Есть такая дллка 32-битная с хуком на ReadFile, для расшифровки архивов с моделями к игре GTA:SA.
Если вытащить дллку с клиента игры и заинжектить себе в процесс то хватаешь месседж боксы с нецензурной бранью, якобы автор намекает что это делать не стоит
Нашел я эти наги и пропатчил но не тут то было, схватил краш сразу после инжекта, до патча даже не смотря на наг всё равно ставился джамп на хук рид файла, правда он врядли бы сработал потому что хук ставится в одном потоке с dllmain откуда и вызывает эти наги.
Вопрос вот в чём, почему она крашит?
Вот скрин с моим патчем

P.S - Сама дллка ничем не запакована и не протекчена (проверенно несколькими PE-сканнерами).


537a_10.01.2019_EXELAB.rU.tgz - equalizer.dll

| Сообщение посчитали полезным:

Так Смирнов это ты?
Вообще хорошо что он тебе месседжбоксы послал, а не дроппер
А если серьезно, дллка вполне может использовать функционал клиента гташки, из-за этого на вызовах этих функций (если ты пропатчил предшествующие проверки) может крашить

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq пишет:
Так Смирнов это ты?
Вообще хорошо что он тебе месседжбоксы послал, а не дроппер
Не знаю какому такому Смирнову это было адресовано но я орнул с нагов)
У меня свои цели на эту дллку, вот и спрашиваю почему мой патч крашит.

Добавлено спустя 3 минуты
Boostyq пишет:
А если серьезно, дллка вполне может использовать функционал клиента гташки, из-за этого на вызовах этих функций (если ты пропатчил предшествующие проверки) может крашить
Это маловероятно, у меня есть старый исходник реализации этого хука дешифрования и текущий код почти 1 в 1 похож за исключением самого алгоритма дешифровки, его немного изменили. Там лишь ставит хук на рид файл, затем включает его и всё, мб краш потому что где-то ещё проверка на офф.клиент хз.

| Сообщение посчитали полезным:

Возьми да хукни MessageBoxW и пусть хоть обмессаджбоксится.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Возьми да хукни MessageBoxW и пусть хоть обмессаджбоксится.
А это идея, спасибо! Вырежу сам показ бокса) а цикл не даст крашнутся, только я почему-то сомниваюсь что хук на рид файл сработает, ведь хук ставился выше а это один и тот же поток где цикл на этот наг, разве так прокатит?

| Сообщение посчитали полезным:

0pc0d3R пишет:
включает его и всё, мб краш потому что где-то ещё проверка на офф.клиент хз.
Ну так адрес исключения нужно показывать, телепаты на другом форуме

-----
В облачке многоточия

| Сообщение посчитали полезным:

А да, не прокатит. Смотреть надо почему крашится, влезть в 501E1A30, увидеть что там за условие бесконечного цикла с мессаджбоксами.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Boostyq пишет:
Ну так адрес исключения нужно показывать, телепаты на другом форуме
Убрал я цикл, поставил бряк железный и трасанул, оказывается крашит после выхода с dllmain на вот этом ретурне, адрес вообще какой то дало 00000001 чёт такое ACCESS_VIOLATION


Добавлено спустя 1 минуту
f13nd пишет:
А да, не прокатит. Смотреть надо почему крашится, влезть в 501E1A30, увидеть что там за условие бесконечного цикла с мессаджбоксами.
По этому адресу скорее всего функа ставящая хук на рид файл.

| Сообщение посчитали полезным:

У меня не крашит ничего, корректно выходит из LoadLibraryA. Если конечно не дать свернуть в ветку с мессаджбоксами про Смирнова. В 501E1A30 он тулхелп апями ищет какой-то поток, который должен засуспендить и порыться в его контексте, но не находит.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
У меня не крашит ничего, корректно выходит из LoadLibraryA. Если конечно не дать свернуть в ветку с мессаджбоксами про Смирнова. В 501E1A30 он тулхелп апями ищет какой-то поток, который должен засуспендить и порыться в его контексте, но не находит.

Так у меня тоже не крашит если просто сделать цикл рекурсией на себя, чтобы месседж бокс не показывало но это же не решение проблемы, вот после ретурна и хватаю краш если прерву цикл.


| Сообщение посчитали полезным:

Мне больше интересно почему эти сообщения вообще выводятся

Т.е. сообщения начинают спамится только если обе функи сработали без ошибок
Но обе нужны для корректного хука, получается что в нормальной ситуации эту функцию хукнуть не удается
Выходит ReadFile уже должен быть кем-то хукнут

-----
В облачке многоточия

| Сообщение посчитали полезным:

0pc0d3R пишет:
Сама дллка ничем не запакована и не протекчена (проверенно несколькими PE-сканнерами).
Это самопальная шляпа, набитая VirtualProtect'ами и VirtualQuery'ями, она сама не обязана быть упакованой, упаковано тело самого хука. Я бы посоветовал не маяться фигней, а дампить сам процесс гта с этой длл и от самого хука на ReadFile уже плясать.

-----
2 оттенка серого

| Сообщение посчитали полезным:

какой смыл этой длл ?
цикл расшифровки архивов с моделями к игре GTA:SA до смеха


| Сообщение посчитали полезным:

Boostyq пишет:
Т.е. сообщения начинают спамится только если обе функи сработали без ошибок
Но обе нужны для корректного хука, получается что в нормальной ситуации эти функции хукнуть не удается
Возможно так устроены возвраты в хуках, вот С++ сорц с реализацией установки данного хука, исходник почти 1 в 1 с этой дллкой, там разве что саму дешифровку чуток поменяли.

| Сообщение посчитали полезным:

ну т.е. хашкей генератор вы взять не хотите
а париться с хуками и крашами хотите
чудесно
давайте пацаны с ляба сделайте все за меня так ?

| Сообщение посчитали полезным:

надо еще смотреть как именно пропатчили...
а то может код патча разместили по адресу помеченным в релоках.

| Сообщение посчитали полезным:

Ну я про это и говорю


-----
В облачке многоточия

| Сообщение посчитали полезным:

reversecode пишет:
ну т.е. хашкей генератор вы взять не хотите
а париться с хуками и крашами хотите
чудесно
давайте пацаны с ляба сделайте все за меня так ?
Если бы мне хватило мозгов скейгенить это я бы вообще с длл не парился потому и прошу помощи.

| Сообщение посчитали полезным:

хаш выше ваших хуков считается
возьмите да переведите в сорсы
просто это все в другие раздело надо постить
а так можно устроить демагогию типа делаю все сам а мне подсказывают типа ?

| Сообщение посчитали полезным:

reversecode пишет:
хаш выше ваших хуков считается
возьмите да переведите в сорсы
просто это все в другие раздело надо постить
а так можно устроить демагогию типа делаю все сам а мне подсказывают типа ?
Мне достаточно было знать в каком направлении двигатся, никто не просит перевести в сорц вместо меня.

| Сообщение посчитали полезным:

0pc0d3R пишет:
Мне достаточно было знать в каком направлении двигатся, никто не просит перевести в сорц вместо меня.
Спойлер: никто и не переведет
По итогу дллка очень странная, там где в оригинальных исходниках пишется, что все удачно хукнуто, автор данной дллки решил написать, что юзер "SMIRNOV - PIDOR \nXYU TEBE, A NE DECRYPTOR"
Цикл расшифровки такой как и сказал reversecode
Так что вытаскивайте алго, если он вам нужен, расчет таблицы для ксора над хуком ReadFile, цикл расшифровки в самом хуке ReadFile
П.с. данная дллка не будет работать без клиента игры, т.к. игра вызывает чтение определенных файлов, которые не читает ваш процесс

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq пишет:
По итогу дллка очень странная, там где в оригинальных исходниках пишется, что все удачно хукнуто, автор данной дллки решил написать, что юзер "SMIRNOV - PIDOR \nXYU TEBE, A NE DECRYPTOR"
Цикл расшифровки такой как и сказал reversecode
Так что вытаскивайте алго, если он вам нужен, расчет таблицы для ксора над хуком ReadFile, цикл расшифровки в самом хуке ReadFile
П.с. данная дллка не будет работать без клиента игры, т.к. игра вызывает чтение определенных файлов, которые не читает ваш процесс
Понял, спасибо!

| Сообщение посчитали полезным:

И еще, так нельзя ставить хук...
&ReadFile не всегда указывает на начало реальной процедуры... (тут сильно зависит от компилятора).
иногда ReadFile может указывать просто на переходник, ну типа

ReadFile:
jmp dword ptr [iat_table_item]




надо так



| Сообщение посчитали полезным: DimitarSerg

0pc0d3R

> Вопрос вот в чём, почему она крашит?

А где штатная инфа по крэшу ?
Твои эти чёрные скрины никому не нужны.
Где статусный код, адрес инструкции и адрес выборки(если это #AV) ??

23 поста бреда и никто не задал конкретный вопрос по фолту.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Где статусный код, адрес инструкции и адрес выборки(если это #AV) ??

23 поста бреда и никто не задал конкретный вопрос по фолту.

На самом деле их стало 24
Вопрос #6
Boostyq пишет:
Ну так адрес исключения нужно показывать
Вопрос #7
f13nd пишет:
Смотреть надо почему крашится
Ответ #8 на скрине
Видимо вы просто считаете посты, не читая их

-----
В облачке многоточия

| Сообщение посчитали полезным:

difexacaw
смотрим в книгу видим фигу
в 10-ом сообщении
на скрине все видно невооруженным глазом...
EIP на инструкции RET 0xC а в стеке 0x00000001
видно же что указатель стека съехал (либо повреждено содержимое)...
что же еще вам нужно?

Добавлено спустя 1 час 2 минуты
0pc0d3R
Только глянул код... хитро придумано...
тут нет обхода ругательских сообщений, и все происходит в DllMain::DLL_PROCESS_ATTACH
нет никаких условий.

Тут все дело в коде который и грузит эту самую dll...
Там скорее всего реализовано что-то типа такого:


| Сообщение посчитали полезным:

UniSoft пишет:
смотрим в книгу видим фигу
в 10-ом сообщении
на скрине все видно невооруженным глазом...
EIP на инструкции RET 0xC а в стеке 0x00000001
видно же что указатель стека съехал (либо повреждено содержимое)...
что же еще вам нужно?

Добавлено спустя 1 час 2 минуты
0pc0d3R
Только глянул код... хитро придумано...
тут нет обхода ругательских сообщений, и все происходит в DllMain::DLL_PROCESS_ATTACH
нет никаких условий.

Тут все дело в коде который и грузит эту самую dll...
Там скорее всего реализовано что-то типа такого:
Знаете что более обидно?) Я только что понял что эта длл создана для отвода глаз и она не используется для хука расшифровки, его переместили))) А я голову морочил

| Сообщение посчитали полезным:

0pc0d3R пишет:
А я голову морочил

не переживай! это с каждым может случиться, даже с самыми лучшими. Называется BRAIN FART.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

0pc0d3R

О сколько нам открытий чудных Готовят просвещенья дух И опыт, сын ошибок трудных, И гений, парадоксов друг, И случай, бог изобретатель.

| Сообщение посчитали полезным:

0pc0d3R пишет:
понял что эта длл создана для отвода глаз и она не используется для хука расшифровки

При этом тебе reversecode дал практически готовый код ))

-----
EnJoy!

| Сообщение посчитали полезным: