Надеюсь, сформулировал логично. При повторной загрузке одной и той же dll и импортом её одноимённых функций в памяти будут 2 одинаковых модуля?

ни4его непонятно, но предполагаю, 4то ты спрашивал, будут ли при повторной загрузки в динамике адресса функций определенного модуля проэцироваться в адрессное прострастно приложения по стати4еским адрессам. ответ - нет

а я полагаю, что имел мсто вопрос, что поризойдёт если дважды попытаться подгрузить одну длл-ку.
Ответ - второй запрос LoadLibrary вернёт указатель на уже подгруженную

Я в етом деле нуб!!! Ну вот появилась необходимость ломонуть прогу и снять ограничения. Прога вобщим типа паскаля называеться Algo. Та стоит ограничения нельзя ставить + . Ето меня бесит. скажите что надо использовать и где про ето прочитать?? А то я вижу всякие упаковщики распаковщики и.т.д а чем пользоваться незнаю((( напишите сайти и ссылки на нужный софт

Я в етом деле нуб!!! Ну вот появилась необходимость ломонуть прогу и снять ограничения. Прога вобщим типа паскаля называеться Algo. Та стоит ограничения нельзя ставить + . Ето меня бесит. скажите что надо использовать и где про ето прочитать?? А то я вижу всякие упаковщики распаковщики и.т.д а чем пользоваться незнаю((( напишите сайти и ссылки на нужный софт
OllyDbg || IDA
вряд ли такая прога запакована чем-то =)
удачи =)

есть какая нибудь утилитка с помощью которой можно посмотреть какие нужны дллки для работы экзешника?

есть какая нибудь утилитка с помощью которой можно посмотреть какие нужны дллки для работы экзешника?
В иде можно посмотреть во вкладке Imports, а насчет утилитки хз =) не припомню

любой pe-editor/viewer

LordPE
PEID
DiE
xPELister
CFF Explorer

и т.д. :)

также поиск по строкам / бряк на LoadLibraryA/W/ExA/ExW/LdrLoadDll в отладчике, если импорт получается динамически и т.д.

Короче скачал OllyDbg но ничего не понял что надо редактировать??? Напишите ссылку на какой-то понятный фак а то нашел а там какието слова непонятные))) или напишите в асю 413-519-789 если нетрудно

есть какая нибудь утилитка с помощью которой можно посмотреть какие нужны дллки для работы экзешника?
а) смотри импорт - либы подгружаются загрузчиком
б) бряк на LoadLibraryExW

Короче скачал OllyDbg но ничего не понял что надо редактировать??? Напишите ссылку на какой-то понятный фак а то нашел а там какието слова непонятные))) или напишите в асю 413-519-789 если нетрудно
=))) http://wasm.ru/series.php?sid=17

Lyudi podskojite kak skr@t bpk (perfect keylogger) ot antivirusa.(proshu ne udalyat)...........................ochen srochno

Lyudi podskojite kak skr@t bpk (perfect keylogger) ot antivirusa.(proshu ne udalyat)...........................ochen srochno
http://forum.antichat.ru/thread92446.html

postav pojalusta link....

У меня вопрос... Как добавить в таблицу импорта свою API функцию...и как узнать
сколько в секций свободного места и по какому адресу...

У меня вопрос... Как добавить в таблицу импорта свою API функцию...
Вы хотели сказать не свою а чужую (из другой библиотеки).
Используйте CFF Explorer, там есть удобная функция добавления импорта.

как узнать
сколько в секций свободного места и по какому адресу...
Открыть PE редактором любым и посмотреть конец секции, разве это сложно? Если непонятно то читать до посинения документацию по формату PE

Спасибо за ответ neprovad, я и так, сейчас читаю документацию по формату PE.
И ни как не магу понять...

Приважу цитату с сайта wasam....
Как Вы уже знаете, в начале PE-файла идёт PE-заголовок. Между окончанием таблицы секции и первой секцией есть промежуток. Этот промежуток появляется из-за файлового выравнивания выравнивания (значение FileAlignment в файловом заголовке). Туда мы можем впихнуть исполняемый вредоносный код.

У меня вопрос №2...Что или от чего, надо отнять, чтобы можно было узнать, адрес свободного промежутка...

Что или от чего, надо отнять, чтобы можно было узнать адрес свободного промежутка...
Обычно нет смысла что-то из чего-то вычитать. Все видно "на глаз" Если же так хочется посчитать, то, например,
размер неиспользованый=offset первой секции-смещение у флагов последней секции+4.
А вообще - практика и всё встанет на свои места.

Как сделать активным пункт меню? >>>ССЫЛКА на ролик<<< (http://dump.ru/file/1236374) :confused:

P.S. Строку в меню добавил я сам, т.е. её там раньше не было! Но эта строка не активна!

Надо открыть окно, которое находится в ресурсах.
Знаю, что окно надо открыть через функцию в коде например через MessagaBox

PUSH Style =
Title = PUSH адрес строки <<< Заголовок окна
Text = PUSH адрес строки <<< текст окна
PUSHh Owner
MessageBoxA <<< Call адрес функции MessageBoxA


Как правильно передать значения в функцию, чтоб открывалось именно моё окно? И закрывалось тоже? ;) С помощью кнопки "Ок" ?

Что такое Style = и hOwner ?

ResourseExplorer ResourceHacker Restorator
если прога пакована, то сна4ала распаковываем

доброго дня гуру реверсинга ! помогите плз.

есть скомпиленный в линуксе файлик:

file name.i686
name.i686: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses shared libs), stripped


нужно в нём найти и просто изменить на большее значение константу. каким образом это сделать?? спасибо.

нужно в нём найти и просто изменить на большее значение константу
шестнадцатеричным редактором по идее, умеющим искать значения hex или простые текстовые

шестнадцатеричным редактором по идее, умеющим искать значения hex или простые текстовые

но ведь названия константы нету... я знаю только что она в исходнике такая:

#define CWS_NETMSGSIZE 240

отдизассмит в иде, там произвести поиск по hex value 0xF0. когда найдет, запомнить смещение в файле, далее подменить на хоть 0xFF (или 00 00 00 F0 -> FF FF FF FF, соотвественно, если константа DWORD)

Подскажите чем отлаживать дрова (.sys) Есть что-нибудь интерактивное, типо ольки?

отдизассмит в иде, там произвести поиск по hex value 0xF0. когда найдет, запомнить смещение в файле, далее подменить на хоть 0xFF (или 00 00 00 F0 -> FF FF FF FF, соотвественно, если константа DWORD)

спасибо конечно, но там эти 0xF0 немеренно :( куда рыть? смотрю через objdump в linuxе

2GlOFF Syser Debugger

GlOFF
WinDBG - и никаких гвоздей. Прекрасно работает.

Посоветуйте нормальный рипер кода (на подобие TMG Ripper ) если он не единственный

Чтобы такого почитать про восстановление IAT, IAT как таковую, и прицип её работы?
Про нахождение OEP тоже не помешает.
PS: васм читал, надо что-то ещё...

Привет всем.. Требуется маленькая подсказка. а то самому никак..... нужно найти место проверки на зареганость, чтоб убрать этот "UNREGISTERED". Если кому не сложно помогите плзз.. а то пол дня просидел и толку 0.
Вот собсно сцилка на фаило hххp://www.dummysoftware.com/UpSetup.exe.

Привет всем.. Требуется маленькая подсказка. а то самому никак..... нужно найти место проверки на зареганость, чтоб убрать этот "UNREGISTERED". Если кому не сложно помогите плзз.. а то пол дня просидел и толку 0.
Вот собсно сцилка на фаило hххp://www.dummysoftware.com/UpSetup.exe.
pinch?

нужно найти место проверки на зареганость, чтоб убрать этот "UNREGISTERED"
А какой смысл убирать надпись? Можно тут

00405246 74 13 JE SHORT Uploader.0040525B

к примеру поменять переход на безусловный и больше данные настроек считываться не будут а вместе с ними и отсчет дней trial'а.

васм читал, надо что-то ещё...
надо практиковаться, без конкретных попыток создать новую IAT, чтение и гроша ломаного не стоит

pinch?

уважаемый, ты разделом ошибся? это не болталка
http://www.virustotal.com/ru/analisis/891c3e693f179021d40407620d42ae48

надо практиковаться, без конкретных попыток создать новую IAT, чтение и гроша ломаного не стоит
Я ж не говорю, что не создаю. При помощи ImpReс на раз-два всё проходит. Но то клики мышкой. Мне же сам процесс понять, что и зачем я делаю. Можно провести параллель с сексом по любви и без, мб так понятней будет. %)

Мне же сам процесс понять, что и зачем я делаю.
про параллель - что за безвкусица? ничего логичней в голову не пришло?
К делу -
ну а если кликаешь мышкой, что, бездумно?
Представляю картину: "Вау, программа крутая! Ею хакеры пользуются! Ну-ка дай и я попробую! Да тут кнопки еще есть! О, точно, даже работают! Это я IAT восстановил!"
Я действительно не понимаю, зачем так доскональна пытаться понять "работу" IAT?! Разве программы создаются не для того, чтобы мы могли облегчить рутину в своей работе (деле)?
p.s. если мало васм.ру, в разделе ссылок http://forum.antichat.ru/thread69997.html Достаточно материала для изучения.

neprovad, чтобы ты таких картин не представлял, я и ищу материал, справки и т.д.
Я действительно не понимаю, зачем так доскональна пытаться понять "работу" IAT?!Ты противоречишь себе, не замечаешь?

Ты противоречишь себе, не замечаешь?
мне можно

мне можно
спасибо

To neprovad.

да триал я давно убрал... просто хотел ещё и наг с кнопкой "Регистер" убрать.
Но все равно Спасибо за Ответ...

спасибо
tuts4you.com - загляни, надеюсь не пожалеешь

tuts4you.com - загляни, надеюсь не пожалеешь Может кому пригодится:

Understanding the Import Address Table
http://tuts4you.com/download.php?view.1505

Understanding Import Tables
http://tuts4you.com/download.php?view.198

Import Address Table Rebuilding
http://tuts4you.com/download.php?view.194

PE Files Import Table Rebuilding
http://tuts4you.com/download.php?view.196

Чтобы такого почитать про восстановление IAT, IAT как таковую, и прицип её работы?
Про нахождение OEP тоже не помешает.
PS: васм читал, надо что-то ещё...
Васм ты весь прочитал?) там есть "Об упаковщиках в последний раз". а если прочитал и мало то тогда гугл читай чо).

совершенно тупой вопрос:
как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

>> как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

конкретизируйте. что значит не работает?

конкретизирую: либо не устанавливает JMP вообще, либо он не работает

jmp adress, может не работать из-за отсутствия прав на execute в секции, куда ты прыгаешь, либо так неудачно ставится jmp, что сразу после него вылетает ошибка из-за невыровненого стека.
Пример: jmp 0040101D

Прочитал статью Broken Sword*а про Code rip Broken Sword*а http://www.wasm.ru/article.php?article=coderip01 В общих чертах понял. Но меня интерисует вопросы:

1) Как отследить изменения стека до (какие параметры приготавливаются до исполнения функции) и во время исполнения функции (может быть туча записей в стек)?

2) Как компелировать выдранный код?

3) Хотелось бы посмотреть как это работает на практике! Broken Sword обещал продолжение этой статьи (практическое воплощение статьи), но к сожалению :( тема заглохла!!!

Может есть какая статья или дока ( на русском!) где это всё подробно (пошагово) описывается!!!

В гугл не отсылать там только ссылки на эту статью, и ещё на какуюто прогу для выдирания кода из Html

2tekton
С рипом кодом сталкнулся только раз. Так что нижеследующее из собственного маленького опыта )) если что - старшие товарищи поправят

1)

Тк рипал кусок кода, а не полностью функцию то точно сказать не могу. Но там были определенные параметры, ктр инициализировались до и были константами в принципе, но создавались гдето в глубине материнских функций. Так вот вылавливал их опытным путём, считая рипнутый код черным ящиком, подавал на вход определенные параметры и смотрел, что получается на выходе. На выходе должно было получится только либо ноль, либо 1, так что много это времени не заняло )) А вот в случае функции цельной я вообще проблем не вижу. Главное найти её вызов и понять, для чего нужен каждый аргумент, что при знании назначения функции достаточно просто. А каким образом стек изменяется во время исполнения кода функции нас не должно волновать, ибо чёрный ящик ))).

2)

Ну я компилили фсм-вставками в Си-код. Естественно необходима доработка напильником ) хотя это смотря из чего выдирать ) я из Olly выдирал - нудно исправлял потом jmp и метки (( из IDA видимо проще )).

3)

А что там глядеть, делать надо ^____^

1) достато4но брякнутся в отлад4ике на вызове функи\или прологе функи, передаваемые параметры будут на верхушке стекв\+4. коли4ество передаваемых аргументов тоже не проблема пос4итать брякнувшись

2) копируешь с иды\тюнишь (убираешь 4то ненужно, добавляешь описани структур, данных используемых, дописываешь функции 4то нужны, иправляешь ошибки) и компилишь сраазу масмом. если одна процедура или маленький обхем кода - то хоть 4ем, асм. вставками хоть в делфе, хоть в студии, хоть сразу в фасме

3) хорошая практи4еская статья лежит тут http://www.wasm.ru/article.php?article=addfunc

Чтото совсем плох стал.
В каких ситуациях может помочь раскрутка стека?

нудно исправлял потом jmp и метки (( из IDA видимо проще )).

для olly есть крутой плаг Code Ripper джампы сам выставляет. Также ещо есть Data Ripper.

2zeppe1in
ИМХО, плагинами надо пользоваться когда задолбаешься выполнять операцию, а не от того что не умеешь чего-то делать руками ^_____--

что такое "раскрутка стека?"

20verbreaK
Ну там, где я встречал это понятие, под ним понималось (^____^) определение всех материнских функций предшествующих текущей. В Olly к примеру ALT+K.
Я счас подумал (чаще бы это делал), что это будет удобным если между проверкой корректности серийника и местом, где прога информирует о неправильности серийника будет большая простыня, ктр задолбаешься проверять и прокручивать, а так можно достаточно быстро оказаться в окрестностях кода проверки.
Чтото на бред смахивает, фак.

ProTeuS спасибо. Прочитал сткатью http://www.wasm.ru/article.php?article=addfunc .

Вот пару вопросов по этой статье:

Найти участок кода, отвечающий непосредственно за вычисление выражения несложно... можно поподробнее как и что?

Где взять прогу аIIDKing v2.0. ?

Есть ли ещё примеры по этой теме (статьи, доки...) Искал в нете ничего дельного не нашёл!

Просьба!

Мож кто из продвинутых обитателей antichat.ru напишет хорошую, подробную статью с практичекскими примерами по CODE RIP*у

Заранее спасибо!!!

можно поподробнее как и что?
отлаживаешь, ищешь функционал, который тебе нужен по контрольным то4кам, стринг-референсах, бряках на апи, по стеку, несуть. когда видишь 4то колл, до которого ты добрался и на выходе после отработки которго возникают нужные результаты - зна4 это нужный тебе функционал и нужно имеено его рипать

Где взять прогу аIIDKing v2.0. ?
http://up.cih.ms/proteus/iidking-v2.01.exe

Есть ли ещё примеры по этой теме (статьи, доки...) Искал в нете ничего дельного не нашёл!

ни4его более по теме на русском не встре4ал

Просьба!

Мож кто из продвинутых обитателей antichat.ru напишет хорошую, подробную статью с практичекскими примерами по CODE RIP*у

Заранее спасибо!!!
да вроде на васме итак более 4ем доступно, за4ем плодить буквы, если важно саму суть показать а не стро4ить как рипать то, как это. мой совет бери конкретную прогу и рипай на4иная с мелких фукнкций на полэкрана и далее хоть весь код, если не идет процесс, бери тот же пример 4то в статье описан и смотри 4то нетак если не полу4ается

надеюсь в правильную тему написал.
Многие слышали про Steam, вот у меня вопрос к тем, кто имел с ним дело.
Я нашел троян, написанный на ВБ( http://forum.xeka.ru/7238/post21/ ), он каким-то образом выдирает логин и пароль из запущенного стим-клиента и записывает их в файл. Ольгой сканировал память на предмет логина/пароля, положительного результата не получил. Кто знает, как он их получает?

хз 4то это говно на бейсике делает, там 3 метра данных и без валидного акка стима в отладке ни4его не увидить. видно только 4то создает 2 файла. один c:\tmp.txt и второй 1337SteamLogin.txt, создает вторую копию себя, вроде во временной папки, ищет в кернеле адреса функций инетернет коннекта, работы с фтп, полу4ения имени компа, и пытается там грабить акки и шлет на фтп тому кто сбилдил. механизма как он грабит в функционале среди ку4и муксора невижу. нужен валидный акк или машина где он уда4но отграбит

вот список импортированных апи

'VA: 402269
Private Declare Sub CloseHandle Lib "Kernel32"()
'VA: 402225
Private Declare Sub WaitForSingleObject Lib "Kernel32"()
'VA: 4021D9
Private Declare Sub CreateProcessA Lib "Kernel32"()
'VA: 402191
Private Declare Sub FtpPutFileA Lib "wininet.dll"()
'VA: 40214D
Private Declare Sub FtpGetCurrentDirectoryA Lib "wininet.dll"()
'VA: 4020FD
Private Declare Sub InternetOpenA Lib "wininet.dll"()
'VA: 4020B5
Private Declare Sub InternetConnectA Lib "wininet.dll"()
'VA: 402069
Private Declare Sub InternetCloseHandle Lib "wininet.dll"()
'VA: 40200D
Private Declare Sub GetComputerNameA Lib "Kernel32"()

вот список импортированных апи

'VA: 402269
Private Declare Sub CloseHandle Lib "Kernel32"()
'VA: 402225
Private Declare Sub WaitForSingleObject Lib "Kernel32"()
'VA: 4021D9
Private Declare Sub CreateProcessA Lib "Kernel32"()
'VA: 402191
Private Declare Sub FtpPutFileA Lib "wininet.dll"()
'VA: 40214D
Private Declare Sub FtpGetCurrentDirectoryA Lib "wininet.dll"()
'VA: 4020FD
Private Declare Sub InternetOpenA Lib "wininet.dll"()
'VA: 4020B5
Private Declare Sub InternetConnectA Lib "wininet.dll"()
'VA: 402069
Private Declare Sub InternetCloseHandle Lib "wininet.dll"()
'VA: 40200D
Private Declare Sub GetComputerNameA Lib "Kernel32"()


и это все? странно, я ожидал что-то типа работы с реестром\файлами или процесами. там есть еще библиотека от вб

2zeppe1in
ИМХО, плагинами надо пользоваться когда задолбаешься выполнять операцию, а не от того что не умеешь чего-то делать руками ^_____--
с чего ты взял то что я не умею? там уметь, нечего. я также как ты мудился, а потом встретил плаг вот и советую.

2zeppe1in
дык, не о тебе речь была )

ProTeuS спасибо!
мой совет бери конкретную прогу и рипай на4иная с мелких фукнкций на полэкрана и далее хоть весь код, если не идет процесс, бери тот же пример 4то в статье описан и смотри 4то нетак если не полу4ается
Буду по тиху въезжать в тему!

Ещё вопрос как и чем лучше всего компелировать выдранный код?
Ну чтоб код из IDA не переделывать под синтаксис определённого компелятора? Какой копелятор идеально подходит к IDA ?

И ещё вопрос: Есть ли похожие проги на компонент Hex-Rays для IDA Pro? Чтоб можно было строить визуальную схему программы (переходы, функции ...)? В работе этого компонента мне не хватает адресов команд и жалко что нельзя делать пометки - комментарии ?

>>Ну чтоб код из IDA не переделывать под синтаксис определённого компелятора? Какой копелятор идеально подходит к IDA ?
masm

Чтото совсем плох стал.
В каких ситуациях может помочь раскрутка стека?
Если ты написал код, а он вываливается со Stack overflow. К примеру - какой-нибудь криво написанный dfs на графах, "строемых" во время самого вызова имеет обыкновение так делать, вызываясь от одних и тех же аргументов...

2desTiny
ага и в стеке мы значится видим кучу забавных вызовов ...
да, кстати, а что такое dfs?

http://ru.wikipedia.org/wiki/Поиск_в_глубину

2desTiny
тьфу, как раз лекции по СИИ читаю. Тока там он не называется маленькими иностранными абривиатурами )))

Как записать сообщёние "Привет мир" из стека в строку кода программы ? 0012EBBC I 00A589E0 ASCII "Привет мир"

И этоже значение из регистра например ЕАX 00A589E0 ASCII "Привет мир" в строку кода программы ?

О бычно в учебниках пишут как загрузить ASCII сообщение из строки,

например: MOV EDX, 48DBA0 ; скопировать в EDX сообщение из строки 48DBA0 или MOV EDX, offset String

А как занести строку в код, в определённый адрес вида 004ХХХХХ пока не нашёл? :confused:

2tekton
ты очень невимательно читаешь книжки по асму.

0012EBBC I 00A589E0 ASCII "Привет мир"

Это не строка в стеке, а её адрес в стеке(если быть вообще точным, то адрес её первого символа). Сама строка расположена там, где её поместил компилятор или сам человек, писавший на ассемблере. В секции данных к примеру. Примерно вот таким образом:
message db 'hello world' , 0x00

И далее мы оперируем уже адресом строки, загрузив его для удобства в какой нибудь регистр ))

MOV EDX, offset String

Перемещать строки можно цепочечными командами. Или в цикле ^_____^

И вообще этот вопрос по сути к реверсингу относится опосредованно. Задавай вопросы по асму ЗДЕСЬ (http://forum.antichat.ru/lastpostinthread70421.html)

tekton
0012EBBC I 00A589E0 ASCII "Привет мир" Это не строка в стеке, а её адрес в стеке(если быть вообще точным, то адрес её первого символа). [/CODE]Я знаю что в стек ложится адрес по которому записано сообщение , а потом вызывается!

Просто не правильно выразился!

Прошу прощения !!!

Мене просто надо скопировать сообщение с одного адреса в другой! Спасибо за ссылку!

Мене просто надо скопировать сообщение с одного адреса в другой!
;================================================= ====================
; StrCpy
;================================================= ====================
; This procedure copies a string into a buffer. If the buffer is smaller
; than the string to copy, it returns 0.
;================================================= ====================
StrCpy PROC uses edi esi StrBuffer:DWORD,String:DWORD
invoke StrLen,String
mov ecx,eax
mov edi,StrBuffer
mov esi,String
rep movsb
ret
StrCpy ENDP


;================================================= ====================
; StrLen
;================================================= ====================
; This procedure takes an address of a string as its parameter and
; returns the length of the string in eax
;================================================= ====================
StrLen PROC uses edi String:DWORD
mov edi,String
mov al,0
mov ecx,0FFFFFFFFh
repne scasb
sub ecx,0FFFFFFFFh
neg ecx
dec ecx
mov eax,ecx
ret
StrLen ENDP
полезно смотреть хорошие исходники).

Доброго времени суток! Потихоньку осваиваю реверсинг, тренируюсь на пакерах/крипторах и все бы ничего, но следующий файл вызвал сложности при не однократных попытках найти оригинальную точку входа. Сам файл - Data_1.zip, пасс на архив:123 (http://rapidshare.com/files/175593879/Data_1.zip.html) Вимание, запускать только после отключения от и-нета! Это "приватный" билд пинча, упакованного PECompact-ом и закриптованого чем-то опять таки "приватным" )), и вот этот криптор и обламывает мои попытки распаковать файл. Сразу скажу, меня не интересует, куда он что отправляет, конечная цель - распаковать. :) Судя по всему это какой-то инжектор, (да и NOD32 обзывает его как Win32/Injector.GA) т.к. создается новый процесс, правда при обычном запуске этого почему-то не видно, на 2 процесса разбивается только при трассировке через Olly, постепенно куда-то разшифровывается и, в конце концов 2 процесс получает управление и срабатывает, а я остаюсь на первом, т.е. ни как не могу попасть на 2 процесс, попытка приattachится к нему приводит к ошибке (не корректный PE-заголовок). Замучался. :( Посмотрите, у кого время есть, пожалуйста. Не может же быть, что его уже не возможно распаковать. :) Заранее спасибо!

..следующий файл вызвал сложности при не однократных попытках найти оригинальную точку входа
На адресе 0015636B можно дампить данные, которые пишутся в дочерний процесс (можно и чуть раньше, но все же я там дампил)
А второй процесс - обычный pecompact как я понял

С трудом, но все-таки распаковал. Спасибо за помощь по асе, neprovad ! :)

здрасти всем гуру раздела
и так есть программа... он требует активации но активация производиться через инет! (ключем) возможно ли как нибуть активировать ее???

возможно. отрубать руками проверку, либо эмуль подимать на локалхосте, изу4ив ответ сервака авторизации

эмуль подимать на локалхосте

Это как это? то есть нужны еще знания кодинга? я не совсем понимаю этО

Это как это? то есть нужны еще знания кодинга? я не совсем понимаю этОэмуль подимать на локалхосте, изу4ив ответ сервака авторизации

ну на локале эмулируешь сервер, куда бьётся софт для авторизации .. предварительно изу4ив ответ сервака авторизации и просто делаешь тот же/подобный ответ от локального
--
кодинг тут не нужен ..

Такой вопрос: а где можно почитать про Крякерство??? Просто хотелсь бы что-нибудь попробывать крякнуть хотя КрякМи какой-нить

http://cracklab.ru/kid.php

Такой вопрос: а где можно почитать про Крякерство??? Просто хотелсь бы что-нибудь попробывать крякнуть хотя КрякМи какой-нитьhttp://www.wasm.ru/series.php?sid=17

Помогите пожалуйста, начал изучать крэкинг, поставил SoftICE с Крэкл@ба, поставил все патчи. Однако, он не работает с ошибкой PAGE_FAULT_IN_NONPAGED_AREA. Помогите пожалуйста справиться с этой ерундой.

юзай OllyDbg. с софотайсом куча проблем. тем более для начала, олли самое то.

если нудно именно ринг0, то Syser очень даже не плохо бегает :)

Syser не отвечает нужным требованиям :(

Это какие такие интересно требования? Если у вас требования - олли вполне подойдет. Пара-тройка плагинов и она будет просто шикарно работать и помогать в анализе защищенных приложений.
p.s. для sice'а есть отличная статья по его установке на том же кряклабе, не пойму в чем загвоздка? у меня sice чудесно работает с sp2 и кучей обновлений.

Вот на кряклабе пишут, что надо начинать с языков высокого уробня, а потом переходить к асму...
А я вот знаю основные команды асма, но не знаю других языков программирования, веб не в счет...
Так вок, к чему я клоню, можно ли уже переходить к кряку?
После окончания изучения асма буду учить С++

конечно, ведь дело то в основном придётся иметь с асм листингами.

-m0rgan-
да можно ваще не чо не изучать. походу разберёшся. а пишут много чо и на заборе.

Не знаю, куда задать вопрос. Нужно получить количество оборотов кулера. В программе SpeenFan такая возможность есть. Не знаю какой функцией это можно сделать. можетт быть нужно обращаться к прерываниям? заранее спасибо

Доброво времени суток. Есть у меня одна прожка, запакована ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov (это выдал PEid). Хочу распаковать (чтобы ресурсы в ней поменять, картинки, да иконки). Нашел stripper 2.13 - unpacker for aspr. Распаковал, лог показал что всё нормально. Посмотрел файл, а он не рабочий. Вопрос а вообще распаковка ASProtecta возможна? может я не тот анпакер использовал?

Доброво времени суток. Есть у меня одна прожка, запакована ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov (это выдал PEid). Хочу распаковать (чтобы ресурсы в ней поменять, картинки, да иконки). Нашел stripper 2.13 - unpacker for aspr. Распаковал, лог показал что всё нормально. Посмотрел файл, а он не рабочий. Вопрос а вообще распаковка ASProtecta возможна? может я не тот анпакер использовал?
а как определил что нерабочим стал файл?

а как определил что нерабочим стал файл?

запустил. он вылетел с ошибкой.

советую по старинке, руками. отклю4ить игнор всех исклю4ений, брякнуться на предпослденем, на ретурне бряк, отпускаем по шифт+ф9, бряк на доступ к кодовой секции отпускаем и мы на ОЕП, фиксим импорт и файл готов к употреблению

советую по старинке, руками. отклю4ить игнор всех исклю4ений, брякнуться на предпослденем, на ретурне бряк, отпускаем по шифт+ф9, бряк на доступ к кодовой секции отпускаем и мы на ОЕП, фиксим импорт и файл готов к употреблению

это в ольке? а более простых методов нет? как раз какой нить распаковщик... стирал ключи в реестре асппротекта (триал версию продлевал). но действительно хочеться чего то больше и изменить ресурсы в проге.

svalck
http://forum.antichat.ru/thread22617.html
http://cracklab.ru/rar/dl/CRACKLAB.rU_4.rar
http://cracklab.ru/rar/dl/CRACKLAB.rU_27.rar

простите за назойливость. разобрался в самой схеме снятия аспротекта!
1) найти ОEP
2) снять дамп
3) восстановить секции импорта

имею вот...
1)вручную не получилось найти оеп и снять дамп...
2)воспользовался stripper v2.13 beta 9..
(c) by syd, 2002-2006..
снял дамп и знаю ОЕP (первый вопрос сдампленная прога должна работать? она у меня вылетает с ошибкой...)
3) с помощью проги ImportREC и спомощью плагинов пытаюсь восстановить таблицы импорта... и она не пашет... точно так же вылетает..
подскажите может че не так делаю?

Есть прога, пытаюсь найти в коде участок проверяющий серийник на правильность. При вводе неправильного ключа выдается строка наподобии Incorrect key. Поковырявшись идой нашел участок с текстом выводимой ошибки при вводе неправильного серийника, как определить откуда идет обращение к нему?

Есть прога, пытаюсь найти в коде участок проверяющий серийник на правильность. При вводе неправильного ключа выдается строка наподобии Incorrect key. Поковырявшись идой нашел участок с текстом выводимой ошибки при вводе неправильного серийника, как определить откуда идет обращение к нему?
оценить ближайшие "сверху" адреса на которые идут переходы. так постепенно выйдем на проверку в духе

cmp что-то, с чем-то

а там уже и будет видно какого результата ожидала программа в преддверии перехода

Немного разобрался с Аспротектом... )) нашел OEP импортнул все секции.. но программка исправленная вываливаеться с ошибкой по адресу 00F30000. Видимо там должно быть имя на кого программа зарегана.. а как исправить эту штуку я не нашел...
Подскажите че дальше делать? трассировку OllyDBG не делает тоже вываливаеться с ошибкой по адресу 00F30000.
А адреса такого вообще не существует... и 4 места нашел где на него ссылаються..

А адреса такого вообще не существует... и 4 места нашел где на него ссылаються..
если это точно имя, то смени этот указатель вручную на такой,который бы лежал в секции твоей дампленой программы, а затем по новому адресу вбей свое имя) вот такой вот получится самодельный pchar

если это точно имя, то смени этот указатель вручную на такой,который бы лежал в секции твоей дампленой программы, а затем по новому адресу вбей свое имя) вот такой вот получится самодельный pchar

мдэээ тут программа триал 30 дней ещё и на железе завязана... сейчас перебил размер импорта 3000 функций валидных появилось... а прога серавно выбрасываеться по адресу 00F30000.
дык а на какой адрес то менять? а если зациклиться?

а если зациклиться?
не надо)
по сабжу - выложи оригинал и свой вариант, глянем где различия

да нужно смотреть что происходит в нужном месте в оригинале, а что в дампе.
а так всякое может быть. может сдампил криво или импорт не до конца починил.
может сама прога проверяет там саму себя и идёт по левому пути.
какой именно у тя аспротект?

сейчас перебил размер импорта 3000 функций валидных появилось...
я конечно могу ошибаться, но что-то функций многовато

да нужно смотреть что происходит в нужном месте в оригинале, а что в дампе.
а так всякое может быть. может сдампил криво или импорт не до конца починил.
может сама прога проверяет там саму себя и идёт по левому пути.
какой именно у тя аспротект?

ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov

ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
уже бы выложил программу, там глянуть дел на три минуты

Нужен совет, какую схему выбрать для нуль-модемного кабеля для удаленной отладки.
Такой подойдет?
http://www.lammertbies.nl/picture/db9_null_full.png

уже бы выложил программу, там глянуть дел на три минуты

Вот вообщем прожка запакована ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov

Всё как описывал
1) Ищу OEP в OLLY (нашел 0075477С)
2) Снимаю дамп без восстановления импорта..
3) Восстанавливаю импорт с ImportREC 1.7
4) ниче не работает.. вываливаемся в ошибку...
вот архив (прогу не стал целиком заливать ~ 11 метров) залил только сам экзешник и одну библиотеку.
http://slil.ru/26595230

Посмотрите плиз... если действительно там как нить хитро сверяет размер до и после.. или вообще надо зарегить.. зарегте плиз.. а если не влом то опишите как сделали..
Спасибо

http://slil.ru/26595230
залей на нормальный обменник :\
рапида, депозит, ну или уж sendspace

залей на нормальный обменник :\
рапида, депозит, ну или уж sendspace

мммм только завтра смогу перезалить на рапиду...
не получаеться скачать?

вот перезалил
http://www.sendspace.com/file/51r48u
со слил'а качать сам запарился).

даже проверка навскидку code xref к найденому oep=75477С показывает, что это не совсем oep, ибо есть вызов идущий на этот адрес.
00755860 E8 17EFFFFF CALL taxi.0075477C
oep на самом деле 7557E4

даже проверка навскидку code xref к найденому oep=75477С показывает, что это не совсем oep, ибо есть вызов идущий на этот адрес.
00755860 E8 17EFFFFF CALL taxi.0075477C
oep на самом деле 7557E4

хм... видимо я совсем нуб... но по шифт в 9 с бряком на предпоследнем на .code выдало тот OEP и Peid показал мой OEP...
Беру твой 7557E4 и не восстанавливаеться нормално... :(

Listing OEP:
007557E4: 55 push ebp
007557E5: 8BEC mov ebp, esp
007557E7: 81C4ECFEFFFF add esp, FFFFFEECh
007557ED: 53 push ebx
007557EE: 56 push esi
007557EF: 57 push edi
и сразу же апи аспра присутствует
007558BA C640 5B 00 MOV BYTE PTR DS:[EAX+5B],0
007558BE E8 C94BE2FF CALL taxi_u.Asp_api::LocalHardwareID
007558C3 A1 2CC17500 MOV EAX,DWORD PTR DS:[75C12C]
если его занопить, то вроде запускается :)
но по хорошему, надо отэмулить её выполнение.

з.ы. мой вариант анпака:
http://filesurf.ru/92249

Hellsp@wn респект!
но не запускаеться... во первых архив пишет битый... 2 раза скачивал... полечил.. а приложение не открываеться (пишет что не являеться win32 приложением) :(
ООО вот щас нормально скачал всё ок... ошибки не вылазят но почему то прога и не работает... т.е.
окно моргнёт и всё.... что это значит? :rolleyes:

Hellsp@wn у тебя программа распакованная работает?

выводит окно, что не может какие то настройки прочитать и всё :)
я же говорю там остались переходники на апи аспра, оладчик в зубы и вперёд.

выводит окно, что не может какие то настройки прочитать и всё :)
я же говорю там остались переходники на апи аспра, оладчик в зубы и вперёд.

а че с ними делать? с апи прота?

если это не апи шифровки блоков кода, то просто переделать апи вручную, как выше было сказано - сэмулировать.
т.е. есть у тебя апи условно gethwid - меняешь её так чтоб она возвращала всегда константу. Посмотри скрипт (ollyscript) распаковки аспра от VolX, многие вопросы отпрадут

а я не понял. чо олли апи аспра определяет?)

я тоже не понял.. вручную? а если применить как раз скрипт Volx он автоматом поменяет всё? А есть у кого нить ODbgScript 1.65.1. а то скрипты от Volx не пашут...

я тоже не понял.. вручную? а если применить как раз скрипт Volx он автоматом поменяет всё? А есть у кого нить ODbgScript 1.65.1. а то скрипты от Volx не пашут...

v1.66.3

http://tuts4you.com/download.php?view.74

применил скрипт от Volx... фалик распокавался всё переделал.. я глянул всё вроде чудненько.. тока не доконца чего то доэмулировал так всё и вываливаеться в ошибку... если занопить всё равно не помогает...

Выключаешь в опциях ollydbg memory access violation и смотришь где сбой даст.

Выключаешь в опциях ollydbg memory access violation и смотришь где сбой даст.
ну я так впринципе и сделал.. дальше что можно сделать я незнаю...
Вот это на несуществующий адрес указывает? (7CC0AC28) <- адрес
-----------------------------------------
MOVZX ECX,WORD PTR DS:[ECX]
DS:[7CC0AC28]=???
ECX=7CC0AC28

Гляди в стек на ближайшие адреса возврата, относящиеся к программе и оттуда раскручивай цепочку вызовов.
зы: Надо было eip привести а не адрес несуществующий. Похоже на то что это где то в системных библиотеках находишься. Заодно глянь в этот момент SEh обработчик, наверняка где-то рядом окажешься от источника

Решил занятся реверсингом. Написал для себя простенькую программу для ввода пароля на VC++.
Загрузил ее в ИДУ, решил посмотреть(просто для ознакомления) в окошко Strings window.
Нашел там строки типа ¦¦¦¦¦¦

Зачем Visual Studio генерирует столько ненужных данных?


http://s50.radikal.ru/i129/0902/54/63dcb536aad3t.jpg (http://radikal.ru/F/s50.radikal.ru/i129/0902/54/63dcb536aad3.png.html)

Решил занятся реверсингом. Написал для себя простенькую программу для ввода пароля на VC++.
Загрузил ее в ИДУ, решил посмотреть(просто для ознакомления) в окошко Strings window.
Нашел там строки типа ¦¦¦¦¦¦

Зачем Visual Studio генерирует столько ненужных данных?


http://s50.radikal.ru/i129/0902/54/63dcb536aad3t.jpg (http://radikal.ru/F/s50.radikal.ru/i129/0902/54/63dcb536aad3.png.html)
Было бы логичнее еще прогу свою выложить...
Глянемсс))

Зачем Visual Studio генерирует столько ненужных данных?
это кажется что ненужных) чтоб таких вопросов не возникало - есть masm ;)

а как можно вызвать событие, чтобы это дело отобразилось на экране?

Вот простой сорс, ничего в нем сложного нет, чисто для начала...
#include <iostream>
#include <conio.h>

using namespace std;

int main()
{
int pass = 1234;
cout<<"Enter pass: ";
cin>>pass;

if(pass == 4321)
cout<<"Valid";
else
cout<<"Non valid";

_getch();
return 0;
}

>>а как можно вызвать событие, чтобы это дело отобразилось на экране?
не врубился

Всем доброго времени суток. У меня вопросец.
Я бы хотел извлекать данные из словарей типа лингво.
точнее опишу задачу:
нужно составить специфический словарь для брутфорса, а все стандартные не подходят и тут я нашел парочку словариков на нужную тему, но они естессно оказались в программе (а не в текстовом файле).
есть ли какая нибудь тузла, которая бы извлекла их из памяти при чтении Lingvo из своей базы данных или универсальное чтонибудь для выковыривания данных из словарей (предпологаю что есть готовые решения для того же Lingvo).
Очень на Вас надеюсь, уважаемые, заранее благодарю.

mikhoni, как вариант отграббить контент на лингво-онлайн: http://www.abbyyonline.ru/translate.aspx?LingvoAction=translate&Ln=1&words=%d0%bf%d1%80%d0%b8%d0%b2%d0%b5%d1%82. после &word вставляешь свое слово на раше, парсишь результат, полу4аешь инглиш словарь,и прокси вроде как даже ненужны, и быстрее будет, 4ем ресёр4ить сформат баз лингво

ProTeuS, но в таком случае, где достать словарь русских слов (опять таки), не посчитают ли лингвисты (или их фаерволл) такое количество запросов ддос атакой (ИМХО там есть защита) да и делать это по сети - долго.

mikhoni, можешь такую софтину заказать у ребят, которые кряки пишут. Им не привыкать. (для расковыривания баз данных переводчиков и выковыривания от тедова значимых слов :).)
ЗЫ
а вообще - идея глупая. есть методы проще.

речь идет о ABBYY Lingvo X3 Medved Edition.
У меня итак канал забит сканером... а тут еще по слову одному вынимать, но спасибо за версию - я так давно пробывал, когда извлекал базу с фамилиями.
Про заказ .) хе не люблю тратить деньги по таким мелочам)

а почему идея глупая? Тот словарь что приведен выше имеет весьма разговорно-айтишную направленность, в отличии от стандартных. ИМХО

а еще есть решения?
бряк на открытие файла и копание в коде, изучение формата хранения в базе слов

mikhoni, источников хватает. и готовых словарей на любые темы - валом. Вплоть до электронной версии какого-то словаря в текстовом документе с последующим его парсом на предмет создания бд из всех "латинских" слов. Куда проще, а эффект - аналогичен.

Почитал статью http://forum.antichat.ru/thread106619.html Класненько!

Но есть вопросы:

1) А Если прога не выдаёт сообщений о том что CRC повреждено! А просто берёт и закрывается с ошибкой!

2) А Если в проге идёт не сплошная проверка всего файла, а частями? И каждая часть не выдаёт сообщений о том что CRC повреждено! А просто берёт и закрывается с ошибкой!

3) А Если кроме двух вышеописанных случаев, в файле ещё стоит проверка CRC памяти, для предотвращения патченга и инлайна?

Как всё это добро отлавливать и искоренять?

1) Можно создать 2 лога трейса переходов до патча и после патча. Тогда вы сможете однозначно определить условный переход, который совершается при неверной контрольной сумме. В общем, трассировка ветвлений (есть плаг). Если же объем программы большой, то п.2 универсален.

2) Ловить CreateFileA(W)->ZwCreateFile,ZwOpenFile,ReadFile->ZwReadFile, кароче когда читается содержимое файла. Если защита от патча в памяти - как вариант хардварные/мемори бряки на доступ к модифицированным фрагментам кода. Таким образом можно отловить проверяющую процедуру. Потом подменять црц или патчить функцию проверки.

хотя все зависит от конкретного случая. придумать много чего можно, однозначно сказать ничего нельзя

0x0c0de Спасибо!

Есть ещё вопрос ( Друг попросил узнать)

Короче вот его вопрос:

Как в срипт innosetup вставить код для

1) Проигрывания музыки (трекерной муз-ки аля *xm, *mod ),
2) шифрования от распаковщиков и с

3) установкой шкур от SkinBuilder ???




Вот сам скрипт Размер: 9.05 КБ

>>>Здесь<<< (http://openfile.ru/221044/)
>>>Или Здесь<<< (http://webfile.ru/3003003)
>>>Или Здесь<<< ( http://ifolder.ru/10872436)
>>>Или здесь<<< (http://letitbit.net/download/9515d4790053/Script-generated-by-the-Inno-Setup-Script-Wizard.txt.html)

Ре адепты!
У меня такой вопрос:
как найти вызов процедуры проверки серийника в OllyDbg ?
Зарание спасибо!

http://wasm.ru/publist.php?list=23
Рикардо Нарваха, пер. Aquila - Введение в крэкинг с нуля, используя OllyDbg

там 39 глав =///
А мне нужен всего один ответ...

это также как грибы в лесу искать, да есть там, приметы, опыт,удача и всё такое.
какой тут может быть ответ.

а в этих главах всё что тебе нужно. они не большие и просты для понимания. я вот жалею что учился без них)

там 39 глав =///
А мне нужен всего один ответ...
один ответ - аппаратную точку останова поставить на строку, считанную с элемента edit (или ему аналогичного), далее, чтобы понять где же ее отыскать, следует перед этим делом поставить точку останова на функцию GetDlgItemText либо GetWindoText, если не поможет тогда читать туторалы дальше

Какой-то совсем мертвый раздел :( Ладно начну свою серию глупых вопросов :):
Стоит ли начинать обучение вот с этой (http://wasm.ru/article.php?article=1022001) статьи? И вот еще один вопрос: Стоит ли искать какие-то сведенья по поводу устройства компьютера, понимания того как это все взаимодействует и т.д. или все эти знания прийдут походу изучения asm'а?
З.Ы. Не бейте если не в ту тему запостил ;)

Стоит ли начинать обучение вот с этой (http://wasm.ru/article.php?article=1022001) статьи?


Хм. Начинать обучение нужно с какой-нибудь основательной книжки, Юрова Assembler, например. Там у него учебник и практикум есть. Статьи хороши как дополнение, уточнение и расширение имеющихся знаний, в качестве базы они не годятся. Это мое мнение, ваше право не согласиться


И вот еще один вопрос: Стоит ли искать какие-то сведенья по поводу устройства компьютера, понимания того как это все взаимодействует и т.д. или все эти знания прийдут походу изучения asm'а?


Этот вопрос отпадет в процессе обучения, ибо сейчас вы сами не знаете чего хотите.


Какие-то вопросы вы можете задавать здесь или в этих темах.

https://forum.antichat.ru/thread89681.html
https://forum.antichat.ru/thread70421.html

Также, линки и книги

https://forum.antichat.ru/thread31398.html
https://forum.antichat.ru/thread31335.html

РЕ адепты!
Подскажите, как работают проги для разгона проца?
там ведь происходит обращение к биосу?
каким образом?

Привет, можно ли узнать, какие файлы создает программа? То есть есть прога, которая кидает куда-то свои временные файлы и удаляет при закрытии себя, и нужно узнать, куда она их сейвает?

Привет, можно ли узнать, какие файлы создает программа? То есть есть прога, которая кидает куда-то свои временные файлы и удаляет при закрытии себя, и нужно узнать, куда она их сейвает?
Открой свою программу в отладчике OllyDbg, нажми Ctrl+G, в появившемся окне напиши CreateFileA, нажмо ок, затем F2, потом запусти программу в оталдчике (F9) и в нижнем правом окне отладчика будут показаваться файлы создаваемые и открываемые программой.
Если этот способ для тебя слишком сложный, то воспользуйся программой FileMon от sysinternals
-
А когда узнаешь, куда программа скидывает свои файлы, можешь ее просто запустить и убить процесс через диспетчер задач, чтобы она не удалила их.

А могно ещё одним способом,скачай программу Sandboxie и запусти то что те нужно через неё.В папочьке Sandbox,что она создаёт по умолчанию на диске С,ты найдёш куда и какие файлы создаются.Тебе эта программа в любом случае может очень пригодиться.

Спасибо, теперь такая штука, прога сейвает файлы в временную директории винды, но сразу же их удаляет, можно или запретить ей их удалять, или восстановить удаленные?

ну брякнись на DeleteFile

А что за программа то?Можно пропатчить саму программу например!Не давать
выполняться апи функции ответственной за удаление и вообще что б программа
создавала эти файлы в одной директории с собой!

Спасибо, теперь такая штука, прога сейвает файлы в временную директории винды, но сразу же их удаляет, можно или запретить ей их удалять, или восстановить удаленные?
Используй эту программу. Она не дает файлам удаляться.
Запусти ее, нажми кнопку AntiDelete, затем запусти и выйди из своей программы и потом уже закрой AntiDelete. Теперь можешь посмотреть в папку, откуда должны были удалиться файлы. Они лежат на месте.

http://multi-up.com/70372

Хмммм


HANDLE hFile = CreateFile("Hello",
GENERIC_READ|GENERIC_WRITE,
0,
0,
2,
FILE_FLAG_DELETE_ON_CLOSE,
0);

CloseHandle(hFile);


И наебнеццо тут ваш бряк на DeleteFile

И наебнеццо тут ваш бряк на DeleteFile
Естественно, можно так же рассказать о стирании файла через драйер и другие извращения, но лично мне еще не попадался обычный шароварный софт с такими соображениями безопасности.

Естественно, можно так же рассказать о стирании файла через драйер и другие извращения, но лично мне еще не попадался обычный шароварный софт с такими соображениями безопасности.

Нормальный способ и не извращенный нисколько. Не нужно лишнего кода писать, все красиво и просто. Но DeleteFile не юзоется.

s0l_ir0n

Кстати твой глобальный хук на DeleteFileA не срабатывает...должно быть вполне достаточьно вбить RET на начало функции и усё.

Нормальный способ и не извращенный нисколько. Не нужно лишнего кода писать, все красиво и просто. Но DeleteFile не юзоется.
Что-то мне подсказывает, что должно прокатить...

Если уж на то пошло, то также надо следить за тем, чтобы содержимое файла не очищалось в конце,
а если сделано совсем чуточку по-хитрее так, что либо
а)куски файла постепенно затирается из основной программы
б)файл открывается расшаренным, а потом с ним играется другой процесс
в, г, д...)...
то вообще слежка нужна уже скорее всего ручная с отловом врайтфайлов, ибо отследить все варианты (подчёркиваю - отнюдь не извращённые!) программно будет трудно.

Но в случае FILE_FLAG_DELETE_ON_CLOSE, так и быть, можно брякнуться на CloseHandle

>>Что-то мне подсказывает, что должно прокатить...


Неа. Попробуй.

Неа. Попробуй.
Я имею в виду случай тс.. статистика ) Если способ сработает в 80+ процентах случаев, почему бы не попробовать сначала его и не распространяться просто так об абстрактных возможностях? матожидание длины написанного текста для решения конкретной задачи всё-таки по-меньше, чем описание всех вариантов )

Мы друг друга не поняли тогда. Ты про случай тс, а я думала ты про мой способ=\
ЗЫ от теорвера тошнит уже, не вставляй эти противные сознанию слова в посты )))

ЗЫЫ Ну отпишите хоть получилось или нет. А тот так и дальше гипотезы будут строить.

спасибо всем за участие, только ща проснулся и посмотрел форум, прога Artisteer, вот тут качается http://www.artisteer.com/?p=downloads, в триальной версии весь функционал, но на картинках пишет "триал" при сохранении, в 1вой версии добрые люди подсказали, что можно из с/tеmp утянуть нормальные картинки, а вот во второй разрабы поумнели и стали удалять их по быстрому оттуда

спасибо всем за участие, только ща проснулся и посмотрел форум, прога Artisteer, вот тут качается http://www.artisteer.com/?p=downloads, в триальной версии весь функционал, но на картинках пишет "триал" при сохранении, в 1вой версии добрые люди подсказали, что можно из с/tеmp утянуть нормальные картинки, а вот во второй разрабы поумнели и стали удалять их по быстрому оттуда
Попробуй использовать тот инструмент, который я дал (http://multi-up.com/70372) . Может помочь(у себя проверял - работает).
-
Посмотрел программу, написана на .net так что нужно копаться под рефлектором, а это очень долго и не ко мне =)

Спасибо, прога пашет норм, в общем при использовании выдает такую ошибку
http://img21.imageshack.us/img21/3272/errorpsq.jpg
Я так понял, не получается заюзать ф-ю Delete, а можно как-то сделать, чтобы оно думало, что все хорошо?)

и еще идея, триальная прога тупо пишет поверх всех картинок слово Trial, можно как-то у нее в коде найти это слово и заменить на ""?

сорри за ламерские вопросы, в реверсе вообще не рублю, а прога нужная

Спасибо, прога пашет норм, в общем при использовании выдает такую ошибку
Я так понял, не получается заюзать ф-ю Delete, а можно как-то сделать, чтобы оно думало, что все хорошо?)
Сейчас попробую что-нибудь придумать ;)
-
Как заставить прогу писать слово Trial(на чем?=)
Как заставить ее выкинуть окошко с ошибкой? У меня нормально отрабатывает. :p

)) когда делается диз, все ок, потом если жмякнуть ideas->export->wordpress theme, оно сейвает, но поверх картинок пишет Trial, а с ошибкой хз, ща не получается сделать

----

получается, прога раньше делала так - сейваем нормальные картинки в темп, пишем на них триал и сейваем куда укажут, а сейчас - сейваем картинки в темп, при этом имена файлов не такие, как потом, а бредовые, потом пишем триал, потом сейваем куда укажут, то есть если в первой версии можно было скопипастить картинки з перезаписью поверх похеренных, сейчас такого сделать нельзя, так как не совпадают имена файлов(

Накачал кучу .net декомпилей, попробовал сломать у меня ничего не получилось, т.к. я вообще не имею опыта в .net, так что извини, я тебе в этом больше помочь не смогу =(

Подскажите.Есть программа редкая.Есть exe файл и setup.Нажимаю Setup генерируется код который надо на мыло разработчику отправить в неёже надо вставить новый код который придёт с мыла.
Также содержится файл в котором номер сборки программы.Номер сборки и код надо отослать намыло.


Пока это не зделаешь Exe файл не запускается выдаёт ошибку.

Подскажите с чего начать.Хотяб принцып каким методом можно решить проблему.


Вот инсткурция к программе.

http://depositfiles.com/files/j6g6jxz69

Не понял смысла выкладывания инструкции. Ты хочешь сам сломать прогу? Тогда хукай GetVolumeInformation и смотри. Иначе, выкладывай сюда, попробуем помочь.

Пока это не зделаешь Exe файл не запускается выдаёт ошибку.
Лучше бы программу залили, раз на то пошло, инструкция совершенно ни к чему
Выдает ошибку?- точку останова на MessageBoxA в большинстве случаев помогает.

Хотяб принцып каким методом можно решить проблему.

использовать отладчик

Вот программа.
http://depositfiles.com/files/05rngh1pq
или
http://letitbit.net/download/ba59a0570165/newaP-266.zip.html

ВОт нашёл официальный сайт
http://www.astroacademy.spb.ru/text/program.html

Помогите снять прот с exe файла, запакован он Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. При открытии показывает твой HWID и требует ввести ключ. У меня есть валидная пара HWID + ключ. Сам пробовал подменить HWID, но не получилось. Знаю, что распаковать его не удасться, пока не снимиш эту навесную защиту от Армадило.
Сам экзешник и валидная пара находятся в архиве, скачать можно по этой ссылке:
http://depositfiles.com/files/p572a3eeh
или
http://rapidshare.com/files/216550761/ADBCD2.rar.html
Или может кому-то удасться найти ключ под мой HWID, то это тоже просто супер, тогда уже распаковывать буду пробовать сам.
Мой HWID: 822D-59B5

Заранее благодарен.

Снимается без проблем
http://www.datafilehost.com/download-93922c9c.html
Но только если хочеш продолжения то социализм закончился!

Снимается без проблем
http://www.datafilehost.com/download-93922c9c.html
Но только если хочеш продолжения то социализм закончился!
Спасибо за ответ и за снятие прота, завтра проверю этот файлик на работоспособность.
А я все равно пробую снять эту защиту, пробую все-таки методом подмены HWID.

Подменяеш либо автоматом,при помощи армагедона,либо скрипты есть для этого,но не всегда помогают,либо вручьную.
Воть те мануал на рукоблудие!Только в твоём случае,дебуг блоскер,надо сначало процессы разединить,приатаччится и поправить оригинальные байты,затем вот так делать:
http://www.datafilehost.com/download-b5f2683a.html

Подменяеш либо автоматом,при помощи армагедона,либо скрипты есть для этого,но не всегда помогают,либо вручьную.
Воть те мануал на рукоблудие!Только в твоём случае,дебуг блоскер,надо сначало процессы разединить,приатаччится и поправить оригинальные байты,затем вот так делать:
http://www.datafilehost.com/download-b5f2683a.html
Еще раз большое спасибо за ответ и за совет.

Вот те утиль для этого
Если не дурак,то разберёшся!
http://www.datafilehost.com/download-a4c7f489.html

Вот те утиль для этого
Если не дурак,то разберёшся!
http://www.datafilehost.com/download-a4c7f489.html
Благодарю за помощь, спасибо за утилиту, разберусь обязателно.
Сегодня попробовал подменить HWID с помощью ArmaG3ddon_v151_by_CondZero, то у меня получился похоже такой варинт, как тот, что ты зделал. Но при подмене HWID при вводе ключа сначала выскочило окно с благодарностью, что ключ правильный, а потом выскочила ошибка, что неправильный ключ. Файл сохранил и при открытии, ключа уже не требует и размер получился такой же как у твоего файла, у того, что был выложен.

реверсь сам файл

Если так нужно то за лаве!Хотя и погорячилась!

Если так нужно то за лаве!Хотя и погорячилась!
У меня к этому файлу только спортиный интерес и ни какого коммерческого потому, что программа, от которой этот экзешник называется Автодата 3.17, а у меня установлена Автодада 3.18 полностью рабочая. И заинтересовал меня этот экзешник лишь потому, что я просто хочу снять с него Армадило, чисто попрактиковаться, я говорю правду, мне не нужна эта программа для коммерческих целей.

если 4исто спортивный интерес, то тебе сюда: www.tuts4you.com, или на схожие. там специально созданы разделы для анпака, в том 4исле горы армы, и 4асто вкупе солюшены к ним, бери изу4ай и радуйся.

а вот если пишешь в треде не просто "хо4у отломать конкретную версию протектора, дайте линки на любой софт, им протек4еный", а еще и софт конкретный нужен, да и еще определенного билда, то будь готов, 4то помошников 2 дня анпакать 4то-то + выдать обязательно полностью отвязанный бинарь может не найтись (не у всех есть и пару 4асов в день свободных в день), и собстно всем будет паралельно какое стремление тобой движет, "спортивный" интерес, либо экономия 3 баксов за с4ет помощи других

если 4исто спортивный интерес, то тебе сюда: www.tuts4you.com, или на схожие. там специально созданы разделы для анпака, в том 4исле горы армы, и 4асто вкупе солюшены к ним, бери изу4ай и радуйся.

а вот если пишешь в треде не просто "хо4у отломать конкретную версию протектора, дайте линки на любой софт, им протек4еный", а еще и софт конкретный нужен, да и еще определенного билда, то будь готов, 4то помошников 2 дня анпакать 4то-то + выдать обязательно полностью отвязанный бинарь может не найтись (не у всех есть и пару 4асов в день свободных в день), и собстно всем будет паралельно какое стремление тобой движет, "спортивный" интерес, либо экономия 3 баксов за с4ет помощи других
Вот здесь :http://torrents.ru/forum/viewtopic.php?t=476782
лежит версия программы Автодата 3.18(с лекарством), ею я пользуюсь и она новее, чем та от которой выложеный мною экзэшник. Даже сам экзэшник все равно не поможет, там еще нужно две .dll отвязать от Ариы. Это я к тому, что лишний раз хочу доказать о некоммерческом интересе.
Об www.tuts4you.com я давно знаю и все, что нужно я там посмотрел и статьи Рикардо Нарвахи у меня есть в распечатанном виде(на данный момент все 40 глав, ждем дальнейших переводов...), и еще много хороших статей других авторв тоже у меня есть...
И если мною движет спортивный интерес, то в этом форуме подобные вопросы задавать нельзя?
Я никого не заставляю тратить свое время на мой экзэшник, кто хочет, тот ответит.
Хотя на данный момент я свой вопрос снимаю.
Благодарю всех откликнувшихся.

Такой вопросик. Есть win32 приложение warezzz.exe которое после запуска в какой то момент делает LoadLibrary("point.dll"), как поймать момент загрузки именно библиотеки point.dll, подгрузить перед ней свою fake_point2.dll и передать управление на загрузку point.dll.

Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll. :confused:

to Lamia: можно подробней про фильтрацию параметров или подсказку?

Филитруй параметр LoadLibrary на "point.dll",затем подменяй его на "fake_point2.dll ",
грузи эту библиотеку,затем возвращяй всё в исходное состояние.
либо назови свою библиотеку point.dll,которая будет повторять экспорты оригинальной,а исходная пускай
будет fake_point2.dll и импортируй её функции.

Если заранее известно,где в проге происходит этот вызов и вызывается он один раз,то можно просто подменить
на свой код и вернуться обратно.
Вот так например:

PUSH "point.dll"
JMP метка1
NOP
NOP
NOP
NOP
метка 2:
продолжение основного кода

всё что с метки1 пишеш в области нулей

метка1:
PUSH fake
CALL LoadLibraryA\\после первого вызова LoadLibraryA
\\на верхушке стека будет point.dll
\\что и вызовиш и прыгниш на
\\выполнение основного кода
CALL LoadLibraryA
JMP метка 2

fake db "fake_point2.dll"

Либо подменить в импорте на свой адрес,либо поставить лумп на наш код,не на вызове
а на начале самой функции и потом
СMP [esp+4],"point.dll"
либо подмена на fake_point2.dll ,загрузка,затем загрузка point.dll с передачей управления основному коду,либо,если в параметре нет этой длл,то возвращаемся в
основной код.
Вообщем где то так.....Об этом понаписано на каждом углу в интернете.

ставишь бряк на LoadLibraryA,
жмякаешь F9 пока не увидишь в параметрах, передаваемых для вызова, "point.dll", затем смотришь адрес возврата, переходишь по этому адресу, смотришь адрес для константы "point.dll" меняешь например одну букву чтоб получилось допустим "paint.dll" свой фейк переименовываешь аналогично, сохраняешь изменения в файл и тестируешь.

значит без изменения кода не обойтись...
проблема к пакере Themida и очень запутаном коде, я все же попробую отхучить вызов не трогая софт изнутри, спасибо за помощь. ++

>>значит без изменения кода не обойтись...
>>Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll.
ставишь хук на свое приложение, на вызов всех LoadLibrary, 4екаешь входные параметры, если передаваемая либа не твоя, то "отпускаешь" хук нормальным вызовом апи, если твоя - то вызываешь свою загрушку вместо реальной апи, в которой будет вызов LoadLibrary уже твоей другой либы, ну или любой другой код который тебе заблагорассудится.
инфа: http://wasm.ru/article.php?article=apihook_1

проблема к пакере Themida
скинь если возможно программу, попробую помочь распаковать, вдруг получится

Сделал. Очень помогла статейка _ttp://wasm.ru/article.php?article=hidingnt
Скрыл свою dll и не пришлось сильно умничать. )

Вот научился реверсить немножко ) теперь вот возник вопрос... как делать креки, патчи и т.п.?!
Ну допустим я что нить реверснул через ольку, хотя пофик через чё, получил фаёл, и что мне теперь делать?! )
Ну я подумал, может есть программы спец. для этого? (типа указываешь исходный фаёл и исправленый, а она выдаёт патч(крек или т.п.))

таких програм куча, вот diablo2oo2's Universal Patcher - [dUP] самая модная)
http://diablo2oo2.di.funpic.de/dup.htm

а я попутно задам вопрос.
нужно узнать что прога отправляет на печать. на чом мне брякнуца?

думаю, апи EnumPrinters
вот еще какая-то линка по теме
http://forum.vingrad.ru/forum/topic-214670.html

Где можно скачать полно-ценный ассемблер для того чтобы работать с книжкой "Ассемблер? Это просто! Учимся программировать"?
Весь гугл перетаскал то нужны какие то файлы (для компилирования и т.д.)
То не понятный вид какой то, то еще что то

вообщем подскажите

Где можно скачать полно-ценный ассемблер для того чтобы работать с книжкой "Ассемблер? Это просто! Учимся программировать"?
Весь гугл перетаскал то нужны какие то файлы (для компилирования и т.д.)
То не понятный вид какой то, то еще что то

вообщем подскажите


А что для вас "не понятный вид какой то" и "еще что то"? Честно говоря вот ничего не могу сказать про эту книжку, т.к. ее мне почитать не довелось. Наверное масм там юзается? Скачайте тогда тут студию

http://www.negatory.com/asmstudio/

Ну а если фасм, то качайте фасм

http://flatassembler.net/download.php

Мне кажется, это третий раз, когда я отвечаю на подобный вопрос.

Привет всем обитателям Античата!

Такакя проблема!
Мне надо продублировать кнопку из одного диалогового окна во второе окно!
В Ресторатаре скопировал строчку скрипта кнопки, вставил в другое окно.
Новая Кнопка появилась,
Но при нажатии на неё ничего не происходит!

Итак вопросы:
1) Как найти код обработчика нажатия на кнопку ???
2) как найти код который выполняется после нажатия на кнопку ???

смотри в ресурсах айди кнопки (X) и ищи в отльке команду push X. далее будет кол - это и есть твой код показа диалога\обработ4ика после нажатия на кнопКу, вообщем универсально для всех стати4еских контролов

1) Как найти код обработчика нажатия на кнопку ???
2) как найти код который выполняется после нажатия на кнопку ???
а в чём разница между этими вопросами?

а вообще... для начала попробуй так: запускаешь прогу под олей, смотришь в windows - находишь там свою кнопочку, находишь ближайшего его предка, у которого classproc указывает не на системную библиотеку, на нём правая кнопка -> follow classproc, а там смотришь, относится ли что именно к кнопке. если да, то код найден.

вопрос:
как проследить какие файлы создаёт программа, и где прописывается.
и как обеспечить её полное удаление?
зы: прога маленькая, никак не устанавливается, работает по запуску.
где-то выкладывали программу имеющую возможность отследить какие файлы создаёт пинч в систем32, тут нужно что-то аналогичное.
спасибо

FileMon и RegMon скачай, они показывают обращения процесса к файловой системе и реестру

пробовал - не катит.
при открытии приложения и FileMon и RegMon закрываются.

Twink1, тебе песочница нужна. вот например.
http://www.sandboxie.com/index.php?DownloadSandboxie

http://www.threatexpert.com/submit.aspx
http://www.cwsandbox.org/?page=submit
http://www.norman.com/microsites/nsic/Submit
http://anubis.iseclab.org/?action=home

Попробуй их скрыть HideToolz

Hellsp@wn
+
http://www.joebox.org/submit.php

нужно узнать что прога отправляет на печать. на чом мне брякнуца?
отвечу сам на свой вопрос. вдруг кому пригодица.
мне помогли:

gdi32.StartDocA

gdi32.TextOutA
user32.DrawTextA

gdi32.EndDoc

Начинаю писать макросы и плагины к онлайн играм, но тут же наткнулся на некотоые проблеммы . Есть онлайн игра, в ней список вещей в магазине выводиться в отдельном окне. В окне после скупки определенного кол-ва предметов появляются новые вещи (сервер рендомно их "завозит"). Мне необходимо с интервалом в Nное кол-во времени мониторить новые вещи (производить с ними определенные действия). Подскажите как мне это сделать? Какие инструменты нужны, и в каком направлении мне стоит двигаться? Зарание благодарю.

Какие инструменты нужны, и в каком направлении мне стоит двигаться?
думаю, в сторону мониторинга трафика, приходящего от сервера игры.

Отлавлиай пакеты,анализируй и правь!

Отлавлиай пакеты,анализируй и правь!

Слышал что Inetcrack неплохая прога для отлова пакетов. Если да то кинь пожалуйста ссыль где ее скачать можно. Или альтернативу ей.

Слышал что Inetcrack неплохая прога для отлова пакетов. Если да то кинь пожалуйста ссыль где ее скачать можно. Или альтернативу ей.
IC также как и AWT и Show_Packet служат для посылки пакетов...
а для отлавливания используй сниффер, например CommView (http://www.tamos.ru/products/commview/)

Добрый день.

Занимаюсь ревёрсингом обфускированного клиента на джаве.
Необходимо понимать входящие траф и найти хандлеры нескольких кнопок.

Кто может подсказать методы и инструменты для такой задачи?

Слышал что Inetcrack неплохая прога для отлова пакетов. Если да то кинь пожалуйста ссыль где ее скачать можно. Или альтернативу ей.
использую Wireshark (http://www.wireshark.org/) - всем устраивает!

Долгое время пользовался softice'ом.
Хочу спросить: кто чем предпочитает пользоваться ?
вопрос к тому что хочу узнать если нормальные альтернативы для sice с поддержкой отладочной инфы и т.д. Исследование относится к драйверам (соответственно без исходников)

из 4-х компов sice работал только на одном - самом старом - так что пришлось его бросить.

вообще мне нравится kd. Ну и syser. но всё-таки kd:). А больше и нет вроде ничего.

я знаю только syser. сам в своё время софтайс побороть не смог, да и ваще драйверов боюсь) и юзаю только олю)

del

Вопрос такого плана есть программа уже скомпилированная (Delphi) нужно посмотреть исходный код и заменить пару строк, как это осуществить?

Берешь Dede, в нем смотришь код, берешь hiew им правишь то, что тебе нужно

и заменить пару строк
не забываем что большая часть строк в delphi имеет указание своей длины, если редактируя, "вылезаем" за границы строки, не забываем скорректировать и длину

не забываем что большая часть строк в delphi имеет указание своей длины, если редактируя, "вылезаем" за границы строки, не забываем скорректировать и длину
А с этого момента желательно по подробней. Какие это строки имеют указатия своей длины? о_О
Я понимаю, сказал бы, что очень много строк хранится в юникоде, но чтоб указание длины...

з.ы.: желательно источник, хотелось бы покурить, т.к. никогда не видел/слышал

Если программа на Delphi, и тебе надо изменить просто пару строк в этой программе то можно попробовать, это сделать в каком-нибудь, PE - Редакторе например в PE Explorer. Если эти строки в Unicode и PE Explorer, не видит, эти строки тогда попробуй, в OgreGUI изменить эти строки.

Dimazzz
Restorator, Resource Hacker и т.д
s0l_ir0n
http://www.sources.ru/magazine/0804/delphistr.html

не забываем что большая часть строк в delphi имеет указание своей длины, если редактируя, "вылезаем" за границы строки, не забываем скорректировать и длину
и счётчик обращений

чем отличается virtual size от raw size?

чем отличается virtual size от raw size?
Raw Size - это размер данной секции в файле на диске, а Virtual Size это размер в памяти.

Как можно расширить секцию, где может выполняться код?
Пробовал - добавлять новую секцию, и ставил на ней флаг выполнения и чтения, но олька всеравно говорит что типа вне секции кода, хрен вам. Что я не так делаю?

Когда изменяешь raw и virtual size не забывай исправить Image Size(на длинну дополнительного кода)

2ntldr

да выполняться код может везде, где проставлены соответствующие аттрибуты. Olly просто обращает внимание на тот факт, что точка входа проги находится не в пределах BaseOfCode <= EP <= BaseOfCode + SizeOfCode. Но это ниначто впринципе не влияет ))).

Расширить - это смотря какую секцию по счёту. Если последнюю - то элементарно - исправляешь VirtualSize (выравнивать не нужно), SizeOfRawData (выровнить на filealignment), SizeOfImage (выровнять на sectionalignment) ну и точку входа по желанию. Ну и всё вроде. Если не последняя, то нужно сдвигать и остальные секции, править релоки, таблицу директорий и тд.

Ну да и следи чтобы 1) VirtualSize => SizeOfRawData 2) PointerToRawData + SizeOfRawData не вылетало за границу файла.

Ну и в общем, если файл запускается, те нет банального - это приложение не является блаблабла, то всё ты делаешь правильно. А вообще иди на wasm.ru в раздел вирусология, ну и статьи по PE формату почитай.

2ядровенды, надо еще обратить внимание на number of rva & sizes. т.к. ты канпилишь в сях, можешь взять сорцы йадокриптера 1.3 портированные с асма на ц и посмотреть, как там добавляется секция, выставляются все нужные атрибуты и подсчитываются необходимые значения

2s0l_ir0n
а зачем? Если для того чтобы перейти к таблице секций есть же более лучший вариант через IMAGE_FILE_HEADER.SizeOfOptionalHeader. А в остальном для добавления-расширения секции это значение не нужно 0___o

Расскажите пожалуйста как найти функцию проверки\чтения файла в программе на VB?))
там как то всё не по человечьи =\ к тому же не видно какие окна имеются в приложении.
Какие особенности трепанации софта на Visual Basic???

ок, это получилось, а вообще - как можно в ольге определить аттрибуты безопасности какого-либо байта, типа чтения, записи и выполнения?

и еще
вопрос про фрагментацию - один сенд на клиенте всегда равен одному рекву на сервере?
Если НЕТ, то подскажите какой-нибудь несложный алгоритм шифрования по ключу, чтобы если пакет неожиданно разбился на 2 пакета, или 2 пакета слились в 1, все нормально расшифровалось - то есть шифровался по одному символу.

ок, это получилось, а вообще - как можно в ольге определить аттрибуты безопасности какого-либо байта, типа чтения, записи и выполнения?


Вот почитай надеюсь тебе эта статья поможет разобраться с аттрибутами безопасности.

_http://wasm.ru/article.php?article=1021004

2ntldr
атрибуты безопасности не ставятся на отдельные байты, минимальное с чем работать можно - страница - 4Кб, посмотреть можно в окне Памяти (alt-m). но изменения там вроде не показываюцца (или я чего то туплю). А да страницы с одинаковыми аттриьутами там объединяются в единый регион -_-

PS если туплю сорри, тк пьян ^________^

Какие особенности трепанации софта на Visual Basic???
VB Decompiler Pro или Lite поможет в работе
http://cracklab.ru/download.php?action=get&n=NzE1

Возможно ли не внедряя код в процесс определить виртуальные адреса каких-либо модулей, может даже и функций?

возможно. ProcessViewer это делает.
подглядел), тебе нужно копать в сторону
OpenProcess
PSAPI.EnumProcessModules
PSAPI.GetModuleBaseNameA
а вобще посмотри процесвивер определяет адреса и размер загруженных модулей, а функцию например можно потом искать по сигнатуре.
--
GetProcAddressEx ещо есть)

Не подскажите линк на статью о подмене ентри поинт'а...с примером.Гугль дает кучи ссылок, но просто одна теория..

Не подскажите линк на статью о подмене ентри поинт'а...с примером.Гугль дает кучи ссылок, но просто одна теория..
а что вы имеете ввиду под термином подмена?
Просто изменить EP мало, надо же и минимально рабочий код добавить чтоб в итоге перешло на оригинальную точку входа. И еще, надо от теории переходить к практике. Советую ollydbg в силу легкости внесения изменений в код.

Не подскажите линк на статью о подмене ентри поинт'а...с примером.Гугль дает кучи ссылок, но просто одна теория..
Как вариант, можно почитать статьи про Inline Patching на tuts4you.com и cracklab.ru

Как в ольке (ollydbg) посмотреть содержимое определенного регистра?

SoftIce не предлогать (сам новичек... токо изучаю крякерство(асм знаю))