المشاركات : 57
المواضيع : 10
الإعجاب المحصل:
0
الإعجاب المعطى: 0
الإنتساب : Jan 2019
السمعة :
10
السلام عليكم عندي استفسار فيما يخص اداة التعديل PYG _dll عندي قيامي بتعديل على البرامج المحمية بواسطة هذه الاداة ينجح التعديل لكن المشكل عند اعادة تشغيل النطام اجد التعديل الذي قمت به بواسطة هذه الاداة لا يشتغل
المشاركات : 78
المواضيع : 17
الإعجاب المحصل:
0
الإعجاب المعطى: 0
الإنتساب : Aug 2020
السمعة :
0
10-01-2021, 05:05 PM
(آخر تعديل لهذه المشاركة : 10-01-2021, 05:11 PM بواسطة Cyros.)
وعليكم السلام،اظن لان عناوين الدوال win32 api تغيرت
جرب ان تحفظ عنوان النداء الذي قمت بعمل( CALL Win32 api (patching
ثم تعيد تشغيل النظام و تشغل البرنامج attach وتذهب لذلك العنوان وتراه ان تغير عنوان النداء
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
المشاركات : 78
المواضيع : 17
الإعجاب المحصل:
0
الإعجاب المعطى: 0
الإنتساب : Aug 2020
السمعة :
0
10-01-2021, 05:50 PM
(آخر تعديل لهذه المشاركة : 10-01-2021, 06:00 PM بواسطة Cyros.)
لم اجرب هذه الاداة لانها تدعم مكتبات قليلة لا يستخدمها كل البرامج
اظن بالطريقة التالية بامكانك تغير وعمل CALL Win32API بسلاسة
استخدام طريقة CreateRemoteThread لحقن dll
بالمكتبة التي حقنتها استخدم الدالة GetProcAddress لجلب عنوان الدالة التي تريد ان تعمل لها نداء ثم استخدم الدالة WriteProcess لتقوم بكنابة من المكتبة التي حقنتها للبرنامج
سترى كثير امثلة وشرح عن هذه الطريقة اثناء بحثك في الانترنت خصوصا في موقع CodeProject
ستجد ايضا ان بحثت DLL Injector جاهز بواجهة رسومية يغنيك عن كتابة برنامج حقن مكتبة dll
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
المشاركات : 625
المواضيع : 22
الإعجاب المحصل:
0
الإعجاب المعطى: 0
الإنتساب : Nov 2018
السمعة :
0
الحل يكمن في تجنب التعديل على النداءات Call 0xXXXXXXXX لأنها تتغير بكل مرة يشغل بها البرنامج وذلك بسبب الASLR
من طلب العلا ... سهر الليالي
المشاركات : 452
المواضيع : 26
الإعجاب المحصل:
12
الإعجاب المعطى: 12
الإنتساب : Feb 2019
السمعة :
2
وايضا كاضافة خفيفة اذا كنت مسطب انتي فايرس يجب تعطيله او عمل استثناء للملف .
المشاركات : 1,505
المواضيع : 287
الإعجاب المحصل:
79
الإعجاب المعطى: 43
الإنتساب : Oct 2018
السمعة :
36
(10-01-2021, 05:29 PM)EAX+4 كتب : ام هناك حل ربما لا اعرفه
الحل يجب عليك تفعيل خيار Target Have ASLR مع إدراج عنوان Base قسم الكود و الإعتماد على عناوين RVA بدل VA
بالتوفيق.
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.
عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
المشاركات : 1,505
المواضيع : 287
الإعجاب المحصل:
79
الإعجاب المعطى: 43
الإنتساب : Oct 2018
السمعة :
36
11-01-2021, 08:06 PM
(آخر تعديل لهذه المشاركة : 11-01-2021, 08:08 PM بواسطة M!X0R.)
(11-01-2021, 07:35 PM)EAX+4 كتب : شكرا لكن كيف احصل على عنوان BASE وRVA
مثال:
اريد التعديل على هذه التعليمة
0040FBEA . /75 0C JNZ SHORT 0040FBF8
لكي تكون بهذا الشكل
0040FBEA /EB 0C JMP SHORT 0040FBF8
نجلب Base عن طريق ALT+E من المنقح Olly or X64dbg
Executable modules, item 0
Base=00400000
Size=00033000 (208896.)
Entry=0040FB34 Target.<ModuleEntryPoint>
Name=Target
File version=1.90
Path=C:\Users\M!X0R\Desktop\Target.exe
كما تلاحظ عنوان Base يساوي 400000 و هو العنوان الذي ندرجه
الآن باقي عنوان RVA قم بطرح عنوان VA من Base لتحصل على RVA
0040FBEA طرح 400000 يساوي FBEA
أتمنى يكون كل شيء واضح
بالتوفيق.
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.
عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
استفسار حول اداة PYG _dll
