выложил, так что пока могу сказать, что в части поверхностный знаний твоих я, возможно, мог и ошибаться. Но посмотрим, что дадут исследования твоих (твоих ли?) поделок. Сам себя так поставил, что в тебе сомнений куча. Кстати да, а почему это банальные экзешники, а не самоинжектирующаяся cpl-ка? А, ну да, ну да, это же старый говнокод, как я мог забыть...

Я уж молчу о том, что накатывание двух пакеров одного над другим - это вообще бред кобылы сивой, так как в большинстве случаев это приведет к неработоспособности исполняемого файла.

Ссылка на комментарий
Поделиться на другие сайты

И ни один из них не похерил таблицу импорта до полной нечитаемости? Сомневаюсь. Впрочем, ты хотя бы что-то выложил, так что пока могу сказать, что в части поверхностный знаний твоих я, возможно, мог и ошибаться. Но посмотрим, что дадут исследования твоих (твоих ли?) поделок. Сам себя так поставил, что в тебе сомнений куча. Кстати да, а почему это банальные экзешники, а не самоинжектирующаяся cpl-ка? А, ну да, ну да, это же старый говнокод, как я мог забыть...

Я уж молчу о том, что накатывание двух пакеров одного над другим - это вообще бред кобылы сивой, так как в большинстве случаев это приведет к неработоспособности исполняемого файла.

cpl годится для не пак/не лоадер/упх варианта. типа такой себе dll чит все в одном исходнике.

там в 2 чите нету норм импорта, инжектор вроде ~550байт и весь размазан по PE хидере

не путай специф. лоадер с ехе/длл пакерами. LZMA пакует лоадер/длл а потом LZSS пакует код распаковки LZMA (такое только в 2 чите)

короче эти 2 чита хороший пример тому, сколько ошибок можно допустить при плохой планировке PE лоадера :D

 

Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.