| Сейчас на форуме: subword, rtsgreg1989, zds (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Arma IAT Elimination |
| Посл.ответ | Сообщение |
|
|
Создано: 05 февраля 2008 16:48 · Личное сообщение · #1 Есть программа (7,9 mb) http://www.aston2.com/files/Aston2_Menu_setup.exe . Покрыта 5-ой армой, с Код сплисингом и ИАТ элиминэйшеном. Вообщем то ни оеп(через CreateThread (65A8)), ни код сплисинг (с jmp const, nop + ArmInline) проблем не доставляют. Соответственно остаётся только IAT Elimination. Границы IAT определить не сложно (FF25 и посмотреть куда ведёт). Только вот magic jump никак не могу найти и треть таблицы тупо не восстанавливается арминлайном(что само сабой разумеется). Через хардварный бряк с сплисингом тоже много не навоюешь. Была в ранних версиях методика нахождения джампа через GetModuleHandleA, но сейчас она не прокатывает (или я нуб???). Вот и хочется узнать как его найти, причём т.к. распаковывается в целях личного использования, то желательно методику. Стоит добавить, что перед постом чуток почитал от нарвахи(ну просто фанат копи-паста) и ARTeam'ских туторов. Результат оказался плачевным. ----- Я ещё не волшебник, я только учусь...  |
|
|
Создано: 05 февраля 2008 17:24 · Поправил: s0cpy · Личное сообщение · #2 Assass1n рабочий экзешник...: _hxxp://rapidshare.com/files/89358377/A2Menu_u.rar в аттаче табличка импорта... Только вот magic jump никак не могу найти а ты попробуй бряк на VirtualProtect, бракнешься, Ctrl+F9 и так пока не увидишь код похожий на...: 00BFA5DF 8B8D D0D5FFFF MOV ECX,DWORD PTR SS:[EBP-2A30] 00BFA5E5 51 PUSH ECX 00BFA5E6 8B95 CCD5FFFF MOV EDX,DWORD PTR SS:[EBP-2A34] 00BFA5EC 52 PUSH EDX 00BFA5ED 8B85 74D8FFFF MOV EAX,DWORD PTR SS:[EBP-278C] 00BFA5F3 0385 C8D5FFFF ADD EAX,DWORD PTR SS:[EBP-2A38] далее Ctrl+F, найти push 100 (поставь галку на Entire block). найдешь - push ebp (55h) меняй на retn (C3), на а далее по старой схеме (CreateThread)... |
|
|
Создано: 05 февраля 2008 17:24 · Личное сообщение · #3 Через VirtualProtect->Push 100 джамп спокойно находится. Unpacked: rapidshare.com/files/89360059/A2Menu.rar |
|
|
Создано: 05 февраля 2008 17:34 · Личное сообщение · #4 /оффтоп... а я вот сижу смотрю сайт и думаю... купить сабж или нет?... О_о ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 05 февраля 2008 17:38 · Личное сообщение · #5 |
|
|
Создано: 05 февраля 2008 18:49 · Личное сообщение · #6 Ой, спасибо... Я как то даже и не подумал. Знал, что Дебагблокер через виртуал протект патчится, а вот с ИАТ мозгов докумекать не хватило. Всем спасибо большое. Тему пока закрывать не буду, может ещё кто нить новых идей или методов подкинет. ----- Я ещё не волшебник, я только учусь... |
|
eXeL@B —› Основной форум —› Arma IAT Elimination |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати