motronline.com

Обсуждение особенностей разных пиратских серверов

Модератор: 4epT

Аватара пользователя
Jerry
Профессионал
Сообщения: 1047
Зарегистрирован: Сб ноя 04, 2006 12:26 pm
Контактная информация:

Сообщение Jerry »

зы ИДА - наш лучший друг, а оля - так, подружка для необычных случаев :)
Inik
Начинающий
Сообщения: 42
Зарегистрирован: Пн дек 18, 2006 1:38 am

Сообщение Inik »

педампом+импреком а англ названия написать можешь? погуглю)
с мутексами все понятно. с GetVolumeInformation наверное тоже.
Аватара пользователя
piroJOKE
Модератор
Сообщения: 8207
Зарегистрирован: Сб ноя 04, 2006 2:20 am
Сервер RO:: localhost
Откуда: Molvania

Сообщение piroJOKE »

А чо такое "Оля"?
Use brain against brain, ai against ai... · как правильно задавать вопросы · faq · download
Аватара пользователя
Jerry
Профессионал
Сообщения: 1047
Зарегистрирован: Сб ноя 04, 2006 12:26 pm
Контактная информация:

Сообщение Jerry »

http://www.uinc.ru/files/neox/PE_Tools.shtml
импрека урл не помню, поищи слова Import REConstructor

можно импреком восстановить после распаковщика, можно сразу сдампить петулзом, там весьма неинтуитивный процесс, нужно разбираться в деталях, и я не помню, что он там дампит и что из этого получается :)
Аватара пользователя
Jerry
Профессионал
Сообщения: 1047
Зарегистрирован: Сб ноя 04, 2006 12:26 pm
Контактная информация:

Сообщение Jerry »

пирожок OllyDbg
Inik
Начинающий
Сообщения: 42
Зарегистрирован: Пн дек 18, 2006 1:38 am

Сообщение Inik »

Гы мой первый эксперимент с петулзом закончился тем что руро выдает о том что ненайдена точка входа GetProcAddress в kernel32.dll :lol: бред какой ваще)
Аватара пользователя
kLabMouse
Профессионал
Сообщения: 4776
Зарегистрирован: Вс ноя 05, 2006 4:32 pm

Сообщение kLabMouse »

Тяк. Ну в общем рекомендую розпаковать руро. Убить все проверки, дебаггим ли мы себя. Убить Проверку контрольной сумы. Убить левые вызовы кроме как собственные руро (засунуть рандом число и всё такое) кроме тех которые собственно используются для генерации пакетов и ещё пару фишек.
Аватара пользователя
Jerry
Профессионал
Сообщения: 1047
Зарегистрирован: Сб ноя 04, 2006 12:26 pm
Контактная информация:

Сообщение Jerry »

Ты иди росию исправь :)
Аватара пользователя
piroJOKE
Модератор
Сообщения: 8207
Зарегистрирован: Сб ноя 04, 2006 2:20 am
Сервер RO:: localhost
Откуда: Molvania

Сообщение piroJOKE »

Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
Use brain against brain, ai against ai... · как правильно задавать вопросы · faq · download
Аватара пользователя
Jerry
Профессионал
Сообщения: 1047
Зарегистрирован: Сб ноя 04, 2006 12:26 pm
Контактная информация:

Сообщение Jerry »

может ты не то убил ?:)
DInvalid
Грамотный
Сообщения: 368
Зарегистрирован: Вт ноя 14, 2006 4:54 pm

Сообщение DInvalid »

piroJOKE писал(а):Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
После проверки мьютекса, он еще проверяет нет ли окна с именем и классом Ragnarok.

Код: Выделить всё

.text:0062C885                 call    FindWindow_62B690

....................

.text:0062B690 FindWindow_62B690 proc near             ; CODE XREF: WinMain(x,x,x,x)+765p
.text:0062B690
.text:0062B690 lpClassName     = dword ptr -58h
.text:0062B690 Text            = byte ptr -30h
.text:0062B690 Rect            = tagRECT ptr -10h
.text:0062B690 arg_0           = dword ptr  8
.text:0062B690
.text:0062B690                 push    ebp
.text:0062B691                 mov     ebp, esp
.text:0062B693                 sub     esp, 58h
.text:0062B696                 mov     eax, lpClassName
.text:0062B69B                 push    ebx
.text:0062B69C                 push    esi
.text:0062B69D                 mov     esi, [ebp+arg_0]
.text:0062B6A0                 push    edi
.text:0062B6A1                 push    eax             ; lpWindowName
.text:0062B6A2                 push    eax             ; lpClassName
.text:0062B6A3                 mov     hinst, esi
.text:0062B6A9                 call    ds:FindWindowA
.text:0062B6AF                 test    eax, eax
.text:0062B6B1                 jz      short loc_62B6BC
.text:0062B6B3                 pop     edi
.text:0062B6B4                 pop     esi
.text:0062B6B5                 xor     eax, eax
.text:0062B6B7                 pop     ebx
.text:0062B6B8                 mov     esp, ebp
.text:0062B6BA                 pop     ebp
.text:0062B6BB                 retn
DInvalid
Грамотный
Сообщения: 368
Зарегистрирован: Вт ноя 14, 2006 4:54 pm

Сообщение DInvalid »

Jerry писал(а):http://www.uinc.ru/files/neox/PE_Tools.shtml
импрека урл не помню, поищи слова Import REConstructor

можно импреком восстановить после распаковщика, можно сразу сдампить петулзом, там весьма неинтуитивный процесс, нужно разбираться в деталях, и я не помню, что он там дампит и что из этого получается :)
Отличный сайт, раздел тулзов тоже очень хорош =)

http://www.wasm.ru/toollist.php?list=6
Inik
Начинающий
Сообщения: 42
Зарегистрирован: Пн дек 18, 2006 1:38 am

Сообщение Inik »

Я кстати не совсем понял чем Lord_PE отличается от PE_Tools :)
Аватара пользователя
kLabMouse
Профессионал
Сообщения: 4776
Зарегистрирован: Вс ноя 05, 2006 4:32 pm

Сообщение kLabMouse »

Inik
Немного отличаются Алгоритмы. Но всё-же если одно не катит, берём другое.
Аватара пользователя
piroJOKE
Модератор
Сообщения: 8207
Зарегистрирован: Сб ноя 04, 2006 2:20 am
Сервер RO:: localhost
Откуда: Molvania

Сообщение piroJOKE »

Оффтоп, речь идет об обычном sakexe, не о мотр-е; о запуске нескольких экземпляров exe-шника без его взлома.
DInvalid писал(а):
piroJOKE писал(а):Знаете что... Я вот попробовал это колдунство с обычным sakexe - фиг што вышло. Ну да, я скачал с мелкософта этот P.E., нашел им чо-то там бла-бла-бла-surface, вроде как убил его. Но второе окно всё равно не запустилось. Там еще какая-то проверка?
После проверки мьютекса, он еще проверяет нет ли окна с именем и классом Ragnarok.
(...)
Оу, йееее! Заработало! Вот это клёво! :Yahoo!:

Итак, еще раз, чтобы весь процесс был описан в одном месте...

Я взял InqSoft Windows Scanner, и им изменил заголовок у окна sakexe.
Затем я взял Sysinternals Process Explorer, и им убил у процесса exe-шника мутекс \BaseNamedObjects\Surface.

Спасибо за помощь! :)
Use brain against brain, ai against ai... · как правильно задавать вопросы · faq · download
Ответить