Сейчас на форуме: localhost1, vsv1, asfa, tyns777 (+5 невидимых)

 [email protected] —› Вопросы новичков —› Задание из курса (пропатчить ехе)
Посл.ответ Сообщение


Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 28 октября 2019 01:27
· Личное сообщение · #1

Смотрю курс по реверсу, который обсуждали в оффтопе. Там есть такое задание:
"2. Модифицировать файл в HEX редакторе ex.exe так, чтобы MessageBox показывался два раза. ". Что-то смотрю , не могу понять, как его модифицировать - причем как бы это второй урок, когда только изучают основы асма. Т.е. никаких циклов или условий нет, просто 2 вызова апи (файл прикрепил).
Или я не вижу чего-то очевидного, или автор что-то не то курит.

И да, почему когда патчишь файл с помощью х64дбг, он требует запуска от админа? Смотрел РЕ хидер, вроде отличий от оригинала нет, но просит повышения.

47dd_28.10.2019_EXELAB.rU.tgz - ex.7z




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 28 октября 2019 02:20 · Поправил: f13nd
· Личное сообщение · #2

#214 83F6017BE7C3

Типа теста на сообразительность, у тебя есть 8 байт от ExitProcess(0), один из которых придется махнуть на ретёрн, чтоб приложение корректно завершилось, в распоряжении остается 7. Можно воспользоваться тем, что строгая дизъюнкция симметрична сама себе, регистры ebx/esi/edi апи функции не трогают, а значения в них при входе в main() всегда одинаковые.

-----
2 оттенка серого


| Сообщение посчитали полезным: morgot

Ранг: 3.2 (гость)
Активность: 0.05=0.05
Статус: Участник

Создано: 12 ноября 2019 02:13
· Личное сообщение · #3

Не понял как это в хексе реализовать?



Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

Создано: 12 ноября 2019 04:34 · Поправил: dosprog
· Личное сообщение · #4

f13nd пишет:
ebx/esi/edi апи функции не трогают, а значения в них при входе в main() всегда одинаковые.

Не совсем так, но


AlexLyt пишет:
Не понял как это в хексе реализовать?


Просто использовать кряк-файл "ex.crk":

Code:
  1. ex
  2.  
  3. Call MBox twice
  4. ex.exe
  5. .00401014: 6A 45 ;00000214:
  6. .00401015: 00 83 ;00000215:
  7. .00401016: FF E5 ;00000216:
  8. .00401017: 15 01 ;00000217:
  9. .00401018: 8C 75 ;00000218:
  10. .00401019: 10 E6 ;00000219:
  11. .0040101A: 40 C3 ;0000021A:


3e22_12.11.2019_EXELAB.rU.tgz - ex.crk




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 12 ноября 2019 05:39
· Личное сообщение · #5

dosprog пишет:
Просто использовать кряк-файл "ex.crk"

В задании написано совсем не так: Модифицировать файл в HEX редакторе

AlexLyt пишет:
как это в хексе реализовать?

214 смещение в файле (в 16ричной форме), буквоцифры за этим числом это байты 83 F6 01 7B E7 C3

-----
2 оттенка серого




Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

Создано: 12 ноября 2019 11:10 · Поправил: dosprog
· Личное сообщение · #6

f13nd пишет:
214 смещение в файле (в 16ричной форме), буквоцифры за этим числом это байты 83 F6 01 7B E7 C3

Так будет работать не всегда.
Например, при запуске из cmd и far'а работать будет,
а при запуске из explorer'a - наоборот, не будет.






Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 12 ноября 2019 11:15
· Личное сообщение · #7

dosprog пишет:
а при запуске из explorer'a - наоборот, не будет.

Проверил только что и из тотал командера, и из цмд и из експлорера - не сбылось, работает. Фара нету.

-----
2 оттенка серого




Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

Создано: 12 ноября 2019 11:20 · Поправил: dosprog
· Личное сообщение · #8

f13nd пишет:
Проверил только что и из тотал командера, и из цмд и из експлорера - не сбылось, работает. Фара нету.

Значит, зависит ещё и от системы. Проверял в WinXP.
Потому, собственно, и вставил свой комментарий.

.. Ещё например, при старте из-под отладчика значение ESI=-1,
а при старте из explorer'а значение какого-то адреса, выровненное.






Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 12 ноября 2019 11:42
· Личное сообщение · #9

dosprog пишет:
Значит, зависит ещё и от системы. Проверял в WinXP.

Расчехлил агрегат с XPSP2, ладно принимается:

Слева cmd, справа експлорер. У ebx младший бит неизменно нуль, любители експлорера могут использовать его.

-----
2 оттенка серого




Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

Создано: 12 ноября 2019 11:52 · Поправил: dosprog
· Личное сообщение · #10

Надёжней в этом смысле выглядит EBP, но можно и так.





Ранг: 3.2 (гость)
Активность: 0.05=0.05
Статус: Участник

Создано: 03 мая 2020 10:02
· Личное сообщение · #11

Я вот все равно не понял по этой задачке, как ее решить и РЕАЛИЗОВАТЬ решение



Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

Создано: 03 мая 2020 10:17
· Личное сообщение · #12

[offtop]
Игра "Поле чудес".
Ведущий: -- От чего будем страховаться?
Игрок: -- от Играл и не смог раскрутить барабан
[/offtop]



Ранг: 3.2 (гость)
Активность: 0.05=0.05
Статус: Участник

Создано: 03 мая 2020 10:56
· Личное сообщение · #13

)))) кто т может все таки разобрался?




Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 03 мая 2020 12:55
· Личное сообщение · #14

AlexLyt
во втором посте темы есть ответ , или что не так?



Ранг: 3.2 (гость)
Активность: 0.05=0.05
Статус: Участник

Создано: 03 мая 2020 20:34
· Личное сообщение · #15

я все равно не понял, есть пример гдет?




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 03 мая 2020 22:31
· Личное сообщение · #16

AlexLyt пишет:
я все равно не понял

Хочешь расскажу тебе сказку про белого бычка?

-----
2 оттенка серого


| Сообщение посчитали полезным: Lambda


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 04 мая 2020 02:01
· Личное сообщение · #17

f13nd пишет:
Хочешь расскажу тебе сказку про белого бычка?


Это слишком сложная сказка: ну почему он шатается, почему вздыхает на ходу?

-----
Give me a HANDLE and I will move the Earth.




Ранг: -5.6 (нарушитель), 3thx
Активность: 0.15=0.15
Статус: Участник

Создано: 04 мая 2020 02:43 · Поправил: exDMA
· Личное сообщение · #18

plutos пишет:
ну почему он шатается, почему вздыхает на ходу?


Потому, что, к сожалению, день рождения - только раз в году.




Ранг: 69.9 (постоянный), 83thx
Активность: 0.140.73
Статус: Участник

Создано: 04 мая 2020 11:37
· Личное сообщение · #19

В общем, бред. Закрыто. (с)


 [email protected] —› Вопросы новичков —› Задание из курса (пропатчить ехе)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати