Вот и опять очередная ночь и я сижу,в который раз,на кресле и мои глаза насилует монитор.Очки ещё не ношу,хотя за то время,пока я ещё живу,уже пора бы их завести потому,что почти всё детство я провёл в библитеках за чтением книг в основном религиозно-философско-мистического содержания, или что-то к этому близкому.Знакомство с цифровой аппаратурой началось с тетрисов,дэнди,сега, рэмбо, компьютеров типа "IBM","УК-НЦ" и "Агат". С "УК-НЦ",как и с "IBM", я познакомился на ещё действующей СЮТ(станция юных техников)."IBM" пробыл там не долго и куда-то его убрал руководитель кружка,больше всего пришлось заниматься на "УК-НЦ"...скорее всего современная молодёжь врятли помнит 5-тидюймовые дискеты,которые были намного больше,чем дискеты 4,5 дюйма...в наше-то время современных гаджетов.Бывает "пробивает" ностальгия по тем временам,когда в 11 классе школы "втыкали" в цветной монитор "Агата" и пытались соорудить на Бейсике толково работающую программульку...это конечно не БЭСМ,а нечто намного лучшее,но всё-таки для кого-нибудь раритет.))))Это сейчас,когда я сижу перед монитором своего писишника,я понимаю насколько продвинулись создатели цифровой аппаратуры,всё стало намного лучше но, вместе с тем, сложней.

А всё начиналось с читерства и секретных комбинаций,заложенных создателями игр на игровые приставки.Было очень обидно,что компьютер "может" что-то такое,чего не мог игрок,хотя,даже когда "открывались" "секретные" приёмы(в играх Mortal Kombat, Черепашки-ниндзя:турнир героев, Tekken),то было заметно,что преимущества в движениях было на стороне компьютера и тогда хотелось стать бессмертным,а "этого наглого обормота-компьютера" наказать и показать ему "кто и чей хозяин"...но это ещё в детстве.А потом была учёба в колледже на отделении "Техническое обслуживание и ремонт бытовой радиоэлектронной техники", работа в узле электросвязи в качестве техника усилительного пункта, телефоны, таксофоны, станции связи, устройства разведки и контр-устройств противодействия прослушке и получения информации по разного рода каналам связи...

Увлечения почти не изменились.)))Потом, когда я уже работал, наконец-то, купили компьютер, первый интернет, который был представлен Dial-Up модемом и телефонной линией связи через нашего провайдера, теперь носящего звание филиала "Ростелекома".Это для меня был прорыв в обширный мир информационного потока, где всё было ново и неведомо,первые шаги юзера по просторам сети,первый софт,первые вирусы, первый опыт борьбы с ними(впервые переустанавливал ОС).Потом "выписал" по почте такие книги как "Компьютер глазами хакера" Михаила Фленова первое издание и "Головоломки для хакера" Ивана Склярова,во второй-то и был указан адрес сайта Старый адрес этого сайта...потом прочитал на этом сайте,что сайт переехал на новый адрес, по которому я и перешёл.)))Ещё посещаю иногда сайты Сайт настоящего читера, ВАСМ, Ещё один интересный сайт по крэку на английском языке...))))Книжки разные читаю...развиваюсь,вобщем.)))

Добавлено спустя 13 часов 47 минут
Выложу здесь одно из моих исследовательских творений.))))
---------------------------------------------------------------------------------------------------------------------------------------------
Ручная распаковка Protector v1.1.11 на примере игры Indiana Jones And The Emperors Tomb версии 1.0(RUS):

Инструменты:
-OllyDbg v1.10 с плагинами(если честно не знаю,пригодятся или нет)
-PeTools v1.5.800.2006 RC7
-Import Reconstructor v1.6F

Ну и так же дзэнствующая голова и руки,растущие из нужного места.)))

Это моя первая статья,поэтому прошу не винить если стиль изложения будет какой-то нестандартный и непривычный для кого-нибудь.
Шаг 1:Исследование.
Первое,что я решил сделать-это засунул экзешник indy.exe в ольку,естественно попал на EP,которая находится по адресу 004D7000,вот собственно картина,которую я увидел:

Ставлю бряк клавишей F2 на 004D7033 и нажимаю F9,чтобы обойти цикл.Когда брякнулись,снимаю бряк клавишей F2 и клавишей F8 трассирую дальше до следующего места:

Ставлю бряк на 004D7054 и нажимаю F9 чтобы обойти цикл.После того,когда брякнулись,снова снимаю бряк и клавишей F8 трассирую дальше места:

Ставлю бряк на 004D7086 и жму F9 чтобы обойти цикл.Когда брякнулись,то снова снимаю бряк и клавишей F8 трассирую дальше до места:

Поэтому вставляем диск в физический привод или его виртуальный дубликат в эмулятор дисков типа Daemon Tools и шаманим всё с начала до момента:

Почему именно сюда?Похоже что это и есть прыжок на нашу OEP,адрес которой лежит в EAX в данном случае OEP=1000.Почему 1000?Потому что Image base=400000 и мы его отнимаем.

Шаг 2:трепанация.
На этом месте останавливаемся,сворачиваем ольку,но не закрываем.Дальше открываем PeTools,находим наш процесс,жмём на нём правую кнопочку мыши и выбираем "Dump Full...".Сохраняем дамп,закрываем PeTools,открываем Import Reconstructor,в поле "Attach to an Active Process" выбираем нашего пациента,в поле "OEP" пишем "1000" и нажимаем кнопочку "IAT AutoSearch",потом жмём кнопочку "Get Imports",после этого жмём кнопочку "Fix Dump",выбираем наш сохранённый дамп,сделанный PeTools и жмём кнопочку "Открыть".Всё,жмём кнопочку "Exit",вот наш экзешник и свободен от пакера и одновременно и от защиты тоже.Переименуем наш дамп так же как и оригинальный экзешник и заменим оригинальный получившимся.Можно свободно и безпроблемно играть.)))Всем удачного кряка и спасибо всем,кто уделил внимание этой писанине.))))

В исследовании мне помогла одна статья,имеющаяся на этом сайте.))))

| Сообщение посчитали полезным:

В дополнение,если кому-нибудь захочется наглядно увидеть как это делается,вот Unpacking DDeM видео о том,как я это делал.)))

| Сообщение посчитали полезным:

Позавчера мне "подкинули" работёнку,ноутбук с Win 7 и проблемой в том,что игры,вроде GTA:Сан андреас,будучи запущенными,через несколько минут игры сворачивались на "Панель задач" и представал перед нами,во всей его красе,товарищ "Рабочий стол".

Порылся в интернете в поисках решения этой задачи.Писали кое-что,самым распространённым были "Настройки Skype" и "Файл ouc.exe - online update client",входящий в состав программного обеспечения,необходимого для работы 3G-модемов фирмы "Мегафон".

1)Первым делом я попробовал то,что писали про скайп-не помогло,запущенная игра продолжала сворачиваться.
2)Тогда я запустил "Диспетчер задач",переключил его на вкладку "Процессы",нашёл среди процессов "ouc.exe",выделил его и нажал на "Завершить процесс".После этого я запустил игру и это было то,что надо,игра не сворачивалась.В интернете писали,что желательно удалить файл,запускающий этот процесс.Пробовал-файл снова "реанимировался" и приходилось снова шаманить с "Диспетчером задач".

Как заставить этот процесс больше не запускать оставлю как домашнее задание для пытливых умов,которые в этом будут нуждаться,я решение нашёл.)

| Сообщение посчитали полезным:

Где-то дня 2 назад наткнулся на инфу о том,что Николай Лихачёв(он же известный многим под псевдонимом Крис Касперски) трагически погиб...земля пухом мыщ'ху,больше мы не прочитаем его новых литературных творений.Так,решил выложить несколько ссылок на интересную на мой взгляд литературу))):
>>ЗДЕСЬ<< вы сможете найти все(или почти все) литературные творения мыщ'ха,
>>ЗДЕСЬ<< можно скачать книгу " Исследование программ Win32 до дизассемблера и отладчика",которая,лично на мой взгляд,должна стоять среди необходимых для изучения в качестве учебника по реверсингу для всех,кого интересует(думаю,что не меня одного ) это направление хакерского искусства.

| Сообщение посчитали полезным:

(((можно скачать книгу " Исследование программ Win32 до дизассемблера и отладчика",которая,лично на мой взгляд,должна стоять среди необходимых для изучения в качестве учебника по реверсингу для всех,кого интересует(думаю,что не меня одного ) это направление хакерского искусства. ))) а если идеологически не хочется иметь дело с win , какие другие есть предложения?

| Сообщение посчитали полезным:

Abraham пишет:
а если идеологически не хочется иметь дело с win , какие другие есть предложения?

Гугл.)))А,вообще,например,по линухе мне как-то встречалась литература,но я ей особенного внимания не уделил...вроде у Криса в его "Искусство дизассемблирования" что-то было про другие платформы...я как-то,если честно не особенно интересовался другими платформы ибо они в наших местах не трушные.))))

| Сообщение посчитали полезным:

Вот,снова сижу перед монитором и пытаюсь не просто тыкать на клавиши по всяким туторам,а именно изучить и понять,уловить суть того как это всё работает.Нашёл на ютубе несколько видео,которые,наверняка,будут очень полезны начинающим реверс-инженерам под Windows.
>>ОСНОВЫ ДИЗАССЕМБЛИРОВАНИЯ<<
>>Курс "Архитектура ЭВМ и язык Ассемблера" от INTUIT<<
>>Новый канал Павла Каева,посвящённый ассемблеру,дизассемблированию ну и тому подобному...<<
Приятного и полезного просмотра.)

| Сообщение посчитали полезным:

Ыыы,меня понизили в ранге...ну да ладно,понимаю за,что,но это не страшно.Буду продолжать идти своим путём,а другие...ну,админы у них большие полномочия и они не редко беспределят...начальство,однако,типа.им всё можно,даже то,что может мне не нравится.)))))

Я не редко играюсь в игры,вот,не так давно заглянул я на >>ЭТОТ<< сайт старых игр и решил скачать старую,добрую игру Heroes of Might and Magic: A Strategic Quest.Скачал,установил,удалил установочные файлы и всё такое,запустил её БЕЗ ДИСКА,а она мне выдаёт Мессадж Бокс:
"You must have the Heroes Win95 CD in the CD-ROM drive to play Heroes of Might and Magic.

Please insert the CD and try again."

"О,как" подумал я,"что же за ерунда,такая старая игрушка,а отучить её от диска ни кто не удосужился...НЕПОРЯДОК,нужно это исправить..."и взялся я исправлять эту несправедливость.
Открыл я файл HEROES.EXE в DIE,он выдал такое весёлое сообщение:
"
PE: compiler: Microsoft C/C++(3.0)[-]
PE: linker: Microsoft Linker(3.0)[EXE32]"

Далее,открываем наш пусковой файл в верной боевой подруге "Ольке" и ищем сообщение,выдаваемое Мессадж Боксом.Если кто не знает как это делается,то объясняю.Клацаем правой кнопкай мыши в колонке "Disassembly",в открывшемся списке выбираем строки "Search for"->"All referenced text strings",откроется окно в колонке "Text string" снова клацаете правой кнопкой мыши и в списке выбираете строку "Search for text".Откроется поле ввода,в которое вводим "Please insert the CD and try again." и жмём мышкой на "Ok".Попадаем сюда:



Клацаем 2 раза левой кнопкой мыши на этом сообщении и попадаем сюда:



Поднимаемся выше и видим там такую или типа того строку:


Понимаем,что этот прыжок сработает только в том случае,если флаг нуля не будет активным и далее игра запустится,но всё это возможно только тогда,когда диск с игрой будет в физическом приводе или образ диска в эмуляторе,типа Daemon Tools.Но нам важно,чтобы игра запускалась без этих танцев с бубном,поэтому меняем наш переход на безусловный и NOP-им следующую инструкцию.
Как вы будете делать-решать вам,но у вас должно получиться следующее:


Лично я предпочитаю редактировать вручную,с помощью старого,доброго HIEW.
Запускаете HIEW,открываете в нём наш HEROES.EXE,жмём F4,выбираем пункт "Decode",жмёте Enter,далее жмёте F5,вводите .004500C8,жмёте Enter,попадаете на нужный адрес,далее жмёте F3,F2 и редактируете код в режиме ассемблирования,когда вы отредактируете,то жмёте F9.

ВСЁ!!!Приятной вам игры...БЕЗ ДИСКА!!!.))))))))))))))

| Сообщение посчитали полезным:

Реверсинг игры "Las Vegas Casino / Золотая коллекция: Лучшие азартные игры [RUS]"

Сидел я вчера за писишником и думал о том,во что бы поиграть и решил в итоге поиграть в игры из темы про казино.Загуглил запрос "скачать игры казино торрентом",вылезло много ссылок,но мне приглянулась только http://rus-game.net/- -ЭТА ,нажал на неё,в списке игр на скачивание выбрал Las Vegas Casino [RUS] -ЭТУ,игрушка старая,но я решил в неё поиграться,и скачал её,правда по >>ЭТОЙ<< -ссылке на скачивание игры.В описании написано,что таблеткой является эмуляция образа диска...не,ну это же беспредельно нагло,не поломали толком и простому юзеру будет нужно занимать образом игры "лишнее" место на "винте"...а если его очень мало...вобщем,полез я снова в тырнэт,загуглил "скачать No-CD для Las Vegas Casino",но-диска я так и не нашёл,ну и решил я её "отломать" от образа диска тоже сам...ПОЕХАЛИ!!!
Устанавливаем игру...трам-там-там,установка,если не считать того,что мой антивирус ругнулся раза 2,проходит без "приключений",хорошо...едем дальше...открываю я папку игры,сама игра запускается с файла autorun.exe,на который ссылается и ярлык игры на рабочем столе,но,здесь же есть файлы AnirezLoader.exe и BlackBackground.exe,с которых можно запустить безпроблемно игру(лучше с AnirezLoader.exe)...ну,да ладно,оставим это для примитивных крекеров,а мы трушные и кульные хацкеры-реверсеры,поэтому сделаю вид,что я с этим не разобрался и решил "сломать" autorun.exe,чтобы всё было "по честному".)))Запускаем autorun.exe,вылазит мессаджбокс с сообщением "Не найден диск с игрой "Las Vegas Casino" от издателя "Полёт Навигатора"!!!",ладно,после нескольких манипуляций с диском,выясняется,что игра проверяет наличие на диске в папке Demki файла index.chm,метку тома,букву дисковода и диск на сидиромность игра не проверяет,что позволяет скопировать данную папку с файлом в корневой каталог ЛЮБОГО(в том числе и жёсткого) диска и играть,а,чтобы этот файл занимал минимум места,можно создать блокнотный пустой текстовый документ и заменить ему расширение .txt на chm.Но все эти танцы с бубном,не редко,утомляют простых юзеров,поэтому будем "извращаться" дальше.Проверяем файл autorun.exe на упакованность и защищённость с помощью программы DIE,файл ни чем не упакован и не защищён,написан на Microsoft Visual C++,что говорит нам о том,что ломать будет не то,чтобы совсем просто,но намного легче,чем могло бы быть.)))Нужно найти место вызова проверки наличия на диске нашего файла index.chm,находящегося в папке Demki и обмануть эту проверку так,чтобы после проверки был переход на,запускающий нашу игру,участок кода.

Загружаем autorun.exe в HIEW,жмём F7 для поиска и ищем строку "DEMKI\index.chm" для этого в строке ASCII вводим слово DEMKI и жмём Enter.Видим по адресу 00402610 начало любопытной строки "A:\DEMKI\index.chm"

Грузим autorun.exe в нашу боевую подругу ольку.В окне дампа в колонке "Address" жмём правую внопку мыши,в появившемся меню,выбираем пункт "Go To"->"Expression".В появившемся окошке вводим адрес 00402610 и жмём Ok.

Попадаем на нужный нам адрес.Ставим на байте по этому адресу брейкпоинт на доступ к памяти.Для этого на этом байте жмём правую кнопку мыши,далее выбираем пункт "Breakpoint"->"Memory,on access".Жмём клавишу F9,попадаем сюда:



Пролистываем код до этого места:



Снимаем все брейкпоинты.Чтобы не сработал этот прыжок,меняем его на прямо противоположный-JNE.Для этого открываем файл в HIEW,переключаем его в режим дизассемблера нажатием клавиши Enter,нажимаем F5,вводим адрес .00401404,жмём Enter,попадаем на нужный нам адрес,жмём клавиши F3,F2.В открывшейся строке меняем наш прыжок je на нужный нам-jne,жмём Enter,Esc,F9.Закрываем HIEW,запускаем нашу игру и...УРРРЯААА,можно играть!!!.))))

| Сообщение посчитали полезным:

Здравствуйте,друзья!!!Да,долго я не писал,но,вот,нашёл свободную минутку для этого.)))Сегодня я хочу показать вам как можно отучить от диска игру Indiana Jones and the Emperors Tomb пропатченную до версии 1.01 ,скачать которую можно >>ОТСЮДА<< . На этот раз защита на ней попроще,поэтому,думаю,что данная статья будет интересна только новичкам в нашем общем деле реверс-инжиниринга.))))

И так приступим.

Используемыемые инструменты:

Отладчик OllyDbg 1.10 с плагином командной строки

Дизассемблер HIEW 7.10

Ход действий:

Грузим в ольку файл indy.exe

Комбинацией клавиш Alt+F1 вызываем командную строку(если она вызывается с помощью плагина)

Ставим бряку на MessageBoxA командой bp MessageBoxA

Запускаем программу на выполнение клавишей F9

Брякнулись

Смотрим на вершину стека,там следующее:



Что указывает на то,что вызов функции был выполнен по адресу 004032B3 модуля indy.exe

Перезагружаем файл под олькой,с помощью комбинации клавиш Ctrl+F2

Комбинацией клавиш Alt+F1 вызываем командную строку(если она вызывается с помощью плагина)

Снимаем бряку с функции и ставим бряку на адресе 004032B3

Снова запускаем программу на выполнение клавишей F9

Брякнулись на месте вызова функции,смотрим выше на то,что творилось до этого,прокручиваем код вверх до первого условного перехода,у меня это:



Снимаем бряк

Закрываем ольку

Открываем наш indy.exe в Hiew

Переключаемся в режим дизассемблирования

Жмём клавишу F5

Вводим наш адрес 00403284

Жмём клавишу F3

Жмём клавишу F2

Переписываем команду условного перехода на противоположную ей,в данном случае JE на JNE

Жмём Enter

Жмём ESC

Жмём F9

Жмём F10

Играем в игру!!!)))

| Сообщение посчитали полезным:

hiew тут не нужен, как и плагин командной строки.

Бряк на API ставится так:
Ctrl+G -> MessageBoxA -> F2

Изменения вносятся так:
Ctrl+E -> 75 -> OK -> ПКМ -> Copy to executable -> Selection -> ПКМ -> Save file

| Сообщение посчитали полезным: BiteMoon

TryAga1n

Благодарю Вас за подсказку,наставник,для меня это очень важное замечание и совет,приму к сведению и постараюсь применять в деле.)

| Сообщение посчитали полезным:

Приветствую всех,заглянувших в мои записки.Крепкого вам всем здоровья и трезвого рассудка.)))
Всё собирался,но всё забывал разместить здесь ссылочку на один полезный ресурс,автор которого Денис Юричев,разместивший очень полезную книгу по реверсу программ и пониманию языка ассемблера. >>Линк на саму книгу<< ,книга периодически обновляется,поэтому не советую довольствоваться только одним её вариантом,возможно в новых её выпусках автор что-нибудь исправит и дополнит...приятного чтения.Очень радует то,что для нас эта книга бесплатная.)))

| Сообщение посчитали полезным:

Здравствуйте друзья.Сегодня я хочу предложить вашему вниманию >>Видеокурс по реверс-инжинирингу 2019<< .Приятного и полезного вам просмотра.

| Сообщение посчитали полезным:

BiteMoon
а что это за курс? Кто автор, какая программа?

BiteMoon пишет:
Открываем наш indy.exe


| Сообщение посчитали полезным:

morgot
Подробнее о курсе >>ЗДЕСЬ<< .

| Сообщение посчитали полезным:

Приветствую всех,кто заглянул и заглядывает иногда сюда.Я не так давно нашёл 2 интересные,на мой взгляд,книги,скачать их можно по следующим ссылкам:
>>Wong Reginald - Mastering reverse engineering<<
>>Monnappa K. - Learning malware analysis<<

Приятного чтения всем заинтересовавшимся.)))

| Сообщение посчитали полезным:

>>Книга Дениса Юричева про реверс для начинающих<< .Книга периодически обновляется,поэтому,кому станет интересно,заходите,проверяйте,может она обновится и автор добавит что-нибудь полезное в новую версию книги.

| Сообщение посчитали полезным:

Здравствуйте, друзья.Написал тут одну небольшую писанину на основе своего поста по взлому игры про Индиану Джонса. Старался чтобы было более-менее понятно для новичков, поэтому продвинутым профи это может быть не интересно.Удачных взломов вам, друзья.)))
Скачать можно по адресу >>СТАТЕЙКА<< .

| Сообщение посчитали полезным:

Воды как в дипломной работе. Ошибочные высказывания, бесполезная информация и резко практика, которая приправлена еще большим количеством бесполезной инфы и ошибочных высказываний. Скажу честно, я бы ногами бил за такое.

П.с.: но ты все равно молодец. Главное делай вычитку материала и хорошенько изучи термины, которыми пытаешься оперировать, ибо количество неверной информации просто зашкаливает

| Сообщение посчитали полезным:

TryAga1n пишет:
Воды как в дипломной работе. Ошибочные высказывания, бесполезная информация и резко практика, которая приправлена еще большим количеством бесполезной инфы и ошибочных высказываний. Скажу честно, я бы ногами бил за такое.

П.с.: но ты все равно молодец. Главное делай вычитку материала и хорошенько изучи термины, которыми пытаешься оперировать, ибо количество неверной информации просто зашкаливает

Благодарю за критику,давайте в личке пообщаемся.)

| Сообщение посчитали полезным:

Сегодня сделал это видео >>Хакали мы сегодня второго терминатора в судный день с NES<<,так,моё увлекательное хобби-ромхакинг,из которого может получиться что-то более значительное.))))Приятного просмотра вам,друзья.)))

| Сообщение посчитали полезным: