مهندسی معکوس کرک

[TORIST]

سلام خدمت همه اساتید ودوستان
می خواستم بدونم آلان ما خیلی ار کرک های برنامه ها رو داریم ولی نمی دونیم کرکر چکار کرده مثلا یک برنامه رو با مجیک بایت فقط با تغیر یک بایت کرک کرده حالا می خواستم از دوستان آموزشی برای این که ما بفهمیم چکار کرده وچگونه به این یک بایت اصلی رسیده رو به طور کامل آموزش بدهند
با تشکر
یا علی

[Di Di]

اين رو قبلا تا حدودي تو بخش كار گروهي توضيح داديم اما كل كاري كه كركر انجام مي ده ، بررسي چگونگي عملكرد برنامه

و يافتن راهي براي نفوذ يا دور زدن يا بدست آوردن رمز ورودي برنامه است كه فقط با تجربه و فكر زياد بدست مي آيد.

[TORIST]

سلام didi جان من انگار بد توضیح دادم
مثلا من کرک از نوع پچ یک برنامه رو دارم و فایل کرک نشده رو هم دارم این دوتا رو با هم مقایسه می کنم که یک بایت با هم فرق دارند بعد تو olly دیباگ چجوری اون خطی که تغییر پیدا کرده رو پیدا کنم

با تشکر
یا علی

[Di Di]

سلام

برای این کار می تونید از نرم افزار File Compare استفاده کنید، این برنامه یکی از پلاگین های PEID هست.

ابتدا فایل EXE دست نخورده رو وارد برنامه کنید سپس فایل EXE که پچ شده رو به برنامه اضافه کرده و بر روی Compare

کلیک کنید تا آدرس هایی از فایل که پچ شده اند رو به شما نمایش بده. کار باهاش خیلی ساده است.

[saeedsmk]

سلام
خوب هستيد براي توضيح بيشتر
فرض كنيم افست 20 فايل 1 با 2 يكي نباشه ( فايل يك تغيير كرده و فايل 2 تغيير نكرده )
براي پيدا كردن محل بار گذاري افست 20 ( از ابتداي فايل تا اينجا ) توي حافظه 2 روش موجوده :
1 روش محاسباتي با توجه به جدول سكشن ها
2 روش جستجوي توي حافظه
روش دوم رو توضيح ميدم :
ايتدا فايل 1 رو با يك هگزا اديتور باز ميكنيم چند تا بايت قبل تابعد از افست 20 اون رو انتحاب ميكنيم . حالا همين فايل رو توي اولي باز ميكنيم با دستور search for binary string توي قسمت سي پيو كد ( راست كليد انتخاب search for انتخاب binary string ) عبارت هگزاي كه باداشت كرديم رو وارد ميكنيم و بعد سرچ ميكنيم هر جا پيدا شد با چك كردن مقادير بالا و يا پايين افست با مقدار هگزا اون توي فايل مطمئن ميشويم محل درست رو پيدا كرديم يا نه
به اميد ديدار

[sadra1234]

سلام
دوستان من هم یه سوال دراین مورد داشتم
چطوری میشه فایل لودر رو انالیز کرد که کجا چکار میکنه؟

[Di Di]

لودر رو بايد با خود OllyDbg تريس كني ببيني چكار انجام مي ده.

[sadra1234]

DI DI جان اگه اولی نت.نه اونو باز کنه چی
یه لودر دارم که وقتی می خوام با اولی بازش کنم میگه EXE یا DLL یا OCX نیست و باز نمیشه
تنها راهش اولیه؟
با PEID اسکن کردم و پروتکتور یودا رو تشخیص داد و قتی می خوام انپکش کنم انپکر نمیتونه ؟

[Di Di]

من جاي شما بودم همون برنامه رو تريس مي كردم ببينم چه خبره توش فكر كنم ساده تر از ور رفتن با لودر باشه!!

[civilmans]

برای تریس لودر روی writeprocessmemory یک bp بزارید دقیقا متوجه میشید لودر داره چکار میکنه .
با اینکار احتیاجی به آنپک کردن لودر نیست