Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку...


Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку (похоже при CreateProcess)
а DZA патчит на ура...
-= ALEX =- :: это ты наверное про memory patcher, да ?

Purple :: Да именно про статью

Purple :: ошибка при инициализации приложения 0хс0000142. (в заголовке имя проги которая должна быть пропатчена)=›
ошибка в createprocess?

Python_Max :: Сдается мне, что там первые два параметра местами перепутаны

Purple :: да ошибок там хватает но по идее патч должен пропатчить прогу но вместо этого ...

Python_Max :: › Сдается мне, что там первые два параметра местами перепутаны

А в принципе и так, и так запускается, как ни странно...

Вопросик в тему:
Если я описанным в статье способом хочу убрать наг, то как мне остановить выполнение программы после того как она распакуется? Дело в том, что сразу после распаковки вываливается наг, а байтики, которые патчер должен заменить, замениться не успевают. А если заменять сразу, то, как и обещалось в статье, - Protection Error 15 :(

Если это сделать нереально, то как мне найти то место, где происходит jump на OEP после распаковки (ASProtect 1.2 / 1.2c), чтобы его изменить? (pushad нашел с помошью Break&Enter, а вот соответствующий popad нет, слабоват еще - никак не могу дотрассировать :/). Может есть какие-то характерные участки кода соответствующие окончанию распаковки? А там же еще после распаковки проверка на целосность идет...

ЗЫ: ситуация аналогичная (как в статье) - просто забить два NOP’a.

-= ALEX =- :: да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

Python_Max :: Уже нашел! :)
bpm esp-4 (как все просто).

Еще вопрос:
в сайсе:
00E9A08C: jmp EAX

Как мне найти смещение этого кода в файле, чтобы его изменить?
Поиком не ищется, видать нету таких строк до запуска :/

Вот еще прикол: при повторении действий адрес jump’a другой!
00E9A2B9: jmp EAX

Че за прикол??? Как его изменить на свой???

mnalex :: Python_Max
Почитай это:
http://www.alex2kx.nm.ru/aspr123rc4unp.html

Python_Max :: В этой статье я не нашел ответа на свой вопрос, хотя почитать, как всегда, было интересно (недавно начался информационный голод, перечитываю все подряд статьи по реверсингу :) ).

Мне _не_ нужно распаковать прогу, необходимо изменить jmp ‹OEP› на jmp ‹MY_CODE›.
Переход на OEP я уже нашел благодаря «bpm esp-4 -› F5 -› F5», но:
1) у него постоянно разный адрес получается;
2) более того, этот адрес оказывается за пределами файла (т.е. Hiew мне не поможет)!

PS: вот прочитал немало статей по распаковке. Спрашивается: зачем распаковывать?
Вы что потом распакованную версию юзать собрались?
Ну понятно, чтобы дизассемблировать. А если, например, мне не нужно этого делать?

Я нашел, что мне нужно изменить два байта и все было бы круто!
Добавил свой код, который это делает. Осталось заменить переход на OEP переходом на этот код...

С помошью лоадера, как выясняется, наг убрать не удастся.
Изменить jump ‹OEP› мне тоже не судьба...
Может есть еще какие-то варианты?

-= ALEX =- :: Python_Max понял я тебя. расскажу по подробнее. короче аспр - это не простой пакер, помимо крутой защиты, там многослойная паковка, т.е. сначало некий распаковщик распаковывает в выделенное виртуальное пространство, распаковщик №2, потом этот распаковывает распаковщик №3, там происходят всякие проверки, апи аспра, короче образно говоря до фига всего, потом уже идет разборка с импортом и распаковка самой проги. но это все очень замудрено, полиморфные распаковщики, мусор, CRC и т.д.... надеюсь сейчас малость понятно стало.

Purple :: ›да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

что появилась на inline-patch? или на что?

-= ALEX =- :: Purple ты прав, щас мода на патчи ну или на cracked exe :)

Madness :: Python_Max
›Как мне найти смещение этого кода в файле, чтобы его изменить?
В чистом виде в файле его нету, он из запакованной dll.

›при повторении действий адрес jump’a другой!
Ну дык dll ведь.

›Может есть еще какие-то варианты?
Не менять OEP, есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду, скажу только что сделать патч для аспра вполне реально (до 1.3 пока не включительно, на 1.3 мне так никто и не дал ссылки).

-= ALEX =-
› щас мода на патчи ну или на cracked exe :)
Точна, лоадеры фигня.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS