Vorweg: ich habe mir die neue Version noch nicht angeschaut.
Zitat von
brechi:
alte version war besser geschützt
wegen dem was olli beschrieben hat:
einfach breakpoint auf virtualProtect dann hardware breakpoint auf den speicher den er bekommt (noch net mal relocation fix drin oO, er macht nix wenner anderen speicher bekommt oO)
danach nen hw breakpoint auf den speicher -> dann bekommt man nen rep movs, in ESI steht dann die verschlüsselte (jetzt entschlüsselte) exe -> die einfach dumpen
Interessante Methode. Danke für den Hinweis
Ich habe es etwas anders gemacht.
Übrigens: wieviele HW-BPX hast
du?
... könnte sein, daß die dir irgendwann ausgehen. *grins*
Zitat von
Luckie:
Ich habe ehrlich gesagt kein Wort verstanden.
Aber ich
Zitat von
brechi:
alternativ kommt man an die adresse wenn man
zu 7ffdf000 geht (wenn nicht vorhanden zu 7ffde000)
dann die adresse bei 7ffdf030 bzw 7ffde030 schaut
und dann an diese adresse geht
z.b. 7ffdc000 <- das 3. byte, also 7ffdc003 ist bei nem debugger dann ne 1 oder wenn nix aktiv ist ne 0
only NT
Na Luckie? Erinnert dich das an was?
@brechi: du bist ganz sicher mit: 0x7ffdc003? Ich eher nicht ... bei mir ist das Byte eins tiefer
... denn wir beginnen ja bei Null die Zählung.
Zitat von
Luckie:
OLLI!!! Sag was. Hilf mir! Ich will mein Geld zurück.
Selber schuld wenn du so voreilig was veröffentlichst
... hatte nen Audit angeboten.
Geld? Welches Geld? Ist noch keins bei mir angekommen *grins*
@Luckie: der Rest per PN. Erinnere mich dran!
@brechi: XP SP2 habe ich leider noch nicht überprüft. Aber wozu gibt's FS
... Nebenbei, du bist im
DF nicht zufällig unter einem anderen Namen unterwegs (alternativ: -"- gewesen)? Relozierung der System-DLLs ist
1.) unsinnig (nicht umsonst sind alle DLLs je nach
OS-Version aufeinander abgestimmt)
2.) gefährlich (weil sich eben doch manche drauf verlassen)
3.) unwahrscheinlich in einem neuen Prozess
4.) wer ist "man"?