Реверсинг. Задай вопрос - получи ответ

Решил научится реверсить, и вот первым моим приложением стал флудер ICQ FBK42 от Карася.Его я пытаюсь отвязать.Как я понял там привязка идёт по ICQ, т.е программа заходит на 1 ICQ номер и весит там пока ещё 1 копия программы не попытается приконнектится к этому же нуму, как только вторая копия коннектится первую копию выбрасывает в оффлайн и программа выдаёт ошибку после чего закрывается.Асю я достать вроде бы сумел, но вот что делать дальше хз...Программа вроде чем-то запакована, распаковать пытался парой декомпиляторов но они выдавали ошибки...В общем буду благодарен за любую информацию по этому поводу.

P.S Знаю что флудер уже лежит отвязанный в паблике но мне интересно отвязать его самому .

 

Как декомпилятором прот можно снять ? Смотри прот в разных сканерах пе, типа exeinfo, peid, rdg

 

xor[jmp], такой софт отвязывать - работа не для новичка (исхожу из того - что софт может быть с asm правками)(конечно же интересно отвязать, но лучше для начала потренироваться на обычных программах (а не на программах для "хакера"))

 

Например?Можешь подкинуть программ для отвяза?И хотелось бы почитать статьи про реверсинг, но на ачате негде вроде бы не видел...

 

можно ли добыть исходный код Bifrost 1.2.1d?

 

crackmes.de на них попробуй потренироваться

 

Сталкнулся с такой проблемой.
Есть программка, она использует *.Dll ку
Так вот, мне надо склеить *.ЕХЕ и эту *.DLL
Сделал с помощью батника

Code:

copy /b *.EXE + *.dll   *.EXE

Теперь вопрос:
Как сделать чтоб эта дллка выгружалась в память и
прога могла к ней обращаться, как будто она лежит рядом ?
P.S. Просьба не предлагать тхиннстал, ксенокод и др проги для партабла. Чисто родной *.ЕХЕ и родная *.DLL

 

эт ты чо склейл так? не будет так работать. чем "проги для партабла" не устраивают? делай свой склейщик тогда.

 

если на один раз можно просто модифицировать код exe так чтоб вместо LoadLibrary вызывался твой кусок кода, дописаный например в новую секцию, а сам dll можно в ресурсы добавить или действительно просто оверлеем прицепить

 

Если можно расскажите по подробнее как это сделать

 

Ну вы же сами давали ответ на свой вопрос, не так ли?
copy /b *.EXE + *.dll *.EXE

 

Может не в тему, а инжектить пробовал? Помню так раньше античит обходили на руофе

 

Нет не пробовал.
Да и не зачем.
Длл-ка и так подхватывается прогой.
Но нужно что бы в одном файле это все было.
Чтоб *DLL рядом не лежала, но после загрузки проги в памяти она была.

 

какой прогой или как можно выдрать регестри ключи из msi инсталятора ? Или хотябы как отследить какие ключи пишит в регистар ?

 

http://download.sysinternals.com/Files/ProcessMonitor.zip

 

ЗДЕСЬ (глобальная слежка)
а можжно так же
ЗДЕСЬ (последняя мне больше нравится если чисто реестр надо отследить)

Делаем снимок, устанавливаем прогу (НО НЕ ЗАПУСКАЕМ !) , делаем второй снимок, сравниваем снимки.
Если надо отследить какие ключи прога кидает при запуске, запускаем её, потом закрываем и делаем третий снимок. Сравниваем последних два (Второй и третий)

P.S. Программ много, например Total Uninstall, RegSnap... кому какая по вкусу.

 

Появилась проблема с установкой SoftICE на Windows XP SP3 Видео картра ATI Mobility Radeon HD2600. В интернетах говорят что на 3 пакет вообще нету рабочего SoftICE. Может там инфа устарела или кто то ставил... поделитесь)))

 

Если ты только учишься реверсить, то ставь OllyDbg и не парься, если же тебе нужна работа с нулевым кольцом, то ставь Syser Debugger. Про soft-ice можешь забыть, т.к. с ним работают только тру олдскульщики и наркоманы

 

Просто начал читать серию статей "Написание драйвера в подробностях" там порекомендовали именно SoftICE. Попробую конечно разобраться в Syser Debugger спасибо!

 

Вопрос: можно ли сделать так чтобы бряк срабатывал только при опред. значениях eax? (или ecx, edx (вообщем не важно))(ollydbg)

Если да, то как? (без ручного правки кода)(расчитываю на то, что возможно есть такой плагин)