Привет всем!

Вот попытался взломать одну прогу, опыта взлома пока нет, установил SoftIce установил точки прерывания на фунуции:
GetWindowTextA, GetWindowTextW, GetDlgItemTextA, GetDlgItemTextW
как в книжках пишут, однако программа по этим точкам не останавливается. Видимо функция вызова лежит в библиотеке (pbd) так я понимаю PowerBuilder, как в этом случае отлавливать?

И ещё другая буржуйская программа при запуске под SoftIce отлавливает это и пишет какую-то гадость, видимо в реестр, и больше не запускается, как от этого защитится?

| Сообщение посчитали полезным:

А ты попробуй сначала проверит!!!! А вдруг она чем небудь запакована!!!! Для етого скчай с wasm.ru PEiD И проверь!!! Если запакована тогда для начала надо её распокавать!!!

| Сообщение посчитали полезным:

Multy пишет:
установил SoftIce установил точки прерывания на фунуции:
GetWindowTextA, GetWindowTextW, GetDlgItemTextA, GetDlgItemTextW
как в книжках пишут, однако программа по этим точкам не останавливается
1) Читай http://www.exelab.ru/art/
2) В файле winice.dat убери занк ; перед этими строками:
EXP=c:\windows\system\kernel32.dll
EXP=c:\windows\system\user32.dll

Multy пишет:
И ещё другая буржуйская программа при запуске под SoftIce отлавливает это и пишет какую-то гадость, видимо в реестр, и больше не запускается, как от этого защитится
Использовать тулзы, скрывающие отладчик (iceext например).

Cigan пишет:
Если запакована тогда для начала надо её распокавать!!!
То что бряки не срабатывают тут ни при чём. Бряк ставится на вызов функции, а так как прога в памяти распакована, то и бряк сработает.

P.S. Стандартных взломов нет

| Сообщение посчитали полезным:

Multy
Какая верия PowerBuilder'a?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

WELL пишет:
То что бряки не срабатывают тут ни при чём. Бряк ставится на вызов функции, а так как прога в памяти распакована, то и бряк сработает.
Это не совсем так... если пакер использует переходники, то бряк на начало функции ничего не даст =)

| Сообщение посчитали полезным:

А может прога на Delphi??? В Делфи не катят стандартные функции

| Сообщение посчитали полезным:

Mario555 пишет:
Это не совсем так... если пакер использует переходники, то бряк на начало функции ничего не даст =)
Да. В идеале конечно распаковать надо ;)

| Сообщение посчитали полезным:

Я всё-таки так и не понял как мне установить точку прерывания если вызов необходимой мне функции находится в библиотеке PowerBuilder?

| Сообщение посчитали полезным:

Неужли никто таки и не знает как установить точку прерывания если вызов необходимой мне функции находится в библиотеке PowerBuilder?

| Сообщение посчитали полезным:

Multy
А какая разница где ставить бряку?
Смотришь какая ф-ия и делаешь в ольке бряк:
BP NameFunctionPowerBuilder
Только ф-ия должна быть подгружена в память процесса

Чуть выше я тебя спрашивал: КАКАЯ ВЕРСИЯ POWERBUILDERa??? Для 7 и 8ой существовал декомпилятор

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Сорри может быть за глупые вопросы, но я именно не понимаю как поставить брекпоинт, что бы он остановился в билиотеке.
Из заголовка файла HDR*PowerBuilder 06_00TDA не знаю какя это версия библиотки.

| Сообщение посчитали полезным:

Да все просто, если в Олли то ctrl+o далее event и ставишь галочку на LoadNewDLL, хотя точно не помню!!!! В ice вроде команда mod и там дальше вибераешь свою длл. Или еще проще открываешь длл меняешь OEP на СС делаешь bint3 далее возращаешь настоящую OEP и ставишь бряк на нужную АПИ!!!

| Сообщение посчитали полезным:

Multy
Я пользуюсь OllyDbg.
Делаешь так:
запускаешь Ольку, загружаешь программу.
жмешь Ctrl+M - находишь библиотеку нужную тебе, переходишь в её код, жмёшь Ctrl+N в списке находишь ф-ию, ставишь на неё бряк F2 или BP Addr

Вот попробуй:

Кстати PowerBuilder не так уж популярен поэтому мало кто с ним сталкивался

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Фигня в том, что эти библиотеки расширение pbd, не Dll и OllyDbg их не понимает и не грузит.

| Сообщение посчитали полезным: