сигнатуры

@ВДВ777 · Регистрация: 12.03.2013

Author24 — интернет-сервис помощи студентам

помогите соорудить или предложите свои варианты:
1. сканирование сигнатур байт в другой программе, адрес определить никак нельзя, так как он динамический(при перезаходе в программу все адреса меняются,байты остаются прежними)
2.массив к примеру 3C 6B 61 54 74 00 00 01 XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 70 45 - где ХХ - это постоянно меняющиеся байты(динамические адреса)
3. запись, за место выше указанного массива, своим к примеру
00 00 01 55 89 5B 00 00 XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 70 45
вот и весь смысл в принципе - прочитать массив и заменить на свой вариант. Могу дать на пример мой исходный код , но он не рабочий , не хватает мозгов довести до ума, просьба помочь знающего человека.

HighPredator · 18.03.2013, 01:01

Ничего не понятно... Что сделать-то надо?

@ISergey · 18.03.2013, 01:12

Посмотри исходник этой тулзы https://code.google.com/p/yara-project/
Думаю поможет.

@ВДВ777 · 18.03.2013, 12:25 **[ТС]**

Сообщение от HighPredator

Ничего не понятно... Что сделать-то надо?

aobscan в принципе это называется.
я хочу прочитать память в другой программе , далее, мне нужно изменить нужную мне часть сигнатур байт на свою(не в своей ,а в другой программе,в которой я прочитал память)
так понятнее или привести пример?

Добавлено через 3 минуты

Сообщение от ISergey

Посмотри исходник этой тулзы https://code.google.com/p/yara-project/
Думаю поможет.

спасибо , но не катит :

Код

rule silent_banker : banker
{
    meta:                                        
        description = "This is just an example"
        thread_level = 3
        in_the_wild = true

    strings: 
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}  
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

@ВДВ777 -4 / 0 / 1 Регистрация: 12.03.2013 Сообщений: 110
		1
	сигнатуры 18.03.2013, 00:01. Показов 3475. Ответов 3 Метки нет (Все метки) помогите соорудить или предложите свои варианты: 1. сканирование сигнатур байт в другой программе, адрес определить никак нельзя, так как он динамический(при перезаходе в программу все адреса меняются,байты остаются прежними) 2.массив к примеру 3C 6B 61 54 74 00 00 01 XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 70 45 - где ХХ - это постоянно меняющиеся байты(динамические адреса) 3. запись, за место выше указанного массива, своим к примеру 00 00 01 55 89 5B 00 00 XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 70 45 вот и весь смысл в принципе - прочитать массив и заменить на свой вариант. Могу дать на пример мой исходный код , но он не рабочий , не хватает мозгов довести до ума, просьба помочь знающего человека. 0

HighPredator 6045 / 2160 / 753 Регистрация: 10.12.2010 Сообщений: 6,005 Записей в блоге: 3
	18.03.2013, 01:01	2
	Ничего не понятно... Что сделать-то надо? 1

@ISergey Maniac 1464 / 965 / 160 Регистрация: 02.01.2009 Сообщений: 2,820 Записей в блоге: 1
	18.03.2013, 01:12	3
	Посмотри исходник этой тулзы https://code.google.com/p/yara-project/ Думаю поможет. 1

@ВДВ777 -4 / 0 / 1 Регистрация: 12.03.2013 Сообщений: 110
	18.03.2013, 12:25 [ТС]	4
	Сообщение от HighPredator Ничего не понятно... Что сделать-то надо? aobscan в принципе это называется. я хочу прочитать память в другой программе , далее, мне нужно изменить нужную мне часть сигнатур байт на свою(не в своей ,а в другой программе,в которой я прочитал память) так понятнее или привести пример? Добавлено через 3 минуты Сообщение от ISergey Посмотри исходник этой тулзы https://code.google.com/p/yara-project/ Думаю поможет. спасибо , но не катит : Код rule silent_banker : banker { meta: description = "This is just an example" thread_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c } 0