1) достато4но брякнутся в отлад4ике на вызове функи\или прологе функи, передаваемые параметры будут на верхушке стекв\+4. коли4ество передаваемых аргументов тоже не проблема пос4итать брякнувшись 2) копируешь с иды\тюнишь (убираешь 4то ненужно, добавляешь описани структур, данных используемых, дописываешь функции 4то нужны, иправляешь ошибки) и компилишь сраазу масмом. если одна процедура или маленький обхем кода - то хоть 4ем, асм. вставками хоть в делфе, хоть в студии, хоть сразу в фасме 3) хорошая практи4еская статья лежит тут http://www.wasm.ru/article.php?article=addfunc
2zeppe1in ИМХО, плагинами надо пользоваться когда задолбаешься выполнять операцию, а не от того что не умеешь чего-то делать руками ^_____--
20verbreaK Ну там, где я встречал это понятие, под ним понималось (^____^) определение всех материнских функций предшествующих текущей. В Olly к примеру ALT+K. Я счас подумал (чаще бы это делал), что это будет удобным если между проверкой корректности серийника и местом, где прога информирует о неправильности серийника будет большая простыня, ктр задолбаешься проверять и прокручивать, а так можно достаточно быстро оказаться в окрестностях кода проверки. Чтото на бред смахивает, фак.
ProTeuS спасибо. Прочитал сткатью http://www.wasm.ru/article.php?article=addfunc . Вот пару вопросов по этой статье: можно поподробнее как и что? Где взять прогу аIIDKing v2.0. ? Есть ли ещё примеры по этой теме (статьи, доки...) Искал в нете ничего дельного не нашёл! Просьба! Мож кто из продвинутых обитателей antichat.ru напишет хорошую, подробную статью с практичекскими примерами по CODE RIP*у Заранее спасибо!!!
можно поподробнее как и что? отлаживаешь, ищешь функционал, который тебе нужен по контрольным то4кам, стринг-референсах, бряках на апи, по стеку, несуть. когда видишь 4то колл, до которого ты добрался и на выходе после отработки которго возникают нужные результаты - зна4 это нужный тебе функционал и нужно имеено его рипать Где взять прогу аIIDKing v2.0. ? http://up.cih.ms/proteus/iidking-v2.01.exe Есть ли ещё примеры по этой теме (статьи, доки...) Искал в нете ничего дельного не нашёл! ни4его более по теме на русском не встре4ал Просьба! Мож кто из продвинутых обитателей antichat.ru напишет хорошую, подробную статью с практичекскими примерами по CODE RIP*у Заранее спасибо!!! да вроде на васме итак более 4ем доступно, за4ем плодить буквы, если важно саму суть показать а не стро4ить как рипать то, как это. мой совет бери конкретную прогу и рипай на4иная с мелких фукнкций на полэкрана и далее хоть весь код, если не идет процесс, бери тот же пример 4то в статье описан и смотри 4то нетак если не полу4ается
надеюсь в правильную тему написал. Многие слышали про Steam, вот у меня вопрос к тем, кто имел с ним дело. Я нашел троян, написанный на ВБ( http://forum.xeka.ru/7238/post21/ ), он каким-то образом выдирает логин и пароль из запущенного стим-клиента и записывает их в файл. Ольгой сканировал память на предмет логина/пароля, положительного результата не получил. Кто знает, как он их получает?
хз 4то это говно на бейсике делает, там 3 метра данных и без валидного акка стима в отладке ни4его не увидить. видно только 4то создает 2 файла. один c:\tmp.txt и второй 1337SteamLogin.txt, создает вторую копию себя, вроде во временной папки, ищет в кернеле адреса функций инетернет коннекта, работы с фтп, полу4ения имени компа, и пытается там грабить акки и шлет на фтп тому кто сбилдил. механизма как он грабит в функционале среди ку4и муксора невижу. нужен валидный акк или машина где он уда4но отграбит
вот список импортированных апи Code: 'VA: 402269 Private Declare Sub CloseHandle Lib "Kernel32"() 'VA: 402225 Private Declare Sub WaitForSingleObject Lib "Kernel32"() 'VA: 4021D9 Private Declare Sub CreateProcessA Lib "Kernel32"() 'VA: 402191 Private Declare Sub FtpPutFileA Lib "wininet.dll"() 'VA: 40214D Private Declare Sub FtpGetCurrentDirectoryA Lib "wininet.dll"() 'VA: 4020FD Private Declare Sub InternetOpenA Lib "wininet.dll"() 'VA: 4020B5 Private Declare Sub InternetConnectA Lib "wininet.dll"() 'VA: 402069 Private Declare Sub InternetCloseHandle Lib "wininet.dll"() 'VA: 40200D Private Declare Sub GetComputerNameA Lib "Kernel32"()
и это все? странно, я ожидал что-то типа работы с реестром\файлами или процесами. там есть еще библиотека от вб
с чего ты взял то что я не умею? там уметь, нечего. я также как ты мудился, а потом встретил плаг вот и советую.
ProTeuS спасибо! Буду по тиху въезжать в тему! Ещё вопрос как и чем лучше всего компелировать выдранный код? Ну чтоб код из IDA не переделывать под синтаксис определённого компелятора? Какой копелятор идеально подходит к IDA ? И ещё вопрос: Есть ли похожие проги на компонент Hex-Rays для IDA Pro? Чтоб можно было строить визуальную схему программы (переходы, функции ...)? В работе этого компонента мне не хватает адресов команд и жалко что нельзя делать пометки - комментарии ?
>>Ну чтоб код из IDA не переделывать под синтаксис определённого компелятора? Какой копелятор идеально подходит к IDA ? masm
Если ты написал код, а он вываливается со Stack overflow. К примеру - какой-нибудь криво написанный dfs на графах, "строемых" во время самого вызова имеет обыкновение так делать, вызываясь от одних и тех же аргументов...
2desTiny тьфу, как раз лекции по СИИ читаю. Тока там он не называется маленькими иностранными абривиатурами )))
