Сейчас на форуме: Adler, asfa, bartolomeo (+8 невидимых)

 eXeL@B —› Вопросы новичков —› Нужна консультация
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 июня 2012 16:43 · Поправил: CrackMe
· Личное сообщение · #1

Всем привет.
Вот хотел задать вопрос
Как взломать адрес написанный на асме(C++)
Пример:
Code:
  1. DWORD hack3=(DWORD)GetModuleHandleA("модуль")+0x620001;
  2. __declspec(naked)void hack()
  3. {
  4. _asm
  5. {
  6. lea ecx,[ebp-01]
  7. push ecx
  8. call    hack3
  9. jmp [Hack2]
  10. }
  11. }

Когда я делаю условный прыжок адрес становиться виртуальным(Каждый раз меняется)
И вот собственно вопрос:
Как узнать статический адрес прыжка?
Вот пример в отладчике jmp 63331200
Адрес 63331200 динамический
Когда переходишь в этот адрес то асма появляется,но не показывается вызов call,то есть показывается такcall dword ptr [6737a8b4].Когда переходишь в адрес 6737a8b4 показывает add [eax],al




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 21 июня 2012 16:48
· Личное сообщение · #2

Я, конечно, допускаю, что я в реверсе полный лапоть, но я вообще ничего не понял. Выложи файл во-первых, а во-вторых, сформулируй вопрос нормально с адресами и примерами из этого файла, что именно непонятно.



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 июня 2012 16:51 · Поправил: CrackMe
· Личное сообщение · #3

Я хочу узнать какой задавал адрес в call
В отладчике динамич. когда переходишь.Я уже писал выше add [eax],al
И как узнать значение регистров в СЕ?



Ранг: 22.4 (новичок), 19thx
Активность: 0.020
Статус: Участник

 Создано: 21 июня 2012 17:43
· Личное сообщение · #4

Calypso детектед



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 июня 2012 17:47
· Личное сообщение · #5

Johnny Mnemonic пишет:
Calypso детектед
?



Ранг: 0.0 (гость)
Активность: 0.250
Статус: Участник

 Создано: 21 июня 2012 17:48
· Личное сообщение · #6

CrackMe
Стою в лыжи обутый, то ли лыжи не едут то ли я...
Пиши нормально что нужно... из того что "понял" - стек.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 21 июня 2012 17:57
· Личное сообщение · #7

Попробую все-таки расшифровать.
Я хочу узнать какой задавал адрес в call
В отладчике динамич. когда переходишь
По адресу в hack3 судя по всему должна находится какая-то процедура. add [eax],al вероятно потому-что 0x620001 - адрес не кратный выравниванию(по идее 0x620000).




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 21 июня 2012 17:57
· Личное сообщение · #8

Последний раз говорю, либо ты выкладываешь файл, по которому есть вопросы, и внятно эти самые вопросы задаёшь, либо идёшь в гугл и сам разбираешься, читая мануалы.
Судя по надписи так call dword ptr [6737a8b4].Когда переходишь в адрес 6737a8b4 показывает add [eax],al он вообще не отличает call dword ptr [6737a8b4] от call 6737a8b4. И ясный красный, что в статике там 0, потому что адрес заполняется в динамике. Сложно искать чёрную кошку в тёмной комнате, когда её там нет.
Что касается CE-бери ман по CE да читай.



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 июня 2012 19:34
· Личное сообщение · #9

Archer пишет:
он вообще не отличает call dword ptr [6737a8b4] от call 6737a8b4
Это я понимаю
Archer пишет:
И ясный красный, что в статике там 0, потому что адрес заполняется в динамике
И что этот адрес вообще не расшифровать?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 21 июня 2012 19:39
· Личное сообщение · #10

Он и не зашифрован, его просто НЕТ, нечего там расшифровывать. Когда в динамике заполнится, тогда и будет смысл его смотреть.
Раз так и не внял предупреждению и не удосужился нормально сформулировать вопрос, закрыто. Судя по всему, чтение основ в манулах и статьях для новичков всё равно этот вопрос решит.


 eXeL@B —› Вопросы новичков —› Нужна консультация
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати