Пытаюсь реверсить малварь, написанную для XP
Прямо с порога делается какой-то ебучий call 0x75B4, когда ImageBase = 0x10000
В таблице импорта вместо названия либы 2 иероглифа, а от названия методов отколоты 2 символа
1) Как этот колл может работать?
2) Почему кал в таблице импорта?
Прямо с порога делается какой-то ебучий call 0x75B4, когда ImageBase = 0x10000
В таблице импорта вместо названия либы 2 иероглифа, а от названия методов отколоты 2 символа
1) Как этот колл может работать?
2) Почему кал в таблице импорта?
>>180685 (OP)
Забыл сказать, что по адресу 0x175B4 лежит строка
INIT:000175B4 aCreatesystemth db 'CreateSystemThread',0
И можно было бы подумать, что эта хуйня виндой заменяется на jmp CreateSystemThread
Но другие похожие коллы вообще указывают на середину строки с названием функции
Забыл сказать, что по адресу 0x175B4 лежит строка
INIT:000175B4 aCreatesystemth db 'CreateSystemThread',0
И можно было бы подумать, что эта хуйня виндой заменяется на jmp CreateSystemThread
Но другие похожие коллы вообще указывают на середину строки с названием функции
>>180685 (OP)
Поставь брекпоинт на call, и посмотри что будет в памяти по адресу перед самим выполнением вызова.
Поставь брекпоинт на call, и посмотри что будет в памяти по адресу перед самим выполнением вызова.
>>207763
Виртуалку + x32/x64dbg или ollydb ставишь и запускаешь
Виртуалку + x32/x64dbg или ollydb ставишь и запускаешь
>>234709
Да, то, что надо. Спасибо, анон.
Да, то, что надо. Спасибо, анон.
216 Кб, 656x486
Везде пишут и показывают картинки, что за dos-заглушкой идет сразу pe-заголовок. А у меня во многих файлах между ними впихнуты еще какие-то байты. Что это товарищ майор следит за мной?
>>298138
Ага, понятно. Спасибо.
Ага, понятно. Спасибо.
>>298555
Не, анон выше подсказал, что гуглить. Там просто. Разработчики винды туда пихают инфу о линковщике и компиляторе. Хранится это в зашифрованном виде, ключ шифра - дворд после слова Rich - это имя одного из разработчиков. Все хотят оставить свое имя в будущем.
Не, анон выше подсказал, что гуглить. Там просто. Разработчики винды туда пихают инфу о линковщике и компиляторе. Хранится это в зашифрованном виде, ключ шифра - дворд после слова Rich - это имя одного из разработчиков. Все хотят оставить свое имя в будущем.
32 Кб, 685x449
Обновить тредНе могу нигде найти что за данные лежат по этому адресу
mov eax,dword ptr gs:[32ACh]
понятно, что gs указывает на TEB, но что там по оффсету 0x32AC?
Во всех источниках что я смотрел оффсеты PEB'а заканчиваются раньше 0x2000, что расположено за PEB'ом я найти не смог
Чатгопота говорит что там TLS, но я документальных пруфов не нашел, опытным путем подтвердить также не удалось (см.пикрил)
mov eax,dword ptr gs:[32ACh]
понятно, что gs указывает на TEB, но что там по оффсету 0x32AC?
Во всех источниках что я смотрел оффсеты PEB'а заканчиваются раньше 0x2000, что расположено за PEB'ом я найти не смог
Чатгопота говорит что там TLS, но я документальных пруфов не нашел, опытным путем подтвердить также не удалось (см.пикрил)