Autor Beitrag
tomycat
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starontopic star
Beiträge: 202
Erhaltene Danke: 1



BeitragVerfasst: So 08.03.20 19:40 
hallo,
ich habe eine .sys Datei, ich möchte gerne die modifizieren.(Leider darf ich keine Infos zu der Datei nicht sagen)

Mein Ziel: Bei bestimmte Funktionen soll z.b. eine MessageBox kommen, bzw ASM erweiterung.

Soll ich mit IDA Pro.Free ansetzen?

Wie unterscheidete sich eine .sys mit einer .exe Datei, wenns es um eine modifizierung geht?

Ich suche erstmal eine Plan/Ansatz, ich weis, dass es sehr wichtig ist :-)


Moderiert von user profile iconTh69: Topic aus Sonstiges (.NET) verschoben am Mo 09.03.2020 um 09:42
Sinspin
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starofftopic star
Beiträge: 1214
Erhaltene Danke: 102

Win7
DXE2 Prof, Lazarus
BeitragVerfasst: Mo 09.03.20 11:06 
Hallo, Sys Dateien erlauben keine Nutzerinteraktion und auch nicht die Anzeige von Dialogen. Zudem glaube ich nicht dass Du eine veränderte Sys Datei zum laufen bekommst. Windows prüft diese Dateien vorm Laden auf Änderungen.

Aber reinsehen kannst Du natürlich mit jedem Hexeditor oder Disassemblierungstool.

_________________
Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Jetzt rächt sich die Natur und tötet uns.

Für diesen Beitrag haben gedankt: tomycat
tomycat Threadstarter
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starontopic star
Beiträge: 202
Erhaltene Danke: 1



BeitragVerfasst: Di 24.03.20 22:39 
thx,
ich habe mit IDa Free eine .sys angeschaut.Über den Reiter Funktionen kann ich eine Funktion mit Blockschaltbilder anschauen, besser wie ich es erwartet habe. Mit WinDbg kann ich über VM das Windows im debug Modus verbinden lassen.

Mit...
ausblenden Quelltext
1:
kd> bp meineSystemfunktionxy + 0x12 ".printf \"\\tAusgabe von eax: %p\\n\",eax;g;"					

... anzeigen lassen.

Meine Fragen:
1.Wie kann ich den bp modifizieren, dass die meineSystemfunktionxy Parameter 1,2,3 in Windbg ausgibt, beim aufruf?
2.Gibt es eine Möglichkeit, welche Funktion die meineSystemfunktionxy aufruft?
3.Dann gibt es in den Blockschaltbilder Variablen wie _blabla, Google findet nichts, wie kan ich herausbekommen was das für Variablen ist?

Moderiert von user profile iconTh69: Code-Tags hinzugefügt
tomycat Threadstarter
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starontopic star
Beiträge: 202
Erhaltene Danke: 1



BeitragVerfasst: Fr 27.03.20 10:58 
hat keiner eine Idee?
gerne stelle ich auch die Frage anders.