На форуме временно ведутся технические работы! Подробнее.

Вход
Логин: Пароль:Забыли пароль?
Запомнить вас на этом компьютере?
Войти скрытым?

Здравствуйте, гость ( Вход | Регистрация )

3 страниц V   1 2 3 >  
Ответить в данную темуНачать новую тему
[Guide] Hook dll (Русский), (Как прикрутить DLL)
Рейтинг 5
5/5
V
Помог ли вам Гайд?
Получилось ли?
Да [ 31 ] ** [39.74%]
Не разобрался [ 40 ] ** [51.28%]
Не пытался разобраться [ 7 ] ** [8.97%]
Всего голосов: 18
Гости не могут голосовать 

Ember
сообщение 24.7.2010, 1:52
Сообщение #1


825
Группа: Заморожен!
Сообщений: 10
Регистрация: 21.8.2008
Пользователь №: 2069
Спасибо сказали: 183 раз(а)



Репутация:   -1  
В этом Гайде я хочу обьяснить, как прикрутить .DLL файл к .EXE файлу.

Что для этого требуется:
1. Ollydbg (ссылка скрыта от гостей (авторизуйтесь)).
2. LordPE (ссылка скрыта от гостей (авторизуйтесь)).
3. 5 минут времени.

В этом примере мы будем прикручивать Antihack.dll к main.exe

И так, приступим:
1. Запускаем Ollydbg.
2. Открываем .EXE файл (main.exe), к которому будем прикручивать .DLL (File - Open).
3. Записуем на листочек начальный оффсет (Место, где находится курсор после открытия).
В моем случае, это 0084878C (PUSH EBP).

4. Нажимаем Ctrl+N.
5. В появившемся окне ищем строчку KERNEL32.LoadLibraryA
6. Записуем на листок адресс вызова KERNEL32.LoadLibraryA.
В моем случае, это 0087B208 (KERNEL32.LoadLibraryA).

7. Закрываем это окно и переходим к основному.
8. Листаем до конца программы, ищем свободные оффсеты - DB00.

9. Правый клик мышкой - Follow to Dumb - Selection.

10. В нижнем окне вписуем имя нашей .DLL
Выбераем мышкой точку, жмём Пробел и вписуем так по одной букве.

В моём случае, я вписал Antihack.dll
11. Отступив ниже, клацаем пробел по любой строчке.
12. В открывшимся окошке пишем PUSH и адресс, где мы начали вписывать имя нашей .DLL

В моём случае, это PUSH 0087A806
13. В итоге мы должны получить PUSH main.0087A806 (ASCII "Antihack.dll").

14. Клацаем пробел по следуйщей строчке, вписуем CALL DWORD PTR DS:[Адресс вызова LoadLibraryA]
И получаем следущее:

В моём случае, это CALL DWORD PTR DS:[0087B208].
15. На следущей строчке, нажав пробел, вписуем - CMP EAX,0
16. После этого, на следуйщей строчке, нажав пробел, вписуем - JMP Адресс начального оффсета

В моём случае, это JMP 0084878C
17. Получаем следущее:

18. Переходим к сохранению, выделяем все наши изменения.
19. Правый клик мышкой - Copy to executable - Selection.

20. В открывшимся окне правый клик мышкой - Save File.



21. Далее нам нужно изменить точку входа (EntryPoint).
22. Запускаем LordPE.
23. Открываем наш .EXE файл (main.exe).
24. В примере новой OEP будет 0087A806 (из пункта №12).
25. Зная, что Image Base - 00400000, вычисляем по формуле EntryPoint:
OEP - ImageBase = LordPE EntryPoint.
0087A806 - 00400000 = 0047A806
26. Вписуем получившееся в поле EntryPoint, в программе LordPE.

27. Нажимаем Save - OK.

И вот он момент триумфа, всё готово, можно радоваться. smile.gif
Если остались вопросы, в ICQ: 596-461-737.



Кредиты: Lekan

Сообщение отредактировал InsurgenT - 16.2.2011, 12:04
Перейти в начало страницы
+Цитировать сообщение

Dzib
сообщение 24.7.2010, 2:21
Сообщение #2


V.I.P.
*****
Группа: Проверенные
Сообщений: 480
Регистрация: 29.2.2008
Пользователь №: 337
Спасибо сказали: 35 раз(а)



Репутация:   0  
спосиба разобрался обясни пожалуста как в этом

Цитата
1 - Hook SKT.dll into your main with fuction SKTG
PUSH *to SKT.dll*
CALL DWORD PTR DS:[LoadLibraryA]
OR EAX,EAX
JE *EmptySpace*
PUSH *to SKTG*
PUSH EAX
CALL DWORD PTR DS:[GetProcAddress]
CALL EAX
JMP *EntryPoint*


сделать это
Цитата
1 - Hook SKT.dll into your main with fuction SKTG


спосиба на перёд, если кому интересно файлы этого античита тут
Для просмотра этого блока необходима регистрация
Перейти в начало страницы
+Цитировать сообщение

xakum
сообщение 24.7.2010, 9:46
Сообщение #3


V.I.P.
*****
Группа: Проверенные II
Сообщений: 245
Регистрация: 24.3.2008
Пользователь №: 492
Спасибо сказали: 350 раз(а)



Репутация:   7  
Цитата(LEKAN @ 24.7.2010, 1:52) *
В этом Гайде я хочу
Кредиты: Lekan

ссылка скрыта от гостей (авторизуйтесь) и кредиты тут еще пишет свои какие то. LEKAN если твои кредиты - может объяснишь мне зачем писать "CMP EAX,0", если после этого идёт просто JMP? школота ты личерная. rolleyes.gif

Сообщение отредактировал xakum - 24.7.2010, 9:46
Перейти в начало страницы
+Цитировать сообщение

user_MU
сообщение 24.7.2010, 10:15
Сообщение #4

Вечно Молодой ....
*******
Группа: Проверенные II
Сообщений: 1045
Регистрация: 19.7.2008
Пользователь №: 1602
Спасибо сказали: 124 раз(а)



Репутация:   0  
Там должно идти jne на выход из маина.
Это проверка на наличие, при отсутствии маин закрывается.

xakum
smile.gif Ты в своем репертуаре smile.gif Ты бы после критики правильный вариант писал, меньше флуда будет.

Dzib
В этом примере обычная длл. В твоем случае надо вызывать главную функцию длл-ки. А именно SKTG. Это значение нужно прописывать так же как и Antihack.dll в ASCII формате.
Вот простой пример что у тебя должно быть:

Свёрнутая информация:
PUSH *to SKT.dll* <<<<<<<< тут адрес где ты прописал слово SKTG.dll
CALL DWORD PTR DS:[LoadLibraryA]
OR EAX,EAX
JE *EmptySpace*
PUSH *to SKTG* <<<<<< тут адрес где ты прописал слово SKTG
PUSH EAX
CALL DWORD PTR DS:[GetProcAddress]
CALL EAX
JMP *EntryPoint*


Сообщение отредактировал user_MU - 24.7.2010, 10:20
Перейти в начало страницы
+Цитировать сообщение

Ronny
сообщение 24.7.2010, 10:35
Сообщение #5


За распространение троянов на форуме!
*******
Группа: Заморожен!
Сообщений: 1516
Регистрация: 17.3.2008
Пользователь №: 439
Спасибо сказали: 486 раз(а)



Репутация:   0  
Зачем так усложнять ?
можно ведь просто
CODE
push 006B3000
call LoadLibraryA
Mov dword ptr ds:[006B3005], eax
Push [006B3007]
Push Eax
Call GetProcAddress
Call Eax


# 006B3000 - Оффсет дллки
# 006B3005 - Свободный оффсет
# 006B3007 - Имя процесса
Перейти в начало страницы
+Цитировать сообщение

LeGrand
сообщение 24.7.2010, 10:36
Сообщение #6


.NET-котЭ
*******
Группа: Проверенные
Сообщений: 987
Регистрация: 7.3.2009
Пользователь №: 5004
Спасибо сказали: 244 раз(а)



Репутация:   0  
за рекомендации юзать лордпе буду бить палками.
Перейти в начало страницы
+Цитировать сообщение

user_MU
сообщение 24.7.2010, 10:43
Сообщение #7

Вечно Молодой ....
*******
Группа: Проверенные II
Сообщений: 1045
Регистрация: 19.7.2008
Пользователь №: 1602
Спасибо сказали: 124 раз(а)



Репутация:   0  
Ну кому как удобнее, утилит типа Лордпе вагон.
Да и вабще хватит копья ломать, уже давно утилита есть для хука smile.gif
Перейти в начало страницы
+Цитировать сообщение

Ronny
сообщение 24.7.2010, 10:47
Сообщение #8


За распространение троянов на форуме!
*******
Группа: Заморожен!
Сообщений: 1516
Регистрация: 17.3.2008
Пользователь №: 439
Спасибо сказали: 486 раз(а)



Репутация:   0  
Цитата(user_MU @ 24.7.2010, 8:43) *
Ну кому как удобнее, утилит типа Лордпе вагон.
Да и вабще хватит копья ломать, уже давно утилита есть для хука smile.gif

знаем такую xD
для нюбов, которая сразу и пакует екзэшник и дллку biggrin.gif
Перейти в начало страницы
+Цитировать сообщение

user_MU
сообщение 24.7.2010, 10:51
Сообщение #9

Вечно Молодой ....
*******
Группа: Проверенные II
Сообщений: 1045
Регистрация: 19.7.2008
Пользователь №: 1602
Спасибо сказали: 124 раз(а)



Репутация:   0  
Ronny
smile.gif Ошибаешься. Эта другая. Ничего она не пакует. Просто прописывает.
Перейти в начало страницы
+Цитировать сообщение

netpartizan
сообщение 24.7.2010, 10:55
Сообщение #10


Старейшина
***
Группа: Проверенные |||
Сообщений: 178
Регистрация: 20.4.2008
Пользователь №: 698
Спасибо сказали: 77 раз(а)



Репутация:   0  
Цитата
Ну кому как удобнее, утилит типа Лордпе вагон.

В ольке можно посмотреть )

Цитата
Да и вабще хватит копья ломать, уже давно утилита есть для хука

IIDKing ?
Перейти в начало страницы
+Цитировать сообщение

user_MU
сообщение 24.7.2010, 11:00
Сообщение #11

Вечно Молодой ....
*******
Группа: Проверенные II
Сообщений: 1045
Регистрация: 19.7.2008
Пользователь №: 1602
Спасибо сказали: 124 раз(а)



Репутация:   0  
Нет, там убогонькая какая-то на дэльфях. Самопис какой-то. К сожалению сейчас не на том компе сижу.
Кромме IIDKing и еще есть утилиты для внедрения. Есть и в реальном времени подбрасывают.
Много всяких.
Перейти в начало страницы
+Цитировать сообщение

Ronny
сообщение 24.7.2010, 11:14
Сообщение #12


За распространение троянов на форуме!
*******
Группа: Заморожен!
Сообщений: 1516
Регистрация: 17.3.2008
Пользователь №: 439
Спасибо сказали: 486 раз(а)



Репутация:   0  
Цитата(user_MU @ 24.7.2010, 8:00) *
Нет, там убогонькая какая-то на дэльфях. Самопис какой-то. К сожалению сейчас не на том компе сижу.
Кромме IIDKing и еще есть утилиты для внедрения. Есть и в реальном времени подбрасывают.
Много всяких.


лично я таким типам утилит не доверяю, я лучше сам хукну, и буду уверен что все правильно )))
Перейти в начало страницы
+Цитировать сообщение

user_MU
сообщение 24.7.2010, 11:17
Сообщение #13

Вечно Молодой ....
*******
Группа: Проверенные II
Сообщений: 1045
Регистрация: 19.7.2008
Пользователь №: 1602
Спасибо сказали: 124 раз(а)



Репутация:   0  
Ronny
Аналогично.
Просто я всегда сливаю все что может пригодится, а такие полу-уникальные утилиты тем более, не говоря уже о всяких уж совсем редких а то и приватных вещей.
Авось как говорится пригодится smile.gif
Перейти в начало страницы
+Цитировать сообщение

Dzib
сообщение 24.7.2010, 11:36
Сообщение #14


V.I.P.
*****
Группа: Проверенные
Сообщений: 480
Регистрация: 29.2.2008
Пользователь №: 337
Спасибо сказали: 35 раз(а)



Репутация:   0  
User_MU спосиба

Цитата
PUSH *to SKT.dll* <<<<<<<< тут адрес где ты прописал слово SKTG.dll
CALL DWORD PTR DS:[LoadLibraryA]
OR EAX,EAX
JE *EmptySpace*
PUSH *to SKTG* <<<<<< тут адрес где ты прописал слово SKTG
PUSH EAX
CALL DWORD PTR DS:[GetProcAddress]
CALL EAX
JMP *EntryPoint*


какое слово первым прописивать SKTG или SKT.dll ?

И парни нет ли у кого крякнутой MoleBox 4,хххх версии? 2,хххх как клепает то уже запустить мейн не могу больше)) табличка « отправлять, не отправлять» выскакует) Делал демоверсеей 4,ххх клепает хорошо, только не нашел крякнутой в интернете.
Перейти в начало страницы
+Цитировать сообщение

cokpat
сообщение 24.7.2010, 13:13
Сообщение #15


MuOlymp Adm
*******
Группа: Проверенные II
Сообщений: 1310
Регистрация: 13.2.2009
Пользователь №: 4617
Спасибо сказали: 512 раз(а)



Репутация:   5  
Цитата(Dzib @ 24.7.2010, 11:36) *
User_MU спосиба



какое слово первым прописивать SKTG или SKT.dll ?

И парни нет ли у кого крякнутой MoleBox 4,хххх версии? 2,хххх как клепает то уже запустить мейн не могу больше)) табличка « отправлять, не отправлять» выскакует) Делал демоверсеей 4,ххх клепает хорошо, только не нашел крякнутой в интернете.


первое SKT.dll
второе SKTG

Сообщение отредактировал cokpat - 24.7.2010, 13:16
Перейти в начало страницы
+Цитировать сообщение

SmallHabit
сообщение 24.7.2010, 13:51
Сообщение #16


Sid
*******
Группа: Супермодератор
Сообщений: 620
Регистрация: 1.10.2008
Пользователь №: 2586
Спасибо сказали: 568 раз(а)



Репутация:   10  
Да, действительно смысл этого CMP EAX,0? o_O
Перейти в начало страницы
+Цитировать сообщение

Killbrum
сообщение 24.7.2010, 14:00
Сообщение #17


Элита
*******
Группа: Проверенные II
Сообщений: 1676
Регистрация: 2.11.2008
Пользователь №: 3074
Спасибо сказали: 809 раз(а)



Репутация:   1  
Цитата(LeGrand @ 24.7.2010, 10:36) *
за рекомендации юзать лордпе буду бить палками.

Круть =) а эт ничего что его юзают очень большое кол-во людей по всему миру? =) типа все они быдло-ламеры? =)
Перейти в начало страницы
+Цитировать сообщение

Mr.Kernighan
сообщение 24.7.2010, 14:19
Сообщение #18


V.I.P.
*****
Группа: V.I.P.
Сообщений: 420
Регистрация: 15.1.2010
Пользователь №: 10296
Спасибо сказали: 304 раз(а)



Репутация:   2  
Цитата
за рекомендации юзать лордпе буду бить палками.

Если Егор сказал, я думаю что лучше будет не использовать его больше... smile.gif
Перейти в начало страницы
+Цитировать сообщение

DobrjaG
сообщение 24.7.2010, 14:54
Сообщение #19


MuStarNet
*******
Группа: Проверенные
Сообщений: 597
Регистрация: 10.7.2009
Пользователь №: 7014
Спасибо сказали: 79 раз(а)



Репутация:   0  
ссылка скрыта от гостей (авторизуйтесь)
а это что??
ТОже самое
Перейти в начало страницы
+Цитировать сообщение

Dzib
сообщение 24.7.2010, 20:49
Сообщение #20


V.I.P.
*****
Группа: Проверенные
Сообщений: 480
Регистрация: 29.2.2008
Пользователь №: 337
Спасибо сказали: 35 раз(а)



Репутация:   0  
Лутший античит это у Losena.ru и Alliennation.biz ©WakeUP. Его лаунчер проверяет при запуске мейна crc всех нужных файлов (skill.bmd, player.bmd и т.д), также лаунчер выключаеться если удалить какой либо 1 файл из нужных (включая dll-ки). Сам мейн зашифрован сам по себе, нельзя узнать настоящий серийник и версию игры. Ещё может быть что при запуску лаунчер меняет их в мейне. Ну и он блокирует на столько програмы такие как WPE что даже если и сделать видимим процем Main.exe то WPE не перехватывает пакеты мейна.

Говорят чит от Endi не плохой, дайте ссылку на него если у кого есть?

Сообщение отредактировал Dzib - 24.7.2010, 20:51
Перейти в начало страницы
+Цитировать сообщение

Profesor08
сообщение 24.7.2010, 22:13
Сообщение #21


z-Z-z-Z-z
*******
Группа: Супермодератор
Сообщений: 3675
Регистрация: 15.6.2008
Пользователь №: 1181
Спасибо сказали: 1199 раз(а)



Репутация:   11  
Цитата
Говорят чит от Endi не плохой, дайте ссылку на него если у кого есть?


вроде как он античит писал и пишет.
Перейти в начало страницы
+Цитировать сообщение

Dzib
сообщение 24.7.2010, 23:26
Сообщение #22


V.I.P.
*****
Группа: Проверенные
Сообщений: 480
Регистрация: 29.2.2008
Пользователь №: 337
Спасибо сказали: 35 раз(а)



Репутация:   0  
я захотил на гео сайт так там только для контрстрайка и других стрелялок)) для му раздел есть но античита нет
Перейти в начало страницы
+Цитировать сообщение

cokpat
сообщение 25.7.2010, 2:33
Сообщение #23


MuOlymp Adm
*******
Группа: Проверенные II
Сообщений: 1310
Регистрация: 13.2.2009
Пользователь №: 4617
Спасибо сказали: 512 раз(а)



Репутация:   5  
Цитата(Dzib @ 24.7.2010, 23:26) *
я захотил на гео сайт так там только для контрстрайка и других стрелялок)) для му раздел есть но античита нет


Без обид, но ты на зрение не жалуешься?

## здесь был скриншот ##
Перейти в начало страницы
+Цитировать сообщение

Dzib
сообщение 25.7.2010, 3:33
Сообщение #24


V.I.P.
*****
Группа: Проверенные
Сообщений: 480
Регистрация: 29.2.2008
Пользователь №: 337
Спасибо сказали: 35 раз(а)



Репутация:   0  
блин, не увидел, вот ссылка)
Для просмотра этого блока необходима регистрация

И это вроде бесплатно, если да то ЧЕЛ очень хорошый, бесплатно такое делает)

Сообщение отредактировал Dzib - 25.7.2010, 3:36
Перейти в начало страницы
+Цитировать сообщение

LeGrand
сообщение 25.7.2010, 7:59
Сообщение #25


.NET-котЭ
*******
Группа: Проверенные
Сообщений: 987
Регистрация: 7.3.2009
Пользователь №: 5004
Спасибо сказали: 244 раз(а)



Репутация:   0  
Если я сказал, это не значит что к моему "мнению" надо прислушаться.
Менять ентрипойнт, это епаный бред. Мало чтого что не запакуешь дллку молбоксом, да еще себе мозги выебешь.
Проще эти ссаные пять байтов заменить на джамп загрузки дллки, а потом эти пять байтов восстановить.

Лень вас погубит, чесслово.
Перейти в начало страницы
+Цитировать сообщение

3 страниц V   1 2 3 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщение
Нет новых [Guide] Установка сервера MuOnline Season 6 Episode 3 MuEmu
15 InternationalMU 3406 17.10.2021, 19:58 Посл. сообщение: RESPECT05
Нет новых сообщений Русский язык
2 multipleer 968 1.7.2019, 20:02 Посл. сообщение: LifeFrom
Перемещена Русский язык
0 multipleer 0 29.4.2019, 22:38 Посл. сообщение: multipleer
Нет новых сообщений Hook dll
Не получается hook dll в main.exe
3 malinkhii 1147 17.12.2016, 11:48 Посл. сообщение: demagoc
Нет новых сообщений [Guide] Заставляем PHP 5.* понимать mssql_***()
теперь будут работать mssql_connect, mssql_query и тд.
7 Profesor08 3074 30.11.2016, 18:39 Посл. сообщение: SaneaMD

 

RSS Текстовая версия Сейчас: 8.12.2022, 6:18
Яндекс.Метрика  Перевод с помощью Google English French German Italian Portuguese Russian Spanish