طريقة الاخ ابو البراء مختصرة وعملية، حاولت استخدامها وبالرغم انها عملت معي مسبقا، للاسف لم تعد تعمل كما هو متوقع . حيث انه يرجع لمكان غريب بعد الوصول الى VirtualAlloc . ولا يرجع للمكان الذي فيه LoadLibraryA. ممكن مشاهدة الفيديو المرفق.
مع الشكر للجميع
https://www.mediafire.com/file/xgqcsfeo5...f.rar/file
NewHak
ارجع بنداء الثاني يعني مرتين ارجع للخلف >> وماهي خصائص الحماية ؟
![[صورة مرفقة: Return.png]](https://i.ibb.co/ZNDSjWb/Return.png)
اذا فهمت قصدك ، حماية الذاكرة ؟
ومرتين للخلف، يعني رجوع من النداءات مرتين؟.
نعم اخي وهذا العنوان
03066f3e
عبارة عن نداء لدالة LoadLibraryA
وهنا 03066f5c هذه الـMagic jump
![[صورة مرفقة: 2.png]](https://i.ibb.co/XtGDs4r/2.png)
اخي الكريم مثل ماتفضل الاخ محمد كانت المشكلة لديك في نداء الرجوع والطريقة تعمل بدون مشاكل وقد قمت سابقا بفك البرنامج نفسه هنا وبنفس الطريقة
https://www.at4re.net/f/thread-1292.html
هناك طريقة ثانية للوصول لاماكن التعديل ومنع اعادة توجيه الدوال ساشرحها اذا توفر لدي وقت ان شاء الله انا والله مشغول جدا هذه الايام بالعمل بالتوفيق للجميع
اشكرك اخي ابا البراء،
كنت اعمل على طريقة اخرى تبحث عن الاوامر push 14 ثم push 100، لاحظت ان الاوامر ذاتها موجودة بنفس المكان. وكان تعطيل النداء مباشرة بعدpush 100 يمنع اعادة توجيه الدوال. لكن لم اعرف ما الفائدة من تعطيل القفزة السحرية واعادة تفعيلها؟
مع الاحترام
(06-01-2021, 02:53 AM)ExCodeMaker كتب : [ -> ]لكن لم اعرف ما الفائدة من تعطيل القفزة السحرية واعادة تفعيلها؟
في بعض الحالات وليس كلها بعد التعديل على القفزة والخروج من اللوب يكتشف ارماديليو التغير اثناء التوجه الى نقطة البداية بمعنى قد يكون checksum او CRC بوضوح اكثر وهذا حدث في بعض البرامج اثناء فكي لها لذلك نقوم بمنع التوجيه وقبل الذهاب لنقطة البداية نلغي التعديل بمجرد الخروج من اللوب
يعني اجراء احترازي لااكثر