Я прочитал одну статью, но не смог в ней разобраться. Не потому-что она на английском, а просто не понял всей специфики. Прошу кого-нибудь, кто может, написать про то что там говорится в более информативном виде. Я бы сам написал статью, но она мне не понятна до конца, а значит думаю неинтересна. А статья то впринципе стоящая, если ее преподать получьше. Вообщем, надеюсь на вас. Вот статья http://www.tuts4you.com/download.php?view.320. Если кто-нибудь возмется, напишите тут.
а что непонятно в статье? статья не разжеванная, но вполне усваиваемая. что касается In-line (или on-line) patch'а то на эту тему написано много, в т.ч. и мной и в т.ч. и под никсы, не только под винды. методик перехвата - море. от тупых до совсем тупых. к совсем тупым относится в частности модификация программы по прошествии несколько времени после ее запуска, когда она уже гарантированно распакована. если это защита типа регистрации, то мы получаем зарегистрированную версию через секунду после запуска если это же тириал, который истек, то скорее всего там будет мессаге-бокс, так? и мы просто не нажимаем на "ок", а ждем пока онлайновый патчер не отпатчит программу. ес-но, это работает не во всех случаях и вообще это тупое решение, зато простое в реализации. по поводу проверки CRC. ну вообще-то можно и не модифицировать программу для ее взлома, а просто ставить аппаратную точку останова на определенную команду и далее модифицировать регистры/область данных, возвращая программе управление (но здесь мы вынуждены либо порождать отладочный процесс, что легко секут защиты, либо внедрять обработчик исключений непосредственно в отлаживаемый процесс, что так же легко отследить и прищемить, ну или же написать драйвер, обрабатывающий исключения на уровне ядра, что требует квалификации, прав админа для запуска патчера, но зато хрен его какая защита отловит) описанный в сабжевой статье вариант далеко не самый лучший. обычно, чтобы определить, что программа распакована, достаточно установить точки останова на API-функции, вызываемые программой после распаковки и относящиеся либо к стартовому коду, либо к коду инициализации приложения (это так же могут быть и функции библиотеки MFC). а как поставить точку останова на библиотеку? ну... сначала ее нужно загрузить внутрь адресного пространства процесса. популярный метод. пишем загрузчик, создающий приостановленный процесс и пихаем туда код, который вызывает LoadLibrary для данной библиотеки, аллоцирует немного памяти, и делает jmp из перехваченной функции на эту память, где записан код обработчика (точка останова в стиле синклера , далее наш код вычищает себя из памяти, восстанавливая исходное содержимое точки входа (его можно взять прямо из файла), ну и возвращает ему управление. простой и надежный метод.
Меня знакомый попросил ему взломать одну програмку. Но видимо ее в Olly не взломать. То есть она защищена протектором и в Olly не открывается, генерируя собственное исключение. Это одна их последний версий Themid'ы Или же все-таки можно что-то предпринять. Вообщем, если есть интерес, попробуйте что-либо сотворить. А я пока не справлюсь с этой программой. Буду изучать и пробовать. Вот сам файл, с которым борюсь. http://flight1.100megabyte.com/Flight1ATRFSX.exe Просто реально стало интересно, как работает этот проткетор.
про взлом фемиды написано много. мыщъх, правда, еще ничего не писал. Olly она палит, но там есть плагины, скрывающие Olly от него, кстати, упаковка самого Olly фемидой существенного затрудняет работу фемиды по борьбе с Olly (можно даже не паковать самому, а взять готовый с краклаба), еще фантомный плугин - хорошая вещь, но лучше пускать его под виртуалкой, т.к. его драйвер иногда крошит систему. я бы порекомендовал для взлома фемиды сусер, хотя это дело вкуса, конечно.
Привет. Спасибо за ответы мего топика: http://www.wasm.ru/forum/viewtopic.php?id=26369 Но Сусер не пашет из-за GF'8600. Галочка Load Driver в фантоме тоже выдает ошибку. Я честно говоря не понял, что значит запускать под виртуалкой . Кстати, СУCЕР очень понравился мне по интерфейсу. Это я когда видеодрайвер снес, то он открылся, но естественно, не функционировал. Чтобы пропатчить фемиду, на что надо бряки ставить, или это не относится к функциям ? Допустим даже если я сусер запущу, то с чего начать при работе с фемидой ?
Robix виртуалка - VM Ware или аналоги. как снимать фемиду - в сети до хвоста статей. просто лень повторяться, а в двух словах тут не расскажешь... так что кури емаги
Прочитал статью kaspersky в журнале хакер за июнь 2007 "С глаз долой - из списка вон!". Вней описывался способ создания "виртуальные папки". Вот отрывок "Допустим мы имеем папку C:\X\Y.Так вот, папка Y существует, а X - нет. Точнее, она существует, но у нее удален uplink на корень C:\, и потому добраться до Y можно, только зная полный путь." Пытался повторить ковыраясь в NTFS с помощью NtEplorer от Runtime Software и читая "Внутреннее устройство Microsoft Windows 2000. Руссинович М. Соломон Д." но ничего не получилось. Не понятно где искать Uplink на корень. Помогите кто-нибудь!!!
chazy_chaz в моей "технике восстановления данных" NTFS описана довольно подробно, правда, структура индексов там опущена, но допереть до сути можно
Спасибо !!! буду читать. Kris ты не однократно писал что Nero плохо записывает диски, да и я много раз убеждаля в этом. Есть ли альтернатива. Какие проги посоветуеш.
chazy_chaz DVDDecryptor (бесплатный) не пробовал? мне понравился. правда, запись не его основное предназначение, но гибкость и функциональность на уровне. да, пишет только исошки, но изготовить их - минутное дело. куча утилит позволяет даже монтировать исошку как виртуальный диск, пихать туда файлы фаром - в общем, красота хотя если есть исошка, то подойдут так же алкоголик и клонсд. по надежности записи режим DAO обладает большими возможностями в плане "пиши що хочещь", но качество, увы. SAO плохо дружит с нестандартными извратами, но надежность выше на порядок. плюс тут еще есть разница чем тикать - встроенным кварцем привода или по шине. посикоку винда никогда не была осью реального времени последний пункт явно не канает (ну разве что в плане защит, но никак не качества прожига).
DVDDecryptor устанавливал, когда читая твои стятьи пытался рипать видео, но писать диски не пробовал. Ща попробую. Хотелось узнать когда выйдут твои книги : "Ассемблер — это просто","хакерство с паяльником в руках" и продолжене серии книг "Техника оптимизации программ", уж больно мне первая книга понравилась. Большое спасибо. Удачи!!!!!!!!!
