Подтвердить запрос (ollydbg)

Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 08 августа 2012 12:31 · Личное сообщение · #1 Добрый день! Появилась такая надобность, автоматически ответить на запрос программы, как мне подсказали это можно сделать с помощью отладчика ollydbg. Сам экзешник большой почти 5 мб, не пойму как найти это окно (по референтным строчкам?) и подтвердить запрос, подскажите пожалуйста.

tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 08 августа 2012 13:28 · Личное сообщение · #2 Мой мозг плакать и разрываться после этот текст \| Сообщение посчитали полезным: plutos
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 08 августа 2012 13:45 · Личное сообщение · #3 читаем статьи, на сайте все есть. ----- [nice coder and reverser]
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 08 августа 2012 21:43 · Личное сообщение · #4 нужно в программе заNOPить вызов мессежбокса и поменять 1 байт операора условного перехода (jz je jne...) на оператор безусловного перехода (jmp), собственно немогу найти тот самы je
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 08 августа 2012 22:22 · Личное сообщение · #5 Admintools Кто то из нас двоих наркоман и я догадываюсь кто. 00414226 угадал?
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 08 августа 2012 22:26 · Поправил: plutos · Личное сообщение · #6 Admintools нужно в программе заNOPить ... и поменять ... Ну дак заNOPпь да поменяй, зачем дело-то стало! Не знаешь где менять - иди в запросы. А то, как в анекдоте: за отметку мелом - $1, за то, что знаю, где ее поставить - $999,999. to ARCHANGEL: У Карнеги написано, что не $1000, а целый лимон. И, да, это-таки реальный факт, просто я не хотел усложнять ситуацию... ----- Give me a HANDLE and I will move the Earth.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 08 августа 2012 22:35 · Личное сообщение · #7 plutos Так это - не анекдот, тот карлик с Форда рельно 1000 долларов так и срубил, обосновывая, что за отметку 1, а за знание 999. ----- Stuck to the plan, always think that we would stand up, never ran.
Maximus Ранг: 392.8 (мудрец), 108thx Активность: 0.26↘0.01 Статус: Участник REVENGE сила, БеХоЦе могила	Создано: 09 августа 2012 09:53 · Личное сообщение · #8 Admintools ставишь бряк на MessageBoxA или MessageBoxW Запускаешь прогу, как только бряк сработает, трейсишь до условного джампа, и правишь его. ----- StarForce и Themida ацтой!
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 09 августа 2012 17:14 · Личное сообщение · #9 Maximus Запустил прогу (подругому никак), открыл в olly, поставил бряк на MessageBoxW (именно эта апишка вызывается проверил), включил интернет (через ~30 сек) вылезло это окно, нажал "Да", в olly на бряке нажал F7, затем трейсил F8, закончилось всё на каком то цикле. Что не так? Из левого источника знаю что при нажатии "Да" в регистр EAX заносится 6. Вот что уже делал, результат: мессага не появляется, но на маил письмо не приходит http://forum.codenet.ru/q71589/Автоматическое+подтверждение+запроса
Maximus Ранг: 392.8 (мудрец), 108thx Активность: 0.26↘0.01 Статус: Участник REVENGE сила, БеХоЦе могила	Создано: 09 августа 2012 17:37 · Личное сообщение · #10 Admintools твоя проца сообщения вызывается два раза. Например тут Code: 006F5224 . 53 PUSH EBX 006F5225 . 8BD8 MOV EBX,EAX 006F5227 . 33C9 XOR ECX,ECX 006F5229 . 8B53 40 MOV EDX,DWORD PTR DS:[EBX+40] 006F522C . 33C0 XOR EAX,EAX 006F522E . E8 0D000000 CALL rutserv.006F5240 006F5233 . 8943 44 MOV DWORD PTR DS:[EBX+44],EAX <---- Результат выполнения процедуры запоминаем 006F5236 . 8BC3 MOV EAX,EBX 006F5238 . E8 9BA9D6FF CALL rutserv.0045FBD8 006F523D . 5B POP EBX 006F523E . C3 RETN то есть что бы окно не вываливалось в наружу, достаточно положить в EAX нужное значение и выйти из процедуры. Значение можно посмотреть при помощи отладки, если оно равно шести, то будет так: Code: 006F5240 B8 06000000 MOV EAX,6 006F5245 C3 RETN ----- StarForce и Themida ацтой!
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 09 августа 2012 17:40 · Личное сообщение · #11 Admintools Если я правильно понял, то письмо отправляется после нажатия кнопки, если так то само простое решение в атаче, ориентируйся по printf, там тупо nop-ится MessageBoxW и запись в eax значение кнопки OK. 5f56_09.08.2012_EXELAB.rU.tgz - Release.rar
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 09 августа 2012 17:53 · Личное сообщение · #12 Бряки не помогают, прога просто пропускает их (как я понял эта процедура выполняется только в первый запуск)
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 09 августа 2012 18:00 · Поправил: F_a_u_s_t · Личное сообщение · #13 Admintools пишет: Бряки не помогают, прога просто пропускает их Твоя программа или мой семпл? Хоть кнопку нажимай кому отвечаешь. Если мой семпл то тупо прокрути скроллбар на самый верх, или ctrl + G адрес 00401000 Add: правая кнопка мыши (в отладчике если что:s1 Search for->All intermodular calls-> двойной клик на то что надо.
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 09 августа 2012 18:08 · Поправил: Admintools · Личное сообщение · #14 F_a_u_s_t Что делает это relase ? 0_о
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 09 августа 2012 18:11 · Личное сообщение · #15 Admintools Ничего не делает, тупо вызов MessageBoxW и результат нажатия выводится в printf, просто пример патча. MessageBoxW_old.exe не патченный MessageBoxW_new.exe пропатченный.
Admintools Ранг: -5.3 (нарушитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 09 августа 2012 19:40 · Поправил: Admintools · Личное сообщение · #16 Maximus Всем спасибо, Maximus твой способ помог, спасибо.

Для печати