 |
eXeL@B —› Основной форум —› Исследование WebMoney Keeper`a |
| Посл.ответ | Сообщение |
|
|
Создано: 30 июля 2006 17:20 · Личное сообщение · #1 Занялся исследованием кипера, нужно сделать так, чтоб окошко с настройками появлялось в офлайне. Оно находится в wmclient.dll (и проверка там же). Проблема в том, что там в этой проверке столько условных переходов, что я уже совсем запутался. Помогите кто-нибудь, если не сложно, подправите dll`ку. Версия кипера мне без разницы, буду рад любой помощи, даже подсказке. Всем заранее спасибо!  |
|
|
Создано: 30 июля 2006 17:26 · Личное сообщение · #2 Ну тогда в запросы на взлом. |
|
|
Создано: 30 июля 2006 19:38 · Личное сообщение · #3 Да не нужно мне его ломать, просто исследую защиту. Тем более будет неинтересно, если все за меня сделают. |
|
|
Создано: 30 июля 2006 21:48 · Поправил: [HEX] · Личное сообщение · #4 chatty2 Помогите кто-нибудь, если не сложно, подправите dll`ку. Ты как раз таки и просишь все сделать за тебя! Ты даже походу дела и не пытался ничего сам предпринять 
015E149E |. /0F85 8A000000 JNZ WMClient.015E152E (v.3.0.0.1) ----- Computer Security Laboratory |
|
|
Создано: 31 июля 2006 00:08 · Личное сообщение · #5 Пытался, но видими опыта пока маловато. Спасибо, но очень интересно узнать, как узнал, что именно этот jnz. Я ставил в olly бряк на SendDlgItemMessageA, который срабатывал как-раз при нажатии "настройки программы". дальше я пошагово выполнял прогу, но там столько условных переходов, что я совсем запутывался. и делал я это не один раз. если не сложно, ябъясни, свои действия. thx! |
|
|
Создано: 31 июля 2006 00:52 · Личное сообщение · #6 chatty2 10131470 55 PUSH EBP 10131471 8BEC MOV EBP, ESP 10131473 6A FF PUSH -1 10131475 68 A93C1710 PUSH WMClient.10173CA9 1013147A 64:A1 00000000 MOV EAX, DWORD PTR FS:[0] 10131480 50 PUSH EAX 10131481 64:8925 00000000 MOV DWORD PTR FS:[0], ESP 10131488 83EC 1C SUB ESP, 1C 1013148B 894D E8 MOV DWORD PTR SS:[EBP-18], ECX 1013148E 8B45 E8 MOV EAX, DWORD PTR SS:[EBP-18] 10131491 8B48 60 MOV ECX, DWORD PTR DS:[EAX+60] 10131494 E8 07A7EFFF CALL WMClient.1002BBA0 10131499 0FB6C8 MOVZX ECX, AL 1013149C 85C9 TEST ECX, ECX 1013149E 0F85 8A000000 JNZ WMClient.1013152E чтобы не искал... ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 31 июля 2006 01:41 · Поправил: chatty2 · Личное сообщение · #7 всем thx. но может кто-то объяснит, как он понял, что это нужный jnz? если нет, то спасибо и на этом, топик можно считать закрытым. |
|
|
Создано: 31 июля 2006 13:47 · Личное сообщение · #8 chatty2 В ресурсах ищешь строку которая вылазиет "Типа вы щас не онлайн" у неё будет индефикатор. Топаешь в код дллки и ищешь константу тоесть наш индефикатор. Обычно это PUSH наше_число. Ставишь бряки на всех таких вызовах. Отпускаешь прогу и смотришь на каком именно прирвется во время попытки открытия настроек (все остальные бряки уберешь). Таким образом ты нашел ту саму процедуру в которой и происходит проверка есть коннект или нету. ----- Computer Security Laboratory |
|
eXeL@B —› Основной форум —› Исследование WebMoney Keeper`a |
Для печати