Как исправить ошибки внедрения DLL для MU Online?

Автор logic, 2010 Июнь 11, 10:02

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Ключевые слова [SEO] mu onlinedllзащита

logic

Проверьте и укажите на ошибки по внедрению dll в main
1. Т.к. при сохранении проделаной работы выдает ошибку

То я сперва запускаю lordPE, и копирую VirtualSize в RowSize, как на скриншоте

2. После того как скопировал VirtualSize в RowSize, сохраняю, иду в olly. Открываю main и вижу, что места практически нету

Где то в глубинах нахожу кусок чистого кода и начинаю там писать.
3. Сперва Follow in Damp >> Selection, название dll
4. На следующей строке Ищу функцию LoadLibraryA, смотрю ее оффсет, после начнию писать
CALL DWORD PTR DS:[СЮДА_ПИШУ_ОФФСЕТ_ФУНКЦИИ_LoadLibraryA]
5. Теперь на следующей строке пишу JMP и EnteryPoint main.exe, который показывает lordPE, на скриншоте показано

6. Сохраняю и после проделанной работы вот такая картина

Правильная ли в конце картина? Почему не так получается как с этими dll

LeGrand

Выкинь майн.
Спойлер
Спойлер
[свернуть]
[свернуть]

logic

Цитата: LeGrand от 2010 Июнь 11, 10:55  Выкинь майн.
Спойлер
Спойлер
[свернуть]
[свернуть]
C main все впорядке, т.к. мне вшивал Fonik с eg-network kill.dll
Это я что-то не так делаю

LeGrand

За всю мою жизнь, я хукнул примерно 50 дллок, и ниразу такой байды у меня небыло о.О

xakum

маин случайно не упакован?

"2. После того как скопировал VirtualSize в RowSize" - зачем? какую цель ты преследуешь это делая?

"5. Теперь на следующей строке пишу JMP и EnteryPoint main.exe, который показывает lordPE, на скриншоте показано"

к тому что показывает LordPE незабываем прибавлять ImageBase т.е. в олли делаем jmp не на 003B23A0, а на (003B23A0 + 00400000 = 007B23A0)

почитай тут

logic

#5
В общем вот архив  с main и AH.dll которая не пришита
Скачать здесь или здесь

Прочел я.
Цитировать8) Теперь сохраним. выделяем мышкой область наших изменений (Правой кнопкой мыши->Copy To Executable->Selection->ещё раз правой кнопкой мыши->Save File).
Ну вот делаю все правильно, но выходит ошибка, проверьте если не трудно у себя, будет ли у вас сохраняться.
Ошибка при сохранении та же - Не удалось найти данные в исполняемом файле.


netpartizan

#6
Попробуй, Правой кнопкой мыши->Copy->Select all
А потом
Цитировать8) Теперь сохраним. выделяем мышкой область наших изменений (Правой кнопкой мыши->Copy To Executable->Selection->ещё раз правой кнопкой мыши->Save File).

logic

#7
Цитата: netpartizan от 2010 Июнь 11, 13:02  Попробуй, Copy->Select all
А потом
Тоже самое..

Какаой-то парадокс на скрине то что красным там не сохраняет, а где зеленым цветом область там все сохраняет


В общем вот, вроде правильно да? AH.dll приклеен

Crazzy-

Епрст, я вот непойму что за делема у вас тут... но тут всё очевидно.... там где ты пытаешься вставить данные либо стоит протект, либо в етой области вообще нету памяти....

Killbrum

хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...

logic

#10
Цитата: Killbrum от 2010 Июнь 11, 15:00  хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...
Как не вошьешь? Fonik вшил kill.dll, которая блокировала кликер под названием MUAutoClicker
И все прекрасно блокировалось.. при запуски этого кликера main не запускался
тоже самое хочу проделать с AH.dll

Crazzy-

Цитата: Killbrum от 2010 Июнь 11, 19:00  хахах))) лолз))))) муклассик длл ))) сколько мы с ней навозились )) да там обычный прот. Не вошьете туда ничего. Будете вшивать - код будет мутировать. Можете не пытаться =) Причем пакер там забугорный анпака не нашли. А сигнатуру мы искали огого сколько...

Не , килл  по теории хукнуть можно просто найти место выше в области памяти...

8BitCore

#12
хотел впихнуть длл, но

https://www.virustotal.com/ru/analisis/375a...0ed6-1276261530

у меня на днях винда начал потехоньку самоуничтожаться .. так что я не рискую)
хотя там есть это
ClamAV   0.96.0.3-git   2010.06.11   PUA.Packed.ASPack
так что на самом деле?

вот
https://depositfiles.com/files/jshtf3yty - майн, остальное та есть
давал бы уже с kill.dll прикрученной, а то опять придется лепить

logic

Цитата: 8BitCore от 2010 Июнь 11, 16:11  хотел впихнуть длл, но

https://www.virustotal.com/ru/analisis/375a...0ed6-1276261530

у меня на днях винда начал потехоньку самоуничтожаться .. так что я не рискую)
хотя там есть это
ClamAV   0.96.0.3-git   2010.06.11   PUA.Packed.ASPack
так что на самом деле?

вот
https://depositfiles.com/files/jshtf3yty - майн, остальное та есть
давал бы уже с kill.dll прикрученной, а то опять придется лепить
main закрывается после прохода полосы загрузки

8BitCore

Цитата: logic от 2010 Июнь 11, 19:36  main закрывается после прохода полосы загрузки
Хотя бы узнал как работает ah.dll, значит всё правильно сделано ...
https://forum.ragezone.com/f508/ah-dll-569666/
надо cfg файл в корень сайта .. проблема в том, что сайт надо на том компе, куда конектится майн ..
и лог файл в клиенте появился наверно, открой .. там написано, что нет доступа к файлу конфигурации.

Killbrum

[quote name='[ACG]Crazzy' post='62051' date='11.6.2010, 15:58']
Не , килл  по теории хукнуть можно просто найти место выше в области памяти...[/quote]
Мб, но а где та область? =) а так её можно искать до опупения... код же большой. Да и под дебагом там я бы не сказал что оно какбы упаковано. Просто там хитроумно некоторые секции под протом. А после снимания якобы аспака меин разжираеться до 180мб ... что собственно и подталкиевает на мыслю что на мейн повесили прот, а потом это упаковали. Причем немного странно упаковали... кстати как вариант могли просто влепить сигнатуру АСПака... похожие штуковины делает Найс прот

cokpat

Цитата: Killbrum от 2010 Июнь 12, 07:08  Мб, но а где та область? =) а так её можно искать до опупения... код же большой. Да и под дебагом там я бы не сказал что оно какбы упаковано. Просто там хитроумно некоторые секции под протом. А после снимания якобы аспака меин разжираеться до 180мб ... что собственно и подталкиевает на мыслю что на мейн повесили прот, а потом это упаковали. Причем немного странно упаковали... кстати как вариант могли просто влепить сигнатуру АСПака... похожие штуковины делает Найс прот

дай оригинальный меин (упакованый) :)

user_MU

Раздувает потому криво анпачит. Одна секция получается пустой и гигантских размеров.
Не наблюдаю здесь ссылок на маин и длл для вшивки. Думаю это прекратит толчение воды в ступе.

Похожие темы (5)