Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
20.08.2008, 21:05
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
Провел на форуме:
171210
Репутация:
3
|
|
CreateFileA отсутствует. Я посмотрел какие вообще вызываются функции в (ОLLY Ctrl+N) Прога попала на бряк, в EAX легло 0012FC38 UNICODE "F:\Program Files\PE plorer\PEExplorer.exe", а на верхушке стека
0012FA08 0012FC38 |FileName = "F:\Program Files\PE Explorer\PEExplorer.exe"
0012FA0C 80000000 |Access = GENERIC_READ
0012FA10 00000001 |ShareMode = FILE_SHARE_READ
0012FA14 00000000 |pSecurity = NULL
0012FA18 00000003 |Mode = OPEN_EXISTING
0012FA1C 00000080 |Attributes = NORMAL
0012FA20 00000000 \hTemplateFile = NULL
0012FA24 7C910738 ntdll.7C910738
Ставлю бряк BPX CloseHandle, бряк сработал !
Сообщение от neprovad
После этого можно ныжный нам файл скопировать [/URL])
Где и как его найти? В папке F:\Program Files\PE plorer\PEExplorer.exe только старый запакованый файл  |
|
|
20.08.2008, 21:17
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
А с чего решил вдруг что Thinstall и PeExplorer связаны? Я думал речь о другой программе какой-то! PeExplorer на делфи написан, откуда у тебя взялся thistall ??
А теперь объясни внятно что пытаешься сделать? Мне интересно очень.
Последний раз редактировалось neprovad; 20.08.2008 в 21:18..
Причина: опечатка
|
|
|
|
20.08.2008, 21:34
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
Провел на форуме:
171210
Репутация:
3
|
|
Я скачал еще одну версию PE-1.99-R4-Portable Rus.rar Хочу посмотреть на него изнутри. Как и где он хранит языковые настройки, т.к. в прошлом (PeExplorer*е на делфи) поменял весь String Tabl а эфекта ноль. Поэтому хочу докапаться до истинны. Так всеже как скапировать нужный файл, после бряка на CloseHandle?
Спасибо за помощь!
|
|
|
|
21.08.2008, 09:05
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
http://tuts4you.com/download.php?view.851
Скачай статью и изучи её
p.s. Лучше надо искать
|
|
|
|
30.08.2008, 21:38
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
Провел на форуме:
171210
Репутация:
3
|
|
Как найти место где сверяется серийник, если сообщение об ошибке ( и вообще все сообщения, надписи, весь интерфейс!) загружаются динамически. Код прорисовки я нащел. Код типа:
Code:
MOV CL,BYTE PTR DS:[EAX] <<<<АДРЕС С буквенной СТРОКОЙ
INC EAX <<<<<< УВЕЛИЧИВАЕМ АДРЕС НА 1, чтобы прочитать следующую букву, символ
TEST CL,CL <<<<<< ПРОВЕРЯЕМ НЕ НОЛЬ ЛИ В CL
JNZ SHORT user32.77D5E176 <<<<<<ЕСЛИ НОЛЬ ИДЕМ ДАЛЬШЕ ЕСЛИ НЕТ, ТО ПРЫГАЕМ НА 77D5E176
Строки сообщений, тоже нашел. Ссылки на адреса передаются не прямые, а типа:
Code:
005862BB 87B4DD 522320D9 XCHG DWORD PTR SS:[EBP+EBX*8+D9202352],ESI
005862DB 81FB 94F7FFFF CMP EBX,-86C
0058642D 8F041F POP DWORD PTR DS:[EDI+EBX]
0058660B 8B5E 08 MOV EBX,DWORD PTR DS:[ESI+8]
7C915639 3B0A CMP ECX,DWORD PTR DS:[EDX]
Что делать в подобной ситуации ??? Как считать адреса? Если можно прокомментируйте, ПОЖАЛУЙСТА!
И Вопрос №2. Прога запускается без нагов, но через каждых пять запусков, вылетает наг. Как отловить место откуда он вылезает.
Заранее Спасибо!
|
|
|
|
31.08.2008, 02:43
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
тот код что приведен в примере полная херня, говорю как есть. то что очевидно для тебя для других - нет. ссылки на объект в студию
зы: 77D5E176 - адрес системной бибилотеки.
чтобы найти адреса где вызывается нагскрин не обязательно трэйсить user32.dll или что там у тя было
Последний раз редактировалось neprovad; 31.08.2008 в 02:47..
|
|
|
|
31.08.2008, 18:22
|
|
Познающий
Регистрация: 02.06.2008
Сообщений: 59
Провел на форуме:
171210
Репутация:
3
|
|
Сообщение от neprovad
тот код что приведен в примере полная херня, говорю как есть.
Ты наверное про это?
Code:
005862BB 87B4DD 522320D9 XCHG DWORD PTR SS:[ EBP+EBX*8+D9202352],ESI
005862DB 81FB 94F7FFFF CMP EBX,-86C
0058642D 8F041F POP DWORD PTR DS:[ EDI+EBX]
0058660B 8B5E 08 MOV EBX,DWORD PTR DS:[ ESI+8]
7C915639 3B0A CMP ECX,DWORD PTR DS:[EDX]
Это не код, а строчки для примера.
Вот скажем как посчитать смещение которое передается таким образом XCHG DWORD PTR SS:[ EBP+EBX*8+D9202352],ESI
И так далее каждая строчка отдельный пример. Прошу прощения что не обьяснил это когда задавал вопрос 
А прога оказалась накрытой. PEiD: говорит что ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
Вот прямая ссылка на прогу: http://www.intrapdf.com/download/int...html_setup.exe
neprovad спасибо тебе огромное! Ты наверно один в эту ветку заглядываешь  , и при этом проявляешь терпение к таким лаймерам как я.
|
|
|
|
31.08.2008, 19:38
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
В разделе Реверсинг есть подраздел - Утилиты для крякера\реверсера.
Утилиты для распаковки AsProtect
http://forum.antichat.ru/showpost.php?p=836230&postcount=58
Скачай и попробуй воспользоваться. Не устану повторять что знания, полученные самостоятельно, самые лучшие.
Можешь поверить, что в эту ветку и модераторы и другие пользователи заглядывают, не только я.
А терпение проявляю потому что сам был диким ламером когда-то и знаю каково самостоятельно искать ответы на возникающие вопросы. |
|
|
|
05.09.2008, 11:25
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
как запустить в олекe EXE с параметром?
(рякми от 0x0c0de просит запустит себя с параметром..)
)))
|
|
|
|
05.09.2008, 14:35
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
меню debugger->arguments, вбиваешь командную строку параметров, перегружаещь заново екзешник (стрл+ф2) и все
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
