sooqua

Сабж) Как записывать в лог все вызовы функций (call) Логировать нужно всю команду, типа: call 6BE6979C call 49BA7C05 // Hand asm syntax by NoRt' =D

закрывай

Виртуальной, а я хочу физической

Что не понятно?1) 2)

Если в файле нет достаточно неиспользуемой памяти.Блин, в настройках олли поставил первый бряк на System Breakpoint, но всё равно сначала вылетает ошибка, и бряк не срабатывает....

Да, я заметил что она не запустилась у меня на OllyDbg 2.01, но запустилась на 1.10 т.к. там у меня стоит куча антиантиотладочных плагинов А где можно почитать про эту проверку, как она реализуется программистом, и желательно как она ломается нами ^^ Хмм. Причём получается, что эта проверка выполняется до точки входа? Т.к. в Olly ошибка вылетает до того как сработает бряк на EP

Пытаюсь через Stud PE создать секцию (Sections -> ПКМ, в контекстном меню -> New Section -> Section Name: .hack RawSize: 00000000 // Тут нули потому что в Info написано: Virtual Size: 00000000 // If you don't specify RawSize and VirtualSize, a section with a default size of FileAlignment bytes is added after the last raw section. fill section with NULL bytes - да и жму Add Пишет всё ок, но программа не запускается, пишет: Ошибка при запуске приложения (0xc000007b). Для выхода из приложения нажмите кнопку "ОК".

Статья - супер, но я как новичок в ООП пока многое не понимаю)) буду разбираться Спасибо Andrey (:

Уже нашёл)) Да, подошлоИзвиняюсь, это у меня руки не из того места ростут)) ТЗ ^^

Как получить хэндл окна в Auto assemble? В enum dll's нету даже похожей функции Нужно для GetWindowRect, ей надо передать хэндл Или может есть другой способ получить координаты формы?

спс тз)

Выделяю память: alloc(point,64) И надо заполнить её нужными мне байтами, как это сделать?)

Оказалось точно так) В ней была еще одна инструкция, внутри которой еще одна Занопил её - и сказка))Только вопрос - я ведь в системной dll'ке занопил команду, будут ли остальные программы, использующие её работать корректно?

В общем такие дела: Нашёл инструкцию, которая скрывает курсор: "DINPUT8.dll"+C0D5 - call dword ptr [6CD711F4] ; [showCursor] И нашёл вредоносную команду, которая блокирует доступ к другим окнам: "DINPUT8.dll"+528E - call 6CD7C5DE Именно после её выполнения (в отладке проверял) на другие окна уже нельзя нажать и тем самым активировать их.. Но если её занопить (и прилагающийся push, разумеется), игра зависает. Не пойму, почему))

Адреса координат курсора внутри формы: X - 00484ECC, Y - 00484ED0 Команды, которые срабатывают, если пытаешься вывести курсор за форму (по Y): 0040C89D - C7 05 D04E4800 00000000 - mov [00484ED0],00000000 0040C8F0 - D9 1D D04E4800 - fstp dword ptr [00484ED0] : [(float)308.0000] По X: 0040C8C6 - D9 1D CC4E4800 - fstp dword ptr [00484ECC] : [(float)450.0000] 0040C880 - C7 05 CC4E4800 00000000 - mov [00484ECC],00000000 Если их занопить, можно будет двигать курсор "за пределы" формы, но его не видно. Т.е. он всё еще в игре Как бы сделать, чтобы можно было убирать курсор из формы, при этом чтоб он менялся на стандартный виндовский, а когда снова попадал бы в форму с игрой, менялся бы на игровую "стрелку"?

Почему так работает: lea eax,dword ptr [edi+04] cmp eax,004010A9 jne Player2А так нет: cmp dword ptr [edi+04],004010A9 jne Player2 ?

Сделал вручную в OllyDbg аналог иньекции кода в CE (нашёл место в файле, где много нулей, и заменил оригинальную инструкцию прыжком на мой код) Попытался сохранить это дело, а оно не работает. В олли потрассировал его немного и стало ясно что я прыгал на виртуальную память, которая не существует в самом PE. Можно ли как-то выделить физическую память под свой code injection?

Так как создать строку в CE? В дизассемблере ASCII "TEST",0

А как вызвать MessageBox? Как строку создать?) Что-то вроде invoke MessageBox,0,'TEST','TEST',MB_OK на фасме push 0 push "TEST" // так ведь push "TEST" // нельзя?) push 0 call bla-bla-bla<user32.MessageBoxA>

Да нет, надо было было выполнить одну консольную команду (не msg). Уже всё решил

жму Create EXE file вылетает ошибка This type of output files is not supported.Какие еще могут быть варианты? Короче, закрывайте тему, хоть это у вас получается на 5+.

И что? Ваша всемогущая IDA не поддерживает exe?

А ошибка что значит? Только не надо посылать в гугл, я только что оттуда, нету ни у кого такой ошибки....

Ну изменил я serial (с Win32API на OLOLOLOL), жму File >> Produce file >> Create EXE file вылетает ошибка This type of output files is not supported.И где достать документацию?)

Только по этому я её не хочу качатьА IDA - только дизассемблер? Занопить brtrue.s loc_8C в ней нельзя? Хмм. Действительно, альфа 4 находит unicode строчку без проблем. По скорее бы переделали плагины на новую олли / олли под старые плагины Так что на счёт IDA? Может есть у кого какой-нибудь учебник, а то я ней очень плохо разбираюсь