Добавлено: Пн дек 18, 2006 2:36 pm
зы ИДА - наш лучший друг, а оля - так, подружка для необычных случаев 
педампом+импреком а англ названия написать можешь? погуглю)
с мутексами все понятно. с GetVolumeInformation наверное тоже.
Страница 4 из 24
Добавлено: Пн дек 18, 2006 2:54 pm
Добавлено: Пн дек 18, 2006 3:00 pm
А чо такое "Оля"?
Добавлено: Пн дек 18, 2006 3:02 pm
http://www.uinc.ru/files/neox/PE_Tools.shtml
импрека урл не помню, поищи слова Import REConstructor
можно импреком восстановить после распаковщика, можно сразу сдампить петулзом, там весьма неинтуитивный процесс, нужно разбираться в деталях, и я не помню, что он там дампит и что из этого получается
импрека урл не помню, поищи слова Import REConstructor
можно импреком восстановить после распаковщика, можно сразу сдампить петулзом, там весьма неинтуитивный процесс, нужно разбираться в деталях, и я не помню, что он там дампит и что из этого получается
Добавлено: Пн дек 18, 2006 3:02 pm
пирожок OllyDbg
Добавлено: Пн дек 18, 2006 3:27 pm
Гы мой первый эксперимент с петулзом закончился тем что руро выдает о том что ненайдена точка входа GetProcAddress в kernel32.dll 
бред какой ваще)
бред какой ваще)Добавлено: Пн дек 18, 2006 9:59 pm
Тяк. Ну в общем рекомендую розпаковать руро. Убить все проверки, дебаггим ли мы себя. Убить Проверку контрольной сумы. Убить левые вызовы кроме как собственные руро (засунуть рандом число и всё такое) кроме тех которые собственно используются для генерации пакетов и ещё пару фишек.
Добавлено: Пн дек 18, 2006 10:17 pm
Ты иди росию исправь
Добавлено: Пн дек 18, 2006 11:53 pm
Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
Добавлено: Вт дек 19, 2006 9:17 am
может ты не то убил ?:)
Добавлено: Вт дек 19, 2006 10:51 am
После проверки мьютекса, он еще проверяет нет ли окна с именем и классом Ragnarok.piroJOKE писал(а):Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
Код: Выделить всё
.text:0062C885 call FindWindow_62B690
....................
.text:0062B690 FindWindow_62B690 proc near ; CODE XREF: WinMain(x,x,x,x)+765p
.text:0062B690
.text:0062B690 lpClassName = dword ptr -58h
.text:0062B690 Text = byte ptr -30h
.text:0062B690 Rect = tagRECT ptr -10h
.text:0062B690 arg_0 = dword ptr 8
.text:0062B690
.text:0062B690 push ebp
.text:0062B691 mov ebp, esp
.text:0062B693 sub esp, 58h
.text:0062B696 mov eax, lpClassName
.text:0062B69B push ebx
.text:0062B69C push esi
.text:0062B69D mov esi, [ebp+arg_0]
.text:0062B6A0 push edi
.text:0062B6A1 push eax ; lpWindowName
.text:0062B6A2 push eax ; lpClassName
.text:0062B6A3 mov hinst, esi
.text:0062B6A9 call ds:FindWindowA
.text:0062B6AF test eax, eax
.text:0062B6B1 jz short loc_62B6BC
.text:0062B6B3 pop edi
.text:0062B6B4 pop esi
.text:0062B6B5 xor eax, eax
.text:0062B6B7 pop ebx
.text:0062B6B8 mov esp, ebp
.text:0062B6BA pop ebp
.text:0062B6BB retn
Добавлено: Вт дек 19, 2006 10:55 am
Отличный сайт, раздел тулзов тоже очень хорош =)Jerry писал(а):http://www.uinc.ru/files/neox/PE_Tools.shtml
импрека урл не помню, поищи слова Import REConstructor
можно импреком восстановить после распаковщика, можно сразу сдампить петулзом, там весьма неинтуитивный процесс, нужно разбираться в деталях, и я не помню, что он там дампит и что из этого получается
http://www.wasm.ru/toollist.php?list=6
Добавлено: Вт дек 19, 2006 1:37 pm
Я кстати не совсем понял чем Lord_PE отличается от PE_Tools
Добавлено: Вт дек 19, 2006 3:55 pm
Inik
Немного отличаются Алгоритмы. Но всё-же если одно не катит, берём другое.
Немного отличаются Алгоритмы. Но всё-же если одно не катит, берём другое.
Добавлено: Чт дек 21, 2006 4:16 pm
Оффтоп, речь идет об обычном sakexe, не о мотр-е; о запуске нескольких экземпляров exe-шника без его взлома.
Итак, еще раз, чтобы весь процесс был описан в одном месте...
Я взял InqSoft Windows Scanner, и им изменил заголовок у окна sakexe.
Затем я взял Sysinternals Process Explorer, и им убил у процесса exe-шника мутекс \BaseNamedObjects\Surface.
Спасибо за помощь!
Оу, йееее! Заработало! Вот это клёво!DInvalid писал(а):После проверки мьютекса, он еще проверяет нет ли окна с именем и классом Ragnarok.piroJOKE писал(а):Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
(...)
Итак, еще раз, чтобы весь процесс был описан в одном месте...
Я взял InqSoft Windows Scanner, и им изменил заголовок у окна sakexe.
Затем я взял Sysinternals Process Explorer, и им убил у процесса exe-шника мутекс \BaseNamedObjects\Surface.
Спасибо за помощь!