Реверсинг. Задай вопрос - получи ответ

Привет всем.. Требуется маленькая подсказка. а то самому никак..... нужно найти место проверки на зареганость, чтоб убрать этот "UNREGISTERED". Если кому не сложно помогите плзз.. а то пол дня просидел и толку 0.
Вот собсно сцилка на фаило hххp://www.dummysoftware.com/UpSetup.exe.

 

pinch?

 

А какой смысл убирать надпись? Можно тут

Code:

00405246 74 13         JE SHORT Uploader.0040525B

к примеру поменять переход на безусловный и больше данные настроек считываться не будут а вместе с ними и отсчет дней trial'а.

 

надо практиковаться, без конкретных попыток создать новую IAT, чтение и гроша ломаного не стоит

 

уважаемый, ты разделом ошибся? это не болталка
http://www.virustotal.com/ru/analisis/891c3e693f179021d40407620d42ae48

 

Я ж не говорю, что не создаю. При помощи ImpReс на раз-два всё проходит. Но то клики мышкой. Мне же сам процесс понять, что и зачем я делаю. Можно провести параллель с сексом по любви и без, мб так понятней будет. %)

 

про параллель - что за безвкусица? ничего логичней в голову не пришло?
К делу -
ну а если кликаешь мышкой, что, бездумно?
Представляю картину: "Вау, программа крутая! Ею хакеры пользуются! Ну-ка дай и я попробую! Да тут кнопки еще есть! О, точно, даже работают! Это я IAT восстановил!"
Я действительно не понимаю, зачем так доскональна пытаться понять "работу" IAT?! Разве программы создаются не для того, чтобы мы могли облегчить рутину в своей работе (деле)?
p.s. если мало васм.ру, в разделе ссылок http://forum.antichat.ru/thread69997.html Достаточно материала для изучения.

 

neprovad, чтобы ты таких картин не представлял, я и ищу материал, справки и т.д.

Ты противоречишь себе, не замечаешь?

 

мне можно

 

спасибо

 

To neprovad.

да триал я давно убрал... просто хотел ещё и наг с кнопкой "Регистер" убрать.
Но все равно Спасибо за Ответ...

 

tuts4you.com - загляни, надеюсь не пожалеешь

 

Может кому пригодится:

Understanding the Import Address Table
http://tuts4you.com/download.php?view.1505

Understanding Import Tables
http://tuts4you.com/download.php?view.198

Import Address Table Rebuilding
http://tuts4you.com/download.php?view.194

PE Files Import Table Rebuilding
http://tuts4you.com/download.php?view.196

 

Васм ты весь прочитал?) там есть "Об упаковщиках в последний раз". а если прочитал и мало то тогда гугл читай чо).

 

совершенно тупой вопрос:
как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

 

>> как в Ольге самому ставить JMP (через Assemble почему-то не работат!!!)

конкретизируйте. что значит не работает?

 

конкретизирую: либо не устанавливает JMP вообще, либо он не работает

 

jmp adress, может не работать из-за отсутствия прав на execute в секции, куда ты прыгаешь, либо так неудачно ставится jmp, что сразу после него вылетает ошибка из-за невыровненого стека.
Пример: jmp 0040101D

 

Прочитал статью Broken Sword*а про Code rip Broken Sword*а http://www.wasm.ru/article.php?article=coderip01 В общих чертах понял. Но меня интерисует вопросы:

1) Как отследить изменения стека до (какие параметры приготавливаются до исполнения функции) и во время исполнения функции (может быть туча записей в стек)?

2) Как компелировать выдранный код?

3) Хотелось бы посмотреть как это работает на практике! Broken Sword обещал продолжение этой статьи (практическое воплощение статьи), но к сожалению тема заглохла!!!

Может есть какая статья или дока ( на русском!) где это всё подробно (пошагово) описывается!!!

В гугл не отсылать там только ссылки на эту статью, и ещё на какуюто прогу для выдирания кода из Html

 

2tekton
С рипом кодом сталкнулся только раз. Так что нижеследующее из собственного маленького опыта )) если что - старшие товарищи поправят

1)

Тк рипал кусок кода, а не полностью функцию то точно сказать не могу. Но там были определенные параметры, ктр инициализировались до и были константами в принципе, но создавались гдето в глубине материнских функций. Так вот вылавливал их опытным путём, считая рипнутый код черным ящиком, подавал на вход определенные параметры и смотрел, что получается на выходе. На выходе должно было получится только либо ноль, либо 1, так что много это времени не заняло )) А вот в случае функции цельной я вообще проблем не вижу. Главное найти её вызов и понять, для чего нужен каждый аргумент, что при знании назначения функции достаточно просто. А каким образом стек изменяется во время исполнения кода функции нас не должно волновать, ибо чёрный ящик ))).

2)

Ну я компилили фсм-вставками в Си-код. Естественно необходима доработка напильником ) хотя это смотря из чего выдирать ) я из Olly выдирал - нудно исправлял потом jmp и метки (( из IDA видимо проще )).

3)

А что там глядеть, делать надо ^____^