Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    186
    Likes Received:
    77
    Reputations:
    -9
    Если заранее известно,где в проге происходит этот вызов и вызывается он один раз,то можно просто подменить
    на свой код и вернуться обратно.
    Вот так например:
    Либо подменить в импорте на свой адрес,либо поставить лумп на наш код,не на вызове
    а на начале самой функции и потом
    СMP [esp+4],"point.dll"
    либо подмена на fake_point2.dll ,загрузка,затем загрузка point.dll с передачей управления основному коду,либо,если в параметре нет этой длл,то возвращаемся в
    основной код.
    Вообщем где то так.....Об этом понаписано на каждом углу в интернете.
     
    1 person likes this.
  2. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    ставишь бряк на LoadLibraryA,
    жмякаешь F9 пока не увидишь в параметрах, передаваемых для вызова, "point.dll", затем смотришь адрес возврата, переходишь по этому адресу, смотришь адрес для константы "point.dll" меняешь например одну букву чтоб получилось допустим "paint.dll" свой фейк переименовываешь аналогично, сохраняешь изменения в файл и тестируешь.
     
    1 person likes this.
  3. roleg

    roleg Banned

    Joined:
    27 Mar 2008
    Messages:
    48
    Likes Received:
    47
    Reputations:
    0
    значит без изменения кода не обойтись...
    проблема к пакере Themida и очень запутаном коде, я все же попробую отхучить вызов не трогая софт изнутри, спасибо за помощь. ++
     
  4. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    >>значит без изменения кода не обойтись...
    >>Хук ставится, но сразу на все вызовы LoadLibrary, а мне нужно только на ту которая грузит point.dll.
    ставишь хук на свое приложение, на вызов всех LoadLibrary, 4екаешь входные параметры, если передаваемая либа не твоя, то "отпускаешь" хук нормальным вызовом апи, если твоя - то вызываешь свою загрушку вместо реальной апи, в которой будет вызов LoadLibrary уже твоей другой либы, ну или любой другой код который тебе заблагорассудится.
    инфа: http://wasm.ru/article.php?article=apihook_1
     
  5. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    скинь если возможно программу, попробую помочь распаковать, вдруг получится
     
  6. roleg

    roleg Banned

    Joined:
    27 Mar 2008
    Messages:
    48
    Likes Received:
    47
    Reputations:
    0
    Сделал. Очень помогла статейка _ttp://wasm.ru/article.php?article=hidingnt
    Скрыл свою dll и не пришлось сильно умничать. )
     
  7. Balvan

    Balvan Member

    Joined:
    11 Mar 2009
    Messages:
    66
    Likes Received:
    5
    Reputations:
    0
    Вот научился реверсить немножко ) теперь вот возник вопрос... как делать креки, патчи и т.п.?!
    Ну допустим я что нить реверснул через ольку, хотя пофик через чё, получил фаёл, и что мне теперь делать?! )
    Ну я подумал, может есть программы спец. для этого? (типа указываешь исходный фаёл и исправленый, а она выдаёт патч(крек или т.п.))
     
  8. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    таких програм куча, вот diablo2oo2's Universal Patcher - [dUP] самая модная)
    http://diablo2oo2.di.funpic.de/dup.htm

    а я попутно задам вопрос.
    нужно узнать что прога отправляет на печать. на чом мне брякнуца?
     
  9. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    думаю, апи EnumPrinters
    вот еще какая-то линка по теме
    http://forum.vingrad.ru/forum/topic-214670.html
     
    #449 ProTeuS, 14 Apr 2009
    Last edited: 14 Apr 2009
  10. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    Где можно скачать полно-ценный ассемблер для того чтобы работать с книжкой "Ассемблер? Это просто! Учимся программировать"?
    Весь гугл перетаскал то нужны какие то файлы (для компилирования и т.д.)
    То не понятный вид какой то, то еще что то

    вообщем подскажите
     
  11. 0x0c0de

    0x0c0de Elder - Старейшина

    Joined:
    25 May 2007
    Messages:
    441
    Likes Received:
    396
    Reputations:
    297

    А что для вас "не понятный вид какой то" и "еще что то"? Честно говоря вот ничего не могу сказать про эту книжку, т.к. ее мне почитать не довелось. Наверное масм там юзается? Скачайте тогда тут студию

    http://www.negatory.com/asmstudio/

    Ну а если фасм, то качайте фасм

    http://flatassembler.net/download.php

    Мне кажется, это третий раз, когда я отвечаю на подобный вопрос.
     
  12. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Привет всем обитателям Античата!

    Такакя проблема!
    Мне надо продублировать кнопку из одного диалогового окна во второе окно!
    В Ресторатаре скопировал строчку скрипта кнопки, вставил в другое окно.
    Новая Кнопка появилась,
    Но при нажатии на неё ничего не происходит!

    Итак вопросы:
    1) Как найти код обработчика нажатия на кнопку ???
    2) как найти код который выполняется после нажатия на кнопку ???
     
    #452 tekton, 27 Apr 2009
    Last edited: 27 Apr 2009
  13. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    смотри в ресурсах айди кнопки (X) и ищи в отльке команду push X. далее будет кол - это и есть твой код показа диалога\обработ4ика после нажатия на кнопКу, вообщем универсально для всех стати4еских контролов
     
  14. desTiny

    desTiny Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    1,006
    Likes Received:
    444
    Reputations:
    94
    а в чём разница между этими вопросами?

    а вообще... для начала попробуй так: запускаешь прогу под олей, смотришь в windows - находишь там свою кнопочку, находишь ближайшего его предка, у которого classproc указывает не на системную библиотеку, на нём правая кнопка -> follow classproc, а там смотришь, относится ли что именно к кнопке. если да, то код найден.
     
    1 person likes this.
  15. Twink1

    Twink1 New Member

    Joined:
    26 Apr 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    вопрос:
    как проследить какие файлы создаёт программа, и где прописывается.
    и как обеспечить её полное удаление?
    зы: прога маленькая, никак не устанавливается, работает по запуску.
    где-то выкладывали программу имеющую возможность отследить какие файлы создаёт пинч в систем32, тут нужно что-то аналогичное.
    спасибо
     
  16. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    FileMon и RegMon скачай, они показывают обращения процесса к файловой системе и реестру
     
    _________________________
  17. Twink1

    Twink1 New Member

    Joined:
    26 Apr 2009
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    пробовал - не катит.
    при открытии приложения и FileMon и RegMon закрываются.
     
  18. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    343
    Likes Received:
    66
    Reputations:
    18
    Twink1, тебе песочница нужна. вот например.
    http://www.sandboxie.com/index.php?DownloadSandboxie
     
  19. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    http://www.threatexpert.com/submit.aspx
    http://www.cwsandbox.org/?page=submit
    http://www.norman.com/microsites/nsic/Submit
    http://anubis.iseclab.org/?action=home
     
  20. 0rs

    0rs Member

    Joined:
    30 Dec 2008
    Messages:
    70
    Likes Received:
    23
    Reputations:
    3
    Попробуй их скрыть HideToolz