|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Eugene Suchkov 2:5050/72.18 28 Oct 2002 11:30:19
To : Yaroslav K.
Subject : Универсальный шеллкод для Windows + Борьба со спамботами
--------------------------------------------------------------------------------
Monday October 28 2002 01:21, Yaroslav K. wrote to Eugene Suchkov:
YK>>> Приведите ссылки на реализацию, если можно.
ES>> infected voice #15, статья про вызов API из вирусов
ES>> там исходник как 2 капли воды похож на твой
YK> Если ты имеешь ввиду статью, которая начинается так:
YK> "HАХОЖДЕHИЕ АДРЕСА API (на примере моей Windows'95)
YK> Заранее известно, .
YK> (1) Export Table. Поиск точки входа GetProcAddressA. Name Ptr Table
YK> RVA - 50C60. (RVA первого имени в таблице) GetProcAddressA" находится
YK> по смещению 52e96. Соответствующий ему указатель в таблице имен -
YK> 510A4.
Это не та статья и так уже давно никто не делает. В той статье идет скан начиная
с адреса, находящегося в стеке при вызове EXE (При том, что и это не идеальный
вариант, у тебя сделано хуже - не все экзешники загружаются с 400000h. Лучше
всего это сделано у z0mbie) Сканируются страницы по 64K до сигнатуры "MZ". Потом
разбирается таблица экспорта и находится GetProcAddress.
YK> 510A4
YK> -50c60
YK> -----
YK> 444 / 4
YK> -------
YK> 111
YK> то эта статья не более чем похожа на мой способ - это вариант для
YK> поиска прежде всего в Windows 95. К тому же изначально автор делает
YK> предположение, что цитирую "что адрес KERNEL32 в памяти моей системы -
YK> BFF70000".
YK> Мой код таких предполажений не делает.
Если ты это сам придумал, то это конечно здорово. Hо стоит ли заново велосипед
изобретать?
Eugene
Monday October 28 2002, 10:30
--- GoldED+/W32 1.1.5-20020105
* Origin: nothing but memories (2:5050/72.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
