FuckAV - Форум о крипторах

Анонимный антивирусный сканер VPN-сервис
[Copi]Team DDoS Service

SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN

Реклама на форуме | Помощь форуму | Аварийный блог

Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!!

Вернуться  

Статьи Раздел с интересными статьями!

Для того, чтобы ответить в теме, необходимо зарегистрироваться.
 
Опции темы Опции просмотра
Prev Предыдущее сообщение   Следующее сообщение Next
Старый 02-05-2014   #1
Graxcon

Заблокирован

Последняя активность:
1 неделю назад
Регистрация: 22.02.2014
Сообщений: 134
Поблагодарили всего: 91
за это сообщение: 11
По умолчанию [Реверсинг] PatchMe by Graxcon

Всем доброго времени суток!
Написав свой первый крякмис, решил сразу написать статью, ибо крякмисы такой реализации еще не встречал.

Нам потребуется:

1. [Ссылки могут видеть только зарегистрированные пользователи.]
2. [Ссылки могут видеть только зарегистрированные пользователи.]
3. [Ссылки могут видеть только зарегистрированные пользователи.]

Скачали? Приступим.

[1. Бинокль, пожалуйста!]

Первое, что делают все реверсеры - смотрят, упакован/защищен ли файл?

Открываем DiE:

Файл ничем не упакован и написан на Masm32 .
Открываем сам крякмис:


Задача "свапнуть" (поменять) местами функции кнопок.
Если мы нажмем кнопку "MessageBox" высветится такое окно:

А если ExitProcess - программа закроется.

[2. Разведка боем]

Запускаем в отладчике крякмис и видим такую картину:

Теперь смотрим все вызываемые импортированные функции из user32.dll:


Нас интересует функция MessageBox (ExitProcess из kernel32.dll, да и найдя MessageBox можно найти ExitProcess)
Теперь перейдем к процедуре, которая вызывает функцию:

Опа! А вот и эти 2 функции!
Влепим бряки на условные переходы и запустим программу, а в ней нажмем, например, первую кнопку:

Протрассируем до перехода на кнопку:

Вот оно! В EAX, после нажатия, командой mov занесся код кнопки MessageBox (0Ch).
Следовательно, у второй кнопки свой код, не так ли?
Мы увидим его выше (0Dh).
Значит, чтобы обдурить программу надо лишь перебить сравнение (cmp или .IF).
Возьмём и просто поменяем коды кнопок местами:

Сдампим файл и запустим получившийся под отладчиком.
Теперь, при нажатии кнопки MessageBox прыжка (jnz) не будет и процедура дойдет до вызова ExitProcess с кодом 0. (для ExitProcess все как раз будет наоборот).
Вот такой вот необычный простой крякмис для новичков и не нужно ничего никуда инжектить (это я 500mhz)

Спасибо за прочтение

(c) Graxcon

Последний раз редактировалось Graxcon; 4 недель(и) назад в 15:38.
Graxcon вне форума  
Сказали спасибо:
KpunTokoT (17-05-2014), Dark Koder (07-05-2014), Dave (06-05-2014), serg312 (04-05-2014), POCT (03-05-2014), denis187500 (02-05-2014), комсомолец (02-05-2014), 500mhz (02-05-2014), n00b (02-05-2014), ximera (02-05-2014), † Voland † (02-05-2014)
Для того, чтобы ответить в теме, необходимо зарегистрироваться.

Метки
exitprocess, graxcon, messagebox, patchme, просто, реверсинг


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
PatchMe [1/10] Graxcon Софт 4 02-05-2014 00:23
Требуется реверсинг софта vldesign Куплю/Продам 0 27-02-2011 14:39

Часовой пояс GMT +3, время: 17:17.



Powered by vBulletin® Copyright ©2000 - 2014, Jelsoft Enterprises Ltd. Перевод: zCarot
Други: SEO блог Deymos'a| ProLogic.Su| DServers.ru| Форум веб-мастеров