А как же бэкдор для спецслужб?
> тогда другой вопрос: как мне можно обозвать секцию? пробовал так Попробуй порыться на форуме fasm'а, если не найдешь ответа задай там...
Вот здесь действительно две: .text:08048074 ; File Name : C:\Distr\_1328689072__tst_gas .text:08048074...
freeze_foton Нет, секция одна, LOAD, уж не знаю Ида ее так автоматом обозвала или она у тебя в реале так называется ;-)
В AUTOEXEC.BAT нужно прописывать.
<font color="red]GAS:</font><!--color--> +- Num Name Type Flg VirtAddr Offset Size Link Info Algn-+ ¦ 0 NULL ......
freeze_foton Просто ты не стандартно слепил файл, т.е. не так как это принято, видимо у fasm'ового файла получилась только одна секция, gas же...
freeze_foton Кстати, количество секций можно посмотреть вьювером, например HiEW.
freeze_foton Приаттач что-ли файлы, посмотрим что там у тя не "дизасмится"
zzzyab Спасибо, я догадывался что решение проблемы должно быть простым %)
bogrus Не, ну ты как с луны ;-))) Там есть эта защита(версия 1.2), как раз скрывает заголовок главного окна Olly. Но FindWindow ведь ещё...
Как в masm задать строковую константу типа VERSION EQU db "1.3" .DATA sz VERSION VERSION,0 ; приходится каждый раз писать с новой...
Сравнение нужно начинать со сравнения количества секций в обоих вариантах файлов, и вообще не было сказано насколько различаются запускные файлы.....
> Тогда наверно какое-нить "Protection against DebugPort check" =) Это слишком прямолинейно, я решил законспирироваться, также как с...
volodya Наброски давай :-) Вобщем что-то меня проглючило до этого, протормозил конкретно %), нашёл я способ сделать всё корректно, а...
Ты иди ... FAQ почитай сначала.
volodya > Ага. EPROCESS называется. Диагноз ясен, придётся патчить код API.. т.к. струтура эта ещё и различна для разных OS.
Mario555 > а, не, глючу =) кроме как в [Buffer] класть ноль, нужно ещё регистры eax, ecx, edx изменять... Ну вообще-то после подмены...
> InfoClass = 7 Это InfoClass = ProcessDebugPort естественно во всех NT эта функция в этом месте вызывается с InfoClass = 7...
Так, теперь понятна суть проблемы, но патчить(nop'ить) переходы думаю нужно в последнюю очередь, только если нельзя решить проблему "изящными"...
Имена участников (разделяйте запятой).
