Просмотрев отчёт kerberos нашёл только одну функцию сравнения строк "WS2_32.dll | 71A9752A | lstrcmpA(0012FEB8, 71A9757C) returns: 00000000" и та в WS2_32.dll. Захожу по адресу 71A9752A, меняю там je на jmp, но сохранить с тем же именем не могу, сохраняю под другим именем - получаю новую WS2_32ХХХ.dll. И возникают два вопроса: 1. как сохранить изменения не изменив названия библиотеки? или 2. Если 1-е не возможно как сделать так, что бы ххх.ехе обращался к WS2_32ХХХ.dll?

| Сообщение посчитали полезным:

А может проще посмотреть где в проге используется lstrcmpA и править там?

| Сообщение посчитали полезным:

1. Поправь название на новое в секции импорта приложения;
ещё проще
2. Кинь поправленую WS2_32.dll в папку с приложением.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

smv0647 пишет:
Просмотрев отчёт kerberos нашёл только одну функцию сравнения строк "WS2_32.dll | 71A9752A | lstrcmpA(0012FEB8, 71A9757C)
Такая функа есть и в kernel32.dll
smv0647 пишет:
WS2_32.dll. Захожу по адресу 71A9752A, меняю там je на jmp, но сохранить с тем же именем не могу
Вот от таких пытливых франкенштейнов и придумана система защиты от изминения системных фунок
smv0647 пишет:
Если 1-е не возможно как сделать так, что бы ххх.ехе обращался к WS2_32ХХХ.dll
В табличку импорта добавь или через LoadLibrаry сделай вызов...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

hlmadip пишет:
А может проще посмотреть где в проге используется lstrcmpA и править там?
В отчёте kerbedosa, если ставить опцию "только .ехе" такой функции нет. Это видимо "защита от пионеров".

ClockMan пишет:
В табличку импорта добавь или через LoadLibrаry сделай вызов...
Это как? Я не умею пока, пойду искать.

P.S. Я загрузился с HBCD поменял оригинальную .dll на изменённую, но на защиту ххх.ехе это не повлияло (( Не тот je ((

| Сообщение посчитали полезным:

А саму программу выложить слабо?

| Сообщение посчитали полезным:

http://ifolder.ru/29097679
Это ххх.ехе файл из папки Programm Files\xxx
71A9752A - адрес функции lstrcmpA

| Сообщение посчитали полезным:

Бери в руки IDR, создавай IDC, грузи прогу в IDA вместе с IDC. Смотри и думай с 005CFA5C

| Сообщение посчитали полезным:

hlmadip пишет:
Бери в руки IDR, создавай IDC,
IDR брать в руки принципиально не хочу. IDAfree&OllyDbg only.))
Хочу научиться пользоваться этими инструментами.
На данном этапе чувствую большой пробел в знании ассемблера, отсюда все беды.((

Поставил OllyDbg 2.01 (alfa 4) - cntr+G - lstrcmp выводит на адрес 7C830D7C и kernel32.dll показывает.
Во как! До этого пользовался OllyDbg 1,10. Kerberos 1.13, winXPSP3.

| Сообщение посчитали полезным:

smv0647 пишет:
На данном этапе чувствую большой пробел в знании ассемблера
Это действительно большой пробел, тут Ида с Олей не помогут тогда.
smv0647 пишет:
lstrcmp выводит на адрес 7C830D7C и kernel32.dll показывает
Долго ещё будем системные либы править? Строки могут сравниваться вообще без вызова каких-либо фунок.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

smv0647 пишет:
IDR брать в руки принципиально не хочу
зря,инструмент значительно облегчает жизнь.
Не трогай системные библиотеки, strcmp используется, но не там. Если пользуешься IDA мог бы уж догадаться.

| Сообщение посчитали полезным:

smv0647
IDR брать в руки принципиально не хочу. IDAfree&OllyDbg only.))
Интересно, а в чем принцип состоит? Программа тоже free. Может на автора зуб имеется?

| Сообщение посчитали полезным:

crypto пишет:
Интересно, а в чем принцип состоит?
Не хочу "завязываться" только дисасс. дельфи.
По адресу http://www.xaker.name/newsid=150 как раз её и пользуют.

hlmadip пишет:
Если пользуешься IDA мог бы уж догадаться
Пока не догадался. в процессе. тут процесс не менее важен чем результат. ИМХО.


hlmadip пишет:
Не трогай системные библиотеки, strcmp используется, но не там.
А где?
А кто автор IDR?

| Сообщение посчитали полезным:

smv0647 пишет:
А кто автор IDR?
Улыбнуло. Постом выше.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

smv0647, ida , f5 на нужной функе, и у тебя даже читабельный код(временами конечно )

| Сообщение посчитали полезным:

smv0647
Я ни фига не понял, в чем же принцип.

| Сообщение посчитали полезным:

crypto пишет:
Я ни фига не понял, в чем же принцип.
Ну чего здесь непонятного? smv0647 явно хардкорщик, хочет обойтись необходимым минимумом, разобраться в сути вещей и самому придти к должным выводам, просто нужно время.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

crypto пишет:
Может на автора зуб имеется?
Уважаемый crypto, неужели Вы автор? "IDR by crypto".
Ники совпадают.
crypto пишет:
Я ни фига не понял, в чем же принцип.
Судя по названию этот дизассемблер только для делфи, тогда как IDA универсальный, поэтому логично освоить только IDA и не думать на каком языке написана программа. Но может и придётся поступиться "принципами". IDA даётся не просто. К тому же в "букваре" (автор маг и волшебник, великий и могучий КК "Иск-во диз-я") по которому я учусь, в основном используется IDA.

hlmadip пишет:
Смотри и думай с 005CFA5C
Вот этим и займусь.

| Сообщение посчитали полезным:

хватит уже новичка троллить то

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Думаю тему можно закрыть. Ответ такой: не надо лазить и править системные .dll-ки. Надо искать код в самом xxx.exe файле.
Я так пока и не понял как пришли к адресу 005CFA5C, решил зайти с другой стороны, через textbox, getwindowtext. Посмотрим что получиться, если что создам новую тему, если ничего не найду на форуме. Я не прощаюсь.

| Сообщение посчитали полезным:

smv0647 пишет:
Думаю тему можно закрыть.
"Закрыть тему" под кнопкой "Отправить сообщение".

-----
Следуй за белым кроликом

| Сообщение посчитали полезным: