delover
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wasilissk
Цитата:| хук, запрещенный, гадкий, хакерский? |
Совершенно верно. Пока своими глазами не увижу не поверю. На ура он может перехватывать если только он сам реализует GetProcAddr. Конечно про это я ещё не писаль, но куча гемороя (денька два) я выдумывал защиту от этого и написал за часик. Дело в том что GetProcAddr может вернуть вам не правильный - свой хукавый адресс, только если опять же он сам хукнут. Это гадкий хук конечно.  Можно даже не сомневаться что он умеет когда GetProcAddr(GetProcAddr) возвращать себя. И можно не сомневаться что он сделан на основе хука изначального статического, потому что без изначального статического не узнать ни одного динамического. Осталось только дотянуться до реального GetProcAddr, чтобы гадкий хакерский способ перестал работать. Предложу самостоятельно подумать как это сделать. Был бы у меня BoundChecker мне было бы легче найти его уязвимость.
Цитата:| привидите авторитетный источник подтверждающий |
Моё определение не оконно-хендлового хука в том что он основан на замене адреса для того чтобы сделать перехват - крючёк. В случае с BoundChecker это тот же хук и то же определение. Я писал, что внедрение когда, боюсь выглядеть безграмотным как то типо так же как называется это у вирусов не помню как. Авторитетного источника нет.
Цитата:| Если будет подозрение на самомодифицирующийся код |
Вот тут то совершенно точно. И может сильно пролететь мимо если программа переодически не снимает от туда брейкпоинты. Хотя я этого и не делал, запарить мозг хакеру - есть ещё множество способов. Я разрабатывал свои способы на работе, тогда мне дали 2 недели на это. Однако воспроизвести их дома для своей проги ушло гораздо меньше времени - а именно сколько занимает копипаст с некоторым рефакторингом. Так что я временя терял только на заработок.
Цитата:| Да не отличаются ничем эти вызовы. |
То есть для Вас нет разницы между
CALL [EDI+1234]
и
CALL [AA0055] // kernel32.LookResource
????
Для меня есть разница - в первом случае я не вижу сразу куда идёт вызов и чтобы понять я должен сделать туда Step а потом прогуляться до выхода. В первом случае это миллисекунда. Во втором случае зависит от скоросли с которой вы делаете свои щелчки.
Цитата:| Т.е. слышал звон, да не знаю, где он? |
Вы просто так это спросили чтобы сьязвить или Вы не сумели спросить чегото?
Цитата:
Я имел ввиду сколько брейкпоинтов ставит 4 щелчка? Мне нужно поставить ровно 14 брейкпоинтов. Пока не поставлю, понять что происходит с моей прогой не смогу. Там простое дублирование битовой логики и совместное хранение данных в одном байте. А вычисления условий и состояний происходит предварительно вообще в других местах программы. Я предлагаю, я Вам вышлю программу взломайте её ради бога не жаль))) И как Вы утверждаете выдерите пожалуйста дешифрующий код когда пароль известен. Ну и хотя бы напишите перебор который будет работать естественно долго, так как моя расшифровка долгая. Когда будет готова вышлите мне я проверю судовольствием подтвержу, что за такойто срок вы справились, я автор проги и ломал её 2 недели, вам ещё алгоритмы выдирать и ломалку пароля делать. Там на окне ввода пароля хук висит который в последующие хуки ESC рассылает. Мониторил кейспаем - он видит только правильно нажимаемые ескейпы. Так что Ваша ломалка была бы даже полезной. От пароля берётся хэш по этому пароль востанавливается только перебором. |
У вас просто словесный понос, а я сдуру скрытый смысл ищу. Видимо, надо быть проще и 