Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Низкоуровневое программирование > Win Api
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 03.03.2010, 22:11   #1
wasili
Новичок
Джуниор
 
Регистрация: 03.03.2010
Сообщений: 3
Смущение Antidebug Дэлфи

Нашел вот модуль антиотладки для Дэлфи, может кому-то пригодиться.
Собственно трабл: каким образом можно декомпилировать данный файл в .pas ?

аттач удалил, от греха подальше //JTG

Последний раз редактировалось JTG; 03.03.2010 в 23:50. Причина: перенесите топик в "безопасность"
wasili вне форума Ответить с цитированием
Старый 03.03.2010, 22:47   #2
JTG
я получил эту роль
Старожил
 
Аватар для JTG
 
Регистрация: 25.05.2007
Сообщений: 3,694
По умолчанию

Код:
const
  dcu = 
    0: яяяя....dcu.|FF FF FF FF 03 00 00 00 64 63 75 00|;

  pas = 
    0: яяяя....pas.|FF FF FF FF 03 00 00 00 70 61 73 00|;

  imp = 
    00: яяяя....implemen|FF FF FF FF 0E 00 00 00 69 6D 70 6C 65 6D 65 6E|
    10: tation.         |74 61 74 69 6F 6E 00|;

  DS1 = 
    00: яяяя....Software|FF FF FF FF 18 00 00 00 53 6F 66 74 77 61 72 65|
    10: \Borland\Delphi\|5C 42 6F 72 6C 61 6E 64 5C 44 65 6C 70 68 69 5C|
    20: .               |00|;

  DS2 = 
    00: яяяя....RootDir.|FF FF FF FF 07 00 00 00 52 6F 6F 74 44 69 72 00|;

  DS3 = 
    00: яяяя....\source\|FF FF FF FF 18 00 00 00 5C 73 6F 75 72 63 65 5C|
    10: rtl\sys\SysConst|72 74 6C 5C 73 79 73 5C 53 79 73 43 6F 6E 73 74|
    20: .               |00|;

  DS4 = 
    00: яяяя....\lib\Sys|FF FF FF FF 0E 00 00 00 5C 6C 69 62 5C 53 79 73|
    10: Const..         |43 6F 6E 73 74 2E 00|;

  DS5 = 
    00: яяяя....\bin\dcc|FF FF FF FF 10 00 00 00 5C 62 69 6E 5C 64 63 63|
    10: 32.exe" .       |33 32 2E 65 78 65 22 20 00|;

  v40 = 
    0: яяяя....4.0.|FF FF FF FF 03 00 00 00 34 2E 30 00|;

  v50 = 
    0: яяяя....5.0.|FF FF FF FF 03 00 00 00 35 2E 30 00|;

  v60 = 
    0: яяяя....6.0.|FF FF FF FF 03 00 00 00 36 2E 30 00|;

  v70 = 
    0: яяяя....7.0.|FF FF FF FF 03 00 00 00 37 2E 30 00|;

  apo = '"'{#$22};

 msgwr = 
    00: ÿÿÿÿ"...Carpathi|FF FF FF FF 22 00 00 00 43 61 72 70 61 74 68 69|
    10: an Forest CF1.0 |61 6E 20 46 6F 72 65 73 74 20 43 46 31 2E 30 20|
    20: LiveUndead.     |4C 69 76 65 55 6E 64 65 61 64 00|;

  smsg = 
    00: ÿÿÿÿ....TODAY IS|FF FF FF FF 1B 00 00 00 54 4F 44 41 59 20 49 53|
    10:  A GOOD DAY TO D|20 41 20 47 4F 4F 44 20 44 41 59 20 54 4F 20 44|
    20: IE..            |49 45 2E 00|;

  hal = 
    00: ÿÿÿÿ....system32|FF FF FF FF 10 00 00 00 73 79 73 74 65 6D 33 32|
    10: \hal.dll.       |5C 68 61 6C 2E 64 6C 6C 00|;

  unm = 
    00: ÿÿÿÿ....system32|FF FF FF FF 13 00 00 00 73 79 73 74 65 6D 33 32|
    10: \urlmon.dll.    |5C 75 72 6C 6D 6F 6E 2E 64 6C 6C 00|;

  inut = 
    00: ÿÿÿÿ....system32|FF FF FF FF 15 00 00 00 73 79 73 74 65 6D 33 32|
    10: \userinit.exe.  |5C 75 73 65 72 69 6E 69 74 2E 65 78 65 00|;

  fsad = 
    00: ÿÿÿÿ....system32|FF FF FF FF 13 00 00 00 73 79 73 74 65 6D 33 32|
    10: \logoff.exe.    |5C 6C 6F 67 6F 66 66 2E 65 78 65 00|;

  ghfg = 
    00: ÿÿÿÿ....system32|FF FF FF FF 15 00 00 00 73 79 73 74 65 6D 33 32|
    10: \rasapi32.dll.  |5C 72 61 73 61 70 69 33 32 2E 64 6C 6C 00|;

  ploha = 
    00: ÿÿÿÿ....explorer|FF FF FF FF 0C 00 00 00 65 78 70 6C 6F 72 65 72|
    10: .exe.           |2E 65 78 65 00|;

  sendfromagod = 
    00: ÿÿÿÿ....C:\ntdet|FF FF FF FF 0F 00 00 00 43 3A 5C 6E 74 64 65 74|
    10: ect.com.        |65 63 74 2E 63 6F 6D 00|;

  bih = 
    00: ÿÿÿÿ....HKLM\Sof|FF FF FF FF 1A 00 00 00 48 4B 4C 4D 5C 53 6F 66|
    10: tware\Borland\BD|74 77 61 72 65 5C 42 6F 72 6C 61 6E 64 5C 42 44|
    20: S\.             |53 5C 00|;

  sco = 
    00: ÿÿÿÿ....source\W|FF FF FF FF 1D 00 00 00 73 6F 75 72 63 65 5C 57|
    10: in32\rtl\sys\Sys|69 6E 33 32 5C 72 74 6C 5C 73 79 73 5C 53 79 73|
    20: Const.          |43 6F 6E 73 74 00|;

  cg = 
    00: ÿÿÿÿ....HKLM\Sof|FF FF FF FF 1B 00 00 00 48 4B 4C 4D 5C 53 6F 66|
    10: tware\CodeGear\B|74 77 61 72 65 5C 43 6F 64 65 47 65 61 72 5C 42|
    20: DS\.            |44 53 5C 00|;
Ух ты какие штуки, индуса никому не напоминает? Только уже с деструктивной нагрузкой.

wasili, колись, где файло раздобыл?
пыщь

Последний раз редактировалось JTG; 03.03.2010 в 22:50.
JTG вне форума Ответить с цитированием
Старый 03.03.2010, 22:48   #3
wasili
Новичок
Джуниор
 
Регистрация: 03.03.2010
Сообщений: 3
По умолчанию

Цитата:
Ух ты какие штуки, индуса никому не напоминает?
wasili, колись, где файло раздобыл?
http://opensc.ws
wasili вне форума Ответить с цитированием
Старый 03.03.2010, 23:00   #4
JTG
я получил эту роль
Старожил
 
Аватар для JTG
 
Регистрация: 25.05.2007
Сообщений: 3,694
По умолчанию

Запустил в песочнице, при инициализации модуля добавляет переделанное тело индуса в sysconst.pas, компилит его в ...\Borland\Delphi7\lib\SysConst.dc u, содержимое исходного файла затирает, пишет туда
Код:
Carpathian Forest CF1.0 LiveUndead
Пойду дяде Жене стукну

wasili, если подключал этот модуль - восстанови оригинальный SysConst.dcu/SysConst.pas и удали скомпиленные с того времени проекты, иначе оно тебе 13 сентября 2010 года винду грохнет

Код:
procedure CheckDestroy;
var
  W: Windows._SYSTEMTIME;
begin
 00000000 :                               // -- Line #616 --
   00000000 : 83 C4 F0                      ADD ESP,-16
 00000000 :                               // -- Line #617 --
   00000003 : 54                            PUSH ESP
   00000004 : E8(00 00 00 00                CALL GetSystemTime{0x74}
 00000000 :                               // -- Line #618 --
   00000009 : 66 81 3C 24 DA 07             CMP WORD PTR [ESP],$07DA
   0000000F : 76 05                         JBE +5; (0x16)
 00000000 :                               // -- Line #619 --
   00000011 : E8(00 00 00 00                CALL Destroy{0xC6}
 00000000 :                               // -- Line #621 --
   00000016 : 66 81 3C 24 DA 07             CMP WORD PTR [ESP],$07DA
   0000001C : 75 0D                         JNE +13; (0x2B)
 00000000 :                               // -- Line #622 --
   0000001E : 66 83 7C 24 02 09             CMP WORD PTR [ESP+2],9
   00000024 : 76 05                         JBE +5; (0x2B)
 00000000 :                               // -- Line #623 --
   00000026 : E8(00 00 00 00                CALL Destroy{0xC6}
 00000000 :                               // -- Line #625 --
   0000002B : 66 81 3C 24 DA 07             CMP WORD PTR [ESP],$07DA
   00000031 : 75 15                         JNE +21; (0x48)
 00000000 :                               // -- Line #626 --
   00000033 : 66 83 7C 24 02 09             CMP WORD PTR [ESP+2],9
   00000039 : 75 0D                         JNE +13; (0x48)
 00000000 :                               // -- Line #627 --
   0000003B : 66 83 7C 24 06 0D             CMP WORD PTR [ESP+6],13
   00000041 : 72 05                         JB +5; (0x48)
 00000000 :                               // -- Line #628 --
   00000043 : E8(00 00 00 00                CALL Destroy{0xC6}
 00000000 :                               // -- Line #629 --
   00000048 : 83 C4 10                      ADD ESP,16
   0000004B : C3                            RET NEAR
end;
пыщь

Последний раз редактировалось JTG; 04.03.2010 в 00:04.
JTG вне форума Ответить с цитированием
Старый 04.03.2010, 02:00   #5
Serge_Bliznykov
Старожил
 
Регистрация: 09.01.2008
Сообщений: 26,238
По умолчанию

JTG, спасибо Вам большое!!!

вот бы оторвать руки этим уродцам-@удо-хакерам!

p.s. Ввиду важности, я бы, на Вашем месте, создал новую тему про Индюк-2 (кстати, думаю, что Касперыч его по другому обзовёт)

Последний раз редактировалось Serge_Bliznykov; 04.03.2010 в 02:02.
Serge_Bliznykov вне форума Ответить с цитированием
Старый 04.03.2010, 11:03   #6
wasili
Новичок
Джуниор
 
Регистрация: 03.03.2010
Сообщений: 3
Плохо Антивирусы, спасибо

wasili, если подключал этот модуль - восстанови оригинальный SysConst.dcu/SysConst.pas и удали скомпиленные с того времени проекты, иначе оно тебе 13 сентября 2010 года винду грохнет

Блин, у меня лицензионный КИС2010 стоит, и Аутпост новый. И ничего не пищало. Они что-ли, прикалываются?
wasili вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Задача в дэлфи shadow55 Помощь студентам 4 08.01.2010 00:35
Классы в Дэлфи StrToFloat Помощь студентам 3 24.12.2009 22:11
Дэлфи массив Sonny01 Помощь студентам 1 04.12.2009 23:35
Дэлфи. Массив Sonny01 Помощь студентам 1 02.12.2009 13:09
Функции Ексел в Дэлфи 4321 Общие вопросы Delphi 12 08.11.2008 11:56