bilka00
патчим как хотим и когда хотим
bilka00
но приходиться таскать длл
bilka00
(например добавить в импорты)
Anonymous
есть второй способ - патч вм?
bilka00
Ну первое что нужно найти момент проверки
bilka00
ставишь бряк на доступ
bilka00
к заголовкам
bilka00
Ловишь момент
bilka00
дальше последовательно увидишь как прыгает указатель в регистре
Anonymous
так
bilka00
Ну вот код этот разпакован
Anonymous
там же проверка 100% реализована из вм команд
bilka00
Ну да
bilka00
а зачем ее трогать?
bilka00
Твоя задача только подменить заголовки
Anonymous
т.е. мне надо подменить указатель прочитав файл с диска?
bilka00
делаешь две секции
bilka00
одна = загловкам
bilka00
и переносишь туда оригинал заголовков
bilka00
во вторую код
Anonymous
так
bilka00
собстна этот кусок переносишь где проверка
bilka00
там по байту читаеться правда инструкцию не помню
Anonymous
это всё можно заинлайнить или вручную делается?
bilka00
руками пишешь инлайн
bilka00
плагин конешн можно накидать под что нить без проблем
bilka00
но руками все равн оприйдеться кое чо править
Anonymous
я смогу таким способом сверху накрыть файл упхом, сделать инлайн и пройти проверку?
bilka00
и по условии
bilka00
если адресс соотцетсвтует заловку просто add reg, смещение к твоей секции с оригинальным хидерам
bilka00
ну вот и все
Anonymous
короче по адресу мы определяем заголовок это или определённая секция?
bilka00
а ну да и на CreateFile тоже -1 вернуть
Anonymous
а зачем CreateFile -1?
bilka00
адресс уже идет от ImageBase и там около 1000
bilka00
именно тот что с диска проэкцирует и проверяет
Anonymous
проверки две, одна в памяти. вторая с диска?
bilka00
да
bilka00
Но говорю я хз как это генериться
bilka00
но иногда везет и первый способ отлично работает при включенном сканере памяти
Anonymous
можно сказать политеху чтобы исправил
bilka00
но во втором способе делаешь чо хочешь уже
bilka00
ко мне файлы с вмп попадают из завидной регулярностью
bilka00
Физический нельзя защититься от этого
Anonymous
это был сарказм ;)
bilka00
Можно вставить палки но не защититься
bilka00
кстати сейчас посмотрю
bilka00
я когда то софт ломал
bilka00
там интересный вид патча под вмп2.хх применял
KosBeg
Физический нельзя защититься от этого
ну да, если прога(или вирус) как-то исполняется - значит она ломается 😄
bilka00
правда скину в лс ибо мне стыдно и за патч и за софт
bilka00
ой
bilka00
Кратко об патче еще
bilka00
розкажу ибо там сложно понять схожу
Anonymous
антиотладку в вмпроте как обходите?
KosBeg
scyllaHide?
KosBeg
или нет?
bilka00
она самая
Anonymous
работает да?
KosBeg
или титанХайд
bilka00
иногда приходилось еще TitanHide на старых версиях
bilka00
ибо в сцилле был криво реализован хук один
bilka00
Мля кароче
bilka00
MapViewOfFile
bilka00
на ret
bilka00
дальше бряк на доступ к результату
bilka00
и немного трейса
bilka00
и увидите мой прыжок в мою секцию
bilka00
конкретно в том месте сохранение CRC было
bilka00
и прыжок дальше но пришось все ко мне ибо нехватало памяти что бы сделать джамп в секцию
Anonymous
сейчас накрыл старым вмпротом блокнот, у меня нету проверки на диске, но есть проверка в памяти. я заменил timedatestamp, а в памяти при проверке его подменил
Anonymous
01059058 0FB60A MOVZX ECX,BYTE PTR DS:[EDX]
0105905B ^ E9 7EF5FFFF JMP notepad_.010585DE
Anonymous
вот как это выглядит
Anonymous
JMP notepad_.010585DE мы можем это джамп заменить на управление своего кода
bilka00
да скорей всего