ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
04.05.2010, 09:39
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 5
Провел на форуме:
15200
Репутация:
0
|
|
s0l_ir0n
Код:
SIZE_T v3; // ebx@1
int v4; // eax@7
void *v5; // edi@7
LPVOID v6; // eax@7
int v7; // eax@8
int v8; // eax@10
int v9; // edx@12
signed int v10; // ecx@12
int v11; // eax@13
int v12; // eax@14
v3 = 21;
if ( a3 >= 1 )
v3 = 24;
if ( a3 >= 2 )
v3 += 3;
if ( a3 >= 3 )
v3 += 2 * (3 * a3 - 6);
v5 = calloc(1u, 8u);
v6 = VirtualAlloc(0, v3, 0x1000u, 0x40u);
*(_DWORD *)v5 = v6;
*(_BYTE *)v6++ = 0x55u;
*(_BYTE *)v6++ = -117;
*(_BYTE *)v6++ = -20;
*(_BYTE *)v6++ = 104;
*(_DWORD *)v6 = a1;
HEX Rays выдал вот такое ... даже приведя к более лучшему виду *(BYTE *)v6++ = 0x55; получаю ошибку о неизвестном размере LPVOID
|
|
|
06.05.2010, 21:12
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Цель: подредактировать одну программу (пропатчить), но дело таки в том, что нужно не просто к примеру поменять jz на jnz а вставить (выполнить) большой блок кода (в опред. месте программы), как это сделать?
Проблема: я никогда не сталкивался с патчингом такого рода, следовательно не знаю как и куда сувать написаный блок кода (слышал что можно в конец дописать свой код, и где надо -> в конец с джампиться, но я с такой темой не знаком)
Последний раз редактировалось wolmer; 06.05.2010 в 21:35..
|
|
|
|
07.05.2010, 11:32
|
|
Познающий
Регистрация: 16.04.2008
Сообщений: 88
Провел на форуме:
264305
Репутация:
30
|
|
Сообщение от wolmer
Цель: подредактировать одну программу (пропатчить), но дело таки в том, что нужно не просто к примеру поменять jz на jnz а вставить (выполнить) большой блок кода (в опред. месте программы), как это сделать?
Проблема: я никогда не сталкивался с патчингом такого рода, следовательно не знаю как и куда сувать написаный блок кода (слышал что можно в конец дописать свой код, и где надо -> в конец с джампиться, но я с такой темой не знаком)
или находишь в самом конце секции кода блок заполненный нулями (нули там для выравнивания блока по границе 512,1024...) и пишешь туда свой код. можно и в другую секцию, (или добавить новую секцию) но не забудь поставить у нее атрибут code - чтобы код в этой секции мог исполняться
|
|
|
|
06.05.2010, 22:08
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
|
|
|
|
06.05.2010, 23:10
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 5
Провел на форуме:
15200
Репутация:
0
|
|
По прежнему топчусь на месте с реконструкцией данной DLL скачать можно с офф сайта
Расскажите хотя принцип её работы или подскажите ссылочку с аналогичным решением ... просто не врубаюсь там ни чего не вписывается ни джампов ни вызовов
Последний раз редактировалось V01T; 06.05.2010 в 23:13..
|
|
|
|
14.05.2010, 19:37
|
|
Познающий
Регистрация: 20.05.2009
Сообщений: 52
Провел на форуме:
1003673
Репутация:
78
|
|
Подскажите как сбросить просроченную лицензию в триалке?(даемон про)
|
|
|
|
14.05.2010, 20:16
|
|
Познающий
Регистрация: 16.04.2008
Сообщений: 88
Провел на форуме:
264305
Репутация:
30
|
|
триал обычно сбрасывают при помощи trashreg или trialreset для всяких там asprotect и прочих армадилл  но в данном случае это не тот случай
Для новой установки программы после окончания триального срока надо сменить значение у параметра ComputerName в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\ComputerName\ActiveComputerName, а также в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\ComputerName\ComputerName
или можешь здесь взять лоадер: http://ifolder.ru/11538869 |
|
|
|
18.05.2010, 18:37
|
|
Новичок
Регистрация: 18.08.2009
Сообщений: 18
Провел на форуме:
56494
Репутация:
2
|
|
В реверсируемой программе используется куча дллок, я идой составил базу для нескольких, дал имена некоторым функциям и переменным, но отлаживать она позволяет только одну дллку, а там код скачет с одной на другую, и когда перескакивает на чужую длл вместо кода db, db, db, жутко неудобно. Можно ли как то подключить к иде idb-базы других файлов?
Последний раз редактировалось Xieon; 18.05.2010 в 18:40..
|
|
|
|
20.05.2010, 14:43
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Поставлен бряк, когда я трассирую в ollydbg (без захода в call (f8)) через это место:
http://img237.imageshack.us/img237/1655/16004672.png
То срабатывает бряк (хотя бряк далеко впереди находится)
Сам call ссылается сюда:
http://img193.imageshack.us/img193/2200/94160035.png
Так вот, мне не понятно, почему срабатывает бряк когда я прохожу через этот call? (с помощью f8) Еще хочу заметить что тут jne в call'е не срабатывает никогда
Версия ollydbg: 2.00 (beta 3)
Последний раз редактировалось wolmer; 20.05.2010 в 14:46..
|
|
|
|
20.05.2010, 15:49
|
|
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818
Репутация:
117
|
|
wolmer
крутые картинки)
ты уверен что call не выполняет тот код где стоит бряк?
также нужно понимать что по F8 ставится бряк после кола и выполняется кол, может выход из него каким нибудь джампом, чорт знает куда, или ексепшон там гденить обрабатываеца и нет норм ретурна из функции, по этому так и получается. заходи в кол, и смотри что к чему там.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид