В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

pro.asm

1134 membersпожаловаться на группу
2021 July 19

Ra

Ruslan aka DUDE in pro.asm
Разобрался
это просто такой верх "информативности"
чтобы не гадать
взял то что реально есть (Hex-View)
вбил - нашло, изменил - пишет такойже Failed
короче говоря, это типо не найдено, а не крах
источник
17:52пожаловаться#1

ИП

Ипупуйе Плутин... in pro.asm
Забавно.
источник
17:52пожаловаться#2

GG

George Glebov in pro.asm
В официальной документации по AskBinaryText вообще ничего не сказано о возвращаемом значении.

Видимо, IDA автоматически и универсально интерпретирует возвращаемое функцией значение, не учитывая контекст.

И похоже на то, что нулевой результат функции IDA интерпретирует как "Функция вернула ошибку" вместо "не найдено".
источник
18:00пожаловаться#3

Ra

Ruslan aka DUDE in pro.asm
Из категории "сами догадаются" или "путь через шишку"))

Ок, почему я не нахожу то что находил через хекс вне IDA?
порядок байт менял
источник
18:03пожаловаться#4

GG

George Glebov in pro.asm
Причин может быть несколько:
- сегмент не был загружен идой
- данные в иде не были распознаны или наоборот были распознаны как другой тип данных, по которому ида по какой-то причине не ищет
- при конвертации из little endian в big endian и обратно возникает ошибка
- ты захватываешь "половину байта" (вместо 00 AA BB CC DD указываешь 0A AB BC CD)
источник
18:07пожаловаться#5

Ra

Ruslan aka DUDE in pro.asm
первое очень вероятно
т.к. строчка в конце файла приаттачена
источник
18:11пожаловаться#6

Ra

Ruslan aka DUDE in pro.asm
тоесть в конце не манифест итп а данные
источник
18:11пожаловаться#7

GG

George Glebov in pro.asm
Тогда при загрузке файла в иду явным образом укажи диапазон
источник
18:11пожаловаться#8

GG

George Glebov in pro.asm
Ида обычно дропает всё, что не код, и всё, что явным образом не связано с кодом.
Таким образом, ида может дропнуть секцию, если у тебя секция не содержит точки входа, не помечена как исполняемая, не содержит TLS (в случае с виндовым PE), не содержит импорта (и то импорт может быть прочитан строками и выгружен) и т.п.
источник
18:14пожаловаться#9

Ra

Ruslan aka DUDE in pro.asm
нашел, да, оно и правда отбрасывает оверлей и прочие
источник
18:19пожаловаться#10

Ra

Ruslan aka DUDE in pro.asm
судя по всему
раз оно отбросило и ссылки статикой я не найду
источник
18:21пожаловаться#11

GG

George Glebov in pro.asm
оверлей вообще за пределами SizeOfImage, так что его ида грузит только если ей указать диапазон, включающий оверлей
источник
18:21пожаловаться#12

Ra

Ruslan aka DUDE in pro.asm
я просто ищу место в котором записано смещение
спасибо за уточнение про SizeOfImage
есть ли инструменты которые могут перебором найти возможные ссылки
тоесть берем начало смещения
1) ищем само смещение в разных представляениях
далее поиск возможных относительных значений
2) ищем но отнимаем длину хедера
3) длину каждой секции
итд...
источник
18:35пожаловаться#13

GG

George Glebov in pro.asm
hiew
источник
18:37пожаловаться#14

GG

George Glebov in pro.asm
но оверлей программно ищется иначе
источник
18:38пожаловаться#15

GG

George Glebov in pro.asm
пробег по всем секциям, получение и выравнивание указателей на сырые данные, выравнивание и прибавление размера данных, а потом находим максимальное из полученных значений, сравниваем его с размером файла, дельта — положительный результат — это размер оверлея
после чего проверяем директорию сертификатов и вычитаем её  размер
источник
18:40пожаловаться#16

Ra

Ruslan aka DUDE in pro.asm
что случилось с официальным сайтом?)) по веб архиву - еще 7го числа был доступен)
источник
18:45пожаловаться#17

GG

George Glebov in pro.asm
Похоже, что лежит stins.net, на котором всё крутится
DNS Checker
DNS Lookup - Check DNS All Records
DNS Lookup tool lets you check all DNS records of a given domain name. Switched your hosting or changed server? Then check your hosting records to verify that the records are correctly entered. Just enter domain and lookup DNS.
источник
18:52пожаловаться#18

Ra

Ruslan aka DUDE in pro.asm
у меня по этой части имеются пробелы в знаниях))
если не затруднит - скиньте материалов по теме
ну а так то буду гуглить

если быть точным, затрудняюсь в этих моментах:
> получение и выравнивание указателей на сырые данные
как получить размер оверлея - думаю разберусь, а вот
> после чего проверяем директорию сертификатов и вычитаем её  размер
это чтото новое для меня
это оно?
источник
19:00пожаловаться#19

Ra

Ruslan aka DUDE in pro.asm
источник
19:00пожаловаться#20