Skocz do zawartości

  • 👋 Witaj na MPCForum!

    Przeglądasz forum jako gość, co oznacza, że wiele świetnych funkcji jest jeszcze przed Tobą! 😎

    • Pełny dostęp do działów i ukrytych treści
    • Możliwość pisania i odpowiadania w tematach
    • System prywatnych wiadomości
    • Zbieranie reputacji i rozwijanie swojego profilu
    • Członkostwo w jednej z największych społeczności graczy

    👉 Dołączenie zajmie Ci mniej niż minutę – a zyskasz znacznie więcej!

    Zarejestruj się teraz

IDA Pro i thready

Sunnyline2

Rekomendowane odpowiedzi

Sunnyline2 Znawca

Sunnyline2

Opublikowano
Znawca

Sunnyline2

Opublikowano

Dany program sprawdza czy jest uruchomiony ollydbg więc 'kupiłem' ida pro i tam akurat w threading gdy zatrzymam to ta funkcja przestaje działać.. Tylko tu jest problem nie wiem jak ogarnać ten program. Jak zapisać zmiany w tym .exe`ku i czy ten thread będzie wyłączony?

http://scr.hu/0ew/h4dz4
metin1998 Uczeń

metin1998

Opublikowano
Uczeń

metin1998

Opublikowano

Użyj ollyego z jakimś dobrym pluginem (

http://tuts4you.com/download.php?view.1276

) i żadne prostackie antidbg Cie nie złapie. Co do wyłączania threada to musiałbyś znaleźć instrukcje CreateThread który tworzy akurat ten thread i spaczować ją hexedytorem. To może być troche trudne, ja bym to zrobic injectujac dll'ke ktora bedzie nisczyla (najpierw musisz znaleźc uchwyt do tego watku, polecam Process Hacker 2) ten Thread a potem spokojnie podepniesz ollyego

 

Aczkolwiek plugin powinnien wystarczyc.

Pisze boty do gier WWW na zlecenie.

Sunnyline2 Znawca

Sunnyline2

Opublikowano
Znawca

Sunnyline2

  • Autor
Opublikowano

Użyj ollyego z jakimś dobrym pluginem (

http://tuts4you.com/download.php?view.1276

) i żadne prostackie antidbg Cie nie złapie. Co do wyłączania threada to musiałbyś znaleźć instrukcje CreateThread który tworzy akurat ten thread i spaczować ją hexedytorem. To może być troche trudne, ja bym to zrobic injectujac dll'ke ktora bedzie nisczyla (najpierw musisz znaleźc uchwyt do tego watku, polecam Process Hacker 2) ten Thread a potem spokojnie podepniesz ollyego

 

Aczkolwiek plugin powinnien wystarczyc.

Jednak będę musiał bawić się thread`ami.

Ida pokazuje mi ten adres jako go używa: ntdll.dll:7C90E514

Więc program tworzy tę dll nawet jeśli ją usune.

Czyli gdybym odnalazł funkcje którą wykrzystuje ntdll i po prostu ją jmp`ować ?

metin1998 Uczeń

metin1998

Opublikowano
Uczeń

metin1998

Opublikowano

Niestety to nie jest prawdziwy adres startowy threadu.

 

Mógłbyś zbreakpointować CreateThread i zobaczyć jakie i SKĄD thready są tworzone(na [esp] masz adres powrotu). Jeżeli znajdziesz gdzie jest tworzony thread którego nie chcesz to być może będziesz mógł to po prostu spaczować (NOP NOP NOP)

Pisze boty do gier WWW na zlecenie.

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Tematy
×
×
  • Dodaj nową pozycję...