Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. mikefinch74

    mikefinch74 New Member

    Joined:
    7 Oct 2018
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    Всем привет!

    Подскажите пожалуйста, как отдебажить DLL, которая инжектится к приложению?
    Эта либа делает запрос на определенный урл, мне нужно понять, в каком месте это происходит и внести изменения.
     
  2. #colorblind

    #colorblind Level 8

    Joined:
    31 Jan 2014
    Messages:
    547
    Likes Received:
    176
    Reputations:
    35
    посмотри в статике, если прот не вешали и специально не извращались, то в референсах будет твой урл
     
  3. mikefinch74

    mikefinch74 New Member

    Joined:
    7 Oct 2018
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    В рефах нет, но в соседнем файле строка как-то хитро циклом с постусловием заполняется.

    А если вешали защиту, как поступить посоветуете?
     
  4. #colorblind

    #colorblind Level 8

    Joined:
    31 Jan 2014
    Messages:
    547
    Likes Received:
    176
    Reputations:
    35
    Посоветую снять защиту) Давай уже или скрины какие-нибудь или таргет.
     
  5. mikefinch74

    mikefinch74 New Member

    Joined:
    7 Oct 2018
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    [​IMG]

    Вот этот цикл парсит из непонятно чего в строку.
    После этого, в ebp-100 (или рядом где-то) референс на строку.

    На что может быть похоже?
     
  6. mikefinch74

    mikefinch74 New Member

    Joined:
    7 Oct 2018
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    Я великий и ужасный!
    Подобрал вслепую и заменил!
    Добавил новый раздел к файлу, туда свою функцию, патчащую память, ее вызов сразу после алгоритма.
    А место нужное нашел через соседний файл, в котором более-менее то же самое, только регистры отличались.
     
    Damper, binarymaster and #colorblind like this.
Loading...