Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. .::f-duck::.

    .::f-duck::. Member

    Joined:
    30 May 2009
    Messages:
    343
    Likes Received:
    32
    Reputations:
    7
    Ага,спасибо.
    Уже вчера решил. Проблема была как раз в том,что прога не инициализировалсь,а я уже химичил
     
  2. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    А можно с помощью батника пропатчить ехе ??? ;)
    P.S. Только не надо говорить воспользуйся каким нить патчером и так далее...
    Просто интересует именно батником возможно такое сделать ? :rolleyes:
     
  3. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    http://forum.script-coding.info/viewtopic.php?id=2885

    попробуй
     
  4. Vladtepesh

    Vladtepesh New Member

    Joined:
    19 Mar 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Доброго времени суток. Есть джава приложение конвертированное в ехе файл. Подскажите каким образом его можно либо конвертнуть обратно, либо просто декомпильнуть. Заранее спасибо за советы.
     
  5. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    тут возможно стоит посмотреть
    http://www.physicsforums.com/showthread.php?t=243295
    http://www.javalobby.org/articles/java2exe/
     
  6. JKQ

    JKQ New Member

    Joined:
    5 Jul 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Есть файл БД расширения *.cid от программы как мне узнать чем он скомпилирован чтоб его в текст преобразовать? Необходимо вычленить переменную формата ГИ#### где вместо # арабская цифра и сопутствующий ей адрес. проги [Packer detectors] результата не дали. Не знаю с какого конца подступиться.

    Файл

    Заранее благодарю.
     
  7. Getty

    Getty Banned

    Joined:
    17 Jun 2010
    Messages:
    104
    Likes Received:
    1
    Reputations:
    0
    Эм... Я вот что-то не совсем понимаю пару функций в OllyDbg.

    F7 - выполнять пошагово С входом в функцию
    F8 - выполнять пошагово БЕЗ входа в функцию
    Ctrl+F11 - чем отличается от F8?
    Ctrl+F12 - ?


    И дайте, пожалуйста, какие-нибудь ресурсы, где есть много КрякМи'сов, но чтобы и для новичков были, не совсем сложные, желательно с солюшинами.
    Заранее спасибо)
     
  8. AquaKlaster

    AquaKlaster Active Member

    Joined:
    9 Mar 2009
    Messages:
    0
    Likes Received:
    204
    Reputations:
    23
    cracklab.ru
     
  9. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    про ольку читай
    http://wasm.ru/series.php?sid=17
    там и крякмисы рассматриваюца
    либо тут бери
    http://crackmes.de/
     
  10. Getty

    Getty Banned

    Joined:
    17 Jun 2010
    Messages:
    104
    Likes Received:
    1
    Reputations:
    0
    можно ли добыть исходный код Bifrost 1.2.1d?
     
  11. Morsik!

    Morsik! New Member

    Joined:
    29 Mar 2010
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Есть кли crackmes для обучения писать сплоиты. Или это совсем другая тема?
     
  12. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    Думаю другая тема (наиболее распр. тема связаная с asm'ом и с написанием эксплоитов - уязв. типа buffer overflow, но если даже задуматься о спец. "crackmes" для поиска в них уязв. типа buffer oveflow - то тема будет очень узкой (имхо)(т.к. я еще не встречал таких "crackmes" где требуется найти buffer overflow :) ))
     
    #692 wolmer, 12 Jul 2010
    Last edited: 12 Jul 2010
  13. Ins3t

    Ins3t Харьковчанин

    Joined:
    18 Jul 2009
    Messages:
    939
    Likes Received:
    429
    Reputations:
    139
    Скачай штук 20 программ года выпуска эдак 2001 - 2004 и поищи в них уязвимости(они там сплошь и рядом). А написанию плоентов посвящено около десятка книг. Дерзай.
     
  14. Yetisports

    Yetisports Banned

    Joined:
    11 Jul 2010
    Messages:
    147
    Likes Received:
    12
    Reputations:
    17
    Решил научится реверсить, и вот первым моим приложением стал флудер ICQ FBK42 от Карася.Его я пытаюсь отвязать.Как я понял там привязка идёт по ICQ, т.е программа заходит на 1 ICQ номер и весит там пока ещё 1 копия программы не попытается приконнектится к этому же нуму, как только вторая копия коннектится первую копию выбрасывает в оффлайн и программа выдаёт ошибку после чего закрывается.Асю я достать вроде бы сумел, но вот что делать дальше хз...Программа вроде чем-то запакована, распаковать пытался парой декомпиляторов но они выдавали ошибки...В общем буду благодарен за любую информацию по этому поводу.

    P.S Знаю что флудер уже лежит отвязанный в паблике но мне интересно отвязать его самому .
     
  15. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    :) Всем привет! :)
    Столкнулся с такой проблемой:
    1) Надо проверить существует ли рядом с EXE моя DLL
    2) Проверить точно ли моя это DLL (проверить целостность)
    3) проверить целостность EXE


    Короче надо дописать в код Exe эту проверку DLL. ;)

    Исходников нет.
    EXE & DLL уже скомпилены :)

    Заранее спасибо! Хотелось бы увидеть пример такого кода! ;)
     
  16. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Вручную дописывать слишком утомительно,есть вариант такой:
    1) Написать весь функционал по проверке отдельной библиотекой, её добавить в импорт exe (с помощью CFF explorer например). Саму библиотеку защитить допустим с помощью themida и файлы тоже.
    2) Закрыть свои файлы xbundler'ом.
     
  17. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    budden
    и какие проблемы?
    грузи приложение в олю и ставь брейкпойнт на нужной тебе функции в длл.
    также оля грузит дллки с помощью loaddll и во вкладке debug есть Call dll export.
     
  18. Welemir

    Welemir Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    229
    Likes Received:
    11
    Reputations:
    -4
    Меня вот что интересует - что особенного делает плагин CommandBar с этим ? ? MessageBoxA.Выдаёт какой-то адрес во всех системах счисления часто используемых.
    При переходе по адресу я попадаю на инструкции сохранения регистров и пушев в стек(я так понял,это параметры для меседжбокса - их всего 4).
    Также Олька грит,что функция находится в модуле USER32.DLL.Жамкаю CTRL+N,пытаюсь найти её в этом модуле,и облом - её там нет и не было,а написано же CALL USER32.MessageBoxExA(хотя такой функции я не знаю - есть MessageBoxA),зато если жамкнуть CTRL+N в главном модуле проги,то увижу только один вызов MessageBoxA,и никаких тут MessageBoxExA.Тоже находится в юзер32.длл.Так что я делаю неправильно и почему такой результат ?! Не могу понять.


    И ещё: Что делает функция Find references to import при клике правой кнопке по апишной функции,предварительно вызвав CTRl+N ?



    ЗЫ: прога обычный крэкми крухэда(самый первый)
     
  19. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Великолепный поток сознания.
    -Плагин нужен для быстрого набора команд.
    MessageBoxA переходит в MessageBoxExA, достаточно вглядеться в код:
    Code:
    7E3A07EA >  8BFF            MOV EDI,EDI
    7E3A07EC    55              PUSH EBP
    7E3A07ED    8BEC            MOV EBP,ESP
    7E3A07EF    833D BC143C7E 0>CMP DWORD PTR DS:[gfEMIEnable],0
    7E3A07F6    74 24           JE SHORT USER32.7E3A081C
    7E3A07F8    64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
    7E3A07FE    6A 00           PUSH 0
    7E3A0800    FF70 24         PUSH DWORD PTR DS:[EAX+24]
    7E3A0803    68 241B3C7E     PUSH OFFSET USER32.gdwEMIThreadID
    7E3A0808    FF15 C412367E   CALL DWORD PTR DS:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
    7E3A080E    85C0            TEST EAX,EAX
    7E3A0810    75 0A           JNZ SHORT USER32.7E3A081C
    7E3A0812    C705 201B3C7E 0>MOV DWORD PTR DS:[gpReturnAddr],1
    7E3A081C    6A 00           PUSH 0
    7E3A081E    FF75 14         PUSH DWORD PTR SS:[EBP+14]
    7E3A0821    FF75 10         PUSH DWORD PTR SS:[EBP+10]
    7E3A0824    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
    7E3A0827    FF75 08         PUSH DWORD PTR SS:[EBP+8]
    7E3A082A    E8 2D000000     CALL USER32.MessageBoxExA
    7E3A082F    5D              POP EBP
    7E3A0830    C2 1000         RETN 10
    
     
  20. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Воспользуйтесь IDA Pro, примените сигнатуры:
    Code:
    [b]bds[/b] BDS 2005-2007 and Delphi6-7 Visual Component Library
    
    Маловероятно что используется MessageBoxA, скорее всего это будет ShowMessage.
    Например:
    Code:
    .text:0046C660                 mov     eax, offset aInvalidCode ; "invalid code"
    .text:0046C665                 call    @Dialogs@ShowMessage$qqrx17System@AnsiString ; Dialogs::ShowMessage(System::AnsiString)
    
    Dialogs@ShowMessage - библиотечная функция, распознанная IDA.
    Эта функция вызывает в свою очередь цепочку функций
    Dialogs@ShowMessagePos->Dialogs@MessageDlgPos->Dialogs@MessageDlgPosHelp.
    Поэтому достаточно в большинстве случаев поставить точку останова на Dialogs@MessageDlgPosHelp и дождаться срабатывания.
    Второй вариант - найти обработчик формы, связанный с регистрацией или другой искомой задачей и исследовать непосредственно его. С поиском адресов обработчиков на первых порах поможет DeDe, с опытом это можно найти и в IDA Pro вручную.