Reversing Engineering Frage.

05/23/2010 21:44 schnewin#1

Hey Leute,

ich habe eine Frage bez�glich dem Thema Reversing Engineering.
Undzwar m�chte ich von einem Spiel die Meldung "Hacking Software has finded. After reebooting a system, please try re-launching 4STORY when you don't use Hacking Software" entfernen.
Dann habe ich Ollydbg angeschmiessen und attached.
�ber searching for -> all referenced string und dann als Text die Meldung eingegeben, habe ich nichts gefunden.
Aber dann sind mir zwei andere Sachen aufgefallen. Siehe Bild:
[Only registered and activated users can see links. Click Here To Register...]
Nur jetzt wei� ich nicht, wie ich es so bearbeiten kann, dass die Meldung nicht kommt und dass das Spiel nicht ausgeht.

Wenn ich nur die Datei mit Ollydbg �ffne, erhalte ich �berhaupt keine Informationen �ber diese "Messagebox".

Vielleicht kann mir jemand dabei helfen.

MFG

05/23/2010 22:01 Elektrochemie#2

Schau mal bei 005C00E2 vorbei.
Im TClient nat�rlich.

05/23/2010 22:01 MrSm!th#3

Das ist typisch simple String search :rolleyes:

Das ist der noob-way.

Guck dir mal die Tutorials von lena151 ein, da lernst du schon in den ersten 5 oder so, dass du den Stack nutzen kannst, um an dein Ziel zu kommen ;)

Ums mal vorzukauen:

Rechtsklick auf eine der "RETURN TO...." Berreiche im Stack und Follow in Disassemble und B�m dann kannste irgendwelche JNZs oder JEs zu JMPs machen ;P

Oder eher gesagt, die Teile vor den RETURN TOs, da diese in Der User32.dll landen; du willst ja die Adresse, die die MessageBox gecallt hat.

Und merke: String search = p�se und meistens unn�tz ;O

p.s. wenn du wissen willst, wo genau entschieden wird, was angezeigt wird, kannste einen Hardware BP on Write auf den String im Dump machen

05/23/2010 22:09 bassbanane#4

Lieber von Anfang an starten als versuchen gleich wie ein Uber 1337 H4xx0R anzufangen.
Es ist noch kein Meister vom Himmel gefallen :D
[Only registered and activated users can see links. Click Here To Register...]
Das sollte dich erstmal besch�ftigen ;)
Nicht einfach durchgucken sondern verstehen... ;)

05/23/2010 22:11 schnewin#5

Ich danke euch.
Das die String-search Methode nicht die beste ist, wusste ich. :'D
Aber ich werde mir die Tutorials von Lena anschauen und weiter gucken.
Danke.
Und noch eine Frage h�tte ich, welches Ollydbg ist zu empfehlen??
Ich habe einmal Olly9in1 for Themida, AllyDbg (Das was auf dem Bild zusehen ist) und einmal den neuen OllyDbg 2.0.

Edit: @bassbanane: Ist das die ganze Reihe von Lena151 oder sind das andere Tutorials??

Und ein �ber1337H4xx0R wollte ich garnicht sien, wollte 'nur' die Messagebox wegmachen. ^^

MFG

05/23/2010 22:25 Elektrochemie#6

Die erste ist wie der Name schon sagt nur f�r Programme die mit Themida gepackt sind.

OllyDBG 2 sollte man noch nicht benutzen, hat noch kein Plugin Support usw.

05/23/2010 22:30 MrSm!th#7

^this

alles in allem hat olly2 ganz gute funktionen, aber das �berwiegt nicht den fehlenden plugin support; plugins braucht man so gut wie andauernd

05/23/2010 22:36 schnewin#8

Alles klar, dann werde ich die Version 1.10 mit Plugins.
Danke!

@Mods: Kann geclosed werden, da meine Frage beantwortet ist. :)

MFG

05/23/2010 22:36 Elektrochemie#9

Hast die MessageBox denn nun wegbekommen? :D

05/23/2010 22:45 schnewin#10

Ich lese mir erst die Tutorials durch, bevor ich weiter mache. :=)

Edit: Habe mal geguckt, ich finde nur folgende Adressen: 005C00E0, 005C00E4, 005C00E5. Aber nicht die E2. Aber werde mir erst die tutorials angucken. :D

Edit�: Habs doch gefunden. :) Werde jetzt weiter gucken. :)

MFG

05/23/2010 22:50 Elektrochemie#11

Nur als kleiner Tipp, die MessageBox entfernen wird dir leider nicht viel bringen.
Da gibts noch die kleine EHSvc.dll vom HackShield die da noch reinpfuscht ;)

05/23/2010 23:01 schnewin#12

Quote:

Originally Posted by Elektrochemie

Nur als kleiner Tipp, die MessageBox entfernen wird dir leider nicht viel bringen.
Da gibts noch die kleine EHSvc.dll vom HackShield die da noch reinpfuscht ;)

Doch wird es, da es sich um den P-Server handelt, und der keinen HS hat. :'D
Ohne Asm Kenntnisse sich an HS gehen? Bisschen schwachsinnig oder? :'D

MFG

05/23/2010 23:14 Elektrochemie#13

Aso nadann :D

05/25/2010 11:58 MrSm!th#14

Quote:

Originally Posted by Elektrochemie

Nur als kleiner Tipp, die MessageBox entfernen wird dir leider nicht viel bringen.
Da gibts noch die kleine EHSvc.dll vom HackShield die da noch reinpfuscht ;)

doch :p

man kann auch die Inform Meldungen l�schen,dann sind Hacks schonmal undetected und wenn du ein 64bit OS hast, funkt der HS Treiber nicht und du kannst voll auf das Spiel zugreifen.