Русский / Russian English / Английский

Сейчас на форуме: igorcauret, packer (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Убрать ссылку на сайт в enigma protector
Посл.ответ Сообщение

Ранг: 0.9 (гость)
Статус: Участник

Создано: 15 апреля 2019 17:19 · Поправил: DenYA New!
Цитата · Личное сообщение · #1

Как убрать ссылку на сайт в программе накрытой enigma protector - с окна регистрации. При запуске появляется окно регистрации и нужно с него убрать url сайта. Мне нужно это научится делать самому на Demo версии.

Я не совсем туп и умею пользоваться olly dbg, winHEX но почему то не могу найти адрес ссылки. Подтолкните в какую сторону копать или сам принцип ?

Прошу только не проходить мимо и не строго не критиковать.

Ранг: 251.0 (наставник)
Статус: Участник

Создано: 15 апреля 2019 17:24 New!
Цитата · Личное сообщение · #2

DenYA пишет:
не могу найти адрес ссылки

DenYA пишет:
умею пользоваться olly dbg

нет, не умеете

Ранг: 0.9 (гость)
Статус: Участник

Создано: 15 апреля 2019 17:30 New!
Цитата · Личное сообщение · #3

TryAga1n, Ищу как бинарным поиском. Ищу сами текстовые строки "search for -". Но не помогает, почему не умею (Как аматор умею).


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 15 апреля 2019 17:58 New!
Цитата · Личное сообщение · #4

Возможно текст хранится под вм или в зашифрованном виде
Тогда найти только получится когда он непосредственно расшифрован и передается WinApi/Qt или чего у него там

| Сообщение посчитали полезным: DenYA


Ранг: 0.9 (гость)
Статус: Участник

Создано: 15 апреля 2019 18:02 New!
Цитата · Личное сообщение · #5

Boostyq, Не под виртуальной машиной. Я для себя запаковал на демоверсии программы небольшой файлик. И выставил настройки только привязка к железу и больше никаких настроек не вводил. Вот и потому интересно как найти текст ссылки что находится на окне регистрации.


Ранг: 267.3 (наставник)
Статус: Участник
RBC

Создано: 15 апреля 2019 18:16 New!
Цитата · Личное сообщение · #6

а зачем тебе энигма? под upx тоже ниче не видно

| Сообщение посчитали полезным: DenYA


Ранг: 0.9 (гость)
Статус: Участник

Создано: 15 апреля 2019 18:45 New!
Цитата · Личное сообщение · #7

Kindly Я усложнил себе задачу. Чисто из интереса хочу научится. Тем более что тестовые файлы я пакую маленькие и вот пока что не могу осилить этот способ. Знаю что если в enigma включить весь функционал то моего опыта даже на 2% не хватит. Но вот потихоньку и на простых примерах хочу научится. Может кто, чисто, пример подкинет.


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 15 апреля 2019 19:54 New!
Цитата · Личное сообщение · #8

А окно регистрации то чье, как оно вообще выглядит, что за ссылка, етц?


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 15 апреля 2019 19:54 New!
Цитата · Личное сообщение · #9

Еще один начинающий разраб-романтик такие мысли возникают когда нужно чужую работу выдать за свою ну например есть ПО к нему выпрашивают у крякеров кейген или находят в сети и меняют или затирают сайт автора.

Как это делается запускается ПО находится адрес строки в памяти пишется лоадрь основной ехе переименновывают в dll и запускают через этот лоадырь.exe

есть второй вариант под отладчиком находим в теле строку меняем на своё или затираем и восстанавливаем crc или патчим проверку crc.

Добавлено спустя 1 минуту
Давай лучше свою самоделку на слом.


Ранг: 244.0 (наставник)
Статус: Участник

Создано: 16 апреля 2019 01:44 New!
Цитата · Личное сообщение · #10

Запускай отдельный поток, который найдет это окно и уберет строчку

Ранг: 0.9 (гость)
Статус: Участник

Создано: 16 апреля 2019 12:12 New!
Цитата · Личное сообщение · #11

SDK, Сегодня пытаюсь сделать как посоветовал SDK, через арт мани. Если получится сделать то загружу схему в картинках. Задача то не простая для меня но поделится всегда не против .

Ранг: 251.0 (наставник)
Статус: Участник

Создано: 16 апреля 2019 13:43 New!
Цитата · Личное сообщение · #12

DenYA пишет:
загружу схему в картинках.

не стоит утруждаться

| Сообщение посчитали полезным: DenYA


Ранг: 0.9 (гость)
Статус: Участник

Создано: 16 апреля 2019 14:31 · Поправил: DenYA New!
Цитата · Личное сообщение · #13

TryAga1n, SDK. Немного разобрался и нашел через арт мани адрес:

Но вот проблема в том что при каждом запуске этот адрес в памяти разный.

Как тут быть, точнее как его изменить, если он не постоянный ? Пробую изменить через PMaker (Программы для создания патчей и лоадеров) этот адрес но он же не постоянный ?


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 16 апреля 2019 16:26 New!
Цитата · Личное сообщение · #14

DenYA пишет:
Но вот проблема в том что при каждом запуске этот адрес в памяти разный


https://www.google.com/search?q=artmoney+dma


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 16 апреля 2019 17:15 New!
Цитата · Личное сообщение · #15

DenYA пишет:
Как тут быть, точнее как его изменить

Тут два варианта:
- если адрес из статической памяти (маппируется из образа, зеленый в Cheat Engine), то он постоянный, просто база загрузки приложения разная. Поэтому нужно делать через смещение: найденный адрес - <твое_приложение>.exe получишь смещение и в дальнейшем просто <твое_приложение>.exe+смещение будет работать до тех пор пока образ одинаковый.
- если адрес из динамической памяти (выделяется во время работы, черный в Cheat Engine), то нужно искать цепочку, которая указывается на этот адрес (структуры и ссылки), и опять же она начинается со статического адреса.

Ранг: 0.9 (гость)
Статус: Участник

Создано: 16 апреля 2019 17:56 · Поправил: DenYA New!
Цитата · Личное сообщение · #16

Boostyq, Gideon Vi,
Ну вот, к примеру, тестовый файл, я на него вешаю enigma-демо и там одна настройка показать регистрационный диалог, ничего больше.

Для наглядного примера сделал вот так (То есть просто поместил адрес этого форума, для примера):


Удалить нужно ссылку из окна подчеркнуто на картинке:

Тестовый файл: http://rgho.st/6z5mjhfyC

Один человек взялся помочь, подсказать: CyberGod.

Но вы тоже мне вопросы задаете и это хорошо. Поэтому выложил ссылку на тест.

Пока что у меня ручки кривоваты хотя уже пробовал и через Cheat Engine.

Добавлено спустя 1 час 6 минут
Все таки через Cheat Engine нашел постоянный адрес и как теперь быть:


Добавлено спустя 2 часа 31 минуту
Не могу понять почему адрес (картинка) 02EA0808 не находится в OllyDbg ?, искал в памяти. Хотя он постоянный.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 апреля 2019 04:23 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #17

вообще говоря, с чего следовало начать: запускаем софт, открываем его в winhex (open memory), ищем строку (как в ascii, так и unicode). Нашли - радуемся, идём читать про создание лоадеров на любом высокоуровневом языке. Да хоть в dup, но это не подходит под ТЗ: Мне нужно это научится делать самому



Ранг: 244.0 (наставник)
Статус: Участник

Создано: 17 апреля 2019 04:28 New!
Цитата · Личное сообщение · #18

Gideon Vi пишет:
вообще говоря, с чего следовало начать

Есть мнение, что рассматривать картинки и гадать по ним что надо сделать, тебе не понравилось.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 апреля 2019 04:32 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #19

f13nd пишет:
Есть мнение, что рассматривать картинки и гадать по ним что надо сделать, тебе не понравилось.




DenYA пишет:
Я усложнил себе задачу


чем? Ты используешь прот в режиме пакера.


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 17 апреля 2019 08:42 New!
Цитата · Личное сообщение · #20

Gideon Vi пишет:
открываем его в winhex (open memory)

а DenYA ищет его в теле программы и хочет научится находить его именно там ,и убирать эту строку под вин хекс и оллидбг тоесть ждёт пока гидеон запишет гиф про ролный разбор енигмы


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 апреля 2019 09:24 New!
Цитата · Личное сообщение · #21

SDK пишет:
а DenYA ищет его в теле программы и хочет научится находить его именно там


лол, а в памяти копается потому, что в файле строки нет? ) Я всю тему не читал, мне скучно

SDK пишет:
тоесть ждёт пока гидеон запишет гиф про ролный разбор енигмы


не-не-не, мне ещё зиккурат строить.


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 17 апреля 2019 09:29 New!
Цитата · Личное сообщение · #22

Gideon Vi пишет:
а в памяти копается потому, что в файле строки нет
именно
я тоже не стал копаться в вм посоветовал найти юникод в рам и сделать патч но задача не затиреть _____ и не заменить на https:/mysite.ru а именно убрать строку и лучше из загрузчика вм.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 апреля 2019 09:44 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #23

SDK пишет:
а именно убрать строку и лучше из загрузчика вм


ну, в добрый путь тогда. Это будет захватывающее путешествие )

https://duckduckgo.com/?q=enigma+inline+patch&t=ffsb&ia=web

| Сообщение посчитали полезным: SDK



Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 17 апреля 2019 12:15 · Поправил: SDK New!
Цитата · Личное сообщение · #24

Этo yдивитeльнeйший пyть В нoвoe тyдa кyдa-нибyдь.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 18 апреля 2019 10:16 New!
Цитата · Личное сообщение · #25

DenYA

Исходная инфа для решения задачи - определённая строка. Значит ищем строку в памяти(не сканом, а по адресации - это делает визор(адресный декодер для каждой инструкции определяет адресуемую память)). Интересует событие её чтения(после записи). Тоесть если строка перемещается внутри блока данных это событие не видим, тк это не её адресация. Если происходит запись в память нужно обработать W-выборку после исполнения инструкции, но нас это событие так же не инстресует, тк далее будет R-выборка.

Первые два найденные события(см скрин) - копирование искомой строки из расшифрованного блока(ресурсы походу). Далее блок уничтожается, а сторока располагается в прочих буферах. Так как это исходный блок, изменяем найденные строки. Далее текст отрисовывается изменённый.

До адресации строки происходит многократная пересылка блоков, начиная с расшифровки. Эти события не интересны, так как ресурсы шифрованы. По стеку вызовов можно найти код, который реализует эту ссылку". Это часть апп, выполненная на винапи, просто скипнуть её нельзя, нужно разбирать логику апп. Автоматика в этом никак не поможет.

.9E22 - второе событие, адресация строки в буфере(в который скопировалась строка(.6322 -> .052C)) из MultiByteToWideChar(). Если в этом буфере изменить строку, то она изменится также при отрисовке. Тогда достаточно фильтровать эту апи и подменить данные(ставим точку останова на апи и проверяем параметры), либо ожидать когда выполнится адресующий строку код(те хардкод).

Так же можно посмотреть на юникод строки. Интересное событие - запись строки в поточное хранилище(TEB). Это формирование пакетного запроса в ядро на отрисовку, виден стек вызовов: DrawTextW() ..-> TextOutW(). Это событие интересно отложенной обработкой, строки накапливаются и далее пакет может быть обработан при вызове любой функции гуя, даже не имеющей отношения к отрисовке текста. К исходной задаче это прямого отношения не имеет, но это важно если нужно определить откуда выводится текст. Впрочем можно и по этому событию найти источник строки.

ps: В аттаче для теста так же ищется строка "MAGICVAL", это видно если ввести её в поле ввода.

--> Link <-- vx

| Сообщение посчитали полезным: SDK

 eXeL@B —› Вопросы новичков —› Убрать ссылку на сайт в enigma protector

Видеокурс ВЗЛОМ