Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionsoit dans une section -virtuelle ou physique-C'est quoi ça ?
ou bien accompagné d'une section reloc si compilé en non fixéOn s'en fout de la reloc, de toutes façons personne s'en sert ...
avec cette technique je me fais dumper en moins d'une minuteDonc ça n'a pas beaucoup d'intérêt : dès que le cracker verra qu'il a sauté à une adresse normale (40xxxx), il saura qu'il se trouve dans le vrai code. Il lui suffira alors de modifier le point d'entrée dans l'EXE et de l'exécuter.
C'est quoi ça ?
On s'en fout de la reloc, de toutes façons personne s'en sert ...
Il lui suffira alors de modifier le point d'entrée dans l'EXE et de l'exécuter.
Donc ça n'a pas beaucoup d'intérêt : dès que le cracker verra qu'il a sauté à une adresse normale (40xxxx), il saura qu'il se trouve dans le vrai code.
le code en lui-même est portable : ce sont les données qui ne le sont pas toujours
On s'en fout de la reloc, de toutes façons personne s'en sert ...C'est quand même utilisé mais pas systématiquement. Je ne pourrai pas t'aider sur le sujet, je n'y connais rien.
Ah bah non j'vais quand même pas laisser l'exe non altéré avec ma petite section ajoutée à la fin.Non je parlais du côté cracker. Lui il s'en fout de laisser ton bout de code à la fin du programme : il ne sera quand même jamais exécuté. Il faut évidemment obfusquer ton code ...
L'objectif c'est justement de retourner l'exe de façon à ce que s'il (l'attaquant) veut dumper, il faudra qu'il passe par le code parasite. Or il sera truffé d'anti-debug et le point d'entré originel sera caché et faussé jusqu'au dernier jump.On n'est pas dans Harry Potter : ton anti-debug à la gomme, on saura lui faire la peau et tu n'y pourras rien. Et tout ce qu'attend le cracker, c'est bien le dernier jump
Mais bon je vais attaquer en partant du fait que la troisième appli, qui fera justement le mixe, calcule le delta en fonction de où elle place le code pour qu'ensuite le code parasite puisse s'en resservir lors d'appel de fonction ou d'accès aux variables.Pas trop pigé là : tu veux que le programme principal fasse appel au parasite pour l'accès au variables et aux fonctions ? C'est irréalisable (sauf en travaillant sur l'ASM produit par VC++ mais là ça devient du masochisme ) vu que l'accès à une variable et l'appel de la fonction dans le parasite n'ont pas la même taille (et même si c'était le cas, ton programme serait lent à se suicider).