| |
|
|
=paha=
Пользователь
Регистрация: 2.8.08
Сообщений: 127
Репутация: -24
Откуда: Минск
|
 #1 [13.06.12, 17:38] Помощь с портированием патча(PE - Windows).
Всем доброго времени суток!
Суть помощи постараюсь изложить как можно подробнее:
Имеется два exe файла, отличаются лишь версией(фиксами от разработчика).
Первый exe - первой версии.
Второй exe - второй версии.
Первый exe у меня уже был пропатченный неизвестным мне человеком.
Второй exe чистый, также имеется пример чистого первого exe.
С помощь встроенной программы "fc" в Windows я вычислил выполненные замены между оригиналом первого exe и патченным первым exe.
Всего заменено 4 байта, а также дописано 41 байт(в пустую область).
Проделав операции в IDA я выяснил, что первые четыре байта служат стартом процедуры, которая записана в пустую область.
И теперь описание помощи.
Кто сможет помочь с портом патча на вторую версию exe? Я составил патч на подобии VKP(первая версия) + переписал код самой процедуры и ее старта с иды(хотя это вряд ли понадобится). Осталось его правильно перенести в нужное место на вторую версию exe.
Просьба отписать в лс доброму человеку :3
Заранее спасибо.
SE w595 r3ef001
|
|
Zormax
Admin
Регистрация: 12.12.05
Сообщений: 5826
Репутация: 5274
Откуда: Nizhniy Novgorod
|
#2 [13.06.12, 18:00] Re: Помощь с портированием патча(PE - Windows).
TOOKY T83 (1.3.1-L2), MK808B
|
|
=paha=
Пользователь
Регистрация: 2.8.08
Сообщений: 127
Репутация: -24
Откуда: Минск
|
#3 [13.06.12, 18:03] Re: Помощь с портированием патча(PE - Windows).
Zormax, Спасибо большое! Пошел пытать успех :3
Добавлено 13.6.12 17:33
Zormax, Полистал я софт - ничего путевого нет.
Все работают по схеме ранее известного адреса и прямой перезаписи, или ищут совпадения и там уже меняют.
А в моем случае файлы после фиксов были полностью перекомпилированы.
Нужно скорее всего искать функцию входа и куда записать новую процедуру(и это учитывая, что я толком не могу понять, что делает процедура. Может она вообще запускает косвенный функции, адреса которых скорее всего сменились в новой версии).
Добавлено 13.6.12 17:40
Zormax, Кажется есть небольшое продвижение :3
Путем поиска соседних байт в разных версиях я наткнулся на удивительные совпадения.
Оба файла оригинальные.
Первая версия: 7CEBB001C332C0C3CCCCCCCC [заменяемые байты]A1 8C 3D 8F[/заменяемые байты]
Оффсет заменяемых байтов: 00068660
Вторая версия: 7CEBB001C332C0C3CCCCCCCC [заменяемые байты]A1 14 4E 8F[/заменяемые байты]
Оффсет заменяемых байтов: 00068700
Насколько велика вероятность верного нахождения?
SE w595 r3ef001
|
|
Zormax
Admin
Регистрация: 12.12.05
Сообщений: 5826
Репутация: 5274
Откуда: Nizhniy Novgorod
|
#4 [14.06.12, 16:07] Re: Помощь с портированием патча(PE - Windows).
=paha=, да фиг знает что там у тебя. попробуй свое предположение.
TOOKY T83 (1.3.1-L2), MK808B
|
 Похожие темы
Вы не можете начинать темы.
Вы не можете редактировать свои сообщения.
Вы не можете создавать опросы.
Вы не можете вкладывать файлы в сообщения.
Вы не можете отвечать на сообщения.
Вы не можете удалять свои сообщения.
Вы не можете голосовать.
|
|
|
Помощь с портированием патча(PE - Windows).
