19.09.2019, 17:18 [+3 UTC]
в нашей команде: 3 831 чел. | участники онлайн: 6 (рекорд: 21)

:: РЕГИСТРАЦИЯ

задать вопрос

все разделы

правила

новости

участники

доска почёта

форум

блоги

поиск

статистика

наш журнал

наши встречи

наша галерея

отзывы о нас

поддержка

руководство

Версия системы:
7.77 (31.05.2019)
JS-v.1.34 | CSS-v.3.35

Общие новости:
28.04.2019, 09:13

Форум:
12.09.2019, 08:17

Последний вопрос:
19.09.2019, 14:47
Всего: 150343

Последний ответ:
19.09.2019, 15:43
Всего: 259029

Последняя рассылка:
19.09.2019, 16:45

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
06.05.2016, 22:06 »
plaob
Подробное объяснение, мне понравилось [вопрос № 189309, ответ № 273750]
06.10.2010, 16:05 »
Мельников Эдуард Сергеевич
Благодарю за подробный ответ! [вопрос № 180179, ответ № 263355]
18.02.2010, 23:12 »
Мироненко Николай Николаевич
Спасибо большое, попробую smile [вопрос № 176769, ответ № 259569]

РАЗДЕЛ • Assembler

Создание программ на языке Assembler.

[администратор рассылки: Лысков Игорь Витальевич (Старший модератор)]

Лучшие эксперты в этом разделе

Лысков Игорь Витальевич
Статус: Старший модератор
Рейтинг: 104
Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 92
Коцюрбенко Алексей Владимирович
Статус: Модератор
Рейтинг: 68

Перейти к консультации №:
 

Консультация онлайн # 143592
Раздел: • Assembler
Автор вопроса: Draft3
Отправлена: 10.09.2008, 18:25
Поступило ответов: 2

Вопрос по рассылке Калашникова №17(запись вируса в конец файла). Код в приложении.
То что строка 1 заносит в стек число 1203h понятно, но почему offset Get_IP дает 203, а не 1203 неясно...

Приложение:

Последнее редактирование 10.09.2008, 18:41 [неизвестный]

Состояние: Консультация закрыта

Ответ # 228999 от Airyashov

У меня 0.
в стек число = offset Get_IP
может код всей программы посмотреть.

Последнее редактирование 11.09.2008, 13:13 Зенченко Константин Николаевич (Старший модератор)

Консультировал: Airyashov
Дата отправки: 11.09.2008, 09:06

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Здравствуйте, Draft3!

© Цитата:
Некоторые, возможно, скажут: "Все равно ничего не понял! Зачем мы это делаем?" Ничего страшного . Когда мы в следующем выпуске про вирус запишемся в хвост какого-нибудь файла, вы увидите, что к чему. Сейчас просто смотрите, как мы "играем" с адресами...


Такой прием называется "дельта" смещение. При загрузке в память программа не знает по какому адресу её загрузила система, а знать ей нужно. С помощью этого метода получается текущий адрес, а уже все остальные нужные для работы программы адреса будут расчитаны относительно текущего, к примеру 20-ю байтами ниже находится начало программы, а сотней байт выше находится её хвост.

Чтобы корректно получить нужное число, Вам нужно перед этим кодом поставить к примеру DB 1000h dup(90h); вместо какого-то файла этого размера. 90h - это код команды NOP ничего не делает, только место занимает, т.к. Вас просили представить.
© Цитата:
Теперь представим , что мы находимся в хвосте какого-то файла, размером 1000h байт (смотрите на смещения в скобках).


Удачи!


Консультировал: Зенченко Константин Николаевич (Старший модератор)
Дата отправки: 11.09.2008, 13:10

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Мини-форум консультации № 143592
неизвестный

# 1

= общий = | 11.09.2008, 12:10

Спасибо!
Я разобрался, ноль получается в программе(вирусе) только тогда когда она запущена первый раз, но после того как она копирует себя в конец другой программы то копируется не (4) sub ax,offset Get_IP , а sub ax, 203h
И уже в коде жертвы получается что строки call Get_IP, pop ax дают реально текущее смещение, а строка offset Get_IP заменена на старое значение смещения из файла вируса.
Я это так понял...
ссылка на урок Калашникова №17 http://kalashnik...r/issues/017.htm
готовый вирус в 20 уроке

Евгений Иванов

# 2

= общий = | 15.09.2008, 18:46

даже я не понял, что тут происходит, хотя создавал резиденты и эти смещения знаю.

считаю, что здесь неоднозначность и непонимание.

нужно подробно расписать про все числа, рядом в скобках при рассмотрении всех случаев расписать, что эти числа получаются такими в какой момент времени.

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.26863 сек.

© 2001-2019, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.77 от 31.05.2019
Версия JS: 1.34 | Версия CSS: 3.35