HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > Реверсинг
Перезагрузить страницу HidCrackMeImp
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 04.01.2007, 04:01
Ra$cal
Постоянный
Регистрация: 16.08.2006
Сообщений: 640
С нами: 10386906

Репутация: 599


По умолчанию
Весёлый крякми. Я registred =)
 
Ответить с цитированием

  #12  
Старый 04.01.2007, 17:09
taha
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
С нами: 10381346

Репутация: 1077
По умолчанию
уффух, крякнул!!
hidden's CrackMe registred

третье место моё.
уряяяяяя)))
Последний раз редактировалось TAHA; 04.01.2007 в 17:13..
 
Ответить с цитированием

  #13  
Старый 04.01.2007, 22:11
taha
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
С нами: 10381346

Репутация: 1077
По умолчанию
hidden, если тебе интерсно, могу сказать над чем вчера бился. Думаю другим будет тоже полезно. Так вот в своём первом посте я показал где hidden ищет смещение функций, так вот он пропускает mov edi,edi. Если пронопить add eax,2h, то смещение будет к первому байту апи.
И олька будет показывать куда ведёт jmp. Бился я над автоматизацией процесса.

Таблица:
0040128A -E9 4BBB417C JMP kernel32.ExitProcess
...
00401352 -E9 404AB177 JMP GDI32.SetTextColor

Но как только я узнал, что у Протиуса уже начали вырисовываться квадратики я забил на это неблагодарное дело. И начал реверсить...

Вот теперь решил вернуться к скрипту))) Естественно улучшил его, теперь он call'ы редактирует. И теперь ненадо по ним ходить.

Код:
	var vesp
	var xx

	sti
	FINDOP eip,#E92A#
	bp $RESULT
	run
	bc $RESULT
	bp 00401BF0
	run
	bc 00401BF0
	sto
	sto
	sto
	sto
	sti
	asm 00401444,"nop"
	asm 00401445,"nop"
	asm 00401446,"nop"
	bp 0040100E
	run
	bc 0040100E
	var AddrJmp
	mov AddrJmp,0040128A
	sub AddrJmp,5
metka1:
	add AddrJmp,5
	bp AddrJmp
	cmp AddrJmp,00401352
	jne metka1
	run
back:
	mov vesp,[esp]
	bp vesp
	sto
	mov xx,eip
	sub xx,vesp
	sub vesp,4
	mov [vesp],xx
	run
	bc eip
	run
	jmp back
Адреса естественно свои должны стоять))
Последний раз редактировалось TAHA; 05.01.2007 в 00:34..
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.