Русский / Russian English / Английский

Сейчас на форуме: ajax (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Не получается стандартный взлом
Посл.ответ Сообщение

Ранг: 0.1 (гость)
Статус: Участник

Создано: 12 ноября 2004 18:52 New!
Цитата · Личное сообщение · #1

Привет всем!

Вот попытался взломать одну прогу, опыта взлома пока нет, установил SoftIce установил точки прерывания на фунуции:
GetWindowTextA, GetWindowTextW, GetDlgItemTextA, GetDlgItemTextW
как в книжках пишут, однако программа по этим точкам не останавливается. Видимо функция вызова лежит в библиотеке (pbd) так я понимаю PowerBuilder, как в этом случае отлавливать?

И ещё другая буржуйская программа при запуске под SoftIce отлавливает это и пишет какую-то гадость, видимо в реестр, и больше не запускается, как от этого защитится?

Ранг: 160.9 (ветеран)
Статус: Участник

Создано: 12 ноября 2004 19:48 New!
Цитата · Личное сообщение · #2

А ты попробуй сначала проверит!!!! А вдруг она чем небудь запакована!!!! Для етого скчай с wasm.ru PEiD И проверь!!! Если запакована тогда для начала надо её распокавать!!!


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 12 ноября 2004 22:51 New!
Цитата · Личное сообщение · #3

Multy пишет:
установил SoftIce установил точки прерывания на фунуции:
GetWindowTextA, GetWindowTextW, GetDlgItemTextA, GetDlgItemTextW
как в книжках пишут, однако программа по этим точкам не останавливается

1) Читай http://www.exelab.ru/art/
2) В файле winice.dat убери занк ; перед этими строками:
EXP=c:\windows\system\kernel32.dll
EXP=c:\windows\system\user32.dll

Multy пишет:
И ещё другая буржуйская программа при запуске под SoftIce отлавливает это и пишет какую-то гадость, видимо в реестр, и больше не запускается, как от этого защитится

Использовать тулзы, скрывающие отладчик (iceext например).

Cigan пишет:
Если запакована тогда для начала надо её распокавать!!!

То что бряки не срабатывают тут ни при чём. Бряк ставится на вызов функции, а так как прога в памяти распакована, то и бряк сработает.

P.S. Стандартных взломов нет

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 13 ноября 2004 02:44 New!
Цитата · Личное сообщение · #4

Multy
Какая верия PowerBuilder'a?


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 13 ноября 2004 03:16 New!
Цитата · Личное сообщение · #5

WELL пишет:
То что бряки не срабатывают тут ни при чём. Бряк ставится на вызов функции, а так как прога в памяти распакована, то и бряк сработает.

Это не совсем так... если пакер использует переходники, то бряк на начало функции ничего не даст =)


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 13 ноября 2004 04:51 New!
Цитата · Личное сообщение · #6

А может прога на Delphi??? В Делфи не катят стандартные функции


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 13 ноября 2004 05:33 New!
Цитата · Личное сообщение · #7

Mario555 пишет:
Это не совсем так... если пакер использует переходники, то бряк на начало функции ничего не даст =)

Да. В идеале конечно распаковать надо ;)

Ранг: 0.1 (гость)
Статус: Участник

Создано: 13 ноября 2004 14:25 New!
Цитата · Личное сообщение · #8

Я всё-таки так и не понял как мне установить точку прерывания если вызов необходимой мне функции находится в библиотеке PowerBuilder?

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 ноября 2004 09:44 New!
Цитата · Личное сообщение · #9

Неужли никто таки и не знает как установить точку прерывания если вызов необходимой мне функции находится в библиотеке PowerBuilder?

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 10:58 New!
Цитата · Личное сообщение · #10

Multy
А какая разница где ставить бряку?
Смотришь какая ф-ия и делаешь в ольке бряк:
BP NameFunctionPowerBuilder
Только ф-ия должна быть подгружена в память процесса

Чуть выше я тебя спрашивал: КАКАЯ ВЕРСИЯ POWERBUILDERa??? Для 7 и 8ой существовал декомпилятор

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 ноября 2004 11:55 New!
Цитата · Личное сообщение · #11

Сорри может быть за глупые вопросы, но я именно не понимаю как поставить брекпоинт, что бы он остановился в билиотеке.
Из заголовка файла HDR*PowerBuilder 06_00TDA не знаю какя это версия библиотки.

Ранг: 160.9 (ветеран)
Статус: Участник

Создано: 17 ноября 2004 12:32 New!
Цитата · Личное сообщение · #12

Да все просто, если в Олли то ctrl+o далее event и ставишь галочку на LoadNewDLL, хотя точно не помню!!!! В ice вроде команда mod и там дальше вибераешь свою длл. Или еще проще открываешь длл меняешь OEP на СС делаешь bint3 далее возращаешь настоящую OEP и ставишь бряк на нужную АПИ!!!

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 12:36 New!
Цитата · Личное сообщение · #13

Multy
Я пользуюсь OllyDbg.
Делаешь так:
запускаешь Ольку, загружаешь программу.
жмешь Ctrl+M - находишь библиотеку нужную тебе, переходишь в её код, жмёшь Ctrl+N в списке находишь ф-ию, ставишь на неё бряк F2 или BP Addr

Вот попробуй:

Кстати PowerBuilder не так уж популярен поэтому мало кто с ним сталкивался

Ранг: 0.1 (гость)
Статус: Участник

Создано: 17 ноября 2004 20:59 · Поправил: Multy New!
Цитата · Личное сообщение · #14

Фигня в том, что эти библиотеки расширение pbd, не Dll и OllyDbg их не понимает и не грузит.
 eXeL@B —› Основной форум —› Не получается стандартный взлом

Видеокурс ВЗЛОМ