Dekompilowanie do assemblera / usunięcie pewnego "robak

0

Witam,
mam pewien problem z pewnym złośliwym (aż nadto) programem. Przy włączeniu łączy się z nieznanym dla mnie serwerem w OVH, komponentem (jak zdołałem się zorientować) IdHTTP i wysyła do niego metodą post dane mojego systemu to znaczy wersja windowsa, różne ciekawe informacje (nawet numer seryjny mojego dysku).
Chciałbym te funkcje z niego usunąć. Dodam, że program odsyła mi po podłączniu jakiś kod, a przy wysyłaniu zapytania wysyła jakiś...

Ma ktoś jakiś pomysł jak z owym programem coś zwojować? Dałoby się usunąć z niego tą funkcje?

Na chłopski rozum odłączyłem internet... ale przy braku dostepu do sieci program wyrzuca bledem jakoby moj system nie byl kompatybilny (czy cos takiego).

Czy zna ktoś jakiś dekompilator do assemblera (spróbowałbym usuwac pewne linijki itd. sprytu mi nie brak :P)? Program jest napisany w Delphi (bo dekompilatory delphi jakies tam formy znalazły itd.)

0

Znajdź sobie jakiś dobry debugger. Kiedyś jeszcze w czasach Win98 najlepszy był SoftICE, a teraz nie jestem w tym temacie, więc nie znam dobrych debuggerów na dzień dzisiejszy. Jak już będziesz miał debugger, to wyszukaj w dokumentacji WinAPI funkcje odpowiedzialne za łączenie się z serwerem, itp. Ustaw na nich pułapki w debuggerze i odpal program z którym masz problemy. W momencie gdy program będzie chciał połączyć się z serwerem, powinien uaktywnić się debugger i będziesz wiedział w którym miejscu kodu znajduje się ta funkcja. Następnie otwórz program w edytorze heksadecymalnym (np. Hiew) zastąp odwołania do tych funkcji innym kodem (np. instrukcjami NOP) albo jakąś instrukcją skoku. Opkody dla instrukcji assemblera znajdziesz w internecie, np. tutaj:
http://cpl.atwebpages.com/article.php-sid=140.htm
I pamiętaj, że nawet najlepsze deasemblery nie deasemblują dobrze z języka maszynowego na assemblera. Można łatwo je oszukać. Kiedyś nawet był taki wirus, który nazywał się Jump. Jak się go zdeasemblowało, to w kodzie zdeasemblowanym były same instrukcje skoków.
To wszystko.

0

Debugger - Ollydbg imho jest dobry.

0

Może IDA? Ma debuger.

0

Co do SoftICE... prosi mnie o serial - czyli program płatny :P?

0
Janek1187 napisał(a)

Co do SoftICE... prosi mnie o serial - czyli program płatny :P?

Tak, płatny, ale jak się dobrze poszuka w internecie, to można znaleźć do niego serial, a przynajmniej kiedyś było można.
Upewnij się też czy SoftICE będzie działał pod Windowsem którego masz. Pod Win98 działa, a czy pod 2000 i XP będzie działał tego nie wiem. Pod Vistą, to raczej wątpliwe żeby działał, ale teraz już nie jestem w temacie, więc mogę się mylić. Może są jakieś nowe wersje SoftICEa? Tylko czy te nowe wersje jeśli istnieją działają w trybie jądra?

0

Podeślij mi na piotrekbba na o2.pl. Dawno się nie bawiłem trojanami do Tibii.
Przed wysłaniem spakuj to rarem z hasłem: dupa

Najprostszy sposób to znaleźć ciąg znaków odpowiedzialny za wybranie odpowiedniego adresu (można to zrobić choćby heksedytorem Hiew) i wstawienie na początku ciągu znaku 0x00

1 użytkowników online, w tym zalogowanych: 0, gości: 1