Защита PE - ASM
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Защита PE - ASM - 2010-08-02 23:28:41.640000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Мир вашему дому !!![sm=br.gif]
Мальчишки,помогите реализовать идею по защите приложения от реверса
(Не ругайтесь,-ведь я ещё только учусь…
Покажите пример - и вы увидите на что я способна)
(никак не могу найти ничего подходящего))
——————————————————————————————–
Хотела бы внедрить (желательно при помощи OllyDbg) в свой PE-файл код,-
который бы проверял целостность приложения
(не целостность контрольной суммы,а приложения)
(если программа страдает полиморфизмом - контрольная сумма каждый раз будет разная.Верно?)
Мой Exe-шник использует для устойчивости,помимо антиотладочных приёмов внутри,
ещё и дополнительные защитные dll-модули снаружи.
Мне бы очень не хотелось,-чтобы прога продолжала работать после удаления любой динамической библиотеки.
А тихо-мирно завершала работу не начав её.
——————————————————–
Успев напоследок подумать.Своим искусственным интеллектом:
(-Работа не волк-в лес не убежит,дураков работа любит от работы кони дохнут.)[sm=bs.gif]
(А ещё лучше самоуничтожусь,но только обязательно вместе с хозяином и компьютером, на который попала)Шучу))):D;)
С уважением ко всем участникам форума - eLISAveta[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-03 00:32:43.680000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
А как ваш чудо-код будет отличать последствия полиморфизма от внедрения чужого кода?
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-03 00:35:41.420000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
quote:
Хотела бы внедрить (желательно при помощи OllyDbg) в свой PE-файл код
Если программа твоя,то зачем тебе OllyDbg,когда можно ведь и в исходном коде осуществить задуманное.
quote:
Мне бы очень не хотелось,-чтобы прога продолжала работать после удаления любой динамической библиотеки.
Она и так работать не будет,если зависима от дополнительных модулей.
И коль ты только учишся,то не спасёш своё творение от реверса.Если вообще кому то захочется,это ломать.
Разве что из за спортивного интереса в качестве крякми
В общем накрой вмпротом и не мучайся!:D
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-03 22:50:46.196666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Тут как бэ ломают защиты, а не строят. Ждем от вас новый starforce )
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-04 18:09:08.693333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Трубите марш!-коммандовать парадом буду я, а нести ответственность будете вы!:D
=======================================================
quote:
Она и так работать не будет,если зависима от дополнительных модулей.
И коль ты только учишся,то не спасёш своё творение от реверса.Если вообще кому то захочется,это ломать.
Разве что из за спортивного интереса в качестве крякми
В общем накрой вмпротом и не мучайся!
——————————————————————
Она(программа) работает и использует дополнительные Dll-модули для защиты от отладки.
И продолжает работать после их удаления.А мне бы хотелось ,
чтобы все файлы и библиотеки в программе были взаимосвязаны и взаимозависимы.
Чтобы вам было более понятно - покажу пример того что мне хотелось бы сотворить
/////////////////////////////////////////////////////////////////////////////////////////////////////
Возьмём для опытов test.exe и unrar.dll c чудной функцией ___CPPdebugHook
———————————————————————————————–
Код test.asm :
+++++++++++++++++++++++++++++++++++++++++++++
.386 ; процессор, использование команд которого разрешено
.model flat, stdcall ; Windows использует "плоский" (FLAT) тип памяти, stdcall указывает способ передачи параметров функций
option casemap :none ; различие больших и малых букв, нужно чтобы можно было использовать API функции
; подключим необходимые заголовочные файлы.
; нужно указать путь к этим файлам на ВАШЕМ диске
include C:\MASM32\INCLUDE\windows.inc
include C:\MASM32\INCLUDE\user32.inc
include C:\MASM32\INCLUDE\kernel32.inc
includelib C:\MASM32\LIB\kernel32.lib
includelib C:\MASM32\LIB\user32.lib
.data
szMBText db " Привет ASM!",0 ; текст в окне MessageBox
szMBHead db "My Programm",0 ; текст в заголовке MessageBox'а
.code
start:
invoke MessageBox,NULL,ADDR szMBText,ADDR szMBHead,MB_OK; покажем наш MessageBox
invoke ExitProcess,0 ; завершим приложение
end start
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
компилируем->MASM32->test.exe->LordPE->
меняем точку входа на (EP)->00001026->Save->O.K.
Открываем test.exe c новой точкой входа под OllyDbg->
Идём ниже 00001026,ищем свободное место.C адреса 00401050->выделяем побольше места->
Follow in Dump->Selection->Binary->Edit->пишем в верхнейстрочке(ASCII)->unrar.dll->O.K.
00401026->Assemble->
push 00401050 ;выбранный адрес c ASCII "unrar.dll"
call LoadLibraryA ;вызов функции LoadLibraryA (или search for->)
jmp 00401000 ;прыжок на первоначальную точку входа в программу
…………………………………………………………………………………………………………………….
Ах да,нужно немного подправить unrar.dll чтобы функция ___CPPdebugHook заработала
и кинуть всё в одну папку(посуём мы всё в бадью,пошлём .. подальше и ..,Адью)
Если всё сделано верно программа будет работать вне отладчика и обрубать трассировку под ним.
(а можно и другую динамическую библиотеку привинтить,с иными функциями)
………………………………………………………………………………………………………………………………………….
Предвижу ваш вопрос-почему я не заюзала IIdking и просто не внедрила в таблицу импорта PE функцию
___CPPdebugHook - Потому что этот метод Желатина уже палится AV
Да и опыта в Ассемблере поднабраться хотелось
А насчёт "если вообще кому то захочется ломать"вы милостивый государь не правы.Одни лапки я точно знаю которые захотят покопаться во внутренностях моей программы.
Это злобные лапы Евгения Касперского.Этот "Доктор"-убийца в электронном халате замочил уже не одного доброго пациента.(Доктор сказал в морг - значит в морг):D[&o]
Как бы это лучше сказать - моя новоявленная программа является не совсем пользоносной
Согласна,что сломать или обойти можно любую защиту.(Если знаний хватит)
НО,не у всех их столько же как и ума - Палата.(Да не к вам это будет сказано,милые участники форума ][ -
У кого-то есть,а у кого-то только воробью на одно место намазать.И что-то мне внутренне подсказывает,-что тех у кого воробью - большинство):D
Да,и сколько времени займёт вскрытие?А когда ВЫ найдёте зашифрованный IP моего сервера,на который программа будет отсылать вашу интимную информацию - я уже далеко-далеко буду.
В глухих таёжных уголках моей необъятной Родины.(с новым компьютером):D
Протектор искажаеет мой самомодифицирующийся код и программа перестаёт работать
Хочу ещё с метаморфным кактусом поэксперементировать и перенесением части функций в недра Dll.
Авось сложится пазл.
Большая часть исходного кода моей проги(не публикую) - плагиат и модификация уже известного.
Hi ASM!
P.S.Ага,ждите..,я даже ей уже и название придумала StarForce - Rustock E beta:D:D[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-04 20:34:27.830000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
Дорогая Елизавета,если Вы полагаете,что подобные манипуляции спасут от отладчиков,которых несколько,тот же ollydbg с целым арсеналом плагинов,то Вы по меньшей мере наивны.Бывает совсем необязательно заглядывать в отладчик,хватит для первого
осмотра дизассемблера.Палево
антивирусами,это тоже не остановит,а то и приблизит с этими вашими дллками.Ваш полиморф,если основывается на уже известном алгоритме,тоже быстро раскрутят,да и добавят банально сигнатуру.Эмуляторы в нынишних антивирусах,которые
прогонят Ваш код через себя,уже давно не те,что были раньше.Не забывайте так же о проактивке и фильтре сетевого трафика.Применяйте разные антиэмуляционные трюки,а то что это,прямой джамп на оеп,хотя бы через SEH что ли,или проверка какого условия (понимаю,что это только пример).И зачем опять же,что то править в отладчике,когда есть исходный
код для этого.
Почитайте классику тута:
http://www.wasm.ru/publist.php?list=6
и на форуме тута:
http://www.wasm.ru/forum/viewforum.php?id=6
Креативы Зомбы тута:
http://vx.netlux.org/
и тута:
http://virustech.org
и Касперского почитайте,только другого…
и много,много ещё чего.
По большому счёту в реверсинге и разных там вирусных технологиях я тоже не специалист и поентому мои слова не претендует на истину.
Зыыы..ошибки исправил..
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-04 21:23:15.490000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
продолжайте, интересно почитать и посмотреть что из всего этого получится. Антитрассировка это не проблема если поставить бряк ниже и отпустить программу.
quote:
А когда ВЫ найдёте зашифрованный IP моего сервера
Мы и не такое еще раскручивали.
P.S. не думал что девушки этим занимаются )
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 02:36:02.526666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Уважаемый CIH2009 - спасибо за информацию
мне известно что подобное не спасёт от отладчика,
и вообще,-я ещё только развиваюсь в кодинге,
поэтому моя программа не рассчитана на продвинутого взломщика,
мне хотелось лишь получше спрятать свои координаты от начинающего реверсера,
поэтому помимо всяких модулей
разобрала и использую такие трюки как:
——————————————————————
Самомодифицирующийся код,
kernel32!CloseHandle and NtClose+NtSetInformationThread
Перенесение API-функций внутрь программы +
использование двойного вызова GetTickCount и сравнение результатов работы таймера,
проверку флага - инструкции push ss/pop ss,
Heap flags,
различные варианты передачи в функцию vsprint ()
управляющей строки,содержащей спецификаторы,посредством вызова API-функции OutputDebugStringA,
свой IsDebuggerPresent ,
Чтение значения переменной NtGlobalFlag стуктуры PEB
модификации использования машинных инструкций RDTSC и REP STOS
Очень нравится AnimateWindow и последующий чёрный квадрат -
и ещё кое-что..,
Ну и конечно мелочи - ручное+автоматическое внедрение липовых сигнатур,
(Человеку написавшему ExeForger и предоставившему нахаляву
для общественного мнения огромную базу в текстовом варианте - троекратное УРА!)
попадаются же такие хорошие люди)) и всякую другую мелкую антиотладочную сволочь.:D
//////////////////////////////////////////////////////////////////////////////////////////////////////////////
Можно ещё как катком пройтись чем-нибудь тяжёлым типа:
Themida,ORIEN или C-Metamorph
(какой протектор выбирать-дело вкуса) -
шифруя и размазывая код по всей программе.
Однако после сих асфальтоукладочных превращений моя прога упорно отказывается работать.
Объявляет забастовку.[sm=ak.gif]
——————————————————————————————————————–
(кстати,у меня почти нет трюков против виртуализаторов-песочниц типа SandBoxi,и т.п.
Очень хотела бы усвоить в OllyDbg противодействие подобному)
…………………………………………………………………………………….
Flint_ta
quote:
-Мы и не такое еще раскручивали.
-Верю,верю
quote:
-не думал что девушки этим занимаются )
-А вот представь себе.И чтобы отпали все сомнения - (но только если вы меня не будете обижать)
в ближайшем будущем засвечу своё свет ясно солнышко милое личико,
но только один раз и со спины на фоне лички
Хотя,если б не моё чудовище я до сих пор бы тихо-мирно ликвидировала виртуальных монстров
и переписывалась в одноклассниках.Метаморфозы…
####################################
P.S.CIH2009 - А Касперского который другой я читаю -
Вирусы изнутри и снаружи и Записки исследователя компьютерных вирусов
####################################################
C благодарностью и признательностью всем ответившим ![sm=ba.gif]
eLISAveta*5 августа*сего года*от рождества Христова[sm=d03041.gif][sm=aj.gif]
………………………………………………………………………………………………………………………….
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 11:20:42.213333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Ну довайте уже crackme или unpackme чтоли посмотрим.
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 12:46:15.236666
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
quote:
P.S. не думал что девушки этим занимаются )
А между тем,это не фантастика!Что бы не быть голословным,приведу несколько примеров!
http://0x0c0de.livejournal.com/
http://lhc645.wordpress.com/
http://forum.antichat.ru/member.php?userid=36960
Если не ошибаюсь,она же:
http://tuts4you.com/download.php?list.17
Еще:
http://eas7.livejournal.com/
http://ori0nka.livejournal.com/
Вирусный аналитик.Малваре реверс
http://blog.alisa.sh/
http://esagelab.ru/about.php?n=0
Затем знаю довольно близко,чем то напоминает Елизавету.
http://xakepy.cc/showthread.php?t=52612
список можно продолжить…..
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 13:23:26.496666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Про Лену с tuts4you.com я уже слышал, Жанна Рутковская еще есть. Всегда считал реверс-инжиниринг не женским занятием, а тут вон оно как оказывается )))
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 14:29:20.860000
|
|
|
KSDR
Сообщений: 142
Оценки: 0
Присоединился: 2010-01-11 14:35:55.143333
|
del
|
|
|
|
|
RE: Защита PE - ASM - 2010-08-05 18:46:05.770000
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
Елизавета, теперь немного поддержки.
Как я понял,ты хочешь, чтобы твоя программа загружала некие библиотеки в процессе выполнения программы. Чтобы дать советы, необходимо немного уточнить.
Вопрос 1. Что мешает сделать банальную проверку после загрузки библиотеки (LoadLibraryA). Если библа отсутствует, возвращается 0.
Вопрос 2. Если библа отсутствует, а программа без неё работает нормально, почему? Ведь она должна что-то делать с кодом программы, действие обратное крипту, без которого прога должна падать.
Вопрос 3. Если программа твоя и есть исходник, что мешает внедрить код в сам исходник?
|
|
|
|
|
RE: [Deleted] - 2010-08-06 02:55:52.056666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
fromRIDDER -> Ты понял меня абсолютно верно,спасибо за советы!
(познавать мир программирования без всесторонней помощи и поддержки-
очень тяжко,особенно Ассемблер)
(;привыкла делать всё на совесть и доводить начатое до конца))
———————————————————————————
Кстати о птичках,-
я гражданка разносторонних интересов,
люблю пошалить в сфере компьютерной безопасности
и не смею ограничиваться только реверсом и антиотладкой.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Умею с пользой для себя,любимой:
Перепрограммировать внутренности почти любой USB;
(спасибо Вадиму за помощь)за простой Бот отдельно благодарю))
Вскрыть плохо настроенный Windows имея физический доступ и не имея пароля-
уже пара пустяков для меня(пламенная благодарность ERD и журналу ][ )
Ну а если имеются админские права - вообще прелесть -
cвободно повышаю привилегии до system и использую их по полной программе,-
изменяя boot.ini ,стирая NTDETECT и т.д. и т.п.
не забывая скопировать файлы и документы других владельцев оной машины,
(от много немножкА,-не кража а делёжка)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Не подумайте грешным делом что я хвастаюсь,
просто хотела чтобы у вас было немного больше представления о моих знаниях,
если будете отвечать мне
их пока не так много,но они непрерывно пополняются)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Люблю посещать bugtrack,сама проверять сайты на наличие SQL и XSS-уязвимостей
(правда с их разработкой пока существуют некоторые технические неувязочки,
но это дело наживное);)
Кодинг начинает затягивать,игры отошли в сторону(но только немного и не насовсем)
Смотрела мульт-Властелина Вселенной.-Понравилось.[sm=bs.gif]
Изучаю,компилирую и правлю исходнички на ASM,Delphi,Си,Python,Perl,Java
само собой присутствуют VB и VBS,а так же Html(куда ж без него)
Из отладчиков предпочитаю OllyDbg , 0_1_1_YDbg и Hiew32
-Вот спросите,спросите сколько времени я за компом провожу?!
-Ох,лучше не спрашивайте.
-Полюбопытствуйте сколько я не провожу за ним.
Всего не перечислишь.В чём-то продвинулась больше,в чём-то меньше.
Однако как я сказала в самом начале,-пока ещё только учусь и развиваюсь
Делаю ошибки(а кто их не делает) - Я ведь только резидент
(всё никак лучше чем запах-дух сети на глобальной помойке)[sm=db.gif],
но не останавливаюсь,
даже если появляются трудности.
…………………………………………………………………..
Вот давеча,захватила локальную Windows машину,
повысилась c простой смертной usi до system,
посканила локалку,добавила свой словарик и….,-
поимела логины и пароли всех юзеров в сетке(включая один безродно-безхозный админский аккаунт)
долго и упорно пыталась взломать подопытный Windows-сервер пока случайно не обнаружила что
он висит не на Windows ,а на Linux(Linux-SME-Server)думаю,-аномальная жара виновата))
Во всяком случае от всего-этого есть и польза-
один из администраторов подопытного сервера кланялся низко
и молил удалить злобный вирус пойманый одним из юзеров на свою машину в глобальной сети,
блеял что никак никак может его удалить со своими самыми высокими админскими правами
(захотел чего-спец в World-Word-Exel и полный лох в кодинге)
++++++++++++++++++++++++++++++++++++++++++
Для начала добилась привилегий насущьных,а не виртуальных.
Он сказал чтобы пошла бы я куда подальше(а сначала предлагал любовь и шоколадку!)[sm=d03022.gif]
Ответила,-что я конечно могу и уйти,
но не успею я сделать и двух шагов как он с визгом и воплями бросится за мной,
облизывая мои пятки,умоляя остаться.[sm=d03007.gif]
Он переменил своё необдуманное поспешное решение и мы пришли к консенсусу.[sm=dd.gif]
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
Пришлось доставать свою USB-superditrich-Cyber-отмычку
Оказалось-обыкновенная ложная Антивирусная программа
(а форсу как в комиссарше)
фальшифый антивирус,
прописывающий ключи в реестр
и закрепляющийся с привилегированными правами в загрузке -
был мною найден и беспощадно,безжалостно изничтожен за пять минут(!)
——————————————————————————————-
###################################################
Но т.к. ветка по взлому программ ..,
(прошу меня простить за столь долгое отступление)
-как лучше убрать NagScreen в программе без написания лоадера?
Знаю что можно поставить простой NOP на вызов этой функции в отладчике,
но не всё так безоблачно в этом методе.
Приподнесите мне интересную идею.
Или ко всему прочему прийдётся учиться писать самой лоадеры?
Давно терзаюсь сомнениями.
++++++++++++++++++++++++++
P.S.А информации о противодействии виртуализаторам видно не будет.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
P.P.S.если Мацал Коушек - еврей , то Газон Засеян -
неизвестное лицо кавказкой национальности
имеющий некашерный вид:D
+++++++++++++++++++
|
|
|
|
|
RE: [Deleted] - 2010-08-06 22:21:50.283333
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
Елизавета, учитывая размеры твоих постов, боюсь представить как ты общаешься в реале. Наверно, скорость твоей речи измеряется в количествах слов в секунду. А по количеству вставляемых смайлов, предполагаю довольно активную мимику и жестикуляцию. С такими данными тебе надо быть лидером какой-нибудь партии, а не заниматься "глупостями".      
Ниже перечисленные советы помогут не только к окну приветствия, но к любому окну. Конечно, лучше сразу обойти или занопить. Можно найти коллбэк-функцию и при инициализации дописать функцию закрытия окна. Можно подменить данные создания класса окна или самого окна на неправильные, при котором создание будет невозможно. Или возможно, но будет не видимо, к примеру длина и высота окна = 1 пиксел. Или положение окна будет располагаться за пределами рабочего стола. Или сделать окно невидимым. Или, вообще, нереальные манипуляции с кодом: дописываешь код, который создаёт новый рабочий стол, активирует его, потом идёт создание окна, затем возврат к старому рабочему столу.
Всё ограничивается только фантазией.
|
|
|
|
|
RE: [Deleted] - 2010-08-07 10:56:05.923333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
О о о о о о о о спасибо тебе fromRIDDER
Пускай и тебе по жизни светит только зелёный свет и на твоей улице почаще переворачиваются фургоны с сахаром !!!:D
|
|
|
|
|
RE: [Deleted] - 2010-08-07 23:22:07.913333
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
С наступающим днём варенья, Елизавета. Надеюсь, не с пятидесятым.[sm=1.gif]
|
|
|
|
|
RE: [Deleted] - 2010-08-08 01:05:17.570000
|
|
|
CepBuC~KaPduHr
Сообщений: 14
Оценки: 0
Присоединился: 2010-01-29 12:06:03.283333
|
при чем тут с днем рождения не по разделу=\
|
|
|
|
|
RE: [Deleted] - 2010-08-11 23:20:47.120000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
Ещё как по разделу,уважаемый.Это смотря к чему ты будеш применять понятие реверсинг.
Пост 18,как безусловный переход в конце процедуры,как возврат управления вызывающему коду.:D
|
|
|
|
|
RE: [Deleted] - 2010-08-12 18:34:42.160000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Мне до пятидесятого дня Рождения - как до Китая пешком:D
(до тридцати дожить бы…)
|
|
|
|
|
RE: [Deleted] - 2010-08-13 07:03:12.026666
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
quote:
Мне до пятидесятого дня Рождения - как до Китая пешком
До Китая пешком из России не более года уйдёт, неужели 49?
quote:
до тридцати дожить бы…
Без проблем, если, конечно, ты живёшь не в Хиросиме или Нагасаке.
|
|
|
|
|
NEW - 2010-08-16 23:25:55.776666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
quote:
CIH2009 - как безусловный переход в конце процедуры,как возврат управления вызывающему коду.
-Ага,не забыв перед этим взвести влаг записи секции в единичное состояние
- для внесения ясности и получения работоспособной модификации.:D
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
fromRIDDER
quote:
До Китая пешком из России не более года уйдёт, неужели 49? - Я полагаю,-торг здесь не уместен!-Никому,ничего,доказывать НЕ СОБИРАЮСЬ!
А говорить девушке что ей 50 ,49
и вообще упоминать о возрасте не только невежливо,но и нетактично))
(Но если не веришь- смотри рисунок в моём профиле)
А идти сейчас до китайских братьев мне гораздо дальше чем вам.:D
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Что за трюк с эмуляцией использует протектор ORIEN?Как его можно обойти?
Виртуализатору обламывает зубы сразу,как и отладчику
(Я себе такой-же хочу,в свою программу)
А разобрать протектор на запчасти пока не получается))[sm=ak.gif]
Вот если б нашёлся такой славный малый который бы объяснил слабопольной,-
как подступиться к сему и куда наносить основной ядовитый укус
-Мы бы наверное тогда все ахнули от радости,охнули от счастья,:D
а имя этого доброго человека навечно вошло в историю информационной помойки.[sm=df.gif]
——————————————————————————————————
P.S.Это не флуд,-а любознательность души моей,в стремительных порывах.
И я не хулиганю ,-а развиваюсь.
Если хотите - Шагаю семимильными шагами в пропасть знаний…
P.P.S.За невидимые окна с нереальные размерами и снисходительное отношение ко мне -
Всем вам обязательно зачтётся.Кому-то в плюс,кому-то в крестик.
Ведь недаром в Cвятом Писании сказано -
каждой отдельной личности воздастся по делам и словам её.
(чьей больше дано - с той больше и спросят(!))
|
|
|
|
|
+++ - 2010-08-18 17:32:18.903333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Вариация на тему - приклей свою Dll к программе(у меня их теперь аж 4);)
(в опытах учавствовала подопытная test.exe):
#################################################
LordPE->(EP)00001000->00001026->Save->O.K.
Test.exe с новой точкой входа -> OllyDbg
00401026->Assemble->
mov esi, 00401086 ;выбрала понравившийся offset
push esi
call LoadLibraryA
push eax
call FreeLibrary
xor ebx, ebx
push ebx
push ebx
push 3
push ebx
push ebx
push 80000000h
push esi
call CreateFileA
inc eax
je 00401000 ;можно заменить переход кодом
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
mov eax,00401000 ;Забросим на стек инструкцию перехода на оригинальную точку входа
push 0E0FF ;машинный код команды jmp eax
jmp esp
………………………………………………
00401086: db “my.dll”, 0
……………………………………………………………..
С адреса 00401085 выделяем место
и пишем в дампе название своей Dll -> O.K.->
Проверяем->Hello ASM !!!
(Создаём инсталляционный пакет например с помощью IExpress)
——————————————————————————-
———————————————————————————————–
Пример шалостей Cr@wler(-a) с блокнотом применим к окнам любой программы?
Start OllyDbg test NOTEPAD.exe
Ставим точку на все функции CreateWindowExA->cmd bar->bpx CreateWindowExA
Закрываем появившиеся окна,переходим к модификации кода->запускаем программу->
остановка на месте вызова CreatewindowExA по адресу->01004694
Атрибут height ложится в стек командой PUSH DWORD PTR DS: [1009A70]
0100466B->ставим точку и перезапускаем прогу(нажимаем на play/play)
Убираем открывшийся блокнот,перематываем назад->0100739D->play
Программа останавливается на поставленном бряке->0100466B
В окне дампа начиная с адреса 1009A70 находим два байта
01009A70->Binary->Edit->Hex +00 39 01
Меняем на Hex +2 FF FF->O.K.
Запускаем mod-notepad.exe по F9,надеваем малиновые штаны:D и..,->
радуемся неимоверно разросшимся конечностям блокнота.
—————————————————————————————————
|
|
|
|
|
RE: +++ - 2010-08-20 02:19:02.430000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Председатель колхоза:
У в позапрошлом году мы засеяли 50 Ха льну - усё пожрала мошка
У в прошлом году мы засеяли 100 Ха льну - усё пожрала мошка
У в следующем году мы засеем 150 Ха льну - НЕХАЙ ОНА ПОДАВИТСЯ!:D
================================================
P.S.Ооооооо,наконец-то и до меня новый номер журнала дошёл.
Там тааак много мега-мета-интересного.
DVD-чудо.Я просто в восторге.[sm=cw.gif]
ХВАТИТ. Демагогию разводить.пора просвещением заняться.Назойливы вы сильно.
Вам только дай поотвечать на вопросы новичков - не остановишь,весь форум поиспишете пока не обвалите.[sm=cz.gif]
Наверно спите и видите - как собрать нас всех вместе,да одарить каждую отдельную персону..,-
десятитомым собранием сочинений на тему новой концептуальной революции
в области компьютерного программирования.
P.P.S.А с учёбы меня выгнали.За три недели раньше положенного срока .Сказали -
ты уже больше нас знаешь и от дальнейшей пребывания у нас тебе,солнышко,больше вреда,чем пользы.
(это ещё как посмотреть,я на них ещё не всё испробовала)
(Ах,какой хороший подопытный сервер был)
Правда бумажку дали(за неоценимый вклад в повышение безопасности)
и грамоту(не фонтан,но хоть что-то))
Счастливо и до Скорого! С уважением …..eLISAveta[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
|
|
|
