Основные форумы > RusMe - РусМи!
Удлинение "неудлиняемых" строк
миха04:
Что-то я совсем запутался с этими регистрами. Для примера: строки в коде идут подряд - De-clip, Declick, De-click. При переводе De-clip остальные строки смещаются. Declick тут не переводится. В интерфейсе появляется только De-clip(Срез пика) . Вместо переведённого De-click пустое место. В команде, обращающейся к адресу строки, есть [rdx+r8], где rdx это 0х141CBE508 - адрес предыдущей строки плюс смещение r8 (0х8) = 0х141CBE510, адрес оригинальной строки. Новый адрес 0х141CBE51A. Вычитаю из нового адреса RDX и меняю в модуле регистров данные R8. Сохранить изменения в файл можно, если что-то заменялось в самом коде. В итоге убил кучу времени, но результат нулевой. Смотрел ролик Tekton, однако там несколько иначе да и отладчик другой. OllyDbg не поддерживает х64. Что не так делаю?
миха04:
Вот, что ещё заметил, если в регистре RDX заменить значение оригинальной строки на новую, то при запуске программы через отладчик x64dbg, видна изменённая строка. В сохранённом файле просто пустое место. При трассировке изменённой программы в отладчике, не находится точка останова на новой строке, идёт бесконечный поиск. В то время как бряк на старом адресе нормально срабатывает.
Krig:
Что-то у вас совсем все плохо. Вам нужно только определить, откуда программа читаем прямые ссылки и изменять только их. Вы нашли код цикла, где алгоритм вычисляет местоположение прямой ссылки для каждой конкретной строки. Он считывает этот прямой адрес и передает дальше по назначению. Вы проходите на место записи этой прямой ссылки и меняете только её. :smoke:
Я не буду расписывать поиск нужных строк. С этим у вас проблем нет. Далее опишу действия без использования отладчика.
Искомая строка "De-ess" находится в файле по смещению: 15CA3C0
screen1.png
Определяем виртуальный адрес для этого смещения, используя инструмент CFF Explorer
screen2.png
Виртуальный адрес: 00000001415CC1C0
Переворачиваем байты виртуального адреса строки обратным порядком:
00 00 00 01 41 5C C1 C0 >> C0 C1 5C 41 01 00 00 00
Ищем полученную последовательность байт C0C15C4101000000 в файле и находим её по смещению 2129478.
screen3.png
Чтобы перенести строку на новое место, нужно изменить этот виртуальный адрес (00000001415CC1C0) на новый, по месту размещения переведенной строки.
Для примера я добавлю перевод строки в конце секции ресурсов.
screen4.png
Смещение новой строки: 2C55B80
Виртуальный адрес для этого смещения (используя CFF Explorer): 0000000142CA6180
Переворачиваем байты виртуального адреса строки обратным порядком:
00 00 00 01 42 CA 61 80 >> 80 61 CA 42 01 00 00 00
Идем на место записи исходного виртуального адреса и вместо него записываем новый
screen5.png
Сохраняем изменения и проверяем в работе.
screen6.png
Аналогично для остальных строк. Лучше добавить в файл новую секцию и все строки сносить туда. В итоге вы корректируете только прямые ссылки на строки. А в коде ничего не меняете.
Я вам показал, как это можно сделать без отладчика. Тоже самое можно сделать и в нем. Главное сначала нужно правильно определить формирование ссылок на строки, если они не прямые. После этого выбрать оптимальную стратегию по переносу необходимых строк. Разработчики ничего не мутят, они просто пишут код, где все прозрачно и структурировано. Я уже говорил, что в зависимости от многих факторов уже сам компилятор на этапе сборки приложения выбирает нужный алгоритм размещения данных и обращения к ним в коде. А еще берите во внимание, что каждый инструмент дизассемблер-отладчик интерпретирует данные, исходя из заложенных в него алгоритмов, и на самом деле все совсем не так, как он показывает. :)
миха04:
Вот теперь понятно :super: Большое спасибо за разъяснение :dance:
Flyer Dell:
--- Цитата: Krig от 14 Июня 2020, 13:37:21 ---Что-то у вас совсем все плохо. Вам нужно только определить, откуда программа читаем прямые ссылки и изменять только их. Вы нашли код цикла, где алгоритм вычисляет местоположение прямой ссылки для каждой конкретной строки. Он считывает этот прямой адрес и передает дальше по назначению. Вы проходите на место записи этой прямой ссылки и меняете только её. :smoke:
Я не буду расписывать поиск нужных строк. С этим у вас проблем нет. Далее опишу действия без использования отладчика.
Искомая строка "De-ess" находится в файле по смещению: 15CA3C0
screen1.png
Определяем виртуальный адрес для этого смещения, используя инструмент CFF Explorer
screen2.png
Виртуальный адрес: 00000001415CC1C0
Переворачиваем байты виртуального адреса строки обратным порядком:
00 00 00 01 41 5C C1 C0 >> C0 C1 5C 41 01 00 00 00
Ищем полученную последовательность байт C0C15C4101000000 в файле и находим её по смещению 2129478.
screen3.png
Чтобы перенести строку на новое место, нужно изменить этот виртуальный адрес (00000001415CC1C0) на новый, по месту размещения переведенной строки.
Для примера я добавлю перевод строки в конце секции ресурсов.
screen4.png
Смещение новой строки: 2C55B80
Виртуальный адрес для этого смещения (используя CFF Explorer): 0000000142CA6180
Переворачиваем байты виртуального адреса строки обратным порядком:
00 00 00 01 42 CA 61 80 >> 80 61 CA 42 01 00 00 00
Идем на место записи исходного виртуального адреса и вместо него записываем новый
screen5.png
Сохраняем изменения и проверяем в работе.
screen6.png
Аналогично для остальных строк. Лучше добавить в файл новую секцию и все строки сносить туда. В итоге вы корректируете только прямые ссылки на строки. А в коде ничего не меняете.
Я вам показал, как это можно сделать без отладчика. Тоже самое можно сделать и в нем. Главное сначала нужно правильно определить формирование ссылок на строки, если они не прямые. После этого выбрать оптимальную стратегию по переносу необходимых строк. Разработчики ничего не мутят, они просто пишут код, где все прозрачно и структурировано. Я уже говорил, что в зависимости от многих факторов уже сам компилятор на этапе сборки приложения выбирает нужный алгоритм размещения данных и обращения к ним в коде. А еще берите во внимание, что каждый инструмент дизассемблер-отладчик интерпретирует данные, исходя из заложенных в него алгоритмов, и на самом деле все совсем не так, как он показывает. :)
--- Конец цитаты ---
ОГРОМНОЕ ВАМ СПАСИБО!!!
У меня возникла аналогичная проблема, как в данной теме. Я очень долго искал её решение, перелопатив весь интернет. Но всё было безрезультатно! Всю голову себе уже переломал в борьбе с неудлинняемыми строками. И тут мне подвернулся форум ruslab. Моему счастью не было придела, когда я нашёл эту тему на нём. Я до сих пор очень рад этой находке!
ВЫ ЛУЧШИЕ!!! Сейчас большая редкость, когда грамотный, знающий человек, подробно всё расскажет, да ещё и покажет! БОЛЬШОЕ СПАСИБО вам ещё раз!!! Я бы хотел отблагодарить вас материально. Свяжитесь со мной, чтобы мы договорились как это сделать.
Навигация
Перейти к полной версии