 |
eXeL@B —› Основной форум —› текущие проблемы при взломе |
| Посл.ответ | Сообщение |
|
|
Создано: 05 мая 2006 19:58 · Личное сообщение · #1 Накопилось несколько вопросов, взаимосвязанных друг с другом, но задавать их лучше отдельно, однако не вижу смысла плодить много тем. Итак: 1. в софтайсе пишу bpx eip if (esp->8==0x0000000d) он говорит - инвалидная команда. В чем ошибка? 2.как программа может получить строку, кроме как посредством функций типа GetDlgItemText/GetWindowText и посылки сообщения wm_gettext? С помощью софтайса просто не зафиксировал я таких вещей. 3. Как программа может импортировать функцию из dll, кроме как используя LoadLibrary/GetProcAddress? Есть функция в библиотеке, которая просто ДОЛЖНА вызываться программой (уж больно имя у нее говорящее), но не вызывается, блин... 4.как поставить бряк на функцию из подгружаемой программой dll? Неужели только LoadLibrary/GetProcAddress отлавливать? 5.каким образом можно остановив процесс, произвести поиск в его адресном пространстве?  |
|
|
Создано: 05 мая 2006 20:19 · Личное сообщение · #2 babandr Частично отвечу... 3. Видимо ты ловишь LoadLibraryA, еще возможно LoadLibraryW. А еще не исключено, что функция с говорящим названием тут вообще не при чем. 4. Пользуй Олю. Идешь по адресу нужной тебе функции (именно функции в самой библиотеке!) и ставишь на нее бряк. В любой проге сработает. ----- Blame the victim! |
|
|
Создано: 05 мая 2006 20:34 · Личное сообщение · #3 4. Как самый убойный вариант - опкод СС в начало функции, в айсе i3here on 5. Ctrl-D, addr process_name, s 0 l 7ffffff 'MyString' |
|
|
Создано: 05 мая 2006 20:52 · Личное сообщение · #4 Sh[AHT] пишет: Как самый убойный вариант - опкод СС в начало функции, в айсе i3here on Действительно убойно ! Особенно если системная библиотека =) ----- Blame the victim! |
|
|
Создано: 05 мая 2006 20:56 · Личное сообщение · #5 1nn0cent пишет: Особенно если системная библиотека =) Речь была про некую библиотеку с громкоговорящим именем. На системных библиотеках айс просто по bpx неплохо брякается |
|
|
Создано: 05 мая 2006 21:05 · Личное сообщение · #6 Sh[AHT] Да понятно... Просто прикольно было бы потом опкод не убрать =) ----- Blame the victim! |
|
|
Создано: 05 мая 2006 23:44 · Личное сообщение · #7 1nn0cent пишет: Действительно убойно ! Особенно если системная библиотека =) И что, адресное пространство, то разделено. |
|
|
Создано: 05 мая 2006 23:49 · Личное сообщение · #8 babandr пишет: 1. в софтайсе пишу bpx eip if (esp->8==0x0000000d) он говорит - инвалидная команда. В чем ошибка? ...какая у тебя версия SoftIce?? Посмотри тут в конце топика мои посты.Возможно поможет. ----- the Power of Reversing team |
|
|
Создано: 10 мая 2006 21:03 · Личное сообщение · #9 спасибо большое за советы ...третье прерывание в начало функции - неплохая идея, хотя следовало самому бы додуматься. говорящяя функция , судя по всему, не загружается, а ПЕРЕПИСЫВАЕТСЯ программой в свое тело из длл. хотя твердой уверенности в этом нет. Следующий вопрос : подгружаемая длл помещается программой в своё адресное пр-во или же выделяется собственное? И если верно первое утверждение, то начальный адрес заранее можно определить или нет? |
|
|
Создано: 10 мая 2006 21:33 · Личное сообщение · #10 babandr Библиотека загружается в адресное пространство вызывающего процесса. Если тот ImageBase,который прописан в заголовке библиотеки,свободен,то последняя загружается по нему,если же занят,то загрузчик загружает DLL по другому свободному смещению. ----- the Power of Reversing team |
|
|
Создано: 14 мая 2006 18:23 · Личное сообщение · #11 Хотелось бы уточнить - длл загружается по ImageBase или по ImageBase+Section Alignment? И откуда берется "другое свободное смещение"? |
|
|
Создано: 14 мая 2006 20:31 · Личное сообщение · #12 babandr По ImageBase. Под "другое свободное смещение" подразумевался просто другой адрес, который система выбирает сама. |
|
eXeL@B —› Основной форум —› текущие проблемы при взломе |
Для печати