[HaBo]

sd333221 · 22.12.05, 13:42

Hoi,
ich hab hier nen programm, das ein anderes blockt,
wenn es startet, well ich das geblockte programm also
öffne, freezed es und crasht...

Ich weiss aber nicht wie ich das in Olly finden soll,
da es keine Fehlermeldung und nix gibt, als Anhaltspunkt :(

greetings

Lesco · 25.12.05, 11:23

such mal nach OpenProcess und Ähnlichem.

Anzeige

- Anzeige -

Inliferty · 25.12.05, 12:26

Naja OpenProcess find ich da eher nutzlos eher:

Process32First und Process32Next
Ich vermute mal das "bösartige" Programm versucht in das geblockte Programm irgendeinen Code einzuschleusen, aber es alloiziert dabei keinen Speicher.

Wäre auch hilfreich wenn du uns sagen könntest welches das "geblockte" Programm ist.
Wenn es der Internet Explorer ist denke ich würde das Programm versuchen dadurch mit nem Server kommunizieren ohne das die Firewall anspringt.
Beim Taskmgr würde es einfach nur versuchen, dass das Programm nicht beendet werden kann.

**CDW** · 25.12.05, 14:30

*jetzt geht mir ein Licht auf, was Du eigentlich wolltest

*
weitere Möglichkeit: wenn das Programm läuft, ein ALT+M und dann STRG+B (also Show Memory Maps und dann eben Suchen). Jezt ist nur die Frage, wonach man suchen sollte: ich vermute hier stark, dass entweder nach dem Fenstertitel oder nach Programmnahmen gesucht wird. Hast Du die Strings irgenwo gefunden, kannst Du sie MBPointen (Memory BPs setzen). Oder: Du versuchst genauer herauszufinden, wie das Programm das andere sucht: einfach das andere umbenennen - wenns danach läuft, ist die Wahrscheinlichkeit groß, dass irgendwo ein CreateToolhelp32Snapshoot (mit den erwähnten Process32Firs usw) im Spiel ist. Ansonsten gibt es noch FindeFindow und EnumProcess/EnumWindows (mit EnumWindowsProc). Irgenwas muss ja benutzt werden.

sd333221 · 26.12.05, 15:11

Ich merke, dass das Programm mit ASProtect 1.3 gepackt ist...
Jetzt ists wohl aus löl.
Ich kann das nicht strippen, weil es keinen funktionierenden
ASProtect 1.3 stripper gibt. Und so weiss ich nicht
wie das geht, hat einer ne Anleitung?

vielen dank

**CDW** · 26.12.05, 15:20

Zitat:

weil es keinen funktionierenden
ASProtect 1.3 stripper gibt.

Wenn Du das Ding nicht unebdiengt komplett entpacken willst: New Olly Shadow Version Reales!
sehr nütztliche Scripts sind dabei - zumindest das Debuggen an sich sollte schon möglich sein. Und für den Rest kommst Du wohl nicht um einen schönen Loader herum.

sd333221 · 26.12.05, 17:04

Zitat:

Original von CDW

Zitat:

weil es keinen funktionierenden
ASProtect 1.3 stripper gibt.

Wenn Du das Ding nicht unebdiengt komplett entpacken willst: New Olly Shadow Version Reales!
sehr nütztliche Scripts sind dabei - zumindest das Debuggen an sich sollte schon möglich sein. Und für den Rest kommst Du wohl nicht um einen schönen Loader herum.

leider ist der link down

**CDW** · 26.12.05, 17:33

Zitat:

eider ist der link down

http://navig8.to/Shadow
eigentlich nicht - habs gerade nochmal getestet (konnte die Sachen runterladen). Ok, die Schrift ist sehr leserunfreundlich, aber die andere Seite, wo ich das mal erblickt habe, fällt mir auch nicht mehr ein

Ich gebe Dir übrigens keine Garantie, dass es das Problem löst, aber die Scripts an sich und der Syntaxhighlight + die ganzen netten "Kleinigkeiten" möchte man nach kurzer Zeit wirklich nicht mehr missen - ich komme mit dem "normal" Olly mittlerweile nur noch schwer aus.

EDIT: zum Cache: nee, habe nochmal getestet - extra den Cache geleert und es klappt trotzdem sehr zügig.
das ist der "originallink":
http://www.host-no-cost.com/the_shadow/index.html
wie gesagt, beim mir wird zumindest laut "netstat" die Verbingung hergestellt.

Inliferty · 26.12.05, 17:45

Hmm CDW muss sd333221 leider rehct geben.
Die HomePage scheint down zu sein :/
Vl haste sie noch im Cache oder so?

sd333221 · 26.12.05, 18:25

Zitat:

Original von CDW

Zitat:

eider ist der link down

http://navig8.to/Shadow
eigentlich nicht - habs gerade nochmal getestet (konnte die Sachen runterladen). Ok, die Schrift ist sehr leserunfreundlich, aber die andere Seite, wo ich das mal erblickt habe, fällt mir auch nicht mehr ein

Ich gebe Dir übrigens keine Garantie, dass es das Problem löst, aber die Scripts an sich und der Syntaxhighlight + die ganzen netten "Kleinigkeiten" möchte man nach kurzer Zeit wirklich nicht mehr missen - ich komme mit dem "normal" Olly mittlerweile nur noch schwer aus.

EDIT: zum Cache: nee, habe nochmal getestet - extra den Cache geleert und es klappt trotzdem sehr zügig.
das ist der "originallink":
http://www.host-no-cost.com/the_shadow/index.html
wie gesagt, beim mir wird zumindest laut "netstat" die Verbingung hergestellt.

kannste das ding mal bitte bei rapidshare hochladen?

dange

**CDW** · 26.12.05, 20:53

naja, da mein "regulärer" Ollyordner schon 100 MB hat(und ich eine Volumenflat

), hier die "originalarchivteile" (waren 5 Stück, sind jetzt nochmal in einen großen Archiv gewandert):
http://rapidshare.de/files/9867806/reverse.rar.html

SUID:root · 27.12.05, 00:44

Die Seite funktioniert.

Lesco · 27.12.05, 10:24

Zitat:

Original von Iarumas
Hmm CDW muss sd333221 leider rehct geben.
Die HomePage scheint down zu sein :/
Vl haste sie noch im Cache oder so?

also bei mir funzt die site auch einwandfrei

sd333221 · 28.12.05, 15:59

Najo mist,
an ASProtect komm ich mit den Scripts nicht forbei,
die Funktionieren nit -_-
Springen immer wild im Code herrum und dann
kommt "Error"

lol

Anzeige

- Anzeige -

22.12.05, 13:42	#1 (permalink)
sd333221 Registriert seit: 10.11.05 Likes: 0	Funktion mit Olly finden Anzeige Hoi, ich hab hier nen programm, das ein anderes blockt, wenn es startet, well ich das geblockte programm also öffne, freezed es und crasht... Ich weiss aber nicht wie ich das in Olly finden soll, da es keine Fehlermeldung und nix gibt, als Anhaltspunkt :( greetings

25.12.05, 14:30	#4 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	jetzt geht mir ein Licht auf, was Du eigentlich wolltest weitere Möglichkeit: wenn das Programm läuft, ein ALT+M und dann STRG+B (also Show Memory Maps und dann eben Suchen). Jezt ist nur die Frage, wonach man suchen sollte: ich vermute hier stark, dass entweder nach dem Fenstertitel oder nach Programmnahmen gesucht wird. Hast Du die Strings irgenwo gefunden, kannst Du sie MBPointen (Memory BPs setzen). Oder: Du versuchst genauer herauszufinden, wie das Programm das andere sucht: einfach das andere umbenennen - wenns danach läuft, ist die Wahrscheinlichkeit groß, dass irgendwo ein CreateToolhelp32Snapshoot (mit den erwähnten Process32Firs usw) im Spiel ist. Ansonsten gibt es noch FindeFindow und EnumProcess/EnumWindows (mit EnumWindowsProc). Irgenwas muss ja benutzt werden. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

26.12.05, 20:53	#11 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	naja, da mein "regulärer" Ollyordner schon 100 MB hat(und ich eine Volumenflat ), hier die "originalarchivteile" (waren 5 Stück, sind jetzt nochmal in einen großen Archiv gewandert): http://rapidshare.de/files/9867806/reverse.rar.html __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Parameter und Calling Conversation zu einer Funktion finden? (Olly Debugger)	Bavan	Hacks & Crackmes	7	02.02.09 13:53
New Olly Shadow Version Reales!	KingSuperFly	Hacks & Crackmes	14	23.06.07 16:42
Funktion zum prüfen ob Funktion erlaubt ist	Chatter	(Web-) Design und webbasierte Sprachen	5	21.01.07 14:11
Olly Debugger Tut gesucht	Ashroom	(In)security allgemein	3	19.04.06 21:14
Ich kann alle im Netzwerk finden, mich kann man auch finden aber nicht zugreifen	Strahl	Network · LAN, WAN, Firewalls	11	21.07.05 16:52

25.12.05, 11:23	#2 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	such mal nach OpenProcess und Ähnlichem.

25.12.05, 12:26	#3 (permalink)
Inliferty Registriert seit: 05.10.05 Likes: 5	Naja OpenProcess find ich da eher nutzlos eher: Process32First und Process32Next Ich vermute mal das "bösartige" Programm versucht in das geblockte Programm irgendeinen Code einzuschleusen, aber es alloiziert dabei keinen Speicher. Wäre auch hilfreich wenn du uns sagen könntest welches das "geblockte" Programm ist. Wenn es der Internet Explorer ist denke ich würde das Programm versuchen dadurch mit nem Server kommunizieren ohne das die Firewall anspringt. Beim Taskmgr würde es einfach nur versuchen, dass das Programm nicht beendet werden kann.

26.12.05, 15:11	#5 (permalink)
sd333221 Themenstarter Registriert seit: 10.11.05 Likes: 0	Ich merke, dass das Programm mit ASProtect 1.3 gepackt ist... Jetzt ists wohl aus löl. Ich kann das nicht strippen, weil es keinen funktionierenden ASProtect 1.3 stripper gibt. Und so weiss ich nicht wie das geht, hat einer ne Anleitung? vielen dank

26.12.05, 17:45	#9 (permalink)
Inliferty Registriert seit: 05.10.05 Likes: 5	Hmm CDW muss sd333221 leider rehct geben. Die HomePage scheint down zu sein :/ Vl haste sie noch im Cache oder so?

27.12.05, 00:44	#12 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Die Seite funktioniert.

28.12.05, 15:59	#14 (permalink)
sd333221 Themenstarter Registriert seit: 10.11.05 Likes: 0	Najo mist, an ASProtect komm ich mit den Scripts nicht forbei, die Funktionieren nit -_- Springen immer wild im Code herrum und dann kommt "Error" lol

[HaBo]

Funktion mit Olly finden