ANTICHAT — форум по информационной безопасности, OSINT и технологиям

zl0y Тебе какая разница? ))
МОжет так антивирей с толку сбивать нужно...

решил написать в теме крипторы по моему это ближе к ним.
если нет то пусть модеры перекинут тему.


Итак всем привет!

сечас я раскажу как можно менять имадже базу
думаю все знают что при запуске любой программы
она распологаеться гдето в память машины совмесно с
длл.
да.. о чем это я. ах да для чего я это говорю,
а для того что сечас мы будем менять им базу
а программу? чтобы тема была интересней я взял программу пинч
уже готовый сконфигурированый.

инструмент который нам потребуеться не считая головы и рук.
ольга (отладчик)
вин хекс (редактор)

если все это есть тогда приступим.

открываем пинч в ольге
и смотрим его память буква "М"
ищем название пороги а именно pinch
пропускаем имена длл и вот он пинч и все его секции
смотрим первую а именно адрес 13140000 вторую и так далие записали
все адреса секций.

теперь теория после того как мы изменим им базу
(программой лорд ре-не обязательно) на 00400000
(как у большенства фаилов)
программа работать перестанет .
почему?
а потому что нарушились все переходы
импорт стал указывать в пустоту
выход нужно его поменять и отредактировать
кроме импорта нужно востановить стек
ибо там тоже все плохо
не говоря уже о прыжках они по прежнему прыгают только
х.. знает куда.
менять все это вручную это страшный гемор
для этого есть вин хекс.
открываем в нем пинч,
и жмем поиск байт тебе нужно искать 13140000
однако на самом деле ты ищешь 00001413
эффект зеркала такуж заведено в программах
ничего не поделаешь.
мы меняем 13140000 на 00400000 от седа вывод
меняем только 1314 на 0040
жмем поиск 1314 (можно и не жать)
просто жмем поменять байты 1314 на 4000(перевернутое 0040)
жмем менять все изменили

аналогично переходим к второй секции.
только замена адреса будет такой 1315 на 0041 и.т.д.
после всех операций ты получишь полностью измененный фаил который
будет работ в диапозоне памяти машины 00400000
вот вроде и все.
далие возникает вопрос к чему все это?
ответ прост, при изминении структуры,
крипторы которые раньше палили, не по статике стаба криптора а и именно по
структуре, палиться перестануть.
многие антивири
перестанут палить еще не криптованый пинч.

Сори за не знание, а можешь дать Название отладчика (оригинальное) или линк.

olly1.10

ollyDBG v1.10 Ищи на wasm.ru или cracklab.ru
А также google! )

Народ, важно Ваше мнение.
http://forum.antichat.ru/showpost.php?p=705702&postcount=15
Может кто и знает.
Заранее спасибо за любой ответ.

Кстати вот ollyDBC v1.10 russian
http://depositfiles.com/ru/files/3490484
http://stream.ifolder.ru/5317465

Чесно я не знаю, но админестрация сайта пишет то что предоставленые файлы они не будут отпровлять антивирусным компаниям так что это только на порядочность админов надо расшитывать. А лутше всего у себя поставить дафига авиров

Чтобы не палить... Лучше проверяй на своей тачке или на виртуалке где ты коней тестишь