• XSS.stack #1 – первый литературный журнал от юзеров форума

Подскажите редактор PE файла

Отслеживать

dort

RAID-массив
Пользователь
Регистрация
30.03.2020
Сообщения
94
Реакции
61
Депозит
0.004
Друзья, подскажите есть ли редакторы PE файлов, в которых при изминении кода (байтов секции .text), редактор бы брал на себя изменение всех смещений, которые изменились в результате редактирования файла?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
А какие могут быть изменения при правке кода? Это же не данные и не импорт, ну был там вызов функции или цикл, ты его подправил, что именно нужно патчить?

Так то - можно попробовать через IDA pro, с плагином KeyPatch, т.к. обычно редакторы РЕ не предназначены для патча кодосекции.
 
Quake3 сказал(а):
А какие могут быть изменения при правке кода? Это же не данные и не импорт, ну был там вызов функции или цикл, ты его подправил, что именно нужно патчить?

Так то - можно попробовать через IDA pro, с плагином KeyPatch, т.к. обычно редакторы РЕ не предназначены для патча кодосекции.
Мне нужно изменить обычную строку, но когда я ее изменяю через HxD, поскольку размер новой строки отличается от предидущей, то и pe файл не стартует.
Вот я и подумал, что из за размера строки - размер секции меняется, и смещения в заголовках тоже.
Может быть я ошибаюсь. В теме PE файла не очень разбираюсь.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Строки обычно находятся в секции данных (.data/.rdata), в коде они размещаются только если это шеллкод/вирус, т.е. базонезависимый код.
Если новая строка меньше старой, то проблем быть вообще не должно.
Если же больше..вот тут надо думать. Т.к. за строкой может идти еще что-то, и можно перезаписать другие данные. Если, конечно, это натив, т.е. Си строки (последовательность байт с нуллбайтом). Для СОМ и прочих нюансов, где размер строки задается , к примеру, первым ее байтом, все иначе.
 
Quake3 сказал(а):
Строки обычно находятся в секции данных (.data/.rdata), в коде они размещаются только если это шеллкод/вирус, т.е. базонезависимый код.
Если новая строка меньше старой, то проблем быть вообще не должно.
Если же больше..вот тут надо думать. Т.к. за строкой может идти еще что-то, и можно перезаписать другие данные. Если, конечно, это натив, т.е. Си строки (последовательность байт с нуллбайтом). Для СОМ и прочих нюансов, где размер строки задается , к примеру, первым ее байтом, все иначе.
А это и есть малварь, одна из продающихся на рынке. Я нашел как шифруется и где распологается домен админ панели. Хочу попробовать сделать билдер.
Билд с доменом ровно такого-же размера - запускается. А вот если подменить домен на домен другого размера, то файл уже не запускается.
 
dortmund457 сказал(а):
А это и есть малварь, одна из продающихся на рынке. Я нашел как шифруется и где распологается домен админ панели. Хочу попробовать сделать билдер.
Билд с доменом ровно такого-же размера - запускается. А вот если подменить домен на домен другого размера, то файл уже не запускается.
Длина нового домена больше/меньше?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
dortmund457 сказал(а):
Меньше
Если там нет проверок (а их , скорее всего нет, раз можно запросто подправить строку), то в обычном хекс редакторе, да. Пишешь свой домен, и обязательно заканчиваешь нуллбайтом. важно - не копируешь строку в хекс едитор (а то может быть ошибку), а вручную пишешь посимвольно новую строку. И будет работать.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх