[HaBo]
| Hacks & Crackmes Tests, Fragen oder Hilfestellungen. Crackmes und Hackits werden hier diskutiert. |
W32Dasm und Hex
Diskussion: W32Dasm und Hex im Forum Hacks & Crackmes, in der Kategorie Software Home; Anzeige Hallo liebe liebenden, :-) ich habe ein klienes Problem und zwar ich habe ein Prog mit Dasm geöffnet und ...
 |
10.08.06, 19:33
| #1 (permalink) |
| Registriert seit: 25.05.06  Likes: 0 |  W32Dasm und Hex Anzeige Hallo liebe liebenden, :-) ich habe ein klienes Problem und zwar ich habe ein Prog mit Dasm geöffnet und will im Hex was ändern. Das Programm soll in der nächsten Funtion springen.(Netzwerk) So schaut im Dasm aus: ----------------------------------------------------------------------------------------------- [* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0051BAE0(C) | :0051BAE5 C1FB03 sar ebx, 03 :0051BAE8 80FB64 cmp bl, 64 :0051BAEB 7614 jbe 0051BB01 :0051BAED B94B020000 mov ecx, 0000024B * Possible StringData Ref from Code Obj ->"C:\work\BBBB\SerialNumber.pas" | :0051BAF2 BA34BB5100 mov edx, 0051BB34 * Possible StringData Ref from Code Obj ->"SerialNrSetModuleValue index out " ->"of bounds" | :0051BAF7 B85CBB5100 mov eax, 0051BB5C :0051BAFC E8DB82EEFF call 00403DDC * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0051BAEB(C) | :0051BB01 8BC6 mov eax, esi :0051BB03 2507000080 and eax, 80000007 :0051BB08 7905 jns 0051BB0F :0051BB0A 48 dec eax :0051BB0B 83C8F8 or eax, FFFFFFF8 :0051BB0E 40 inc eax * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0051BB08(C) | :0051BB0F 8BC8 mov ecx, eax :0051BB11 B801000000 mov eax, 00000001 :0051BB16 D3E0 shl eax, cl :0051BB18 33D2 xor edx, edx :0051BB1A 8AD3 mov dl, bl :0051BB1C 0FB69254BAA000 movzx edx, byte ptr [edx+00A0BA54] :0051BB23 23C2 and eax, edx :0051BB25 0F95C0 setne al :0051BB28 5E pop esi :0051BB29 5B pop ebx :0051BB2A C3 ret :0051BB2B 00 BYTE 0 :0051BB2C FFFFFFFF BYTE 4 DUP(0ffh) :0051BB30 1F pop ds :0051BB31 000000 BYTE 3 DUP(0) :0051BB34 43 inc ebx :0051BB35 3A5C776F cmp bl, byte ptr [edi+2*esi+6F] :0051BB39 726B jb 0051BBA6 :0051BB3B 5C pop esp :0051BB3C 42 inc edx :0051BB3D 6F outsd :0051BB3E 6F outsd :0051BB3F 6B59325C imul ebx, dword ptr [ecx+32], 0000005C :0051BB43 53 push ebx :0051BB44 65 BYTE 065h :0051BB45 7269 jb 0051BBB0 :0051BB47 61 popad :0051BB48 6C insb :0051BB49 4E dec esi :0051BB4A 756D jne 0051BBB9 :0051BB4C 626572 bound esp, dword ptr [ebp+72] :0051BB4F 2E BYTE 02eh :0051BB50 7061 jo 0051BBB3 :0051BB52 7300 jnb 0051BB54 * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0051BB52(C) | :0051BB54 FFFFFFFF BYTE 4 DUP(0ffh) :0051BB58 2A00 sub al, byte ptr [eax] :0051BB5A 0000 add byte ptr [eax], al :0051BB5C 53 push ebx :0051BB5D 65 BYTE 065h :0051BB5E 7269 jb 0051BBC9 :0051BB60 61 popad :0051BB61 6C insb :0051BB62 4E dec esi :0051BB63 7253 jb 0051BBB8 :0051BB65 65 BYTE 065h :0051BB66 744D je 0051BBB5 :0051BB68 6F outsd :0051BB69 64 BYTE 064h :0051BB6A 756C jne 0051BBD8 :0051BB6C 65 BYTE 065h :0051BB6D 56 push esi :0051BB6E 61 popad :0051BB6F 6C insb :0051BB70 7565 jne 0051BBD7 :0051BB72 20696E and byte ptr [ecx+6E], ch :0051BB75 64 BYTE 064h :0051BB76 65 BYTE 065h :0051BB77 7820 js 0051BB99 :0051BB79 6F outsd :0051BB7A 7574 jne 0051BBF0 :0051BB7C 206F66 and byte ptr [edi+66], ch :0051BB7F 20626F and byte ptr [edx+6F], ah :0051BB82 756E jne 0051BBF2 :0051BB84 64 BYTE 064h :0051BB85 7300 jnb 0051BB87 ---------------------------------------------------------------------------------------- wo muss ich ansetzen damit er zu den höheren Module springt ? Danke Panteras |
|  |
|
11.08.06, 20:11
| #2 (permalink) |
| Registriert seit: 07.08.06 Likes: 0 | Das wird mit Hex aber ziemlich schwer ! Am besten Du benutzt OllyDbg v1.10. |
|
| |
| HaBOT | - Anzeige - |
|
|
11.08.06, 21:14
| #3 (permalink) | ||
| Moderator   Registriert seit: 20.07.05   Likes: 202 | Zitat:
Zitat:
 ). Also bleibt die Methoden mit dem Hexeditor. Wobei man dann aber den Opcode selber errechnen müsste. Versuche es mal wirklich mit Olly. Die einarbeitszeit lohnt sich.
__________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt. | ||
|
| |
|
11.08.06, 21:26
| #4 (permalink) |
| Themenstarter Registriert seit: 25.05.06 Likes: 0 |  W32Dasm und Hex Danke für die Antworten Super!!! ja mit W32Dasm komm ich ja nicht weiter +Hex (da ich ja nicht der Profi bin) und mit den OllyDbg kenn ich mich noch nicht aus. Gruß Panteras |
|
| |
|
11.08.06, 22:07
| #5 (permalink) | |
| Member of Honour   Registriert seit: 04.09.04 Likes: 0 | Also mit "Hiew" kann man toll patchen, wenn man hexen will  Zitat:
btw: gibts irgendwo ein gutes deutsches Tut zu den umfangreichen Funktionen von Olly? (und ja ich kann englisch  ) | |
|
| |
|
11.08.06, 22:49
| #6 (permalink) |
| Themenstarter Registriert seit: 25.05.06 Likes: 0 | W32Dasm und Hex und jetzt Olli Beim starten von OllyDbg bekomme ich folgende Meldung ( Als Anhang dabei) Was bedeutet das ?? Gruß Pante |
|
| |
|
11.08.06, 23:14
| #7 (permalink) |
| Moderator Registriert seit: 20.07.05 Likes: 202 | Das ist nur als Warnung dabei: aus den vorhandenen Daten nimmt Olly an, dass die Exe nicht "roh" ist, sondern sehr wahrscheinlich gepackt oder geschützt. Es muss nicht stimmen (denn sonst wäre man afaik mit WDASM eher nicht weitergekommen) und heißt eigentlich nur soviel wie :"könnte gepackt sein, wenn es gepackt ist, werden die Breakpoints, die man setzt, nach dem Neustart ungültig". Suche nach PEID (google) oder RDG Packer Detector (auch google). Damit lässt sich mit einiger sicherheit herausfinden, ob und womit die Exe gepackt/geschützt ist.Poste mal die Ergebnisse - dann kann man zumindest sagen, ob es noch zu schwer für Dich ist (hängt davon ab, wieviel Ergeiz dahinter steckt ) oder ob man da etwas machen kann. Grundsätzlich gilt aber, dass man Olly halbwegs beherrschen muss. Versuche es mit Boardsuche - imho hatten wir paar mal Anfragen nach einfachen Ollytuts und es wurden Links gepostet.
__________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt. |
|
| |
|
11.08.06, 23:32
| #8 (permalink) |
| Themenstarter Registriert seit: 25.05.06 Likes: 0 | Der PEID gibt folgendes an: Borland Delphi 3.0: Auf der Seite http://www.bigdragon.6x.to/ habe ich sehr schöne Viedeos Tuts gefunden und tuhe ich mich gerade durch arbeiten. Ich habe den Tut mit mirc genohmen aber nachdem Tut muss ich mein Namen zb: ASCII "Panteras" und die SerilasFake ASCII "123456789" finden aber ich finde es nicht .... :-( |
|
| |
|
12.08.06, 01:00
| #9 (permalink) |
| Registriert seit: 20.05.05  Likes: 0 | Also wenn du das Tutorial befolgst klappt alles, und man sieht auch den Fake-Serial. Ich weiß nicht wo das Problem ist, hast du die richtige Version? DolphVS PS: Ich sollte dich darauf hinweisen, dass es illegal ist Programme wie mIRC zu manipulieren/etc. Und dabei wird dir hier auch keiner helfen |
|
| |
|
14.08.06, 18:53
| #10 (permalink) | |
| Moderator Registriert seit: 20.07.05 Likes: 202 | Panteras Post entfernt. Zitat:
__________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt. | |
|
| |
|
14.08.06, 19:46
| #11 (permalink) |
| Themenstarter Registriert seit: 25.05.06 Likes: 0 | W32Dasm und Hex und jetzt Olli Oh entschuldige, kommt nicht wieder vor... jetzt habe ich die Freischaltung der Module . Die wollen sich nicht frei schalten lassen. ich gehe davon aus das es hier im den Code steckt: kann mir jemand helfen es zu verstehen? danke 0051EFC0 /. 55 PUSH EBP 0051EFC1 |. 8BEC MOV EBP,ESP 0051EFC3 |. 83C4 F8 ADD ESP,-8 0051EFC6 |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 0051EFC9 |. 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 0051EFCC |. B2 01 MOV DL,1 0051EFCE |. A1 98E05100 MOV EAX,DWORD PTR DS:[51E098] 0051EFD3 |. E8 C8184E00 CALL Prog.00A008A0 0051EFD8 |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 0051EFDB |. 33C0 XOR EAX,EAX 0051EFDD |. 55 PUSH EBP 0051EFDE |. 68 5AF05100 PUSH Prog.0051F05A 0051EFE3 |. 64:FF30 PUSH DWORD PTR FS:[EAX] 0051EFE6 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 0051EFE9 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0051EFEC |. E8 0766F1FF CALL Prog.004355F8 0051EFF1 |. 33C0 XOR EAX,EAX 0051EFF3 |. 5A POP EDX 0051EFF4 |. 59 POP ECX 0051EFF5 |. 59 POP ECX 0051EFF6 |. 64:8910 MOV DWORD PTR FS:[EAX],EDX 0051EFF9 |. 68 61F05100 PUSH Prog.0051F061 0051EFFE |> 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0051F001 |. 8B80 F0010000 MOV EAX,DWORD PTR DS:[EAX+1F0] 0051F007 |. 8B80 18010000 MOV EAX,DWORD PTR DS:[EAX+118] 0051F00D |. 8B10 MOV EDX,DWORD PTR DS:[EAX] 0051F00F |. FF52 14 CALL DWORD PTR DS:[EDX+14] 0051F012 |. 85C0 TEST EAX,EAX 0051F014 |. 7E 1D JLE SHORT 3_booky2.0051F033 0051F016 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0051F019 |. 8B80 F0010000 MOV EAX,DWORD PTR DS:[EAX+1F0] 0051F01F |. 8B90 18010000 MOV EDX,DWORD PTR DS:[EAX+118] 0051F025 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0051F028 |. 8B80 1C020000 MOV EAX,DWORD PTR DS:[EAX+21C] 0051F02E |. E8 D924F2FF CALL Prog.0044150C 0051F033 |> 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0051F036 |. 80B8 FC010000 >CMP BYTE PTR DS:[EAX+1FC],0 0051F03D |. 74 0A JE SHORT Prog.0051F049 0051F03F |. B8 70F05100 MOV EAX,Prog.0051F070 ; ASCII "Die neue Module werden erst nach dem Programmstart aktiviert!" 0051F044 |. E8 03A6F5FF CALL Prog.0047964C 0051F049 |> 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] 0051F04C |. E8 8B65F1FF CALL Prog.004355DC 0051F051 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0051F054 |. E8 23F8FFFF CALL Prog.0051E87C danke |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Software Home » Hacks & Crackmes » W32Dasm und Hex
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| W32dasm jmp jne usw Codes | crx1 | Off topic-Zone | 2 | 05.02.09 18:51 |
