Доброго времени суток. Помогите пожалуйста в данной задаче. Нужно написать Dll библиотеку для лоадера который заменит код в запакованном файле во время его выполнения (runtime). Имеется рабочий код и оригинальный на ASM. Нужно в запакованный файл с помощью лоадера внедрить dll, которая до выполнения оригинального кода, заменит этот код на нужный. Никак не могу найти в гугле инфу по написанию такой dll, по этому я собственно и тут.
Вопросы - Реально ли это вообще реализовать? Есть ли у кого мануал по написанию такой dll для данной задачи? На каком языке нужно писать Dll? или может кто поможет это сделать?

--> Жертва <--

-->Код (оригинал) во время выполнения он распакован (вырезано из OllyDbg)<--


-->На что нужно заменить<--


Unpack не вариант, так как нужен именно оригинальный файл который надо пропатчить.
Inline PatcherЫ не подходят, так как нет поддержки данного протектора (PC Guard 5.0).

P.S. Всем спасибо заранее за ответы. Сильно не пинайте, я новичок в данных делах .

| Сообщение посчитали полезным:

1. Почему бы не распаковать как надо и не пропатчить?
2. Нафига инжектить длл, если все-равно используется лоадер, можно же из под него пропачить и все?
3. Без жертвы врядли кто-то за это возьмется.

| Сообщение посчитали полезным:

1.По поводу распаковки - распаковывал по разному и несколько раз, восстанавливал таблицу итд. Файл запускается но все время выдает ошибки. Тут немного сложнее, это сервер и отследить запуск можно только в процессах, так как он ничего не выдает при запуске (никаких окон и прочего). Если есть опыт по распаковке PC Guard, поделись я буду очень благодарен, так как инфы в нете нужной нет.

2.Совет проинжектить длл я получил на этом форуме, после создание темы--> Распаковка PC Guard <-- если интересно глянь, там есть файлы.

3. Жертвы? Если нужны деньги, назовите стоимость.

| Сообщение посчитали полезным:

Вот попробуй распакованный
http://rghost.ru/49163756

harek10 пишет:
3. Жертвы? Если нужны деньги, назовите стоимость.
Имелось ввиду, что при задавании таких вопросов, не плохо выкладывать программу-жертву, а то написано много, а самого главного нету.

| Сообщение посчитали полезным: harek10

Спасибо большое за труд, попробовал распакованный, но это так же как и я его распаковывал. Увы не работает.

| Сообщение посчитали полезным:

harek10 пишет:
Спасибо большое за труд, попробовал распакованный, но это так же как и я его распаковывал. Увы не работает.
выложи жертву что тут годать должны что ли

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Жертва в теме.

| Сообщение посчитали полезным:

>> Увы не работает.
Вы уверенны? У меня прекрасно работает, по крайней мере, так же, как и запакованный оригинал.

>> попробовал распакованный, но это так же как и я его распаковывал.
Это не так. У вас в распакованном файле сохранён оригинальный вызов функции 0xC761F6 в таблице импорта.
В данном файле вызов этой функции заменен на (всегда возвращает 0).
Ваш файл падает при вызове именно этой функции. Эта функция расшифровывает код по адресу 0xC7636D. При формировании ключа расшифровки используется количество секций в файле. Из-за того, что у вас в дампе 3 секции, а в оригинальном файле 6, код расшифровывается неправильно, из-за этого и падает. Более того, насколько я понимаю (глубоко не смотрел), в этой функции реализована проверка лицензии с помощью PC-Guard. У вас во фрагменте, который вы собрались патчить, по адресу 0x4176B9 как раз вызывается эта функция, и если вызов не успешен, то получите "NETxLAB Softlock Interface Initialization failed.".

| Сообщение посчитали полезным:

_Researcher_ пишет:
Вы уверенны? У меня прекрасно работает, по крайней мере, так же, как и запакованный оригинал.

Благодарю за информацию и ответ. Однако объясню почему я хочу инжектнуть файл. Когда я подменяю код (который указан в теме) с помощью OllyDbg в оригинальном файле - проверка проходит на ура и все запускается и работает. А когда я подменяю этот же код в распакованном файле выходит ошибка Microsoft Visual C++ Runtime Library R6002 <<Floating point support not loaded>> См.файл.
Вот...


f9fc_05.10.2013_EXELAB.rU.tgz - 213.JPG

| Сообщение посчитали полезным:

нормальный такой прайс на софт --> Link <--

пс: тема похожа на "запросы на взлом", только "завернута в хрустящую бумажку" (про конфеты

ппс: самый лаконичный вариант, с родным хеадером --> Link <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Ну по этому собственно я не оформил заказ на Взлом программ

| Сообщение посчитали полезным:

Расспакованный --> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: harek10

1. Непропатченный файл нормально работает (распакованный имею ввиду)?
2. Глянул мельком ваш патч, странно, что при подмене оно вообще работает. Там вы call затираете, а push перед ними нет, не удивительно, что падать будет.

| Сообщение посчитали полезным:

ClockMan пишет:
Расспакованный --> Link <--
Спасибо друг. Твой Анпак выручил! Все работает! Но можно вопрос:? есть инструкция,как ты его распаковал? Очень интересно)))

| Сообщение посчитали полезным:

Всем спасибо за помощь. Тема закрыта.

| Сообщение посчитали полезным: