Двач.hk прислал битые данные.
Вы видите копию треда, сохраненную 24 февраля 2025 года.
Можете попробовать обновить страницу, чтобы увидеть актуальную версию.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вы видите копию треда, сохраненную 24 февраля 2025 года.
Можете попробовать обновить страницу, чтобы увидеть актуальную версию.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Пытаюсь реверсить малварь, написанную для XP
Прямо с порога делается какой-то ебучий call 0x75B4, когда ImageBase = 0x10000
В таблице импорта вместо названия либы 2 иероглифа, а от названия методов отколоты 2 символа
1) Как этот колл может работать?
2) Почему кал в таблице импорта?
Прямо с порога делается какой-то ебучий call 0x75B4, когда ImageBase = 0x10000
В таблице импорта вместо названия либы 2 иероглифа, а от названия методов отколоты 2 символа
1) Как этот колл может работать?
2) Почему кал в таблице импорта?
>>180685 (OP)
Забыл сказать, что по адресу 0x175B4 лежит строка
INIT:000175B4 aCreatesystemth db 'CreateSystemThread',0
И можно было бы подумать, что эта хуйня виндой заменяется на jmp CreateSystemThread
Но другие похожие коллы вообще указывают на середину строки с названием функции
Забыл сказать, что по адресу 0x175B4 лежит строка
INIT:000175B4 aCreatesystemth db 'CreateSystemThread',0
И можно было бы подумать, что эта хуйня виндой заменяется на jmp CreateSystemThread
Но другие похожие коллы вообще указывают на середину строки с названием функции
>>180685 (OP)
Поставь брекпоинт на call, и посмотри что будет в памяти по адресу перед самим выполнением вызова.
Поставь брекпоинт на call, и посмотри что будет в памяти по адресу перед самим выполнением вызова.
>>207763
Виртуалку + x32/x64dbg или ollydb ставишь и запускаешь
Виртуалку + x32/x64dbg или ollydb ставишь и запускаешь
М>>234709
Да, то, что надо. Спасибо, анон.
Да, то, что надо. Спасибо, анон.
216 Кб, 656x486Везде пишут и показывают картинки, что за dos-заглушкой идет сразу pe-заголовок. А у меня во многих файлах между ними впихнуты еще какие-то байты. Что это товарищ майор следит за мной?
>>298138
Ага, понятно. Спасибо.
Ага, понятно. Спасибо.
>>298555
Не, анон выше подсказал, что гуглить. Там просто. Разработчики винды туда пихают инфу о линковщике и компиляторе. Хранится это в зашифрованном виде, ключ шифра - дворд после слова Rich - это имя одного из разработчиков. Все хотят оставить свое имя в будущем.
Не, анон выше подсказал, что гуглить. Там просто. Разработчики винды туда пихают инфу о линковщике и компиляторе. Хранится это в зашифрованном виде, ключ шифра - дворд после слова Rich - это имя одного из разработчиков. Все хотят оставить свое имя в будущем.
32 Кб, 685x449Не могу нигде найти что за данные лежат по этому адресу
mov eax,dword ptr gs:[32ACh]
понятно, что gs указывает на TEB, но что там по оффсету 0x32AC?
Во всех источниках что я смотрел оффсеты PEB'а заканчиваются раньше 0x2000, что расположено за PEB'ом я найти не смог
Чатгопота говорит что там TLS, но я документальных пруфов не нашел, опытным путем подтвердить также не удалось (см.пикрил)
mov eax,dword ptr gs:[32ACh]
понятно, что gs указывает на TEB, но что там по оффсету 0x32AC?
Во всех источниках что я смотрел оффсеты PEB'а заканчиваются раньше 0x2000, что расположено за PEB'ом я найти не смог
Чатгопота говорит что там TLS, но я документальных пруфов не нашел, опытным путем подтвердить также не удалось (см.пикрил)
Двач.hk прислал битые данные.
Вы видите копию треда, сохраненную 24 февраля 2025 года.
Можете попробовать обновить страницу, чтобы увидеть актуальную версию.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Вы видите копию треда, сохраненную 24 февраля 2025 года.
Можете попробовать обновить страницу, чтобы увидеть актуальную версию.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.