TrueLies, спс, но он не патчит пакованные проги
Hellspawn, не беспокойся, поиском пользоватся умею. еслиб нашол что ищю, не спрашивал.

просто спешил и не описал всю задачу

задача такова.
есть упаковнный exe, у которого oep jmp на call ExitProccess. Мне нужно этот jmp изменить на jmp оригенал OEP.

| Сообщение посчитали полезным:

Ну дык пропатч сам ExitProccess на
PUSH OEP
RET
после чего поставь в лоадере задержку, например Sleep,1000. И восстанови оригинальные байты в ExitProcess.
имхо самый простой вариант.

| Сообщение посчитали полезным:

что уже сделано? или нужно всё за тебя сделать

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Vovan666 пишет:
Ну дык пропатч сам ExitProccess наPUSH OEPRET

что пропатчить я знаю, дело в том что патчить не хочет.
на распакованной проге работает, на упакованной не хочет.

| Сообщение посчитали полезным:

код:

procedure TForm1.Button2Click(Sender: TObject);
var
newoep : array[0..2] of byte = ($e4,$ff,$36);
NewDataSize : DWORD;
Bytesread : DWORD;
Oldd : byte;
hProcess: DWORD;
ThreadId:integer;
si : Startupinfo;
pi : Process_Information;
begin
IF CreateProcess('main.exe',nil,nil,nil,FALSE, Create_Suspended,nil,nil,si,pi) then
begin
ThreadId := GetWindowThreadProcessId(0, @hProcess);
OpenProcess(PROCESS_ALL_ACCESS, FALSE, hProcess);
ReadProcessMemory(hprocess,Pointer($083453b6),@oldd,1,bytesread);
if oldd = $D3 then
begin
NewDataSize := sizeof(newoep);
WriteProcessMemory(hProcess, Pointer($4e4ed4), @Newoep, NewDataSize, bytesread);
end
else
Messagebox(0,pchar('Bytes not found! Wrong version?...'),pchar('Error'),mb_iconinformation);
TerminateProcess(hProcess,0);
end;end;

| Сообщение посчитали полезным:

FockuS
while oldd <> $D3 do
begin
ReadProcessMemory(hprocess,Pointer($083453b6),@oldd,1,bytesread);
sleep(100);
end;

| Сообщение посчитали полезным:

yanus0 пишет:
yanus0
чето не въеду куда это впихнуть (

| Сообщение посчитали полезным:

FockuS


e0d2_21.07.2010_CRACKLAB.rU.tgz - Project1.rar

| Сообщение посчитали полезным:

SReg пишет:
Project1.rar спс. я видел пример --> Memory Patcher для ASProtect <--
только результата нету

| Сообщение посчитали полезным:

FockuS пишет:
только результата нету
Что это означает? Программа вылетает с ошибкой, лоадер выдаёт ошибку или что?
Сначала определись каким путём ты собираешься патчить.
Как посоветовал Vovan666, пропачтить саму API функцию?
Тогда первым делом нужно установить атрибут RWE странице памяти, где расположена апишка.
Это можно сделать с помощью VirtualProtect.
Или же ты хочешь пропатчить саму точку входа?
В любом случае лучше выложить экзэшник который хочешь сломать.
И аттач глянь - исходники моего лоадера для одной проги, пригодится, если будешь патчить по второму способу.



35bf_21.07.2010_CRACKLAB.rU.tgz - loader.7z

| Сообщение посчитали полезным:

FockuS пишет:
чето не въеду куда это впихнуть
там только в одно место можно вставить
это видно даже если не писал того кода
может рано писать лоадеры?

Clerk пишет:
Я уже давно написал свой загрузчик, альтернативы которому нет.
перепиши его на Delphi и поймёшь что переписать можно всё, вопрос только какими средствами
а вопросы возникают чаще не из-за компилятора, а из-за опыта работы с ним

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Я уже давно написал свой загрузчик, альтернативы которому нет. И демагогии тут нет, на нём просто нельзя нормальный код скомпилить. Иначе у ТС и вопросов не было.

| Сообщение посчитали полезным:

klam
работает но только на распакованной проге но после добавления
suspendthread(pi.hThread); после
IF CreateProcess(nil,'filename.exe',nil,nil,FALSE,0,nil,nil,si,pi) = true then
begin

задача:
Есть filename.exe у которого oep jmp на call ExitProccess. Мне нужно этот jmp изменить на jmp оригенал OEP.

если прога не упакована, все варианты работают. а вот после упаковки ......

| Сообщение посчитали полезным:

ну дык если у тебя прога упакована, и вместо прыжка на OEP выполняется прыжок на ExitProcess - то лоадером ты ничего не сделаешь.
юзай DebugApi (говоря по-русски - пиши свой маленький отладчик)

| Сообщение посчитали полезным:

tihiy_grom пишет:
юзай DebugAp

а пример есть ?

| Сообщение посчитали полезным:

в интернете полно

| Сообщение посчитали полезным:

tihiy_grom пишет:
в интернете полно
согласен, но с чего только начать то ??

| Сообщение посчитали полезным:

млять ... с поиска в гугле надо начинать

| Сообщение посчитали полезным:

млять ...

сп всем за помощь

| Сообщение посчитали полезным: