English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering [Xin trợ giúp] Vấn đề rắc rối khi làm Loader patch memory  XML
  [Question]   [Xin trợ giúp] Vấn đề rắc rối khi làm Loader patch memory 11/08/2008 14:12:59 (+0700) | #1 | 146102
Saigondanchoi
Member
[Minus]    0    [Plus]
Joined: 20/10/2003 18:27:21
Messages: 9
Offline
[Profile] [PM]
Ví dụ ta có 1 chương trình gồm 2 file
Launcher.exe
Run.exe

Run.exe chỉ chạy khi được gọi bởi Launcher.exe (Mở Launcher.exe bấm Run sẽ chạy Run.exe) nếu không sẽ báo là "vui lòng chạy Launcher.exe"

Tạo 1 shortcut cho Run.exe. Ở khung target sửa giá trị
D:\newsoft\Run.exe
thành
D:\newsoft\Run.exe -launcher
Thì chương trình chạy mà ko cần phải wa Launcher

Vậy tôi muốn làm 1 loader để patch 1 byte của Run.exe từ JE sang JNE (74h --> 75h) tại địa chỉ 00441000 khi Run.exe đc gọi. Vậy phải làm thế nào?

Từ đây tôi có 2 ý tưởng:
1) Làm loader mà khi chạy loader này sẽ gọi Run.exe và patch memory tại 00441000 mà ko cần phải wa Launcher.exe

2) Làm loader mà khi chạy loader này sẽ nằm chờ trong hệ thống. Khi Run.exe được gọi bởi Launcher.exe thì loader sẽ nhảy vào patch tại 00441000, xong việc nó sẽ tự động exit.

3) Làm loader mà khi chạy loader này sẽ nằm chờ trong hệ thống. Khi Run.exe đang chạy ta bấm F1 thì sẽ patch 74h --> 75h tại 00441000. Bấm F2 sẽ trả về giá trị như cũ (75h --> 74h)

Với 2 ý tưởng đó phải viết Loader ntn? Ngoài ra còn cách nào nữa ko? Rất mong sự giúp đỡ của mọi người smilie
[Up] [Print Copy]
  [Question]   Re: [Xin trợ giúp] Vấn đề rắc rối khi làm Loader patch memory 11/08/2008 14:30:06 (+0700) | #2 | 146104
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
hì hì, bạn trình bày rõ ràng hơn chút được không, đọc mà suýt tẩu hỏa nhập ma smilie
1) Làm loader mà khi chạy loader này nó sẽ gọi Run.exe và patch memory tại 00441000 mà ko cần phải wa Loader.exe  
[Up] [Print Copy]
  [Question]   Re: [Xin trợ giúp] Vấn đề rắc rối khi làm Loader patch memory 11/08/2008 23:14:55 (+0700) | #3 | 146156
[Avatar]
 hacnho
HVA Friend
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
[Profile] [PM]
1. Muốn chạy dạng param thì DWORD bên REA có một bài viết khá thú vị:

Code:
http://reaonline.net/showthread.php?t=6812


2.
Làm loader mà khi chạy loader này nó sẽ nằm chờ trong hệ thống. Khi Run.exe được gọi bởi Loader.exe thì sẽ nhảy vào patch tại 004410000, xong việc nó sẽ tự động exit.  


Cậu viết lộn xộn quá... Đọc nhức đầu thật

Loader có 2 dạng cơ bản, thứ nhất là loại load target lên trên mem, patch những chỗ muốn patch, sau đó exit. Loại thứ hai là trainer, đây là loại chạy thường trực trên mem, khi cần tác động gì vào target thì dùng các hàm Read,WriteProcessMemory để thực hiện việc thay đổi các bytes trên bộ nhớ.
Mọi câu hỏi vui lòng gửi lên diễn đàn!
[Up] [Print Copy]
  [Question]   Re: [Xin trợ giúp] Vấn đề rắc rối khi làm Loader patch memory 13/08/2008 02:36:32 (+0700) | #4 | 146434
Saigondanchoi
Member
[Minus]    0    [Plus]
Joined: 20/10/2003 18:27:21
Messages: 9
Offline
[Profile] [PM]
Em đã chỉnh sửa bải viết lại cho hợp lý rồi. Rất mong được giúp đỡ

Cám ơn bác hacnho về bài viết.

Loader có 2 dạng cơ bản, thứ nhất là loại load target lên trên mem, patch những chỗ muốn patch, sau đó exit. 


Với target này thì loader sau khi load Run.exe lên memory, patch xong nó báo ""vui lòng chạy Launcher.exe" thì sao? Làm sao để loader thay vì load Run.exe sẽ load Run.exe -launcher ???

Loại thứ hai là trainer, đây là loại chạy thường trực trên mem, khi cần tác động gì vào target thì dùng các hàm Read,WriteProcessMemory để thực hiện việc thay đổi các bytes trên bộ nhớ. 


Dạng này thì làm ntn bác? Bác có source để em nghiên cứu thì hay wá.

Thank 4 help !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|