Упаковщики исполняемых файлов в LINUX-BSD


         

фрагмент burndump'а, отождествляющий упаковщик по "сигнатуре"


Но все сразу же становится ясным, если взглянуть на файл, обработанный протектором Burnyey: как видно, протектор располагает себя по довольно нехарактерным адресам и дампер просто сравнивает 16-страрших байт адреса, вызывающего функцию brk().

.05371035: FF3508103705    push   d,[05371008]

.0537103B: 9C              pushfd

.0537103C: 60              pushad

.0537103D: 8B0D00103705    mov    ecx,[05371000]

.05371043: E93A000000             jmp    .005371082  ---v (1)



Содержание  Назад  Вперед