Subject: Re: E8 Date: Sat, 01 Dec 2001 14:07:07 +0200 From: "Eugene D. Shelwien" Organization: Shadow Research Center To: Dmitry Shkarin [...] > > Во-вторых, там практически всегда идет ровно одна кодовая > > секция вначале и ровно одна секция с данными следом. Что > > вообще можно сделать такого особенного, даже если кодер > > будет знать, где заканчивается код и начинаются данные? > А ты попробуй в PPMd подобрать -mXX так чтобы модель сбрасывалась на > границе кода и данных и почувствуй разницу. Попробовал-было, потом остановился и сделал по-нормальному. У меня есть такие утилитки, которые PE-шник разбирают/собирают по секциям. Дык вот: nero.exe 3375104 /ppmonstr -o128 -m500 nero 1j ¦ 1003148 /ppmonstr -o128 -m45 nero 2i ¦ 1060770 /pesplit + ppmonstr -o128 -m500 dosstub pmm¦ 209 peheader pmm¦ 566 section0 pmm¦ 727204 section1 pmm¦ 79095 section2 pmm¦ 34442 section3 pmm¦ 141980 ------------------------ 983,496 /flt32 (мой) calls pmm¦ 50602 codes pmm¦ 801955 flags pmm¦ 4792 jumps pmm¦ 19698 ------------------------ 877,047 /pesplit + flt32 + ppmonstr -o128 -m500 calls pmm¦ 49549 codes pmm¦ 529687 flags pmm¦ 4629 jumps pmm¦ 19449 dosstub pmm¦ 209 peheader pmm¦ 571 section1 pmm¦ 79095 section2 pmm¦ 34442 section3 pmm¦ 141980 ------------------------ 859,111 /rk 1.02b5 nero rk ¦ 932932 /rk 1.04a1 nero rk ¦ 932952 Ну что ж. Сделал ты, наконец, Тейлора, с чем я тебя и поздравляю ;). [...]