Forum: Programmieren allgemein
by brechi,
24. Mai 2005
ab XP SP2 nicht mehr
!theoretisch! schon praktisch kann man das durch einen hook auch erreichen, vielleicht bekomm ich da mal nen beispel hin, jedoch wird die kernel32.dll / ntdll.dll immer vorher geladen, d.h. sie ist immer an dieser stelle, aber mit bischen tricksen bekomm man sie im laufenden programm an eine andere stelle
http://www.arschvoll.net/forceloadlibraryworking.JPG
gaanz...
Forum: Programmieren allgemein
by brechi,
24. Mai 2005
alte version war besser geschützt
wegen dem was olli beschrieben hat:
einfach breakpoint auf virtualProtect dann hardware breakpoint auf den speicher den er bekommt (noch net mal relocation fix drin oO, er macht nix wenner anderen speicher bekommt oO)
danach nen hw breakpoint auf den speicher -> dann bekommt man nen rep movs, in ESI steht dann die verschlüsselte (jetzt entschlüsselte)...
Forum: Programmieren allgemein
by brechi,
17. Mai 2005
um jetzt mal die wenigen tastenkombinationen aufzuzählen
doppelklick auf ollydbg.exe
f3
auswahl der exe
alt+e
klick auf kernel32.dll
strg+n
eingabe "isdebuggerpre"
f2
Forum: Programmieren allgemein
by brechi,
17. Mai 2005
nein ;>
hatte vorher net versucht aber da du danach aufgerufen hast, hab ich für beide patches etwa 40 sekunden gebraucht (das entpacken von UPX mal abgesehen)