Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 1 марта!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю



Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю прогу,она паказивает Меss(Зарегиструйте....). Потом запуск.
Что зделать для того чтобы небыло при запуске Меss.????
MozgC :: Не знаю, для начала выучить русский язык и называть вещи своими именами...

Kerghan :: Че-то я не понял причем здесь смайлы

Вообщем так:
1. поискать в ResHack’е эту самую мессегу
есть - убить и радоваться жизни, нету - пункт 2.
2. Открывай отладчик и трассируй прогу, пока не найдешь функции типа ShowWindow, UpdateWindow и т.д
3. Собственно решение:
а: обычно перед вызовом этого окна идет проверка на регистрацию, так что нужно искать je/jne и править на противоположное(или nop/jmp)
б: занопить вызов функции, но этот вариант не слишком хорош, хотя иногда приходиться им пользоваться

НО если прога требует регистрации, может стоит её зарегистрировать :) а то убьешь, а она дней через двадцать рабоать перестанет ;)

MozgC :: А мне показалось что он просто про MessageBoxA говорит. Если так, то говорят можно его как-то отловить.
А смайлики конечно не в тему =)

Kerghan :: MozgC: find-->MessageBoxA-->BPX

Если MessgeBox или ShowMessage, можно текстовую строку поискать(типа "Please registred")

Незнайко :: Нашол в WinHex строку: "Please registred...", и...... ???

MozgC :: Kerghan я не понял, не мог бы ты попродробнее объяснить как отловить MessageBoxA плиз ?

MozgC :: Короче Незнайко мы угараем.

Вообще я боюсь что трудно будет тебе объяснить что нужно делать. Лучше почитай статьи пока для новичков. Например мои 2 статьи. Когда немножко разберешься будет легче. Потому что мне кажется что у тебя щас такой уровень что объяснять что делать с MessageBox’ом и т.д. бесполезно. Без обид если что...

Kerghan :: MozgC
ничто так не поднимает настроение, как самореклама
ты бы ему еще ссылку на фак дал

Kerghan :: Незнайко
mov.....EAX,4321
cmp......1234,EAX......................;....1234-п равильный серийник, 4321-твой :)))
je......... 40100F.........--------/
PUSH.....0........................ /............; /Style = MB_OK/MB_APPLMODAL
PUSH.....402005............... /...........; /Title = "Name_Window"
PUSH.....402000................/...........; /Text = "Please registred"
PUSH..... 0........................./..........; /hOwner = NULL
CALL.......004011EA............/...........; \MessageBoxA
Начало_программы...<---/

Думаю объяснять смысла нет, но все же...
При загрузке прога читает из реестра или еще откуда информацию о регистрации(зарегена или нет)(фактически это сравнение cmp), если зарегена, то прога сразу переходит к своему выполнению, если же нет то показывает наг определенное время(либо просит нажать OK).
Чтобы избавиться от появления окна нужно исправить je на jne(если jne, то на je).

MozgC :: Kerghan
Когда мне до сих в день приходит по несколько писем и люди пишут что статьи очень понравились и считают их самыми лучшими, то я думаю что лучше посоветовать их, чем какие-то другие. На фак тоже могу ссылку дать и ничего такого здесь не вижу. Если бы мне не писали, я бы и не давал ссылки на свои статьи. А раз пишут - значит нравится.

Kerghan :: MozgC

цитата:
На фак тоже могу ссылку дать и ничего такого здесь не вижу.


Так и я о том же

ЗЫ Чего там насчет 98’ой версии?

MozgC :: Да я ее пропушу, вообще там осталось работы на 30 минут и хоть сразу можно уже полный фак выпускать, но я че-то никак не собирусь... влом.. уже так настое...л этот фак. Всмысле больно он большой, за...ся я писать..
Больше не буду я такие большие статьи начинать писать. А то пока пишешь - надоедает...

Незнайко :: (Смотри 16.09.2003 22:27)
Нашел я в программе OllyDbg ....jne.... заменил на je ; Запускаю Ran ...Все ОК! нет МЕСАГИ !!!
Но теперь как сберечь новый .EXE-файл.?

Kerghan :: юзай Hiew, Olly не сохраняет изменения в файле

Незнайко :: Ok!!

Незнайко :: Да!! да !!! Взломал, как это приятно!!!!
Благодарю всех кто помог! (Kerghan)

Незнайко :: Kerghan Подскажи прогу с Виндовской оболочкой
(Hiew ---Dos)

Kerghan :: иш чего захотел. командная строка - другого не ищи

MozgC :: Незнайко
Если ты уже знаешь машинные коды что на что патчить и адрес в файле, то используй Hex WorkShop - он для Windows и мне нравится. Перевести асм команды в машинные коды можешь например QView или Hview тут уж ничего не поделаешь - досовские, адрес в файле можешь посмотреть тем же Hiew или PE Tools, Lord PE а еще IDA, Win32Dasm. Только вот вместо этого всего для патча можно использовать Hiew. Не проще ли? Мне кстати он тоже не нравится, но не могу не признать, что все таки им проще =)




MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в



MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в память. Снять с нее дамп - не проблема в любом случае. Взять тот же WinHex на худой конец. Проблема потом заключается в том, чтобы хэдер восстановить. Ну вот меня смууутные сомнения терзают, что невозможно его восстановить. Вот позавчера экспериментировал на Аспре 123, но сильно не увлекался. Как думаете - реально?
freeExec :: Что за хедер ты хочешь востановить?

MC707 :: Ну win32 PE естественно
Может неправильно выразился, но имел ввиду восстановить таблицу импорта, секции и тп

MoonShiner :: дык хидер то берется обычно от оригинала... Или я че то не догоняю? А аспр оригинальный хидер вродь нигде не хранит, даж в пошифрованном виде.

MC707 :: Вот я и говорю, что хэдер остается от исходного, запакованного. Он ессно неправильный. Задача - найти правильный. То что аспр (как и любой другой нормальный пакер) не хранит старый хедер - ежу понятно. Это-то и есть главная задача

MozgC [TSRh] :: Какая нафиг главная задача. Исходный заголовок берется либо от запакованного файла, либо создается программой которая снимает дамп, на основке секций и их параметров в памяти.

MC707 :: Для MozgC [TSRh]: Да вот нифига. Где ты такой дампер видел, которая хедер сама восстанавливает? (я не говорю про procdump, который с аспром123 не работает). Если ж было так - то все пакеры/протекторы были бы давно в отстое. Снял дамп - и нет пакера/протектора.

infern0 :: lordPE
ессно import/export и релоки ручками или соотв. тулзами

MC707 :: Для infern0: Ручками не дано (для аспра), а тулзы его так исковеркают, что он вообще восстановлению не будет подлежать

MozgC [TSRh] :: Я вообще не догоняю проблему?

freeExec :: MC707 пишет:
цитата:
Ручками не дано


А чеже тему так назвал?




mnalex Просмотр содержимого памяти Ребята, подскажите, есть ли программа...



mnalex Просмотр содержимого памяти Ребята, подскажите, есть ли программа (кроме айса и олли) через которую можно посмотреть содержимое определённых адресов в памяти? Меня интересует программа небольшая по размеру и нетребующая установки... Если есть, то какая, и как там что делать...
MC707 :: Есть такая, WinHex называется. Шароварная, но кряков к ней дофига уже давно раскидано. Занимает где-то от 800К до метра.

mnalex :: MC707
Сенкс, тока с ней проблемы с руссификаторами :( херово, да и серийник для новой версии ... долбонутая защита...

nice :: mnalex
PETools там есть ф-ия: дампить диапазон
ну а потом Hiew

XoraX :: а олли все равно удобнее ;)

mnalex :: :) А айсом тоже неплохо :) - так тоже можно сказать... Блин, есть же лоадеры, так что на их примере несделано еще такой штуки? Просто просмотреть адрес и все... даже править ненужно.... :(




mnalex Просмотр содержимого памяти Ребята, подскажите, есть ли программа...



mnalex Просмотр содержимого памяти Ребята, подскажите, есть ли программа (кроме айса и олли) через которую можно посмотреть содержимое определённых адресов в памяти? Меня интересует программа небольшая по размеру и нетребующая установки... Если есть, то какая, и как там что делать...
MC707 :: Есть такая, WinHex называется. Шароварная, но кряков к ней дофига уже давно раскидано. Занимает где-то от 800К до метра.

mnalex :: MC707
Сенкс, тока с ней проблемы с руссификаторами :( херово, да и серийник для новой версии ... долбонутая защита...

nice :: mnalex
PETools там есть ф-ия: дампить диапазон
ну а потом Hiew

XoraX :: а олли все равно удобнее ;)

mnalex :: :) А айсом тоже неплохо :) - так тоже можно сказать... Блин, есть же лоадеры, так что на их примере несделано еще такой штуки? Просто просмотреть адрес и все... даже править ненужно.... :(




hammer Чем прогу сдампить можно? Собственно... сабж. Подскажите пЖаЛста.



hammer Чем прогу сдампить можно? Собственно... сабж. Подскажите пЖаЛста.
Dragon :: PE Tools

-= ALEX =- :: Lord PE...

Slavon :: PEditor, PROCDUMP :)

Slavon :: Дампером

Dragon :: а ещё команда !dump в IceExt. Кто ещё предложит?

KLAUS :: PE Editor by YODA -здавенько пашет!

Mario555 :: OllyDump
Продолжим...

AlexZ CRaCker :: Есть ещё CoolDump. Тока им ни разу не дампил.

Kerghan :: Stud PE
кто больше?

-= ALEX =- :: AlexDump

Slavon :: TRW: dump offset size filename

Slavon :: SI + Icedump

KLAUS :: hammer

Ну ты там как?? Сдампил прогу??

MC707 :: LOL

WinHex

ViViseKtor :: KLAUS пишет:
цитата:
Ну ты там как?? Сдампил прогу??


Чета молчит. Похоже вы его загрузили слишком.

WELL :: ViViseKtor пишет:
цитата:
Чета молчит. Похоже вы его загрузили слишком.


Ну видать пока качает все, что ему насоветовали




XPiS Знатокам PE В любом Win32 PE есть dos stub. минимальный размер - 64...



XPiS Знатокам PE В любом Win32 PE есть dos stub. минимальный размер - 64 байта - sizeof(IMAGE_DOS_HEADER). Но,
встретил я exeшник совсем без dos stub. Типа MZ??????????PE... Как это сделано?

Линк (3 кила)
http://www.xpis.by.ru/no_stub.rar
Dragon :: А в чём дело то? e_lfanew ставишь, чтобы сразу за структуру IMAGE_DOS_HEADER указывал, и всё.
А там ничего не было такого, а то я его случайно запустил..

XPiS :: Ты чувак не понял - там вообще IMAGE_DOS_HEADER нет - посмотри.

fuck it :: это еще херня, как вам экзешник начинающийся с MZ..PE и весит 153 байта.

XPiS :: fuck it:
Чувак, дело жизни, дай линк.

XPiS :: 2 Dragon:
Ну, разобрался? Как демка?

Dragon :: fuck it пишет:
цитата:
то еще херня, как вам экзешник начинающийся с MZ..PE и весит 153 байта.


По идее винда его не должна запускать, т.к. IMAGE_DOS_HEADER отсутствует.

XPiS
Я в ней не разбирался, только заметил, что её потом закрыть трудно.. Видно, что не link.exe использовался, который кроме stub’а ещё и идентификационный номер компа записывает после него.

XPiS :: «По идее винда его не должна запускать, т.к. IMAGE_DOS_HEADER отсутствует.»
Но запускает!!!
Посмотри в WinHex на демку. MZ??????????PE - 10 вопросов=байт

Кстати есть отличный способ убрать идентификацию компа, которую link записывает - на wasm.ru в разделе компиляторы софтина лежит - патчит link.exe.

fuck it :: так вы не думайте что 153 байта просто
там еще messsabox


XPiS а нафик тебе ?

fuckit1.moyserver.com/153.exe

Aster!x :: Без stub’а совсем не бывает, это всё-равно stub.
Если вы хотите знать откуда это взято, то вот первоисточник
http://www.wasm.ru/docs/1/assemblerru.zip

Aster!x :: ›Кстати есть отличный способ убрать идентификацию компа, которую link записывает - на wasm.ru в разделе компиляторы софтина лежит - патчит link.exe

Не патчит, а всего лишь ищет место для патча, специально так сделано ;)

XPiS :: Посмотрите кто-нить в Hex на http://www.xpis.by.ru/no_stub.rar
fuck_it спасибо, это круто, правда, большинство прог не считают его за корректный win32 файл почему-то

fuck it :: XPiS
естественно !

XPiS :: Естественно, оно-то да. Но Посмотрите кто-нить в Hex на http://www.xpis.by.ru/no_stub.rar
Объясните как это сделано? Ветераны, отзовитесь!!!






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS