[Реверсинг] PatchMe by Graxcon

[Graxcon]

Всем доброго времени суток!
Написав свой первый крякмис, решил сразу написать статью, ибо крякмисы такой реализации еще не встречал.

Нам потребуется:

1. [Ссылки могут видеть только зарегистрированные пользователи.]
2. [Ссылки могут видеть только зарегистрированные пользователи.]
3. [Ссылки могут видеть только зарегистрированные пользователи.]

Скачали? Приступим.

[1. Бинокль, пожалуйста!]

Первое, что делают все реверсеры - смотрят, упакован/защищен ли файл?

Открываем DiE:

Файл ничем не упакован и написан на Masm32 .
Открываем сам крякмис:


Задача "свапнуть" (поменять) местами функции кнопок.
Если мы нажмем кнопку "MessageBox" высветится такое окно:

А если ExitProcess - программа закроется.

[2. Разведка боем]

Запускаем в отладчике крякмис и видим такую картину:

Теперь смотрим все вызываемые импортированные функции из user32.dll:


Нас интересует функция MessageBox (ExitProcess из kernel32.dll, да и найдя MessageBox можно найти ExitProcess)
Теперь перейдем к процедуре, которая вызывает функцию:

Опа! А вот и эти 2 функции!
Влепим бряки на условные переходы и запустим программу, а в ней нажмем, например, первую кнопку:

Протрассируем до перехода на кнопку:

Вот оно! В EAX, после нажатия, командой mov занесся код кнопки MessageBox (0Ch).
Следовательно, у второй кнопки свой код, не так ли?
Мы увидим его выше (0Dh).
Значит, чтобы обдурить программу надо лишь перебить сравнение (cmp или .IF).
Возьмём и просто поменяем коды кнопок местами:

Сдампим файл и запустим получившийся под отладчиком.
Теперь, при нажатии кнопки MessageBox прыжка (jnz) не будет и процедура дойдет до вызова ExitProcess с кодом 0. (для ExitProcess все как раз будет наоборот).
Вот такой вот необычный простой крякмис для новичков и не нужно ничего никуда инжектить (это я 500mhz)

Спасибо за прочтение

(c) Graxcon