Защита PE - ASM
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Защита PE - ASM - 2010-08-02 23:28:41.640000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Мир вашему дому !!![sm=br.gif] Мальчишки,помогите реализовать идею по защите приложения от реверса (Не ругайтесь,-ведь я ещё только учусь… Покажите пример - и вы увидите на что я способна) (никак не могу найти ничего подходящего)) ——————————————————————————————– Хотела бы внедрить (желательно при помощи OllyDbg) в свой PE-файл код,- который бы проверял целостность приложения (не целостность контрольной суммы,а приложения) (если программа страдает полиморфизмом - контрольная сумма каждый раз будет разная.Верно?) Мой Exe-шник использует для устойчивости,помимо антиотладочных приёмов внутри, ещё и дополнительные защитные dll-модули снаружи. Мне бы очень не хотелось,-чтобы прога продолжала работать после удаления любой динамической библиотеки. А тихо-мирно завершала работу не начав её. ——————————————————– Успев напоследок подумать.Своим искусственным интеллектом: (-Работа не волк-в лес не убежит,дураков работа любит от работы кони дохнут.)[sm=bs.gif] (А ещё лучше самоуничтожусь,но только обязательно вместе с хозяином и компьютером, на который попала)Шучу))):D;) С уважением ко всем участникам форума - eLISAveta[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
RE: Защита PE - ASM - 2010-08-03 00:32:43.680000
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
А как ваш чудо-код будет отличать последствия полиморфизма от внедрения чужого кода?
|
|
|
RE: Защита PE - ASM - 2010-08-03 00:35:41.420000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
quote:
Хотела бы внедрить (желательно при помощи OllyDbg) в свой PE-файл код Если программа твоя,то зачем тебе OllyDbg,когда можно ведь и в исходном коде осуществить задуманное. quote:
Мне бы очень не хотелось,-чтобы прога продолжала работать после удаления любой динамической библиотеки. Она и так работать не будет,если зависима от дополнительных модулей. И коль ты только учишся,то не спасёш своё творение от реверса.Если вообще кому то захочется,это ломать. Разве что из за спортивного интереса в качестве крякми В общем накрой вмпротом и не мучайся!:D
|
|
|
RE: Защита PE - ASM - 2010-08-03 22:50:46.196666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Тут как бэ ломают защиты, а не строят. Ждем от вас новый starforce )
|
|
|
RE: Защита PE - ASM - 2010-08-04 18:09:08.693333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Трубите марш!-коммандовать парадом буду я, а нести ответственность будете вы!:D ======================================================= quote:
Она и так работать не будет,если зависима от дополнительных модулей. И коль ты только учишся,то не спасёш своё творение от реверса.Если вообще кому то захочется,это ломать. Разве что из за спортивного интереса в качестве крякми В общем накрой вмпротом и не мучайся! —————————————————————— Она(программа) работает и использует дополнительные Dll-модули для защиты от отладки. И продолжает работать после их удаления.А мне бы хотелось , чтобы все файлы и библиотеки в программе были взаимосвязаны и взаимозависимы. Чтобы вам было более понятно - покажу пример того что мне хотелось бы сотворить ///////////////////////////////////////////////////////////////////////////////////////////////////// Возьмём для опытов test.exe и unrar.dll c чудной функцией ___CPPdebugHook ———————————————————————————————– Код test.asm : +++++++++++++++++++++++++++++++++++++++++++++ .386 ; процессор, использование команд которого разрешено .model flat, stdcall ; Windows использует "плоский" (FLAT) тип памяти, stdcall указывает способ передачи параметров функций option casemap :none ; различие больших и малых букв, нужно чтобы можно было использовать API функции ; подключим необходимые заголовочные файлы. ; нужно указать путь к этим файлам на ВАШЕМ диске include C:\MASM32\INCLUDE\windows.inc include C:\MASM32\INCLUDE\user32.inc include C:\MASM32\INCLUDE\kernel32.inc includelib C:\MASM32\LIB\kernel32.lib includelib C:\MASM32\LIB\user32.lib .data szMBText db " Привет ASM!",0 ; текст в окне MessageBox szMBHead db "My Programm",0 ; текст в заголовке MessageBox'а .code start: invoke MessageBox,NULL,ADDR szMBText,ADDR szMBHead,MB_OK; покажем наш MessageBox invoke ExitProcess,0 ; завершим приложение end start +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ компилируем->MASM32->test.exe->LordPE-> меняем точку входа на (EP)->00001026->Save->O.K. Открываем test.exe c новой точкой входа под OllyDbg-> Идём ниже 00001026,ищем свободное место.C адреса 00401050->выделяем побольше места-> Follow in Dump->Selection->Binary->Edit->пишем в верхнейстрочке(ASCII)->unrar.dll->O.K. 00401026->Assemble-> push 00401050 ;выбранный адрес c ASCII "unrar.dll" call LoadLibraryA ;вызов функции LoadLibraryA (или search for->) jmp 00401000 ;прыжок на первоначальную точку входа в программу ……………………………………………………………………………………………………………………. Ах да,нужно немного подправить unrar.dll чтобы функция ___CPPdebugHook заработала и кинуть всё в одну папку(посуём мы всё в бадью,пошлём .. подальше и ..,Адью) Если всё сделано верно программа будет работать вне отладчика и обрубать трассировку под ним. (а можно и другую динамическую библиотеку привинтить,с иными функциями) …………………………………………………………………………………………………………………………………………. Предвижу ваш вопрос-почему я не заюзала IIdking и просто не внедрила в таблицу импорта PE функцию ___CPPdebugHook - Потому что этот метод Желатина уже палится AV Да и опыта в Ассемблере поднабраться хотелось А насчёт "если вообще кому то захочется ломать"вы милостивый государь не правы.Одни лапки я точно знаю которые захотят покопаться во внутренностях моей программы. Это злобные лапы Евгения Касперского.Этот "Доктор"-убийца в электронном халате замочил уже не одного доброго пациента.(Доктор сказал в морг - значит в морг):D[&o] Как бы это лучше сказать - моя новоявленная программа является не совсем пользоносной Согласна,что сломать или обойти можно любую защиту.(Если знаний хватит) НО,не у всех их столько же как и ума - Палата.(Да не к вам это будет сказано,милые участники форума ][ - У кого-то есть,а у кого-то только воробью на одно место намазать.И что-то мне внутренне подсказывает,-что тех у кого воробью - большинство):D Да,и сколько времени займёт вскрытие?А когда ВЫ найдёте зашифрованный IP моего сервера,на который программа будет отсылать вашу интимную информацию - я уже далеко-далеко буду. В глухих таёжных уголках моей необъятной Родины.(с новым компьютером):D Протектор искажаеет мой самомодифицирующийся код и программа перестаёт работать Хочу ещё с метаморфным кактусом поэксперементировать и перенесением части функций в недра Dll. Авось сложится пазл. Большая часть исходного кода моей проги(не публикую) - плагиат и модификация уже известного. Hi ASM! P.S.Ага,ждите..,я даже ей уже и название придумала StarForce - Rustock E beta:D:D[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
RE: Защита PE - ASM - 2010-08-04 20:34:27.830000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
Дорогая Елизавета,если Вы полагаете,что подобные манипуляции спасут от отладчиков,которых несколько,тот же ollydbg с целым арсеналом плагинов,то Вы по меньшей мере наивны.Бывает совсем необязательно заглядывать в отладчик,хватит для первого осмотра дизассемблера.Палево антивирусами,это тоже не остановит,а то и приблизит с этими вашими дллками.Ваш полиморф,если основывается на уже известном алгоритме,тоже быстро раскрутят,да и добавят банально сигнатуру.Эмуляторы в нынишних антивирусах,которые прогонят Ваш код через себя,уже давно не те,что были раньше.Не забывайте так же о проактивке и фильтре сетевого трафика.Применяйте разные антиэмуляционные трюки,а то что это,прямой джамп на оеп,хотя бы через SEH что ли,или проверка какого условия (понимаю,что это только пример).И зачем опять же,что то править в отладчике,когда есть исходный код для этого. Почитайте классику тута: http://www.wasm.ru/publist.php?list=6 и на форуме тута: http://www.wasm.ru/forum/viewforum.php?id=6 Креативы Зомбы тута: http://vx.netlux.org/ и тута: http://virustech.org и Касперского почитайте,только другого… и много,много ещё чего. По большому счёту в реверсинге и разных там вирусных технологиях я тоже не специалист и поентому мои слова не претендует на истину. Зыыы..ошибки исправил..
|
|
|
RE: Защита PE - ASM - 2010-08-04 21:23:15.490000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
продолжайте, интересно почитать и посмотреть что из всего этого получится. Антитрассировка это не проблема если поставить бряк ниже и отпустить программу. quote:
А когда ВЫ найдёте зашифрованный IP моего сервера Мы и не такое еще раскручивали. P.S. не думал что девушки этим занимаются )
|
|
|
RE: Защита PE - ASM - 2010-08-05 02:36:02.526666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Уважаемый CIH2009 - спасибо за информацию мне известно что подобное не спасёт от отладчика, и вообще,-я ещё только развиваюсь в кодинге, поэтому моя программа не рассчитана на продвинутого взломщика, мне хотелось лишь получше спрятать свои координаты от начинающего реверсера, поэтому помимо всяких модулей разобрала и использую такие трюки как: —————————————————————— Самомодифицирующийся код, kernel32!CloseHandle and NtClose+NtSetInformationThread Перенесение API-функций внутрь программы + использование двойного вызова GetTickCount и сравнение результатов работы таймера, проверку флага - инструкции push ss/pop ss, Heap flags, различные варианты передачи в функцию vsprint () управляющей строки,содержащей спецификаторы,посредством вызова API-функции OutputDebugStringA, свой IsDebuggerPresent , Чтение значения переменной NtGlobalFlag стуктуры PEB модификации использования машинных инструкций RDTSC и REP STOS Очень нравится AnimateWindow и последующий чёрный квадрат - и ещё кое-что.., Ну и конечно мелочи - ручное+автоматическое внедрение липовых сигнатур, (Человеку написавшему ExeForger и предоставившему нахаляву для общественного мнения огромную базу в текстовом варианте - троекратное УРА!) попадаются же такие хорошие люди)) и всякую другую мелкую антиотладочную сволочь.:D ////////////////////////////////////////////////////////////////////////////////////////////////////////////// Можно ещё как катком пройтись чем-нибудь тяжёлым типа: Themida,ORIEN или C-Metamorph (какой протектор выбирать-дело вкуса) - шифруя и размазывая код по всей программе. Однако после сих асфальтоукладочных превращений моя прога упорно отказывается работать. Объявляет забастовку.[sm=ak.gif] ——————————————————————————————————————– (кстати,у меня почти нет трюков против виртуализаторов-песочниц типа SandBoxi,и т.п. Очень хотела бы усвоить в OllyDbg противодействие подобному) ……………………………………………………………………………………. Flint_ta quote:
-Мы и не такое еще раскручивали. -Верю,верю quote:
-не думал что девушки этим занимаются ) -А вот представь себе.И чтобы отпали все сомнения - (но только если вы меня не будете обижать) в ближайшем будущем засвечу своё свет ясно солнышко милое личико, но только один раз и со спины на фоне лички Хотя,если б не моё чудовище я до сих пор бы тихо-мирно ликвидировала виртуальных монстров и переписывалась в одноклассниках.Метаморфозы… #################################### P.S.CIH2009 - А Касперского который другой я читаю - Вирусы изнутри и снаружи и Записки исследователя компьютерных вирусов #################################################### C благодарностью и признательностью всем ответившим ![sm=ba.gif] eLISAveta*5 августа*сего года*от рождества Христова[sm=d03041.gif][sm=aj.gif] ………………………………………………………………………………………………………………………….
|
|
|
RE: Защита PE - ASM - 2010-08-05 11:20:42.213333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Ну довайте уже crackme или unpackme чтоли посмотрим.
|
|
|
RE: Защита PE - ASM - 2010-08-05 12:46:15.236666
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
quote:
P.S. не думал что девушки этим занимаются ) А между тем,это не фантастика!Что бы не быть голословным,приведу несколько примеров! http://0x0c0de.livejournal.com/ http://lhc645.wordpress.com/ http://forum.antichat.ru/member.php?userid=36960 Если не ошибаюсь,она же: http://tuts4you.com/download.php?list.17 Еще: http://eas7.livejournal.com/ http://ori0nka.livejournal.com/ Вирусный аналитик.Малваре реверс http://blog.alisa.sh/ http://esagelab.ru/about.php?n=0 Затем знаю довольно близко,чем то напоминает Елизавету. http://xakepy.cc/showthread.php?t=52612 список можно продолжить…..
|
|
|
RE: Защита PE - ASM - 2010-08-05 13:23:26.496666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Про Лену с tuts4you.com я уже слышал, Жанна Рутковская еще есть. Всегда считал реверс-инжиниринг не женским занятием, а тут вон оно как оказывается )))
|
|
|
RE: Защита PE - ASM - 2010-08-05 14:29:20.860000
|
|
|
KSDR
Сообщений: 142
Оценки: 0
Присоединился: 2010-01-11 14:35:55.143333
|
del
|
|
|
RE: Защита PE - ASM - 2010-08-05 18:46:05.770000
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
Елизавета, теперь немного поддержки. Как я понял,ты хочешь, чтобы твоя программа загружала некие библиотеки в процессе выполнения программы. Чтобы дать советы, необходимо немного уточнить. Вопрос 1. Что мешает сделать банальную проверку после загрузки библиотеки (LoadLibraryA). Если библа отсутствует, возвращается 0. Вопрос 2. Если библа отсутствует, а программа без неё работает нормально, почему? Ведь она должна что-то делать с кодом программы, действие обратное крипту, без которого прога должна падать. Вопрос 3. Если программа твоя и есть исходник, что мешает внедрить код в сам исходник?
|
|
|
RE: [Deleted] - 2010-08-06 02:55:52.056666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ fromRIDDER -> Ты понял меня абсолютно верно,спасибо за советы! (познавать мир программирования без всесторонней помощи и поддержки- очень тяжко,особенно Ассемблер) (;привыкла делать всё на совесть и доводить начатое до конца)) ——————————————————————————— Кстати о птичках,- я гражданка разносторонних интересов, люблю пошалить в сфере компьютерной безопасности и не смею ограничиваться только реверсом и антиотладкой. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ Умею с пользой для себя,любимой: Перепрограммировать внутренности почти любой USB; (спасибо Вадиму за помощь)за простой Бот отдельно благодарю)) Вскрыть плохо настроенный Windows имея физический доступ и не имея пароля- уже пара пустяков для меня(пламенная благодарность ERD и журналу ][ ) Ну а если имеются админские права - вообще прелесть - cвободно повышаю привилегии до system и использую их по полной программе,- изменяя boot.ini ,стирая NTDETECT и т.д. и т.п. не забывая скопировать файлы и документы других владельцев оной машины, (от много немножкА,-не кража а делёжка) ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; Не подумайте грешным делом что я хвастаюсь, просто хотела чтобы у вас было немного больше представления о моих знаниях, если будете отвечать мне их пока не так много,но они непрерывно пополняются) ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; Люблю посещать bugtrack,сама проверять сайты на наличие SQL и XSS-уязвимостей (правда с их разработкой пока существуют некоторые технические неувязочки, но это дело наживное);) Кодинг начинает затягивать,игры отошли в сторону(но только немного и не насовсем) Смотрела мульт-Властелина Вселенной.-Понравилось.[sm=bs.gif] Изучаю,компилирую и правлю исходнички на ASM,Delphi,Си,Python,Perl,Java само собой присутствуют VB и VBS,а так же Html(куда ж без него) Из отладчиков предпочитаю OllyDbg , 0_1_1_YDbg и Hiew32 -Вот спросите,спросите сколько времени я за компом провожу?! -Ох,лучше не спрашивайте. -Полюбопытствуйте сколько я не провожу за ним. Всего не перечислишь.В чём-то продвинулась больше,в чём-то меньше. Однако как я сказала в самом начале,-пока ещё только учусь и развиваюсь Делаю ошибки(а кто их не делает) - Я ведь только резидент (всё никак лучше чем запах-дух сети на глобальной помойке)[sm=db.gif], но не останавливаюсь, даже если появляются трудности. ………………………………………………………………….. Вот давеча,захватила локальную Windows машину, повысилась c простой смертной usi до system, посканила локалку,добавила свой словарик и….,- поимела логины и пароли всех юзеров в сетке(включая один безродно-безхозный админский аккаунт) долго и упорно пыталась взломать подопытный Windows-сервер пока случайно не обнаружила что он висит не на Windows ,а на Linux(Linux-SME-Server)думаю,-аномальная жара виновата)) Во всяком случае от всего-этого есть и польза- один из администраторов подопытного сервера кланялся низко и молил удалить злобный вирус пойманый одним из юзеров на свою машину в глобальной сети, блеял что никак никак может его удалить со своими самыми высокими админскими правами (захотел чего-спец в World-Word-Exel и полный лох в кодинге) ++++++++++++++++++++++++++++++++++++++++++ Для начала добилась привилегий насущьных,а не виртуальных. Он сказал чтобы пошла бы я куда подальше(а сначала предлагал любовь и шоколадку!)[sm=d03022.gif] Ответила,-что я конечно могу и уйти, но не успею я сделать и двух шагов как он с визгом и воплями бросится за мной, облизывая мои пятки,умоляя остаться.[sm=d03007.gif] Он переменил своё необдуманное поспешное решение и мы пришли к консенсусу.[sm=dd.gif] +++++++++++++++++++++++++++++++++++++++++++++++++++++++ Пришлось доставать свою USB-superditrich-Cyber-отмычку Оказалось-обыкновенная ложная Антивирусная программа (а форсу как в комиссарше) фальшифый антивирус, прописывающий ключи в реестр и закрепляющийся с привилегированными правами в загрузке - был мною найден и беспощадно,безжалостно изничтожен за пять минут(!) ——————————————————————————————- ################################################### Но т.к. ветка по взлому программ .., (прошу меня простить за столь долгое отступление) -как лучше убрать NagScreen в программе без написания лоадера? Знаю что можно поставить простой NOP на вызов этой функции в отладчике, но не всё так безоблачно в этом методе. Приподнесите мне интересную идею. Или ко всему прочему прийдётся учиться писать самой лоадеры? Давно терзаюсь сомнениями. ++++++++++++++++++++++++++ P.S.А информации о противодействии виртуализаторам видно не будет. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ P.P.S.если Мацал Коушек - еврей , то Газон Засеян - неизвестное лицо кавказкой национальности имеющий некашерный вид:D +++++++++++++++++++
|
|
|
RE: [Deleted] - 2010-08-06 22:21:50.283333
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
Елизавета, учитывая размеры твоих постов, боюсь представить как ты общаешься в реале. Наверно, скорость твоей речи измеряется в количествах слов в секунду. А по количеству вставляемых смайлов, предполагаю довольно активную мимику и жестикуляцию. С такими данными тебе надо быть лидером какой-нибудь партии, а не заниматься "глупостями". Ниже перечисленные советы помогут не только к окну приветствия, но к любому окну. Конечно, лучше сразу обойти или занопить. Можно найти коллбэк-функцию и при инициализации дописать функцию закрытия окна. Можно подменить данные создания класса окна или самого окна на неправильные, при котором создание будет невозможно. Или возможно, но будет не видимо, к примеру длина и высота окна = 1 пиксел. Или положение окна будет располагаться за пределами рабочего стола. Или сделать окно невидимым. Или, вообще, нереальные манипуляции с кодом: дописываешь код, который создаёт новый рабочий стол, активирует его, потом идёт создание окна, затем возврат к старому рабочему столу. Всё ограничивается только фантазией.
|
|
|
RE: [Deleted] - 2010-08-07 10:56:05.923333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
О о о о о о о о спасибо тебе fromRIDDER Пускай и тебе по жизни светит только зелёный свет и на твоей улице почаще переворачиваются фургоны с сахаром !!!:D
|
|
|
RE: [Deleted] - 2010-08-07 23:22:07.913333
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
С наступающим днём варенья, Елизавета. Надеюсь, не с пятидесятым.[sm=1.gif]
|
|
|
RE: [Deleted] - 2010-08-08 01:05:17.570000
|
|
|
CepBuC~KaPduHr
Сообщений: 14
Оценки: 0
Присоединился: 2010-01-29 12:06:03.283333
|
при чем тут с днем рождения не по разделу=\
|
|
|
RE: [Deleted] - 2010-08-11 23:20:47.120000
|
|
|
CIH2009
Сообщений: 52
Оценки: 0
Присоединился: 2009-02-06 18:30:21.090000
|
Ещё как по разделу,уважаемый.Это смотря к чему ты будеш применять понятие реверсинг. Пост 18,как безусловный переход в конце процедуры,как возврат управления вызывающему коду.:D
|
|
|
RE: [Deleted] - 2010-08-12 18:34:42.160000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Мне до пятидесятого дня Рождения - как до Китая пешком:D (до тридцати дожить бы…)
|
|
|
RE: [Deleted] - 2010-08-13 07:03:12.026666
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
quote:
Мне до пятидесятого дня Рождения - как до Китая пешком До Китая пешком из России не более года уйдёт, неужели 49? quote:
до тридцати дожить бы… Без проблем, если, конечно, ты живёшь не в Хиросиме или Нагасаке.
|
|
|
NEW - 2010-08-16 23:25:55.776666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
quote:
CIH2009 - как безусловный переход в конце процедуры,как возврат управления вызывающему коду. -Ага,не забыв перед этим взвести влаг записи секции в единичное состояние - для внесения ясности и получения работоспособной модификации.:D ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; fromRIDDER quote:
До Китая пешком из России не более года уйдёт, неужели 49? - Я полагаю,-торг здесь не уместен!-Никому,ничего,доказывать НЕ СОБИРАЮСЬ! А говорить девушке что ей 50 ,49 и вообще упоминать о возрасте не только невежливо,но и нетактично)) (Но если не веришь- смотри рисунок в моём профиле) А идти сейчас до китайских братьев мне гораздо дальше чем вам.:D ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; Что за трюк с эмуляцией использует протектор ORIEN?Как его можно обойти? Виртуализатору обламывает зубы сразу,как и отладчику (Я себе такой-же хочу,в свою программу) А разобрать протектор на запчасти пока не получается))[sm=ak.gif] Вот если б нашёлся такой славный малый который бы объяснил слабопольной,- как подступиться к сему и куда наносить основной ядовитый укус -Мы бы наверное тогда все ахнули от радости,охнули от счастья,:D а имя этого доброго человека навечно вошло в историю информационной помойки.[sm=df.gif] —————————————————————————————————— P.S.Это не флуд,-а любознательность души моей,в стремительных порывах. И я не хулиганю ,-а развиваюсь. Если хотите - Шагаю семимильными шагами в пропасть знаний… P.P.S.За невидимые окна с нереальные размерами и снисходительное отношение ко мне - Всем вам обязательно зачтётся.Кому-то в плюс,кому-то в крестик. Ведь недаром в Cвятом Писании сказано - каждой отдельной личности воздастся по делам и словам её. (чьей больше дано - с той больше и спросят(!))
|
|
|
+++ - 2010-08-18 17:32:18.903333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Вариация на тему - приклей свою Dll к программе(у меня их теперь аж 4);) (в опытах учавствовала подопытная test.exe): ################################################# LordPE->(EP)00001000->00001026->Save->O.K. Test.exe с новой точкой входа -> OllyDbg 00401026->Assemble-> mov esi, 00401086 ;выбрала понравившийся offset push esi call LoadLibraryA push eax call FreeLibrary xor ebx, ebx push ebx push ebx push 3 push ebx push ebx push 80000000h push esi call CreateFileA inc eax je 00401000 ;можно заменить переход кодом ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, mov eax,00401000 ;Забросим на стек инструкцию перехода на оригинальную точку входа push 0E0FF ;машинный код команды jmp eax jmp esp ……………………………………………… 00401086: db “my.dll”, 0 …………………………………………………………….. С адреса 00401085 выделяем место и пишем в дампе название своей Dll -> O.K.-> Проверяем->Hello ASM !!! (Создаём инсталляционный пакет например с помощью IExpress) ——————————————————————————- ———————————————————————————————– Пример шалостей Cr@wler(-a) с блокнотом применим к окнам любой программы? Start OllyDbg test NOTEPAD.exe Ставим точку на все функции CreateWindowExA->cmd bar->bpx CreateWindowExA Закрываем появившиеся окна,переходим к модификации кода->запускаем программу-> остановка на месте вызова CreatewindowExA по адресу->01004694 Атрибут height ложится в стек командой PUSH DWORD PTR DS: [1009A70] 0100466B->ставим точку и перезапускаем прогу(нажимаем на play/play) Убираем открывшийся блокнот,перематываем назад->0100739D->play Программа останавливается на поставленном бряке->0100466B В окне дампа начиная с адреса 1009A70 находим два байта 01009A70->Binary->Edit->Hex +00 39 01 Меняем на Hex +2 FF FF->O.K. Запускаем mod-notepad.exe по F9,надеваем малиновые штаны:D и..,-> радуемся неимоверно разросшимся конечностям блокнота. —————————————————————————————————
|
|
|
RE: +++ - 2010-08-20 02:19:02.430000
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Председатель колхоза: У в позапрошлом году мы засеяли 50 Ха льну - усё пожрала мошка У в прошлом году мы засеяли 100 Ха льну - усё пожрала мошка У в следующем году мы засеем 150 Ха льну - НЕХАЙ ОНА ПОДАВИТСЯ!:D ================================================ P.S.Ооооооо,наконец-то и до меня новый номер журнала дошёл. Там тааак много мега-мета-интересного. DVD-чудо.Я просто в восторге.[sm=cw.gif] ХВАТИТ. Демагогию разводить.пора просвещением заняться.Назойливы вы сильно. Вам только дай поотвечать на вопросы новичков - не остановишь,весь форум поиспишете пока не обвалите.[sm=cz.gif] Наверно спите и видите - как собрать нас всех вместе,да одарить каждую отдельную персону..,- десятитомым собранием сочинений на тему новой концептуальной революции в области компьютерного программирования. P.P.S.А с учёбы меня выгнали.За три недели раньше положенного срока .Сказали - ты уже больше нас знаешь и от дальнейшей пребывания у нас тебе,солнышко,больше вреда,чем пользы. (это ещё как посмотреть,я на них ещё не всё испробовала) (Ах,какой хороший подопытный сервер был) Правда бумажку дали(за неоценимый вклад в повышение безопасности) и грамоту(не фонтан,но хоть что-то)) Счастливо и до Скорого! С уважением …..eLISAveta[sm=ba.gif][sm=ba.gif][sm=ba.gif]
|
|
|
|
|