Если заранее известно,где в проге происходит этот вызов и вызывается он один раз,то можно просто подменить на свой код и вернуться обратно. Вот так например: Либо подменить в импорте на свой адрес,либо поставить лумп на наш код,не на вызове а на начале самой функции и потом СMP [esp+4],"point.dll" либо подмена на fake_point2.dll ,загрузка,затем загрузка point.dll с передачей управления основному коду,либо,если в параметре нет этой длл,то возвращаемся в основной код. Вообщем где то так.....Об этом понаписано на каждом углу в интернете.
ставишь бряк на LoadLibraryA, жмякаешь F9 пока не увидишь в параметрах, передаваемых для вызова, "point.dll", затем смотришь адрес возврата, переходишь по этому адресу, смотришь адрес для константы "point.dll" меняешь например одну букву чтоб получилось допустим "paint.dll" свой фейк переименовываешь аналогично, сохраняешь изменения в файл и тестируешь.
значит без изменения кода не обойтись... проблема к пакере Themida и очень запутаном коде, я все же попробую отхучить вызов не трогая софт изнутри, спасибо за помощь. ++
>>значит без изменения кода не обойтись... >>Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll. ставишь хук на свое приложение, на вызов всех LoadLibrary, 4екаешь входные параметры, если передаваемая либа не твоя, то "отпускаешь" хук нормальным вызовом апи, если твоя - то вызываешь свою загрушку вместо реальной апи, в которой будет вызов LoadLibrary уже твоей другой либы, ну или любой другой код который тебе заблагорассудится. инфа: http://wasm.ru/article.php?article=apihook_1
Сделал. Очень помогла статейка _ttp://wasm.ru/article.php?article=hidingnt Скрыл свою dll и не пришлось сильно умничать. )
Вот научился реверсить немножко ) теперь вот возник вопрос... как делать креки, патчи и т.п.?! Ну допустим я что нить реверснул через ольку, хотя пофик через чё, получил фаёл, и что мне теперь делать?! ) Ну я подумал, может есть программы спец. для этого? (типа указываешь исходный фаёл и исправленый, а она выдаёт патч(крек или т.п.))
таких програм куча, вот diablo2oo2's Universal Patcher - [dUP] самая модная) http://diablo2oo2.di.funpic.de/dup.htm а я попутно задам вопрос. нужно узнать что прога отправляет на печать. на чом мне брякнуца?
думаю, апи EnumPrinters вот еще какая-то линка по теме http://forum.vingrad.ru/forum/topic-214670.html
Где можно скачать полно-ценный ассемблер для того чтобы работать с книжкой "Ассемблер? Это просто! Учимся программировать"? Весь гугл перетаскал то нужны какие то файлы (для компилирования и т.д.) То не понятный вид какой то, то еще что то вообщем подскажите
А что для вас "не понятный вид какой то" и "еще что то"? Честно говоря вот ничего не могу сказать про эту книжку, т.к. ее мне почитать не довелось. Наверное масм там юзается? Скачайте тогда тут студию http://www.negatory.com/asmstudio/ Ну а если фасм, то качайте фасм http://flatassembler.net/download.php Мне кажется, это третий раз, когда я отвечаю на подобный вопрос.
Привет всем обитателям Античата! Такакя проблема! Мне надо продублировать кнопку из одного диалогового окна во второе окно! В Ресторатаре скопировал строчку скрипта кнопки, вставил в другое окно. Новая Кнопка появилась, Но при нажатии на неё ничего не происходит! Итак вопросы: 1) Как найти код обработчика нажатия на кнопку ??? 2) как найти код который выполняется после нажатия на кнопку ???
смотри в ресурсах айди кнопки (X) и ищи в отльке команду push X. далее будет кол - это и есть твой код показа диалога\обработ4ика после нажатия на кнопКу, вообщем универсально для всех стати4еских контролов
а в чём разница между этими вопросами? а вообще... для начала попробуй так: запускаешь прогу под олей, смотришь в windows - находишь там свою кнопочку, находишь ближайшего его предка, у которого classproc указывает не на системную библиотеку, на нём правая кнопка -> follow classproc, а там смотришь, относится ли что именно к кнопке. если да, то код найден.
вопрос: как проследить какие файлы создаёт программа, и где прописывается. и как обеспечить её полное удаление? зы: прога маленькая, никак не устанавливается, работает по запуску. где-то выкладывали программу имеющую возможность отследить какие файлы создаёт пинч в систем32, тут нужно что-то аналогичное. спасибо
http://www.threatexpert.com/submit.aspx http://www.cwsandbox.org/?page=submit http://www.norman.com/microsites/nsic/Submit http://anubis.iseclab.org/?action=home
