Print This Post Пишем упаковщик PE-файлов по шагам. Шаг первый.

Среда, 12. Сентябрь 2012
Раздел: C/C++, Windows, Для новичков, автор:

Раз уж я закончил разработку библиотеки на C++ для работы с PE-файлами, грех не использовать ее в каком-то более-менее серьезном проекте. Поэтому я разработаю с ее помощью упаковщик, поясняя по шагам, что я делаю, а либа на C++ сильно упростит нам жизнь. Итак, с чего же начать разработку упаковщика? Наверное, с выбора какого-нибудь несложного бесплатного алгоритма сжатия. После непродолжительных поисков таковой был мной найден: LZO. Он поддерживает множество различных видов сжатия (можно считать, разновидностей), и LZO1Z999 - самая эффективная по степени сжатия из всех доступных. Это, конечно, не ZIP, но приближается к нему по эффективности: 550-килобайтный файл был сжат zip'ом с максимальной степенью сжатия в 174 килобайта, в то время как LZO сжал тот же файл до 185 килобайтов. Однако у LZO гораздо более быстрый распаковщик. Он также оказался базонезависимым, то есть, его можно разместить по любому виртуальному адресу, и он будет работать без всяких корректировок адресов. Размер распаковщика приятно удивил: Visual Studio с оптимизациями по размеру и отключением исключений и проверок буферов дала результат в 613 байтов кода! Этот алгоритм нам подойдет.

Читать дальше »

Print This Post Winamp QIP 2005 x-status plugin

Вторник, 11. Сентябрь 2012
Раздел: Assembler, Windows, Софт, автор:

Наконец-то доделал плагин для популярного плеера Winamp, который был мною задуман еще несколько лет назад. Этот плагин позволяет устанавливать в вашем QIP Classic (2005) статус в зависимости от той композиции, которую вы прослушиваете в Winamp'е. Наверняка, уже достаточно малое количество людей используют этот ICQ-клиент, тем не менее, такие люди еще остались.

С момента создания в плагине имелась довольно неприятная ошибка, точнее, недоработка, которую мне лень было исправлять, поэтому он и лежал так долго без дела. А как известно, QIP 2005 в принципе не имел никакой системы (SDK) для создания плагинов, поэтому приходилось играться с оконными сообщениями (Kaimi предлагал читать и исполнять память процесса, но это еще хардкорнее). Однако, ошибка была исправлена, я добавил пару новых полезных функций, и теперь плагин полностью работоспособен. Выкладываю его вместе с исходниками на MASM32 (без комментариев, но если кому-то будет интересно...): Winamp QIP Classic X-Status Plugin

Ставится плагин так: распаковываем архив и копируем файл gen_qip.dll в папку плагинов Winamp (например, C:\Program Files\Winamp\Plugins), после чего перезапускаем Winamp, идем в настройки (Ctrl+P), заходим в пункт плагинов Plug-ins - General Purpose и видим там в списке плагинов имя QIP-плагина. Двойной клик на имени откроет окно настроек (как выше на скриншоте).

Если кому-то интересны детали работы и то, в чем была проблема...
Читать дальше »

Print This Post Библиотека для работы с PE-файлами (C++)

Суббота, 8. Сентябрь 2012
Раздел: C/C++, автор:

Выкладываю более-менее завершенную библиотеку для работы с Portable Executable (PE) файлами - PE Bliss.

Основные фичи библиотеки:
[+] Чтение 32-разрядных и 64-разрядных PE-файлов (PE, PE+) для Windows, возможность единообразной работы с обоими форматами
[+] Создание PE/PE+ образов с чистого листа
[+] Пересборка 32-разрядных и 64-разрядных PE-файлов
[+] Работа с директориями и заголовками
[+] Конвертирование адресов
[+] Чтение и редактирование секций PE-файла
[+] Чтение и редактирование таблицы импортов
[+] Чтение и редактирование таблицы экспортов
[+] Чтение и редактирование таблиц релокаций
[+] Чтение и редактирование ресурсов
[+] Чтение и редактирование TLS
[+] Чтение конфигурации образа (image config)
[+] Чтение базовой информации .NET
[+] Чтение информации о привязанном импорте
[+] Чтение директории исключений (только PE+)
[+] Чтение отладочной директории с расширенной информацией
[+] Вычисление энтропии
[+] Изменение файлового выравнивания
[+] Изменение базового адреса загрузки
[+] Работа с DOS Stub'ом и Rich overlay
[+] Высокоуровневое чтение ресурсов: картинки, иконки, курсоры, информация о версии, строковые таблицы, таблицы сообщений
[+] Высокоуровневое редактирование ресурсов: картинки, иконки, курсоры, информация о версии

Словом, все, что вы хотели сделать с PE, но боялись спросить, как. Весь код библиотеки снабжен обильными комментариями на английском языке. В проект включено 25 примеров работы с библиотекой, которые показывают, как работать с той или иной частью библиотеки (комментарии на русском языке). Имеются солюшены для MSVC++ 2008 и 2010. Справочной информации пока нет, возможно, соберусь ее как-нибудь написать.

Библиотека не использует WinAPI или другие библиотеки, только STL.

Библиотека и примеры собираются под Windows x86 и x64, но для того, чтобы работать с PE+, собирать под x64 необязательно. Библиотека не исполняет считываемые файлы, не маппит их в память, поэтому с ее помощью можно спокойно открывать подозрительные исполняемые файлы и работать с ними. Теперь собирается еще и под Linux.

Проект залит на code.google.com на случай возможных правок и улучшений, так как сейчас библиотека в стадии альфа-версии.

Репозиторий: http://code.google.com/p/portable-executable-library/
Скачать архив с сорсами версии 0.1.11 (годятся для сборки упаковщика по ману, который тут в блоге есть): ZIP
Скачать архив с последними сорсами (0.2.4): ZIP

Print This Post Утилита для скрытия процессов под Windows

Пятница, 7. Сентябрь 2012
Раздел: Windows, Софт, автор:

Давеча наткнулся на забавный пост на форуме exelab, прочел, вдохновился и написал небольшую утилиту, которая позволяет запускать процессы в скрытом состоянии (т.е. они не видны через типовые диспетчеры задач). По сути просто реализовано взаимодействие с довольно известным драйвером Frost, который обладает данной функциональностью и действительной цифровой подписью, что позволяет использовать его без заморочек на Windows Vista+.

GUI выглядит следующим образом:


Утилита позволяет: загружать указанный драйвер (понятное дело, фрост) и далее взаимодействовать с ним, взаимодействовать с уже установленным драйвером, запускать дочерний процесс в non-elevated режиме (сама утилита требует прав администратора). Проверялось на Windows XP x86 и Windows 7 x86. Можно словить BSOD при попытке выгрузки драйвера, а так вроде работает. Под x64 процессы не скрывает, но думаю это будет доделано.

Скачать: hidden-run.

P.S. Фрост в архив не включен, найти его можно в вышеуказанной теме на exelab, либо поставив, например, одну из игр от 4game.

Print This Post Путешествия

Вторник, 4. Сентябрь 2012
Раздел: Жизнь, автор:

Я вернулся из своего небольшого отпуска (если кто-то не в курсе, я путешествовал по западному побережью - Вегас, Лос-Анджелес) и сразу принялся за дела, так что в скором времени стоит ждать новых содержательных постов. К сожалению, Kaimi поехать со мной не смог по причине сильной занятости учебой. Тем не менее, он успел для вас кое-что приготовить - это обновленный модуль для работы с антикапчей на Perl: вот тут.
Небольшой фотоотчет:
Читать дальше »

Страница 2 из 212