Узнать имя процедуры(?)

Сейчас на форуме: vsv1, _MBK_ (+4 невидимых)

Посл.ответ	Сообщение
TimV Ранг: 6.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 13 июля 2007 09:12 · Личное сообщение · #1 В проге нашел место где происходит проверка номера, заменил JNZ на JE и теперь с ключём Не работает а без фурычит, что и требовалось, но вот проблема прога периодически обновляется и смещение меняется, как мне отследить смещение чтоб не искать его по пол дня после обновления порги?

crc1 Ранг: 138.7 (ветеран), 135thx Активность: 0.11↘0 Статус: Участник	Создано: 13 июля 2007 10:37 · Личное сообщение · #2 TimV пишет: как мне отследить смещение чтоб не искать его Смещение я думаю ты не отследишь, а вот по сигнатуре мона. Только сигнатуру выбирай что бы не было адресов. К примеру такую `00408250 83E0 01 AND EAX, 1 00408253 50 PUSH EAX 00408254 8D85 38FDFFFF LEA EAX, DWORD PTR SS:[EBP-2C8] 0040825A FF8D A4FBFFFF DEC DWORD PTR SS:[EBP-45C]` Не меняется на протяжении трех лет, хотя афтар постоянно делает обновления
Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 13 июля 2007 12:35 · Личное сообщение · #3 Кстати по поводу JNZ и JE а не пробывал вариант JMP ? =) Тоже один байт(E9), а я думаю там именно так
Executioner Ранг: 120.9 (ветеран), 5thx Активность: 0.08↘0 Статус: Участник Programmer and reverser	Создано: 13 июля 2007 12:39 · Личное сообщение · #4 дельный совет. но можно imm32 нулями в сигне забивать просто и пропускать их. ----- Уважайте других и пишите грамотно.
crc1 Ранг: 138.7 (ветеран), 135thx Активность: 0.11↘0 Статус: Участник	Создано: 13 июля 2007 13:24 · Личное сообщение · #5 Executioner пишет: но можно imm32 нулями в сигне забивать просто и пропускать их. Это как? Не вкурил я делаю Search for Binary string, если imm32 забить нулями ничего не найдешь
TimV Ранг: 6.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2007 07:59 · Личное сообщение · #6 а как мне эту сигнатуру потом искать? чисто визуально или есть Ctrl+ какойнить?
crc1 Ранг: 138.7 (ветеран), 135thx Активность: 0.11↘0 Статус: Участник	Создано: 16 июля 2007 10:06 · Личное сообщение · #7 TimV Открываешь в двух олях старую и новую версии. В старой ты знаешь место для патча. Ищешь рядом с этим местом уникальную сигну. Делаешь Binary copy. Потом в новой версии давишь Ctrl+B и если в защите ничего не менялось, с большой долей вероятности найдешь этот кусок кода. Не забывай делать Ctrl+L когда найдешь сигнатуру
TimV Ранг: 6.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2007 12:23 · Личное сообщение · #8 Смысл понял, спасибо. Вроде пока всё нормально находится. а не подскажите что это значит: PUSH 2000000?
crc1 Ранг: 138.7 (ветеран), 135thx Активность: 0.11↘0 Статус: Участник	Создано: 16 июля 2007 12:55 · Личное сообщение · #9 TimV пишет: а не подскажите что это значит: PUSH 2000000? Этой командой кладется на стек число 2000000h Почитай маленько литературы
TimV Ранг: 6.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 17 июля 2007 12:00 · Личное сообщение · #10 ..я просто думал может это какой фендипёрсовый push

Для печати