Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. desTiny

    desTiny Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    1,006
    Likes Received:
    444
    Reputations:
    94
    я так и сказал --- заменить код на ep и приаттачиться
     
  2. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Да, но вынужден немного не согласиться. Ведь если прописать int3, то произойдет вызов исключения и теоретически программа остановится. но если в ТЛСе идет обработка исключений, то трюк может не сработать. Да и лишние исключения для софта - не есть хорошо. Все-таки я считаю что трюк с зацикливанием гораздо надежней
     
  3. 0rs

    0rs Member

    Joined:
    30 Dec 2008
    Messages:
    70
    Likes Received:
    23
    Reputations:
    3
    http://rghost.ru/2687131
    Чем это упаковано?
     
  4. 0rs

    0rs Member

    Joined:
    30 Dec 2008
    Messages:
    70
    Likes Received:
    23
    Reputations:
    3
    Вообще то так и я сделать могу. Там для защиты дельфовый компонент стоит для которого кейген раз плюнуть сделать. Но кроме этого проверка ключа на сервере происходит. И с таким ключем основной функционал проги не будет работать.

    Поэтому во-первых, все таки интересно чем же упаковали, а во-вторых все равно патчить нужно.
     
  5. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Навесной говнопрот. Колечит импорт, эмулирует GetModuleHandle и еще пару апишек, столенбайт...если мне не изменяет память, то по такой системе работала Enigma. Хотя возможно и самопал, но гдето я его уже видел...
    -
    А вот криптованного кода я там не заметил, сталобыть функционал должен пахать нормально
    -
    Палит железячные бряки, но мемори пропускает О_о
    Нееет, это точно энигма...
    -
    ОЕР: 00977558 +- пара строк
    -
    Раз в реверсе разбираешься, то на тебе еще импорт чистый: http://rghost.ru/2688230 к дампу сам прикручивай
    -
    Ха-ха. Говорил же, где-то видел. Провел полный анализ - это обсидиум :eek:
     
    #725 s0l_ir0n, 21 Sep 2010
    Last edited: 28 Sep 2010
    4 people like this.
  6. LBC

    LBC Banned

    Joined:
    10 Sep 2010
    Messages:
    49
    Likes Received:
    3
    Reputations:
    5
    Всем привет!
    Столкнулся с такой проблемой:
    1) Надо проверить существует ли рядом с EXE моя DLL
    2) Проверить точно ли моя это DLL (проверить целостность)
    3) проверить целостность EXE

    Короче надо дописать в код Exe эту проверку DLL.

    Исходников нет.
    EXE & DLL уже скомпилены

    Заранее спасибо! Хотелось бы увидеть пример такого кода!
     
  7. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Дежавю реально, вы случаем не братья?)
    http://forum.antichat.ru/showpost.php?p=2256947&postcount=698
     
    1 person likes this.
  8. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Всем привет!

    Просто это копированный мой пост [​IMG] Зачем он здесь, я не в курсе. [​IMG]
    =================================
    Есть программа. Все текстовые строки находятся в коде.
    Хотел её перевести но столкнулся с проблемой :(
    На строки нет не одной явной ссылки типа
    Code:
    PUSH адрес строки
    Как найти, откуда программа читает строку ???
    Как перенести строку на новое место (Надо удлинить) и подправить в проге адрес с которого эту строку читать.
     
    #728 tekton, 29 Sep 2010
    Last edited: 4 Oct 2010
  9. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    >>>>Как найти, откуда программа читает строку ???
    больше информации нужно. какой компилятор, что софт делает. если выводит строки в какое-то окно, то ставишь бряки на подобные функции
    bp SetWindowTextA
    bp DrawText
    и выше по коду смотришь "откуда" строки были считаны

    >>>>Как перенести строку на новое место (Надо удлинить) и подправить в проге адрес с которого эту строку читать.

    PUSH addr OLD_STRING
    ->
    PUSH 405000

    прямо в ольке по вирутальному адресу 405000 или любому другому можешь вбить необходимую новую строку любой длины и сохранить модифицированный файл

    хотя вижу, автору уже не судьба прочесть ответы
     
  10. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    http://msdn.microsoft.com/en-us/library/ms724875%28VS.85%29.aspx
    Начните отсюда
     
    1 person likes this.
  11. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    И снова здравствуйте!
    Правда восторжествовала !!!
    Меня разбанели !
    В программу вшиты английский немецкий и французкий языки.
    Наверно, по этому считывание строк происходит через какие то переменные.
    По этому я и не могу найти прямых ссылок.

    Спасибо за совет попробую.
    Теперь всё в порядке! :)

    LBC в следующий раз если полностью копипастите чей нибудь пост, заключайте его в теги, что это цитата!!! И хоть пару слов от себя пишите!!! [​IMG]
    А то меня из за вас в бан отправили!
    [​IMG]
     
    #731 tekton, 4 Oct 2010
    Last edited: 5 Oct 2010
  12. xryst85

    xryst85 New Member

    Joined:
    11 Aug 2008
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    есть программа упакованная Private exe protector как я выяснил версией 3.0.7 или новее, не подскажите как ее распаковать, я так понимаю после распаковки она не должна просить ключ
    ссылка на программу
    http://rapidshare.com/files/424049705/Satelite.rar
     
  13. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    http://tuts4you.com/download.php?view.2806
     
  14. xryst85

    xryst85 New Member

    Joined:
    11 Aug 2008
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    Так это для версии 2.71. Будет ли этот тутор актуален для версии 3.07?
     
  15. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    как минимум общие принципы можно будет понять
     
  16. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Привет всем!
    Возможно мой вопрос покажется лаймерским :)
    Но всё же:
    1) Как отловить выбор пункта на выпадающем списке ???

    [​IMG]

    2) Сильно ли отличается алгоритм действий, в зависимости от языка на котором написана программа ?
    Если да, то можно отличия?


    Заранее спасибо!
     
    #736 tekton, 10 Nov 2010
    Last edited: 10 Nov 2010
  17. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Если софт написан на Delphi или C++ Builder, то это не сложно. Достаточно воспользоваться декомпилятором вроде DeDe, чтобы отловить адрес процедуры OnClick в TMainMenu.

    Есть еще один универсальный способ для окон, но не знаю подойдет ли он Вам. Программа показывает какое-либо окно после нажатия по пункту меню?

    З.Ы.: Если нужно сделать нективные пункты меню активными, то следует смотреть в сторону API функции EnableMenuItem

    PHP:
    The EnableMenuItem function enablesdisables, or grays the specified menu item

    BOOL EnableMenuItem(

        
    HMENU hMenu,    // handle to menu
        
    UINT uIDEnableItem,    // menu item to enable, disable, or gray
        
    UINT uEnable    // menu item flags
       
    );
     
  18. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    s0l_ir0n Спасибо!!!

    Да! Подойдёт! :)
    Я понял о чём идёт речь.
    Отловить окно и смотреть откуда оно было вызвано.
    Спасибо ещё раз! :D
     
    1 person likes this.
  19. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Всем привет!

    Есть вопрос:

    Есть прога для работы с фото, при триале, она ставит водяной знак.
    Этот водяной знак находится в *DLL,
    DLL запакована аспаком, поэтому пропатчить обычным патчем её не получается.
    Можно конечно снять аспак, пропатчить и тогда всё будет гуд, но тогда придётся включить библу в патч, а это лишний вес.

    Хочется научиться патчить библу на лету из ехе.
    То есть, дождаться пока библа распакуется в память, пропатчить и передать управление дальше программе.
    Научите плиз ;)

    P.S. Кажись разобрался немного.

    Только вот смешная проблема получается.
    После того как я запускаю патченный ехе, водяной знак всё равно появляется!
    Но когда трассирую этот же ехе в Ольге,
    прога запускается и нет водяного знака. :eek:
    В чём может быть дело ???
    Как это исправить :confused:
    Заранее спасибо!
     
    #739 tekton, 14 Dec 2010
    Last edited: 14 Dec 2010
  20. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Возможно есть какие-то подводные камни. И вообще, зачем извращаться и патчить длл из ехе? Советую прочитать про инлайн патчинг(ссылку дать не могу, т.к. с телефона). Тем более єто можно сказать азы, а аспак очень простеньких пакер.