Метод патчения модуля DLL |
13.12.2009, 00:15
|
|
Познающий
Регистрация: 10.02.2008
Сообщений: 56
С нами:
9604947
Репутация:
14
|
|
Метод патчения модуля DLL
В программе подгружаются модули .DLL
Я нашёл в каких местах одного из DLL нужно подменить байты, чтобы в программе стали доступны все лицезированные возможности.
DLL запакована. Quick Unpacker показывает:
PESniffer EP Scan: PEtite v2.1
PEiD scanning... PEtite 2.x [Level 0] -> Ian Luck
В начале файла-DLL находится загрузчик-распаковщик.
Я в распаковщик встроил свой код, который после распаковки меняет нужные байты в памяти.
Т.к. программа проверяет целостность своих файлов, то пришлось ещё добавить нужные байты, чтобы сходилась контрольная сумма.
Всё это до недавнего времени работало, но теперь появилась ещё какая-то доп. проверка целостности файлов, которую мой DLL уже не проходит.
Подскажите, каким образом можно поменять эти очень нужные байты в памяти, не меняя DLL-файл?
|
|
|
13.12.2009, 01:18
|
|
Постоянный
Регистрация: 04.12.2007
Сообщений: 424
С нами:
9702986
Репутация:
479
|
|
лоадер написать
|
|
|
|
13.12.2009, 02:49
|
|
Познающий
Регистрация: 10.02.2008
Сообщений: 56
С нами:
9604947
Репутация:
14
|
|
Попробовал ABEL loader generator, не получается.
Пишет, что это защищённая область памяти DLL
Что можно сделать?
|
|
|
|
13.12.2009, 03:36
|
|
Banned
Регистрация: 26.09.2008
Сообщений: 23
С нами:
9275553
Репутация:
8
|
|
А на Assemblere как вариант свой loader написать не побывали?
|
|
|
|
13.12.2009, 03:50
|
|
Познающий
Регистрация: 10.02.2008
Сообщений: 56
С нами:
9604947
Репутация:
14
|
|
Это я не осилю =)
Я могу написать коротенькую программу - jmp на функцию, функция меняет байты, возврат. Что я и сделал.
А для лоадера нужно win api. Да и сам принцип не понятен.
Основной exe-шник постоянно обновляется, а DLL в которой защита нет.
Поэтому нужно как-то патчить DLL в памяти после загрузки и распаковки, но не привязываясь к адресу вызова загрузки этой DLL в основной программе.
Насколько я понимаю, это распространённая задача. И решалась она уже не раз. Пробовал искать в гугле, так там куча ссылок на всякие мемпатчи win'7, игр и прочее.
Как это реализовано? Может есть какой нибудь пак, типа ABEL для создания лоадера-мемпатчера dll'ки?
|
|
|
|
14.12.2009, 20:10
|
|
Banned
Регистрация: 26.09.2008
Сообщений: 23
С нами:
9275553
Репутация:
8
|
|
Сообщение от krobol
Это я не осилю =)
Я могу написать коротенькую программу - jmp на функцию, функция меняет байты, возврат. Что я и сделал.
А для лоадера нужно win api. Да и сам принцип не понятен.
Основной exe-шник постоянно обновляется, а DLL в которой защита нет.
Поэтому нужно как-то патчить DLL в памяти после загрузки и распаковки, но не привязываясь к адресу вызова загрузки этой DLL в основной программе.
Насколько я понимаю, это распространённая задача. И решалась она уже не раз. Пробовал искать в гугле, так там куча ссылок на всякие мемпатчи win'7, игр и прочее.
Как это реализовано? Может есть какой нибудь пак, типа ABEL для создания лоадера-мемпатчера dll'ки?
Если, лодерЯ вам не осилить, то попробуйте распаковать запакованную длл, как выше уже было сказано.
И затем найдите, и пропатчите, проверку СRС, либо проверку на распакованность.
Или банальный вылет на ExitProcess. Вот может пригодиться Распаковщик для Petite 2.1 / 2.2 _http://reversing.kulichki.com/files/unpack/unpetit.rar скормите ему запакованную длл. Удачи!!!
П.С А что за программа, если не секрет?
Последний раз редактировалось -=Nicon=-; 14.12.2009 в 20:16..
Причина: Не закрытый тег QUOTE
|
|
|
|
14.12.2009, 22:07
|
|
Познающий
Регистрация: 10.02.2008
Сообщений: 56
С нами:
9604947
Репутация:
14
|
|
Если патчить саму проверку, то это придётся делать в каждой программе + основной файл (.exe) постоянно обновляется. Т.е. придётся патчить постоянно.
Последний раз редактировалось krobol; 16.12.2009 в 00:16..
|
|
|
|
13.12.2009, 18:47
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами:
9769287
Репутация:
711
|
|
добавлю свое имхо - распаковать dll вообще и сделать все манипуляции что надо не заморачиваясь с лоадерами
|
|
|
|
13.12.2009, 22:44
|
|
Участник форума
Регистрация: 14.03.2009
Сообщений: 237
С нами:
9031410
Репутация:
314
|
|
...и искать подводные камни с проверками, хотя как правило банальный GetFIleSize прикрутили или самопальную CRC, поэтому есть смысл поставить бряки на CreateFile и CreateFileMapping
Последний раз редактировалось s0l_ir0n; 13.12.2009 в 22:47..
|
|
|
|
14.12.2009, 18:31
|
|
Познающий
Регистрация: 17.05.2008
Сообщений: 30
С нами:
9465173
Репутация:
20
|
|
Распакуй длл, пропатчи да и все. Можешь в принципе и в памяти патчить, только гемороя больше.
|
|
|
|
|
 |
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
[релиз] IcqMod DLL
|
slesh |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
25 |
17.06.2010 17:40 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
