Как убрать ссылку на сайт в программе накрытой enigma protector - с окна регистрации. При запуске появляется окно регистрации и нужно с него убрать url сайта. Мне нужно это научится делать самому на Demo версии.

Я не совсем туп и умею пользоваться olly dbg, winHEX но почему то не могу найти адрес ссылки. Подтолкните в какую сторону копать или сам принцип ?

Прошу только не проходить мимо и не строго не критиковать.

| Сообщение посчитали полезным:

DenYA пишет:
не могу найти адрес ссылки
DenYA пишет:
умею пользоваться olly dbg
нет, не умеете

| Сообщение посчитали полезным:

TryAga1n, Ищу как бинарным поиском. Ищу сами текстовые строки "search for -". Но не помогает, почему не умею (Как аматор умею).

| Сообщение посчитали полезным:

Возможно текст хранится под вм или в зашифрованном виде
Тогда найти только получится когда он непосредственно расшифрован и передается WinApi/Qt или чего у него там

-----
В облачке многоточия

| Сообщение посчитали полезным: DenYA

Boostyq, Не под виртуальной машиной. Я для себя запаковал на демоверсии программы небольшой файлик. И выставил настройки только привязка к железу и больше никаких настроек не вводил. Вот и потому интересно как найти текст ссылки что находится на окне регистрации.

| Сообщение посчитали полезным:

а зачем тебе энигма? под upx тоже ниче не видно

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: DenYA

Kindly Я усложнил себе задачу. Чисто из интереса хочу научится. Тем более что тестовые файлы я пакую маленькие и вот пока что не могу осилить этот способ. Знаю что если в enigma включить весь функционал то моего опыта даже на 2% не хватит. Но вот потихоньку и на простых примерах хочу научится. Может кто, чисто, пример подкинет.

| Сообщение посчитали полезным:

А окно регистрации то чье, как оно вообще выглядит, что за ссылка, етц?

-----
В облачке многоточия

| Сообщение посчитали полезным:

Еще один начинающий разраб-романтик такие мысли возникают когда нужно чужую работу выдать за свою ну например есть ПО к нему выпрашивают у крякеров кейген или находят в сети и меняют или затирают сайт автора.

Как это делается запускается ПО находится адрес строки в памяти пишется лоадрь основной ехе переименновывают в dll и запускают через этот лоадырь.exe

есть второй вариант под отладчиком находим в теле строку меняем на своё или затираем и восстанавливаем crc или патчим проверку crc.

Добавлено спустя 1 минуту
Давай лучше свою самоделку на слом.

| Сообщение посчитали полезным:

Запускай отдельный поток, который найдет это окно и уберет строчку

-----
2 оттенка серого

| Сообщение посчитали полезным:

SDK, Сегодня пытаюсь сделать как посоветовал SDK, через арт мани. Если получится сделать то загружу схему в картинках. Задача то не простая для меня но поделится всегда не против .

| Сообщение посчитали полезным:

DenYA пишет:
загружу схему в картинках.
не стоит утруждаться

| Сообщение посчитали полезным: DenYA

TryAga1n, SDK. Немного разобрался и нашел через арт мани адрес:

Но вот проблема в том что при каждом запуске этот адрес в памяти разный.

Как тут быть, точнее как его изменить, если он не постоянный ? Пробую изменить через PMaker (Программы для создания патчей и лоадеров) этот адрес но он же не постоянный ?

| Сообщение посчитали полезным:

DenYA пишет:
Но вот проблема в том что при каждом запуске этот адрес в памяти разный

https://www.google.com/search?q=artmoney+dma

| Сообщение посчитали полезным:

DenYA пишет:
Как тут быть, точнее как его изменить
Тут два варианта:
- если адрес из статической памяти (маппируется из образа, зеленый в Cheat Engine), то он постоянный, просто база загрузки приложения разная. Поэтому нужно делать через смещение: найденный адрес - <твое_приложение>.exe получишь смещение и в дальнейшем просто <твое_приложение>.exe+смещение будет работать до тех пор пока образ одинаковый.
- если адрес из динамической памяти (выделяется во время работы, черный в Cheat Engine), то нужно искать цепочку, которая указывается на этот адрес (структуры и ссылки), и опять же она начинается со статического адреса.

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq, Gideon Vi,
Ну вот, к примеру, тестовый файл, я на него вешаю enigma-демо и там одна настройка показать регистрационный диалог, ничего больше.

Для наглядного примера сделал вот так (То есть просто поместил адрес этого форума, для примера):


Удалить нужно ссылку из окна подчеркнуто на картинке:

Тестовый файл: http://rgho.st/6z5mjhfyC

Один человек взялся помочь, подсказать: CyberGod.

Но вы тоже мне вопросы задаете и это хорошо. Поэтому выложил ссылку на тест.

Пока что у меня ручки кривоваты хотя уже пробовал и через Cheat Engine.

Добавлено спустя 1 час 6 минут
Все таки через Cheat Engine нашел постоянный адрес и как теперь быть:


Добавлено спустя 2 часа 31 минуту
Не могу понять почему адрес (картинка) 02EA0808 не находится в OllyDbg ?, искал в памяти. Хотя он постоянный.

| Сообщение посчитали полезным:

вообще говоря, с чего следовало начать: запускаем софт, открываем его в winhex (open memory), ищем строку (как в ascii, так и unicode). Нашли - радуемся, идём читать про создание лоадеров на любом высокоуровневом языке. Да хоть в dup, но это не подходит под ТЗ: Мне нужно это научится делать самому



| Сообщение посчитали полезным:

Gideon Vi пишет:
вообще говоря, с чего следовало начать
Есть мнение, что рассматривать картинки и гадать по ним что надо сделать, тебе не понравилось.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Есть мнение, что рассматривать картинки и гадать по ним что надо сделать, тебе не понравилось.



DenYA пишет:
Я усложнил себе задачу

чем? Ты используешь прот в режиме пакера.

| Сообщение посчитали полезным:

Gideon Vi пишет:
открываем его в winhex (open memory)
а DenYA ищет его в теле программы и хочет научится находить его именно там ,и убирать эту строку под вин хекс и оллидбг тоесть ждёт пока гидеон запишет гиф про ролный разбор енигмы

| Сообщение посчитали полезным:

SDK пишет:
а DenYA ищет его в теле программы и хочет научится находить его именно там

лол, а в памяти копается потому, что в файле строки нет? ) Я всю тему не читал, мне скучно

SDK пишет:
тоесть ждёт пока гидеон запишет гиф про ролный разбор енигмы

не-не-не, мне ещё зиккурат строить.

| Сообщение посчитали полезным:

Gideon Vi пишет:
а в памяти копается потому, что в файле строки нет именно
я тоже не стал копаться в вм посоветовал найти юникод в рам и сделать патч но задача не затиреть _____ и не заменить на https:/mysite.ru а именно убрать строку и лучше из загрузчика вм.

| Сообщение посчитали полезным:

SDK пишет:
а именно убрать строку и лучше из загрузчика вм

ну, в добрый путь тогда. Это будет захватывающее путешествие )

https://duckduckgo.com/?q=enigma+inline+patch&t=ffsb&ia=web

| Сообщение посчитали полезным: SDK

Этo yдивитeльнeйший пyть В нoвoe тyдa кyдa-нибyдь.

| Сообщение посчитали полезным:

DenYA

Исходная инфа для решения задачи - определённая строка. Значит ищем строку в памяти(не сканом, а по адресации - это делает визор(адресный декодер для каждой инструкции определяет адресуемую память)). Интересует событие её чтения(после записи). Тоесть если строка перемещается внутри блока данных это событие не видим, тк это не её адресация. Если происходит запись в память нужно обработать W-выборку после исполнения инструкции, но нас это событие так же не инстресует, тк далее будет R-выборка.

Первые два найденные события(см скрин) - копирование искомой строки из расшифрованного блока(ресурсы походу). Далее блок уничтожается, а сторока располагается в прочих буферах. Так как это исходный блок, изменяем найденные строки. Далее текст отрисовывается изменённый.

До адресации строки происходит многократная пересылка блоков, начиная с расшифровки. Эти события не интересны, так как ресурсы шифрованы. По стеку вызовов можно найти код, который реализует эту ссылку". Это часть апп, выполненная на винапи, просто скипнуть её нельзя, нужно разбирать логику апп. Автоматика в этом никак не поможет.

.9E22 - второе событие, адресация строки в буфере(в который скопировалась строка(.6322 -> .052C)) из MultiByteToWideChar(). Если в этом буфере изменить строку, то она изменится также при отрисовке. Тогда достаточно фильтровать эту апи и подменить данные(ставим точку останова на апи и проверяем параметры), либо ожидать когда выполнится адресующий строку код(те хардкод).

Так же можно посмотреть на юникод строки. Интересное событие - запись строки в поточное хранилище(TEB). Это формирование пакетного запроса в ядро на отрисовку, виден стек вызовов: DrawTextW() ..-> TextOutW(). Это событие интересно отложенной обработкой, строки накапливаются и далее пакет может быть обработан при вызове любой функции гуя, даже не имеющей отношения к отрисовке текста. К исходной задаче это прямого отношения не имеет, но это важно если нужно определить откуда выводится текст. Впрочем можно и по этому событию найти источник строки.

ps: В аттаче для теста так же ищется строка "MAGICVAL", это видно если ввести её в поле ввода.

--> Link <-- vx

-----
vx

| Сообщение посчитали полезным: SDK