Forum: Win32/Win64 API (native code)
Delphi
by ShadowCaster,
23. Mai 2003
danke Motzi. Die Berechnung im vorherigen Posting von mir war übrigens fehlerhaft. es gibt eine virtual address für die Rawdata der Section, das ist der Beginnpunkt.
hab den Dreh mit den Sections jetzt raus und weiß jetzt zu 90% wie der Virus arbeitet. Jaja.. der Programmierer war ein ganz gewitzter. Die Virusdll hat zwei Einstiegspunkte. Ein Teil in jeder infizierten Exe wird nicht...
Forum: Win32/Win64 API (native code)
Delphi
by ShadowCaster,
22. Mai 2003
Ok, die Records für die Sections hab ich eigentlich und ermitteln, wann ich welchen Record einsetze kann ich auch.
Die Größe einer Section ist: SectionSize := SizeOfRawData - VirtualSize
Das hab ich jetzt schonmal rausgefunden. Allerdings brauch ich jetzt noch die Formel, wie ich die Beginnadresse dieser Sektion errechnen kann. Wenn ich das hätte, wär ich sogut wie fertig mit meinem...
Forum: Win32/Win64 API (native code)
Delphi
by ShadowCaster,
22. Mai 2003
selbst wenn da ein Fehler ist... ist das so schlimm? Das war doch nur gut gemeint von mir. Achja, könntest du meine Frage bitte bittte bitte noch vom vorherigen Posting beantworten, wie ich an die Dateiadressen der Sections rankomm?
Meine Herleitung sieht folgendermaßen aus, warum auch dieser "Nico" einen Fehler machen kann:
Jedes Programm enthält mindestens ein Fehler.
Meine Herleitung:...
Forum: Win32/Win64 API (native code)
Delphi
by ShadowCaster,
22. Mai 2003
Achja, Luckie, in deinem Proggie hab ich noch einFehler im Exe-Header gefunden.
TImageFileHeader sollte so aussehen:
PImageFileHeader = ^TImageFileHeader;
TImageFileHeader = record
PEName : array of Char;
Machine : WORD;
