Printable View
سلام:
در مورد فراخوانی یک API باید بگم اگه روی اون API ای که میخواهیم اونو صدا بزنیم یک BP بگذاریم
دیگه فرقی نداره که چه شکلی فراخوانیش کنی با هر روشی که اونو صدا بزنی Debugger روی BP
نگه میداره و براحتی میشه هر تکنیکی رو دور زد.
ولی نامید نشید یک راه خوب معرفی میکنم که با هیچ دیباگری نشه جلوی اونو گرفت!!!!!
اونم نوشته یک Driver هستش که با استفاده از اون بتونیم توی یک Process مقادیری رو نوشت مثل کاری
که WriteProcessMemory انجام میده.
دوستانی که میتونن این کار رو انجام بدن دستاشون بالا.:لبخند:
تمامی پروتکتورهای پرقدرت دنیا برای انجام کارهایی که باید دور از دسترس کرکرها انجام بشه
از این تکنیکها یعنی استفاده از فایلهای Driver استفاده میکنن.
بطور مثال SVKP از درایور SVKP.SYS استفاده میکنه و Themida از Oreans32 استفاده میکنه.
این فایل همون کاری رو می کنه که پروتکتور شما انجام میده ولی با تکنیکهای پیشرفته تر اگه بتونی خوب آنالیزش کنی تکنیکهای خوبی دستت میاد موفق باشید
این کار این قدر هم راحت نیست. بجز BP دسترسی به حافظه، همه باقی انواع BP رو میشه یا شناسایی کرد و یا به اشتباه انداخت. BP دسترسی رو هم هر چند نمیشه از کار انداخت ولی میشه استفاده کنندش رو اذیت کرد، با دسترسی زیاد، به نحوی که کم حوصله ها رو دودر کنه.نقل قول:
در مورد فراخوانی یک API باید بگم اگه روی اون API ای که میخواهیم اونو صدا بزنیم یک BP بگذاریم
دیگه فرقی نداره که چه شکلی فراخوانیش کنی با هر روشی که اونو صدا بزنی Debugger روی BP
نگه میداره و براحتی میشه هر تکنیکی رو دور زد.
در ضمن استفاده از درایور هر چند خوبه ولی معایب خودش رو داره، به عنوان مثال ساده عدم تطابق ساختار apiی مستند نشده در ورژن های مختلف ویندوز هستش.
در نهایت هم که همه برنامه ها کرک میشن، مهم اینه که زمان لازم برای این کار به نسبت ارزش نرم افزار زیاد بشه و دیگه نصرفه که نرم افزار رو کرک کنند!
آقاي برديا شما فايل خود را به اينترنت اكسپلورر تزريق مي كنيد . بسياري از ويروسيابها مانند نسخه اينترپرايس مك آفي اجازه اين كار را نمي دهند . و نتيجه اين كار اين مي شود كه فايل شما اجرا نمي شود .
سلام به همه اساتید گرامی:
من یه کد آنتی BP نوشتم که پایین میزارمش که دوستان استفاده کنن.
این کد MessageBoxA رو چک میکنه اگه BP روی اون بود به شما پیغام BP پیدا شد رو میده.
شما میتونید از این تکنیک برای فراخوانی API استفاده کنید و ببینید که کرکر روی API مورد نظر شما
BP گذاشته یا نه اگه گذاشته بود که دیگه میدونید باید چیکار کنید.
نقل قول:
نوشته شده توسط bardia_dst
اینکه مثل آب خوردن آنپک میشه.
بی خیال MadcodeHook شو ؟؟؟!!!
من نگفتم آنپک نمیشه فقط گفتم از روش جالبی برای پروتکت استفاده کردهنقل قول:
نوشته شده توسط ali ahwaz top
اینم آموزش آنپک کردن JOKER PROTECTOR :چشمک:
همون تشکرهای بالائی ضربدر شونصدتا :بوس:نقل قول:
نوشته شده توسط bardia_dst
برنامه که اجرا میشه ، صفحه کامل برای من سفید هست ، فلش که نصبه
چیز خاصی باید نصب داشته باشم ؟
Adobe Flash Player رو باید نصب کنی
UnPacker Updated A Little :
ديگه حالم از درس داشت بهم ميخورد ! گفتم ببينم اينجا چه خبره :خجالت: انشاءالله فردا آزاد ميشوم ! :لبخندساده:کد HTML:< 1.0.1 >
- Fixes some headers !
1 - SubSystem 2 - SizeOfImage 3 - Base Of Code/Data
جوکر جان، بعید میدونم این مقاله رو ندیده باشی. ولی بازهم واست می ذارم ... باشد که رستگار شوی
سلام:
اون Anti-BPX که دیروز گذاشتم یه کمی اشکال داشت.
اولا" GetProcAddress رو میشه BP بزاریم ولی با این برنامه بدون استفاده از
GetProcAddress میشه آدرس یک API رو پیدا کنید و چک کنید که BP روش هست یا نه.
دوما" این سورس راه پیدا کردن BP روی یک فانکشن داخلی از برنامه خودمان رو هم نشون
میده.
حالا یک مورد که خیلی مهمه این که اگه BP هم داشت چطوری میشه اونو بدون اینکه
Debugger برنامه رو روی BP نگه داره اجرا کرد.
راه حلش توی این سورسه.
لازم نيست که حتماً روی MOV EDI,EDI بگذاری !!!نقل قول:
نوشته شده توسط ali ahwaz top
روی RETN برک پينت بگذار
پس روش شما جواب نخواهد داد !
نقل قول:
نوشته شده توسط P0uy4 53z4r
شما که اینقدر استادید بفرمایید چه راه حلی دارید . در ضمن اگه دارید اونو سورس باز
بذارید روی همین تاپیک.:لبخند:
کد CC همون 204 دسیمال هستش که به معنای int3 است.
من سعی میکنم یه کد برای خنثی کردن اون همین جا بذارم.
به امید پیروزی همه شما یا حق تا فردا.
نصبه !!!نقل قول:
نوشته شده توسط bardia_dst
ولی همچنان هیچی به هیچی :)
ورژن خاصی ازش باید نصب باشه ؟
فایل swf اگه ازش داری اتچ کن ،
نقل قول:
نوشته شده توسط joker
وقتی فایل رو اجرا کنید فایل SWF میره تو TEMP
چقدر دردسر داشت :لبخند:
زحمت کشیدی :بوس:
برم برای آپدیت :عصبانی++: