Как исправить ошибки внедрения DLL для MU Online?

[logic]

Проверьте и укажите на ошибки по внедрению dll в main
1. Т.к. при сохранении проделаной работы выдает ошибку

То я сперва запускаю lordPE, и копирую VirtualSize в RowSize, как на скриншоте

2. После того как скопировал VirtualSize в RowSize, сохраняю, иду в olly. Открываю main и вижу, что места практически нету

Где то в глубинах нахожу кусок чистого кода и начинаю там писать.
3. Сперва Follow in Damp >> Selection, название dll
4. На следующей строке Ищу функцию LoadLibraryA, смотрю ее оффсет, после начнию писать
CALL DWORD PTR DS:[СЮДА_ПИШУ_ОФФСЕТ_ФУНКЦИИ_LoadLibraryA]
5. Теперь на следующей строке пишу JMP и EnteryPoint main.exe, который показывает lordPE, на скриншоте показано

6. Сохраняю и после проделанной работы вот такая картина

Правильная ли в конце картина? Почему не так получается как с этими dll

[LeGrand]

Выкинь майн.

Спойлер

Спойлер

[свернуть]

[свернуть]

[logic]

Выкинь майн.

Спойлер

Спойлер

[свернуть]

[свернуть]

C main все впорядке, т.к. мне вшивал Fonik с eg-network kill.dll
Это я что-то не так делаю

[LeGrand]

За всю мою жизнь, я хукнул примерно 50 дллок, и ниразу такой байды у меня небыло о.О

[xakum]

маин случайно не упакован?

"2. После того как скопировал VirtualSize в RowSize" - зачем? какую цель ты преследуешь это делая?

"5. Теперь на следующей строке пишу JMP и EnteryPoint main.exe, который показывает lordPE, на скриншоте показано"

к тому что показывает LordPE незабываем прибавлять ImageBase т.е. в олли делаем jmp не на 003B23A0, а на (003B23A0 + 00400000 = 007B23A0)

почитай тут

[logic]

В общем вот архив  с main и AH.dll которая не пришита
Скачать здесь или здесь

Прочел я.

Теперь сохраним. выделяем мышкой область наших изменений (Правой кнопкой мыши->Copy To Executable->Selection->ещё раз правой кнопкой мыши->Save File).

Ну вот делаю все правильно, но выходит ошибка, проверьте если не трудно у себя, будет ли у вас сохраняться.
Ошибка при сохранении та же - Не удалось найти данные в исполняемом файле.

[netpartizan]

Попробуй, Правой кнопкой мыши->Copy->Select all
А потом

Теперь сохраним. выделяем мышкой область наших изменений (Правой кнопкой мыши->Copy To Executable->Selection->ещё раз правой кнопкой мыши->Save File).

[logic]

Попробуй, Copy->Select all
А потом

Тоже самое..

Какаой-то парадокс на скрине то что красным там не сохраняет, а где зеленым цветом область там все сохраняет


В общем вот, вроде правильно да? AH.dll приклеен

[Crazzy-]

Епрст, я вот непойму что за делема у вас тут... но тут всё очевидно.... там где ты пытаешься вставить данные либо стоит протект, либо в етой области вообще нету памяти....

[Killbrum]

хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...

[logic]

хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...

Как не вошьешь? Fonik вшил kill.dll, которая блокировала кликер под названием MUAutoClicker
И все прекрасно блокировалось.. при запуски этого кликера main не запускался
тоже самое хочу проделать с AH.dll

[Crazzy-]

хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...

Не , килл  по теории хукнуть можно просто найти место выше в области памяти...

[8BitCore]

хотел впихнуть длл, но

https://www.virustotal.com/ru/analisis/375a...0ed6-1276261530

у меня на днях винда начал потехоньку самоуничтожаться .. так что я не рискую)
хотя там есть это
ClamAV   0.96.0.3-git   2010.06.11   PUA.Packed.ASPack
так что на самом деле?

вот
https://depositfiles.com/files/jshtf3yty - майн, остальное та есть
давал бы уже с kill.dll прикрученной, а то опять придется лепить

[logic]

хотел впихнуть длл, но

https://www.virustotal.com/ru/analisis/375a...0ed6-1276261530

у меня на днях винда начал потехоньку самоуничтожаться .. так что я не рискую)
хотя там есть это
ClamAV   0.96.0.3-git   2010.06.11   PUA.Packed.ASPack
так что на самом деле?

вот
https://depositfiles.com/files/jshtf3yty - майн, остальное та есть
давал бы уже с kill.dll прикрученной, а то опять придется лепить

main закрывается после прохода полосы загрузки

[8BitCore]

main закрывается после прохода полосы загрузки

Хотя бы узнал как работает ah.dll, значит всё правильно сделано ...
https://forum.ragezone.com/f508/ah-dll-569666/
надо cfg файл в корень сайта .. проблема в том, что сайт надо на том компе, куда конектится майн ..
и лог файл в клиенте появился наверно, открой .. там написано, что нет доступа к файлу конфигурации.

[Killbrum]

[quote name='[ACG]Crazzy' post='62051' date='11.6.2010, 15:58']
Не , килл  по теории хукнуть можно просто найти место выше в области памяти...[/quote]
Мб, но а где та область? =) а так её можно искать до опупения... код же большой. Да и под дебагом там я бы не сказал что оно какбы упаковано. Просто там хитроумно некоторые секции под протом. А после снимания якобы аспака меин разжираеться до 180мб ... что собственно и подталкиевает на мыслю что на мейн повесили прот, а потом это упаковали. Причем немного странно упаковали... кстати как вариант могли просто влепить сигнатуру АСПака... похожие штуковины делает Найс прот

[cokpat]

Мб, но а где та область? =) а так её можно искать до опупения... код же большой. Да и под дебагом там я бы не сказал что оно какбы упаковано. Просто там хитроумно некоторые секции под протом. А после снимания якобы аспака меин разжираеться до 180мб ... что собственно и подталкиевает на мыслю что на мейн повесили прот, а потом это упаковали. Причем немного странно упаковали... кстати как вариант могли просто влепить сигнатуру АСПака... похожие штуковины делает Найс прот

дай оригинальный меин (упакованый)

[user_MU]

Раздувает потому криво анпачит. Одна секция получается пустой и гигантских размеров.
Не наблюдаю здесь ссылок на маин и длл для вшивки. Думаю это прекратит толчение воды в ступе.