HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Безопасность и Анонимность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу Крипторы (только в этом топике)
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #11  
Старый 27.05.2008, 08:36
Грот
Участник форума
Регистрация: 24.01.2008
Сообщений: 110
С нами: 9629565

Репутация: 209
По умолчанию
решил написать в теме крипторы по моему это ближе к ним.
если нет то пусть модеры перекинут тему.


Итак всем привет!

сечас я раскажу как можно менять имадже базу
думаю все знают что при запуске любой программы
она распологаеться гдето в память машины совмесно с
длл.
да.. о чем это я. ах да для чего я это говорю,
а для того что сечас мы будем менять им базу
а программу? чтобы тема была интересней я взял программу пинч
уже готовый сконфигурированый.

инструмент который нам потребуеться не считая головы и рук.
ольга (отладчик)
вин хекс (редактор)

если все это есть тогда приступим.

открываем пинч в ольге
и смотрим его память буква "М"
ищем название пороги а именно pinch
пропускаем имена длл и вот он пинч и все его секции
смотрим первую а именно адрес 13140000 вторую и так далие записали
все адреса секций.

теперь теория после того как мы изменим им базу
(программой лорд ре-не обязательно) на 00400000
(как у большенства фаилов)
программа работать перестанет .
почему?
а потому что нарушились все переходы
импорт стал указывать в пустоту
выход нужно его поменять и отредактировать
кроме импорта нужно востановить стек
ибо там тоже все плохо
не говоря уже о прыжках они по прежнему прыгают только
х.. знает куда.
менять все это вручную это страшный гемор
для этого есть вин хекс.
открываем в нем пинч,
и жмем поиск байт тебе нужно искать 13140000
однако на самом деле ты ищешь 00001413
эффект зеркала такуж заведено в программах
ничего не поделаешь.
мы меняем 13140000 на 00400000 от седа вывод
меняем только 1314 на 0040
жмем поиск 1314 (можно и не жать)
просто жмем поменять байты 1314 на 4000(перевернутое 0040)
жмем менять все изменили

аналогично переходим к второй секции.
только замена адреса будет такой 1315 на 0041 и.т.д.
после всех операций ты получишь полностью измененный фаил который
будет работ в диапозоне памяти машины 00400000
вот вроде и все.
далие возникает вопрос к чему все это?
ответ прост, при изминении структуры,
крипторы которые раньше палили, не по статике стаба криптора а и именно по
структуре, палиться перестануть.
многие антивири
перестанут палить еще не криптованый пинч.
 
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Социальная инженерия The real Dr.Lector Болталка 10 22.12.2008 20:45



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.