ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
01.05.2010, 18:24
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Сообщение от neprovad
воспользоваться ollydbg второй версии
Больше подробностей (аттач программы не предлогать)
Последний раз редактировалось wolmer; 01.05.2010 в 19:10..
|
|
|
01.05.2010, 19:50
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
Сообщение от wolmer
Больше подробностей (аттач программы не предлогать)
Вы меня удивляете, требуете столько ответов и даже не удосужились глянуть на оффсайт.
The only really new feature (commented out in the second beta) is debugging of child processes
Options-Debugging-Events-Debug child processes
Последний раз редактировалось neprovad; 01.05.2010 в 19:53..
|
|
|
|
02.05.2010, 11:41
|
|
Участник форума
Регистрация: 14.03.2009
Сообщений: 237
Провел на форуме:
813785
Репутация:
314
|
|
wolmer, если ты знаешь адрес по которому нужно поставить бряк, то открой файл в HEX-редакторе и измени первые 2 байта по этому адресу на EBFE, запусти программу и приаттачься к ней. Затем нажми F9 и F12, ты окажешься на нужном месте. Единственное что останется - это вернуть на место родные два байта(исправить EBFE на то что было)
|
|
|
|
04.05.2010, 07:58
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 5
Провел на форуме:
15200
Репутация:
0
|
|
Помогите перевести на С++
Код:
call ds:VirtualAlloc
mov [edi], eax
mov byte ptr [eax], 55h
inc eax
mov ecx, [esp+0Ch+arg_0]
push 4
mov byte ptr [eax], 8Bh
inc eax
pop ebx
mov byte ptr [eax], 0ECh
inc eax
mov byte ptr [eax], 68h
inc eax
mov [eax], ecx
add eax, ebx
cmp esi, 1
jl short loc_10001072
Собственно затруднения вызывает
Код:
mov byte ptr [eax], 55h
inc eax
Последний раз редактировалось V01T; 04.05.2010 в 08:11..
|
|
|
|
04.05.2010, 08:31
|
|
Участник форума
Регистрация: 14.03.2009
Сообщений: 237
Провел на форуме:
813785
Репутация:
314
|
|
V01T
судя по виду, это листинг из иды. а она умеет генерировать с++ кодес
|
|
|
|
04.05.2010, 09:39
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 5
Провел на форуме:
15200
Репутация:
0
|
|
s0l_ir0n
Код:
SIZE_T v3; // ebx@1
int v4; // eax@7
void *v5; // edi@7
LPVOID v6; // eax@7
int v7; // eax@8
int v8; // eax@10
int v9; // edx@12
signed int v10; // ecx@12
int v11; // eax@13
int v12; // eax@14
v3 = 21;
if ( a3 >= 1 )
v3 = 24;
if ( a3 >= 2 )
v3 += 3;
if ( a3 >= 3 )
v3 += 2 * (3 * a3 - 6);
v5 = calloc(1u, 8u);
v6 = VirtualAlloc(0, v3, 0x1000u, 0x40u);
*(_DWORD *)v5 = v6;
*(_BYTE *)v6++ = 0x55u;
*(_BYTE *)v6++ = -117;
*(_BYTE *)v6++ = -20;
*(_BYTE *)v6++ = 104;
*(_DWORD *)v6 = a1;
HEX Rays выдал вот такое ... даже приведя к более лучшему виду *(BYTE *)v6++ = 0x55; получаю ошибку о неизвестном размере LPVOID
|
|
|
|
06.05.2010, 21:12
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Цель: подредактировать одну программу (пропатчить), но дело таки в том, что нужно не просто к примеру поменять jz на jnz а вставить (выполнить) большой блок кода (в опред. месте программы), как это сделать?
Проблема: я никогда не сталкивался с патчингом такого рода, следовательно не знаю как и куда сувать написаный блок кода (слышал что можно в конец дописать свой код, и где надо -> в конец с джампиться, но я с такой темой не знаком)
Последний раз редактировалось wolmer; 06.05.2010 в 21:35..
|
|
|
|
06.05.2010, 22:08
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
|
|
|
|
06.05.2010, 23:10
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 5
Провел на форуме:
15200
Репутация:
0
|
|
По прежнему топчусь на месте с реконструкцией данной DLL скачать можно с офф сайта
Расскажите хотя принцип её работы или подскажите ссылочку с аналогичным решением ... просто не врубаюсь там ни чего не вписывается ни джампов ни вызовов
Последний раз редактировалось V01T; 06.05.2010 в 23:13..
|
|
|
|
07.05.2010, 11:32
|
|
Познающий
Регистрация: 16.04.2008
Сообщений: 88
Провел на форуме:
264305
Репутация:
30
|
|
Сообщение от wolmer
Цель: подредактировать одну программу (пропатчить), но дело таки в том, что нужно не просто к примеру поменять jz на jnz а вставить (выполнить) большой блок кода (в опред. месте программы), как это сделать?
Проблема: я никогда не сталкивался с патчингом такого рода, следовательно не знаю как и куда сувать написаный блок кода (слышал что можно в конец дописать свой код, и где надо -> в конец с джампиться, но я с такой темой не знаком)
или находишь в самом конце секции кода блок заполненный нулями (нули там для выравнивания блока по границе 512,1024...) и пишешь туда свой код. можно и в другую секцию, (или добавить новую секцию) но не забудь поставить у нее атрибут code - чтобы код в этой секции мог исполняться
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
