HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > Реверсинг
Перезагрузить страницу HidCrackMeImp
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 04.01.2007, 04:01
Ra$cal
Постоянный
Регистрация: 16.08.2006
Сообщений: 640
Провел на форуме:
1354067

Репутация: 599


По умолчанию
Весёлый крякми. Я registred =)
 
Ответить с цитированием

  #12  
Старый 04.01.2007, 17:09
taha
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
Провел на форуме:
2472378

Репутация: 1077
По умолчанию
уффух, крякнул!!
hidden's CrackMe registred

третье место моё.
уряяяяяя)))
Последний раз редактировалось TAHA; 04.01.2007 в 17:13..
 
Ответить с цитированием

  #13  
Старый 04.01.2007, 22:11
taha
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
Провел на форуме:
2472378

Репутация: 1077
По умолчанию
hidden, если тебе интерсно, могу сказать над чем вчера бился. Думаю другим будет тоже полезно. Так вот в своём первом посте я показал где hidden ищет смещение функций, так вот он пропускает mov edi,edi. Если пронопить add eax,2h, то смещение будет к первому байту апи.
И олька будет показывать куда ведёт jmp. Бился я над автоматизацией процесса.

Таблица:
0040128A -E9 4BBB417C JMP kernel32.ExitProcess
...
00401352 -E9 404AB177 JMP GDI32.SetTextColor

Но как только я узнал, что у Протиуса уже начали вырисовываться квадратики я забил на это неблагодарное дело. И начал реверсить...

Вот теперь решил вернуться к скрипту))) Естественно улучшил его, теперь он call'ы редактирует. И теперь ненадо по ним ходить.

Код:
	var vesp
	var xx

	sti
	FINDOP eip,#E92A#
	bp $RESULT
	run
	bc $RESULT
	bp 00401BF0
	run
	bc 00401BF0
	sto
	sto
	sto
	sto
	sti
	asm 00401444,"nop"
	asm 00401445,"nop"
	asm 00401446,"nop"
	bp 0040100E
	run
	bc 0040100E
	var AddrJmp
	mov AddrJmp,0040128A
	sub AddrJmp,5
metka1:
	add AddrJmp,5
	bp AddrJmp
	cmp AddrJmp,00401352
	jne metka1
	run
back:
	mov vesp,[esp]
	bp vesp
	sto
	mov xx,eip
	sub xx,vesp
	sub vesp,4
	mov [vesp],xx
	run
	bc eip
	run
	jmp back
Адреса естественно свои должны стоять))
Последний раз редактировалось TAHA; 05.01.2007 в 00:34..
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ