ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
07.04.2009, 12:10
|
|
Banned
Регистрация: 27.03.2008
Сообщений: 66
Провел на форуме:
548347
Репутация:
113
|
|
Такой вопросик. Есть win32 приложение warezzz.exe которое после запуска в какой то момент делает LoadLibrary("point.dll"), как поймать момент загрузки именно библиотеки point.dll, подгрузить перед ней свою fake_point2.dll и передать управление на загрузку point.dll.
Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll. 
to Lamia: можно подробней про фильтрацию параметров или подсказку?
Последний раз редактировалось roleg; 07.04.2009 в 16:18..
|
|
|
07.04.2009, 13:04
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
Провел на форуме:
254313
Репутация:
185
|
|
Филитруй параметр LoadLibrary на "point.dll",затем подменяй его на "fake_point2.dll ",
грузи эту библиотеку,затем возвращяй всё в исходное состояние.
либо назови свою библиотеку point.dll,которая будет повторять экспорты оригинальной,а исходная пускай
будет fake_point2.dll и импортируй её функции.
Последний раз редактировалось Lamia; 07.04.2009 в 13:09..
|
|
|
|
07.04.2009, 19:25
|
|
Участник форума
Регистрация: 11.07.2007
Сообщений: 190
Провел на форуме:
254313
Репутация:
185
|
|
Если заранее известно,где в проге происходит этот вызов и вызывается он один раз,то можно просто подменить
на свой код и вернуться обратно.
Вот так например:
PUSH "point.dll"
JMP метка1
NOP
NOP
NOP
NOP
метка 2:
продолжение основного кода
всё что с метки1 пишеш в области нулей
метка1:
PUSH fake
CALL LoadLibraryA\\после первого вызова LoadLibraryA
\\на верхушке стека будет point.dll
\\что и вызовиш и прыгниш на
\\выполнение основного кода
CALL LoadLibraryA
JMP метка 2
fake db "fake_point2.dll"
Либо подменить в импорте на свой адрес,либо поставить лумп на наш код,не на вызове
а на начале самой функции и потом
СMP [esp+4],"point.dll"
либо подмена на fake_point2.dll ,загрузка,затем загрузка point.dll с передачей управления основному коду,либо,если в параметре нет этой длл,то возвращаемся в
основной код.
Вообщем где то так.....Об этом понаписано на каждом углу в интернете. |
|
|
|
08.04.2009, 05:56
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
ставишь бряк на LoadLibraryA,
жмякаешь F9 пока не увидишь в параметрах, передаваемых для вызова, "point.dll", затем смотришь адрес возврата, переходишь по этому адресу, смотришь адрес для константы "point.dll" меняешь например одну букву чтоб получилось допустим "paint.dll" свой фейк переименовываешь аналогично, сохраняешь изменения в файл и тестируешь.
|
|
|
|
08.04.2009, 10:48
|
|
Banned
Регистрация: 27.03.2008
Сообщений: 66
Провел на форуме:
548347
Репутация:
113
|
|
значит без изменения кода не обойтись...
проблема к пакере Themida и очень запутаном коде, я все же попробую отхучить вызов не трогая софт изнутри, спасибо за помощь. ++
|
|
|
|
08.04.2009, 11:04
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
>>значит без изменения кода не обойтись...
>>Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll.
ставишь хук на свое приложение, на вызов всех LoadLibrary, 4екаешь входные параметры, если передаваемая либа не твоя, то "отпускаешь" хук нормальным вызовом апи, если твоя - то вызываешь свою загрушку вместо реальной апи, в которой будет вызов LoadLibrary уже твоей другой либы, ну или любой другой код который тебе заблагорассудится.
инфа: http://wasm.ru/article.php?article=apihook_1
|
|
|
|
08.04.2009, 15:28
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
Сообщение от roleg
проблема к пакере Themida
скинь если возможно программу, попробую помочь распаковать, вдруг получится
|
|
|
|
08.04.2009, 17:19
|
|
Banned
Регистрация: 27.03.2008
Сообщений: 66
Провел на форуме:
548347
Репутация:
113
|
|
Сделал. Очень помогла статейка _ttp://wasm.ru/article.php?article=hidingnt
Скрыл свою dll и не пришлось сильно умничать. )
|
|
|
|
13.04.2009, 23:00
|
|
Познающий
Регистрация: 11.03.2009
Сообщений: 70
Провел на форуме:
251358
Репутация:
6
|
|
Вот научился реверсить немножко ) теперь вот возник вопрос... как делать креки, патчи и т.п.?!
Ну допустим я что нить реверснул через ольку, хотя пофик через чё, получил фаёл, и что мне теперь делать?! )
Ну я подумал, может есть программы спец. для этого? (типа указываешь исходный фаёл и исправленый, а она выдаёт патч(крек или т.п.))
|
|
|
|
14.04.2009, 00:29
|
|
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818
Репутация:
117
|
|
таких програм куча, вот diablo2oo2's Universal Patcher - [dUP] самая модная)
http://diablo2oo2.di.funpic.de/dup.htm
а я попутно задам вопрос.
нужно узнать что прога отправляет на печать. на чом мне брякнуца?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
