Сейчас на форуме: vasilevradislav, Magister Yoda, site-pro (+5 невидимых)

 eXeL@B —› Крэки, обсуждения —› Как подменить kernel32.dll
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 14.4 (новичок), 8thx
Активность: 0.050
Статус: Участник

Создано: 14 мая 2014 21:17
· Личное сообщение · #1

Ребята, у меня возникла идея подправить возвращаемые значения функций вин апи, которые часто используются при антиотладке. Вот к примеру есть функция IsDebuggerPresent(), которая возвращает в eax единицу. Функция из kernel32.dll, я в отладчике подправил, перед ret вставил mov eax,0
Измененную длл сохранил в папку, где лежит ехешник проги. Открываю прогу в оллидебаг, но вижу, что она грузит длл из системной папки винды, а как сделать, чтобы она ее грузила из текущей папки ?



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 15 мая 2014 17:10
· Личное сообщение · #2

kola1357 пишет:
Тогда значит нужно смотреть сравнение после этой функции и править переход

Проще сбросить, в начале отладки, флаг BeingDebugged и не выносить самому себе мозг.



Ранг: 14.4 (новичок), 8thx
Активность: 0.050
Статус: Участник

Создано: 15 мая 2014 20:00
· Личное сообщение · #3

ELF_7719116 пишет:
Проще сбросить, в начале отладки, флаг BeingDebugged

Обычно так и делаю, при запуске выбираю адрес ebx регистра в дампе и правлю его на 0. Кстати Hideod вроде также работает.


<< . 1 . 2 .
 eXeL@B —› Крэки, обсуждения —› Как подменить kernel32.dll
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати