Chcete-li zaplatit nové verze (pokud se nezměnil významně logiku práce odpovídajícího kódu), musíte provést následující:
0. Pokyny jsou vhodné pro více či méně vzdělané a nejdůležitější, inteligentní specialisté, kteří vědí, jak si myslet. Ti, kdo jsou zvyklí na všechno "kopírovat" kopií / pastou, zdá se, že nebude vyrovnat a bude schopen chovat "sténání" a "inhibit", že "mnoho bukov", "obtížný" nebo "Niasilyl" více obav a stereotypů myšlení spíše než složitost problému. To je jejich hodně. Narodil se procházení, jak víte, nemůže létat. Nedávejte se uschnout, anon! Pít Jada nebo podnikat a začít se respektovat!
1. Stáhněte si libovolné placené nebo volná verze Hiew.
Je vhodné i velmi staré verze 90. let, ale pokud potřebujete opravit X64, pak potřebujeme 8.x (od poloviny 2000x :)) lepší, samozřejmě, vezměte si čerstvý. Autorka 25 let vyvíjí produkt a existuje málo více než dokonalých výtvorů dovedností programátoru.
2. TakeRV.dll Některá podporovaná verze - originální a přímořská verze. Pokud neexistuje žádné pronásledovatele - je rozumné předpokládat, že je nutné jej sledovat smysluplným patentem, který není hloupý! Začněte myslet! Všechno soubory Vložte do samostatné složky nebo složky. Není třeba se pokusit vládnout něco na jedné kopii v systému32. Každopádně se nic nestane (záznam je blokován v systému32), a tak učinit pouze berany.
3. Porovnejte opravené a nespecifické verze stejné DLL jakýmkoliv komparátorem binárních souborů. Utility konzoly Konzoly FC vstupuje do oken. "FC / B terasrv.org teraserv.crk\u003e rozdíly.txt" vede k zisku. Seznam rozdílů a je zde malý, řádky pro 20, se bude vydat na soubor rozdílů.txt
Otevřete soubor. textový editor A nebo, necháme otevřené, nebo přepsat na kus papíru, ze kterého se bajty změnily. Okamžitě ovlivnit a pochopit, že všechny směny a hodnoty bajtů, stejně jako v Hiew, jsou uvedeny v hexadecimálním systému, ale nemělo by to "vyděsit", protože to nebude ani nepotvrzat do desetinného místa! (Pokud náhle potřebujete, pro obecný vývoj - Windows Calculator na pomoc.)
V seznamu vidíme (detekci) 3 konvenční bloky, kde adresy jdou v řadě. První blok - 2 bajty na samém počátku EXE, o 140-C-něčeho-h (DLL má stejný formát jako Exe, jediným rozdílem je pouze procedury a funkce pro externí volání - tzv. . Vývoz proto a přímo plní, přejmenování v ex neuspěje). Toto je data, prostor pro posunutí spadají na záhlaví souboru Ex. Na těchto kompenzích jsou uloženy zkontrolovat sum Datový kód (bez názvu), který kontroluje Windows před spuštěním, ujistěte se, že soubor nebyl poškozen a něco neobtěžuje, přesně, když se snažíte jej provést. Vraťme se k nim později.
Dále je blok změn přibližně 10 bajtů. To je jen to, co budeme studovat. Po něm je další blok změny - 6. poslední bajty ex-Shnik. Esence sestává na skutečnost, že namísto "Zerule", autor řídil své vlastní jméno "DeepExw" na prázdné místo na konci. Low Bow pro náplast a myšlenku, ale opakujeme jeho "potěšení" při převodu náplasti zvláštního důvodu, tedy proto může učinit každému, kdo nemá nic společného s dlouhými zimními večery v rámci studie "vyzvánění obyčejného Beokles do prázdných sedadel Exe soubory pomocí HIVE. Můžete to však vnímat jako pocta autorovi (jen "tam" nikdo nečestní).
3. Otevřít originální DLL. V jednom okně Hiew, posmíval se - v druhém (Start 2 kopie HIVE! Obecně platí, že mnohem pohodlnější používat daleko - dva podprsenky, jako správce souborů a základ pro spuštění "Tito váš" Hiew). V aplikaci F4 (režim) a zvolte Decode (F3). Z začátku uvidíme demontáž soubor souboru. Není tam nic, co by tam bylo dívat, protože je to "Snažit se rozebrat titul Exe soubor.A to jsou data, ne kód. Není tam nic, co by bylo vidět, a ukazuje vám, že je to naprosto normální, protože je nutné přemýšlet zde, a ne "Copy"! Jdeme znovu a začněte si myslet, že není třeba se pokusit o hloupost a doslova splnit pokyny ...
4. V obou HIVE (zase, zatraceně, myslíme ...) Stiskněte F5 (GOTO) a vidíme, že vstupní pole se objevilo nahoře. Řídíme adresu prvního rozdílu (z druhého bloku!) Nachází se v rozdílu. Například ve Win7sp1x86Rus, tyto adresy v oblasti 19100h a ve Vistasp2eng (X86 nebo X64 - XS), jak jsem viděl blog autora - adresy kolem 65200H. Na místo prvního opraveného byte spadáme.
Data v tomto okně Hiew mají formulář:
- V prvním sloupci - ofsetu HEX - od začátku souboru nebo v procesní paměti, závisí na režimu Hiew vybraného pomocí Alt-F1 (globální místní). Výchozí zobrazuje Místní \u003d jako v paměti, pokud může prohledat formát datového kódu. V našem případě tento problém nepředstavuje, protože formát souboru EX umožňuje, aby byl snadno na to "zepsat." Proto se nemusíte bát vidět 06F2F8D51 namísto zavedeného 19153. Adresování paměti je důležité pro pochopení adresování procesu, protože bude probíhat při výkonu, ubytování pro analýzu kódu, v případě potřeby.
- Ve druhém sloupci je hexadecimální prezentace datového kódu s analýzou, který kód a jaká data, na které pokyny zahrnují. Proto pak každý řádek různých délek. Ukázat tak výhradně pro vaše pohodlí. "Ve skutečnosti" (c) ve samotném souboru jsou všechny "oslepené" společně - v řadě, který můžete vidět v režimu "jednoduchý" režim prohlížení hexe (f4-\u003e hex), kde "hloupě" k Vlevo je zobrazen hex bajty přes prostory, a vpravo - "Crakozyabry" z tabulky ASCII, které tyto bajty odpovídají - jako v "jakémkoli" starý "starý" hex editor typu winhex, jehož screenshoty jste viděli na "jakýkoli" Kulkhaqker " webová stránka. Všichni jsme celou dobu pracují se stejnými bajty jako vlastně počítač dělá. Otázkou je výhradně v jejich prezentaci a interpretaci. Když zkopírujete spustitelný soubor z disku na disk - všechna data a žádný kód, nikdo nikdo nevykonává nic. Ale je nutné určit okna, že se jedná o spustitelný soubor, spusťte jej, protože Windows demontuje svůj kód a data a spustí kód z předem určeného standardu a záhlaví webu, po kterém kód spustitelný procesorem je dále přečíst jeho struktura a je opět rozdělena na kód a data a tak dále.
Ve F4-\u003e Decode Režim jsme namísto "Krakoyar" ukazuje bajty a "pravý význam".
- Ve třetím (vpravo) a největší sloupec (přesněji, pár sloupců) zobrazuje demontážní část kódu - text, tzv. "Mnemonic" prezentace tohoto velmi kódu (montážní jazyk), určený pro všechny zjednodušené a srozumitelné vnímání pro "člověka rozumného", s nádherným analogovým asociativním myšlením, extrémně tvrdé vnímání abstraktních "nahých" kódových sekvencí.
5. Přepnutím na požadovaný posun v předchozímu odstavci vidíme, že kurzor (síra je :)), zobrazuje začátek 6 bajtového příkazu (v x64 Může být více bajtů) příslušný "rozebrán" typ instrukcí Cmp eAX,
Pokud vezmete jeden řádek výše a mírně nižší, typ typu bude vydán:
MOV EAX,
Cmp eAX,
JZ .06F30B25E.
Push Edi.
Push 020.
Volání .06F2E1440.
POP ECX.
Chcete-li porozumět tomuto designu, není nutné být "assembler Connoisseur", i když se doporučuje mít alespoň základní znalosti o tématu "Programování na jakékoli Zyayka". Ale znalosti z angličtiny nebrání nikomu!
První instrukce (která nebude hlídat, to "nad prvním rozdílem") se nazývá mov - co, omlouvám se, že první sdružení přijde na mysl anglického jazyka? - To je pravda - přesune - tj. Hýbat se. Pokyny argumenty jdou ve druhém "Podstolebce". EAX a EDI jsou takzvaní. 32-bitové registry jsou jednotlivé paměťové buňky v samotném onemocnění, jsou určeny pro ukládání dat během jejich zpracování. Téměř všechny registry stejného typu, tam teoreticky, to může být napsáno cokoliv, kdyby to bylo jen to, ale některé z nich jsou tradičně používány k ukládání těchto specifických typů (tak, aby nebyly zmateny), například, EAX, EBX, ECX, EDX se používají přímo pro "Uživatelská data", navíc, ECX tradičně jde jako metru (například cykly) a ESI, EDI - jako ukazatele určité aktuální polohy v paměti, adresy, se kterými do práce. A součástí registrů závislých na hardware a jejich "lepší nedotýkejte se" - například IP registr automaticky obsahuje adresu aktuální instrukceKterý procesor provádí, a pokud se pokusíte nahrávat některé z vašich dat - proměnnou programu, pak procento bude hloupé na pokyny s touto adresou a vše zhroucení. ESP - označuje stack - jakýsi "láhev", ve které kdo nejprve vylezl, poslední vyjde (pěst dlouho), určený pro dočasné ukládání dat, které nejsou umístěny v registrech, ale nedává smysl Chcete-li je řídit zpět do paměti, bude použito brzy. Chcete-li pracovat s údaji, obvykle určitým bajtem - 8bit, slovo je 16bit, dlouhé slovo - 32bit nebo dvojité dlouhé slovo 64bit (pro 64bitové procesory) jsou umístěny z paměti do registru. Chcete-li pracovat s krátkými daty, můžete kontaktovat části rejstříku (EAX se skládá z sekeru - spodku 16bit a AH a AL - části samotné seky), ale to je mimo náš problém. Potom se s daty v registru provede určitá rohožová transformace, po které je výsledek umístěn zpět do paměti - v těsné části jedné nebo jiné buňky nebo jiné, zvýrazněné autorem (nebo jeho kompilátorem) programy pro ubytování.
V hranatých závorkách označují adresy. Pokud potřebujete vzít data z paměťové buňky na nějaké adrese, a nikoli samotnou adresu, stačí napsat adresu v hranatých závorkách. Design typu znamená, že data musí být převzata z paměťové buňky, která má adresu, jejíž hodnota je získána přidáním hodnoty v registru ESI + 324h. V assembleru je obvyklé psát jasněji, ale autor HIVE byl pohodlnější ukázat tak možné pro jasnost. Při vstupu do příkazů HIVE dokonale bere standardní typy typů návrhů, které jsou uvedeny níže.
Celkem Chápeme, že tato instrukce vezme data (4bit \u003d 32bit) na adresu a vloží je do registru EAX. Následující instrukce ((což je již opravy) - CMP. První věc, která přichází na mysl lehkého, pilně se učí anglicky ve škole, je porovnat. Mluvíme o srovnání. Jinak, to samé jako v předchozím instrukci . Adresa pouze sousední. Pokyny
Cmp eAX,
Porovnává obsah registru EAX a paměťové buňky na adrese. V registru EAX, předchozí instrukce řídil číslo ze sousední buňky. Nyní je porovnáván s číslem z buňky. Co je složité, omlouvám se ??? Můžete naučit RAM! Je to jistě jednodušší než "vícecilometr" objekty z nějakého druhu Govnezub, protahování tisíců vlastností, ve kterých se můžete utopit ...
A co výsledek? Porovnejte Srovnatelně, co je smysl, zeptá se pozorný čtenář ... Jak to vědět, kde se pes prohrál? A výsledek je uložen v příznakech speciálního registru. V tomto vyhrazeném registru se každý bit znamená určitý zaškrtávací políčko. Zejména je tu nula - nulová vlajka. Pokud se v důsledku provedení srovnávací instrukce ukáže, že čísla jsou stejné, zaškrtávací políčko bude rozdrceno (1), pokud ne, pak klesl (0) (nebo ADRCHES, příliš líný, aby se podíval na vklad - nezáleží na). Podobně je další zaškrtávací políčko pro více či méně - znamení. Vlajky se mění v výsledných pokynech pro jejich změnu, a zůstanou v jejich poloze, dokud nejsou změněny v důsledku provedení jiných pokynů ovlivňujících jejich stav. Proto po CMP můžeme provádět jakékoli další pokyny v závislosti na stavu zaškrtávacího políčka, dokud nebudete splnit ten, který jej změní. Stav vlajek je čten pokyny podmíněného přechodu a jinými a absence těchto pokynů se stává jinou a rutinou.
Příští instrukce přichází
JZ .06F30B25E.
Pokyny, které začínají na J [téměř] všechny střední skok - skok, tj. Přechod na jiné místo. Tato instrukce Vztahuje se na pokyny podmíněného přechodu a dešifrovaně jako skok, pokud nula - tj. Jděte na adresu, pokud je to nula příznak. Pokud zaškrtávací políčko nestojí za to, "nic se nestane." Jako argument je adresa přechodová adresa dána (jsou různé, relativní nebo absolutní, "daleko" nebo "zavřít" v paměti. Zde je adresa zadána v adresním prostoru programu, protože je nakonfigurován záhlaví EXE, Neexistuje žádný smysl, pouze komplikuje. Pokud předchozí instrukce odhalila rovnost argumentů, přechod bude dojít, pokud ne, procesor se nestane příští instrukci.
Následující 2 pokyny
Push Edi.
Push 020.
Vzpomínáme si, že v anglickém tlaku znamená strčit, tlačit. Zde to znamená řídit čísla v dočasném zásobníku úložiště. Často uložte proměnné před zadáním postupu, počítač uvnitř procedury mohou být registry použity pro jiné účely a pomocí zásobníku můžete uložit hodnoty registrů a přenášet argumenty na postup, který je vytáhne Odtud po vstupu dojde a výsledky budou blokovány, pokud ano, jsou k dispozici a vyžadovány. Pohodlí je, že není nutné postarat o přidělení adresního prostoru pro ukládání časových údajů základního objemu. Pokud potřebujete předat pole, dejte jí adresu v paměti. Všechny prvky pole řady vysílají žádný důvod, je to pouze zbytečná oddaná paměť a doba procesoru, jak se provádí během Bydloodingu. (Pokud potřebujete zachránit původní kopii pole na základě logiky práce - to je další situace a programátor sám vědomě iniciuje kopírování pole pro účely replikace.)
Při práci se zásobníkem se samotné opatření postará o všechno - oblast zásobníku je zvýrazněna operačním systémem během hardwarové podpory pro Proceas.
První instrukce uloží hodnotu EDI - ukazatele registru do určité oblasti paměti, a druhá se tam zastaví předem předem předem definovaným konstantním 20h. Pravděpodobně, určitý argument procedury, ale nezáleží na tom, protože není třeba provést analýzu, že autor patche udělal - přenášíme hotovou patch na jinou verzi programu a to obvykle, jen!
Další instrukce
Volání .06F2E1440.
V angličtině volání znamená volání, volání.
Mluvíme o řízení hovoru. V postupech kódu procedury nejsou žádná jména - existují adresy, kde se nachází jejich kód. Pro pohodlí mohou demonstrace (včetně Hiew) vytáhnout názvy postupů a funkcí z dovozu a vývozu souborů EXE (perspektiva je tam interagovat různé programy A "knihovny" po kompilaci a postupech jsou uvedeny názvy, pro které mohou být volány z jiného programu, ale interní postupy nejsou pojmenovány po kompilaci). Ve zdrojích, samozřejmě, že jména, samozřejmě, ale po kompilaci nemohli ... pouze místo by bylo obsazeno. Procesor nemusí znát něčí jména, domnívá se čísla ... někdy decompiors / Disassembleram podařilo vytáhnout jména postupů od ladění informací (pokud jiný Bydlooder zapomněl, aby ho odřízl a otekl velikost binárního zbytečného Info) A to je užitečné při analýze kódu, ale v našem případě, ani to nestarají. Nemusíme pochopit, proč je tento postup zapotřebí a co to dělá ... Připomínám vám, máme připravenou náplast a pokud se vám podaří přenášet "bez dobrodružství", aby ho ponořil a nebude potřebovat.
Poslední pokyny
POP ECX.
Pop - akce Inverzní push - tj. Vytáhněte poslední disk v hodnotě. V tento případ V registru ECX. Pravděpodobně tato instrukce musí extrahovat výsledek postupu, ale také se nestaráme, vč. A protože tato instrukce, jako 2 push-a výše, a volání, po náplasti se nemění a jsou uvedeny pro některé obecné prezentace a jako mezník náplasti. Po náplasti zůstanou všechny tyto pokyny na místě, stejně jako všichni po nich.
6. Nyní vezmeme lapalované teraserv.dll v jiném okně Hiew, na stejné adrese se podíváme na jaké pokyny jsou tam.
MOV EAX,
MOV EAX, 000000100
nop.
MOV, EAX
Push Edi.
Push 020.
Volání .06F2E1440.
POP ECX.
Rozdíly jsou viditelné pouze ve druhé, třetí a čtvrté pokyny.
Druhý MOV EAX, 000000100
Stačí zadat konstantní 100h (\u003d 256) v registru eX
Třetí NOP.
Nejvíce "vtipné" \u003d nooperace - nic neudělá nic a navždy. Proč potřebuje? A potřebuji ji zarovnat synchronizaci datovými daty. Faktem je, že rozměry původního a panického kódu musí zcela shodovat v počtu bytů a hranice týmů (spolu s jejich argumenty). Pokud je něco posunulo alespoň jeden bajt, procesor by tam "ne tam," vnímá určitý argument instrukcí, jako příkaz a bajty pro něj - jako argumenty tohoto příkazu, i když existuje jiný příkazový kód . Všechno bude jíst okamžitě a smrtelně. 99%, že program bude létat s fatální chybou. Příkaz NOP má 90 hodinový kód a trvá jeden bajt. Pokud je nadměrný kód, který není nutný nebo dokonce škodlivý pro účely patch, může být nahrazen argumenty na tolika nops v řadě, kolik bajtů to trvá. Mezi hackery se nazývá lezení nebo potopené. Ve skutečnosti je to jediný způsob, jak odstranit přebytečný kód ze spustitelného kódu, protože to není text a jakýkoli "vyříznout střední" "za účelem zkrácení" bude okamžitě vést k tomu, co budou posunuty, bude jíst všechny adresy a vůbec nebude fungovat. A "nejhorší" se stane, když nový kód, který musí být nahrazen starým, není vylézt na "staré" místo ... tady začíná bolest hlavy od hackera - jak to vytáhnout, aby se dostal ...
Čtvrtý mov, eAX
Umístěte číslo z registru EAX v paměťové buňce
Třetí a čtvrtá nebo třetí a druhá instrukce mohou být v zásadě změněna v místech - to nic nezmění. Je však nemožné odstranit nop v žádném případě, protože nové příkazy podél délky kódu na bajt jsou menší než starý a takový nesoulad, pokud ne pararry, nop-ohm bude okamžitě vést k synchronizační stopě.
Srovnání "s tím, že to bylo" okamžitě položí všechno na svém místě!
Bylo to - vzít číslo z buňky, porovnat ji s číslem z buňky. Pokud jste stejná, pak "někde" skok, pokud ne, pak pokračujte dále a proveďte postup. V kontextu problému připomíná toto porovnání počtu přípustných spojení s limitním přípustným (tj. 1 pro pracovní stanice nebo 2 pro server). Limit je uložen v určité konstantě, jehož adresa je uvedena v srovnávacích pokynech.
Co se stalo - zaujmout číslo z buňky, skóre "tohoto podnikání" a okamžitě přepsat hodnotu konstantního registru EAX 100h (\u003d 256 - tedy zřejmě, nový limit 256 spojení), pak toto číslo vložte do buňka
Nikdo srovnává nic, bude vždy dokončen postup, který je nazýván níže. Kromě toho, v buňce, kde je samozřejmě limit spojení "násilně" zapsána do nového limitu \u003d 256 v případě, někde jinde na jiném místě programu existují další kontroly tohoto limitu. TO JE VŠE! Je těžké přijít s něčím primitivním!
Kdybychom museli hledat toto místo na vlastní pěst, musel bych sledovat ladicí ladění tohoto DLL, jako autor patch nebo demontáž všeho, jako je ida a pečlivě studujte kód obsahující stovky tisíc instrukcí pečlivě. Ale máme všechno připravené! Je to jako vtip o mechanika, který kdysi hodil kladivo a auto začalo, ale jemnost je, že věděl, kde knock a to stojí hodně práce. (Prostě nepotřebujete o penězích - strčte jim jejich zadek! Zejména v Aprison je skvělá dovolená! Pro milovníky "zisk na internetu" - Existují specializované stránky.)
Proč náplast nefunguje na všech následujících verzích - protože se změní adresy a kód (jeho argumenty) mírně při sestavování. To vede k posunutí požadovaného kódu uvnitř EXE na jiné posunutí, a pokud hledáte podle podpisu (přísná posloupnost bajtů), nemusí najít alarmy se změnily. Mnoho adres je také argumenty instrukcí a změna binárního kódu do dispresity, navzdory skutečnosti, že je to všechno stejné ... Udělej to ručně! Máš hlavu na ramena, ne "přísný posloupnost svorek" ...
7. Nyní v původním teraserv.dll verzi, které patcher patche, musíte najít nějaký druh jedinečného v kontextu programu, posloupnost bajtu v blízkosti místa, které je třeba nalit, aby se o něj podíval nová verze Teraserv.dll, které chcete sledovat, ale patcher není oprava ...
Je nutné sledovat na disassembler, ale hledat bajty k němu vhodné, a pokud si vyberete něco takového "jednoduchého", pak se taková kombinace setká při hledání mnohokrát a bude obtížné najít správné místo, to bude "potopení" mezi hromadou jiných podobných. A my jsme velmi důležitá "přesnost získání", protože pokud budete sledovat "ne tam", pak nebude fungovat, a pak okna zavěší ...
Vyberte pokyny pro vyhledávací řetězec obsahující dlouhé pevné adresy nemůže být. Při sestavování jiných verzí budou s největší pravděpodobností konzumovány a na nich nenajdete nic v nové verzi.
Celý postup je tam, kde se kontrola děje, malá, jen pár tucet týmů. Pro assembler je "nic." HIV vám ukáže podmíněné hranice procedury jako "pásy" _ ^ _ ^ _ ^ _ ^ _ ^ _. Vezměte prosím na vědomí, že na začátku postupu je odvolání na adresu "Import" procedury Windows API - CDefpolicy :: Query a Hiew To je nárok (Takže název funkce a vyhrál a napsal). To by mělo být dobrá orientace pro vás, na cestě na správné místo. Kromě toho, toto "kakbe rady", že možná existuje jiný způsob, jak vyřešit problém, například nalezení určité "tajné" politiky odpovědné za chování terminálového serveru. Ti, kteří si přejí, mohou kód uložit debuggerem a hledat, jak je proměnná nebo konstanta inicializována s počtem připojení. Ale pro vyhledávací řetězec "Kód z CDefpolicy" není vhodný, protože adresa postupu v importu je s největší pravděpodobností jí v nové verzi. Pokusil bych se hledat bajty od začátku postupu po CDefpolicy. Tam jde:
57 Push Edi.
6A10 Push 010.
8BF1 MOV ESI, ECX
33dB XOR EBX, EBX
57 6A 10 8B F1 33 dB
Na konci můžete přidat více E8 Call Instruction Code, jít dál, ale ne jeho argument (další bajty), pro tuto adresu a bude změněn při sestavování nových verzí.
Taková sekvence mi dává při hledání v Hiew (F7-Search)
Celkem 3 shody okolností a CDefpolicy Call je viditelná v kontextu v jednom případě - v první. Pokud máte také nalezené místo, napište svou adresu z prvního sloupce (po stisknutí ALT-F1 - Global!) "Na kus papíru" a pokusit se opravit.
Pokud se kód změnil tolik, že nic nenajde, hledáme další jedinečné sekvence, vč. V přilehlých postupech a pokuste se o ně hledat. Úkol - nález požadovaný kódKde "Všechno se shoduje ve smyslu", ne posloupnost, přemýšlíme o tom a podíváme se na kontext, snaží se hledat CDefpolicy :: Query v nové verzi. Můžete vyhledat text Cedefpolicy :: Query in New.dll, najdete řetězec (několikrát), ale ne místo, kde je odkazoval se na. Taková metoda někdy pomáhá najít požadovanou pomocí F6 (reference) v Hiew a podařilo se mi najít správné místo v DLL z Win7sp1x86Rus kvůli experimentu, ale ne skutečnost, že všude bude úspěšný, ještě více Ostatní programy).
8. Nyní musíte vzít dermsrv.dll verze, kterou potřebujete opravu. Spustíme třetí kopii HIVE, otevřeme nový DLL v něm "(za účelem snadno přepínání mezi všemi třemi a vizuálně). Nacházíme se správným místem, jak je popsáno mírně vyšší nebo jdou na adresu, která napsala "na kus papíru" (kus papíru - přítel programátoru v tomto lesklém světě, kde se dostanete pevné disky, vyrazí dopravní zácpy a pověsit OS).
Analyzujeme kód pod CDefpolicy :: Query a snadno najít správné místo podobné:
Cmp eAX,
JZ .06F30B25E.
Chápeme, že adresu, ale pokud se například změnil, je to adresa, kterou potřebujete a pracujete v budoucnu.
9. Pokud jste byli přesvědčeni, že jsem našel přesně to, co je nezbytné, podívejte se na kurzor na instrukci CMP a odvážně stiskněte F3-Edit. "Šedý" kurzor se změní na "normální" (pro režim zobrazení) - substituce. Mělo by naznačovat stejnou instrukci CMP.
Klikněte na kartu (nebo F2) a zobrazí se dialogové okno pro vstup instrukce assembler.
Zadejte pokyny tam
MOV EAX, 100
Pak zadejte. Na hlavní obrazovce bude vidět, že bajty "z instrukce" se změnilo a některé z nich se staly "zlatou" (žlutou). Současně, pokyny níže "přesunuty" a v pravém sloupci naproti tomu ukazuje "Belibred" - ne vůbec, co tam bylo dříve.
Dialogový dialog vstupního vstupu nad hlavním oknem pokračuje "zavěsit" a čekat na vstup nových pokynů, který ukazuje nějaký druhý, nesprávně interpretovaný, v důsledku adresování kongresu, instrukcí.
Tato instrukce nezaplatí sebemenší pozornost a řídit následující.
Vbe nop a stiskněte klávesu Enter
Většinou žlutě oken další řetězec s kódem 90.
Synchronizace bude obnovena a další příkaz bude opět JZ. Bude nabídnuta pro změnu následujících pokynů.
Jděte tam
MOV, EAX
Pokud namísto 320 v příkazu CMP byla jiná adresa, pak ho otočte!
Stiskněte Enter. Poté se kód rozsvítí kód ve 3 řádku, na něž by měl být ruční MOV, EAX (nebo ne 320, a číslo, které bylo řízeno).
Zkontrolujeme, že jsem nepoužil synchronizaci datového kódu. Další instrukce by měla být tlačit EDI (nebo jiné, pokud kód se značně změnil a měli jste na patche jinou instrukci - to by mělo zůstat na mém místě a správně interpretováno, což naznačuje, že je vše v pořádku vedle ní).
Když všichni zaklepali, stiskněte ONC. Dialog vstupních instrukcí zmizí, ale může být opět volán kdykoliv (v režimu úprav) stisknutím tlačítka TAB. Všechny modifikované bajty budou mít žlutou. Podívejte se, že všechno vypadá správně, nikde se nevztahuje. Nikdo pro vás zde nezkontroluje, ne "ochranu proti bláznům" jakékoli hodnosti a žádný titul. Nikdo nebude v úvahu Regalia. Co udělali - dostali se. Nahoře - bude viset a práce nebude.
Pokud je všechny OK stisknuto F9 (aktualizace). Změny budou zaznamenány do souboru na disku a upravené bajty změní barvu na obvyklé (azurové).
10. Nyní musíte opravit kontrolní součet EXE. Udělej to před šílenství nudné, vypadat HIVe, učiní tuto práci pro vás a dělat téměř nic společného. Klikněte na F8 (záhlaví). Okno "Grey Scompasp" se zobrazí s "dekódování" parametrů záhlaví souboru EXE.
Klepněte na položku F3 (upravit). Na vrcholu "non-světlé" se zobrazí okno "Barva" fialová. Seznam všech parametrů záhlaví označující jejich adresy a hodnoty. S nudným listovým listem se blíží ke konci a vyhledejte tam parametr kontrolního součtu. Je indikován vpravo (ve skutečnosti kontrolní přehled) v hexadecimálním a desetinném vyjádření zbývající "na dědictví" z původního non-ručí soubor. Znovu stiskneme F3 a o zázraku, řetězec je namalován ve žlutém a kontrolní součet změní svou hodnotu. Můžeme věřit HIze, a my můžeme najít na fórech nebo v knihách a vypočítat ručně. Pokud je "vše spokojeno s" svorkou F9 (aktualizace). Okno bliká, všechno zmizí ... tohle je konec, myslí si neinnoucí čtečku. Ale když padá prach, kontrolní součet se ukáže být správné. Inspective může znovu jít do uvedeného dialogu a porovnat kontrolní součet s pečlivě uloženým prováděním v BAKAP na kusu papíru. Můžete opustit Hiew na ESC a přesunout se do testovacího kroku svého podílu.
11. Po obdržení laněného souboru se můžete pokusit nahradit teraseRV.dll v cílovém operačním systému.
Vzhledem k ochranným mechanismům systému Windows ze změn systémových souborů, stejně jako zákaz záznamu spuštění programů Porušení sdílení) bude muset zastavit službu Terminálové služby (viz v komentářech jiných uživatelů výše) a nahrazení kopií DLL v "WinSxs" ITP, takže neoprávněná okna dokonce přemýšlejí o pokusech o obnovení nepřiměřené verze.
Pokud všechno funguje, pak jste se stal Kulkhakkerem nebo udělal první vědomý krok na této cestě. Nikdo vás nesvítí vyzvednout a naučit se dále, takže svět lépe a laskavější. V Neteři existuje mnoho instrukcí a celých tematických fór pro ty, kteří si chtějí myslet na jejich hlavy, a nejen konzumovat násobení porno z matrice.
Nezkosťujte seznam upravených bytů (můžete si ji získat pomocí všech stejných "FC / B file12") pro jiné, méně sofistikované uživatele, zde a / nebo na jiné zdroje, dělat dobrý soused, jako Pán odkázal a oslavil své jméno v análech Hacker Historie.
Podle seznamu změn můžete učinit soubor .crk (pro opravy, které porozumí tomuto starověkému formátu), nebo vyrábět patch.exe s pomocí jakéhokoliv výrobce patchů, koi, v průběhu let evoluce, napsali desítky a stovky. Stačí si vybrat pak "s podpora systému Windows Vista / 7 "pro staré, i když dobré vhodné, ale nevíte nic o eskalátových privilegech a okna nebudou hloupě, dovolit jim něco k opravě v systému Windows / System nebo Program Files. V pokynech uveďte požadavek zastavení servisních terminálů nebo pomocí oprav na soubory v jednotlivých složkách, následovaný podmenu v System32 samotnými uživateli. V každém případě zveřejní seznam změn, nepálil se na "Lavra", pohled na někoho, kdo by mohl mít ručně a info najdou alternativní řešení. Autorově záplavka to všechno automaticky dělá, včetně práce s WinSxs - sledoval kód, ale najít takový patchmaker, takže to vše bere v úvahu, to bude myšlenka nejen.
Existuje velmi výhodná příležitost obyčejná okna 7 Semdělení terminálového serveru se schopností připojit a pracovat na jednom počítači několika uživatelů RDP. Může být relevantní malá kancelář Pracovat v 1c přes RDP. Několik lidí bude snadno fungovat na obyčejném počítači.
Faktem je, že vzdálená plocha v serveru VersionsWindows, výchozí nastavení podporuje dvě souběžné připojení k řešení potíží a ovládání počítače. Ostatní uživatelé se mohou připojit současně, pokud máte potřebné licence pro přístup k klientům tento server A auto se s tím může vyrovnat, tj. Má dost zdrojů.
Aby bylo možné povolit více uživatelům pracovat s jedním počítačem současně, musíte tento limit odstranit. Chcete-li to provést, příkaz texw vytvořil univerzální patch. Patch dělá změny souboru teraseRV.dll, který je umístěn v% SystemRoot% System32.
Fashion First.
Patch podporuje:
- Windows XP SP2 SP3;
- Vista SP1 SP2;
- Windows 7;
- Windows Server. 2008 SP1 / SP2.
Objeví se okno, jak je na obrázku výše, kde můžete opravit teraseRv.dll odstranit omezení relací vzdálené plochy nebo obnovit zdrojový soubor kdykoliv (cesta k záložní soubor.: System32 \\ t). Po aplikaci opravy restartujte počítač a můžete začít pracovat.
Chcete-li zkontrolovat odstranění omezení, ponechte otevřenou relaci jednoho uživatele v počítači, kde jste použili opravu a z druhého počítače, zkuste se připojit k počítači vzdáleně od jiného uživatele. Pokud všechno úspěšně šlo úspěšně, oba uživatelé budou aktivní v systému, každý na jeho relaci.
Originál: "http://www.techspot.com/guides/485-windows-concurrent-sessions/"
K dnešnímu dni je další 2 způsoby, jak udělat z terminálu Windows 7 SP1. První s náplastem do knihovny teraseRV.dll, druhý bez. Je vhodnější použít druhý způsob, ale pokud něco nefunguje, můžete použít první. Nyní podrobněji o těchto metodách.
Metoda druhé
Můžete dělat všechno ručně, který to chápe, může to udělat na základě obsahu archivu. Soubor CMD popisuje všechny akce, které budou vyrobeny se systémem. Pro ty, kteří to nechtějí pochopit, je zde install.cmd skript. Chcete-li nainstalovat opravu, musíte jej spustit jménem správce
To je vše. Můžete zkontrolovat, připojit. Je třeba vytvořit Účty Uživatelé, nezapomeňte vyřešit připojení ke vzdálené ploše:
Metoda třetí
Windows XP Professional a Windows XP Media Center Edition (MCE) Mít službu připojení remote Desktop (RDP)který umožňuje vzdáleně připojit počítač, přístup a ovládání z jiného počítače nebo hostitele. Auta na operačním systému Windows XP. Povolit simultánní připojení ke vzdálené ploše Pouze jeden uživatel, který byl k němu připojen, bez několika sezení připojení ke vzdálené ploše nebo podpora podpory.
Kdykoliv se vzdálený uživatel připojuje klientem vzdálená plocha (RDC) Připojení k hostiteli Windows XP., místní uživatel Vypne se blokovací konzolou nebo bez jeho svolení. Vzdálená plochaNa rozdíl od serveru Terminálové služby v systému Windows Server 2003 a Server 2008 je určen pro jednorázový uživatel, bez ohledu na to, zda se jedná o místní nebo vzdálený uživatel.
Tady hack odemknout jeden limit který umožňuje několik současných Vzdálená plocha. Připojení relace v systému Windows XP Professional and Media Center Edition pomocí prodloužené termínyRdlv.dll nebo staré progresivní teraseV.dll montážní verze 5.1.2600.2055, takže neomezený počet uživatelů může současně neomezený počet uživatelů připojení k počítači pomocí vzdálené plochy.
- Stáhněte si kopii prodlouženého, \u200b\u200bkterá odstraní omezení vzdálené připojení Na pracovní ploše odpojené pro vaše windows verze XP:
Windows XP SP3: teraseRV.dll (verze 5.1.2600.5512)
Chcete-li získat informace teraseRV.dll, náplast má obvykle následující hex kódy bity, které jsou přepsány na následující hodnoty:
00022A17: 74 75
00022A69: 7F 90
00022A6A: 16 90
- Restartujte počítač a stáhněte si informace v nouzovém režimu kliknutím F8. Během spouštění a vyberte nouzový režim . Tento krok je nutný pouze tehdy, pokud jste v tento moment Použijte Windows Terminál Services nebo služby vzdálené plochy, Ochrana souborový systém Musí být přeskočen, jinak se zobrazí následující chybová zpráva obnovit původní teraseRV.dll.
3. Purge B. % Windir% System32 A dělej záloha (nebo přejmenovat) teraserv.dll. .
4. Mix nebo smazání teraseV.dll. ve složce % Windir% system32 dllcache.
5. Zkopíručeno teraserv.dll. v % Windir% System32 , % Windir% servicepackfiles i386 (pokud existuje) a % Windir% system32 dllcache .
6. Bod Stáhnout a spustit sloučení hodnot registru v registru, nebo můžete spustit Editor registru ručně a přidat následující možnosti registru:
"EnableConCurrentSessions" \u003d DWORD: 00000001
"AllowMultsessEms" \u003d DWORD: 00000001
7. Klikněte na tlačítko Start -> Provést A zadejte příkaz gedit.msc. , klikněte Enter. Otevřete editor zásad skupiny.
8. Purge B. Konfigurace počítače. -> Administrativní šablony -> Systém Windows komponenty -> Terminálové služby .
9. Vypněte omezte počet připojení a nastavte počet připojení 3 (nebo více). Nastavení umožňuje současně více než jedno použití počítače.
10. Sledujte vzdálenou plochu na kartě Odstraněné vlastnosti systému výběrem přepínače Povolit uživatelům vzdáleně připojit k tomuto počítači. .
11. cound rychlé přepínání uživatelů v Ovládací panely -> uživatelské účty -> Změna přihlášení uživatele nebo vypnutí uživatele .
12. Nahrajte počítač jako obvykle.
I POZNÁMKA Pokud nemůžete nahradit nebo přepsat soubor teraseV.dll - přístup je odepřen nebo chyba souboru, vypněte "Služby termínů" v části "Služby" v části Ovládací panely pro správu. Kromě toho musí mít každé připojené fyzické připojení svůj vlastní uživatelský účet v cílovém počítači a ověřování by mělo být provedeno s příslušným uživatelským jménem a heslem pověření.
Chcete-li odstranit a vrátit se na původní teraseRV.dll, jednoduše odstranit opravenou verzi, stejně jako přejmenovat zálohu zpět na "teraserv.dll". Pokud jsou terminálové služby zahrnuty a pracují, musíte to udělat v nouzovém režimu.
Pokud je počítač S. Windows XP. připojen k doméně, v lokální síť, Okna Bude existovat hodnota regulace "AllowMultiplipletsessions" v "0" pokaždé, když počítač nebude restartován. Aby byl více nebo neomezený počet relací vzdáleného připojení k pracovní plochy povoleno v prostředí domény reklamy, hodnota dat pro "AllowMultSessSessionsessSessions", která musí být nastavena na "1" s každým začátkem systému. Chcete-li změnit hodnotu, stačí restartovat ts_multiple_sessions.bat. Pokaždé, když spustíte počítač. Také put. ts_multiple_sessions.bat. v C: Dokumenty a nastavení Všechny uživatele Hlavní programy menu Složky, takže se automaticky spustí k prvnímu uživateli s právy správce. Dalším řešením je instalace další servis nebo definice klíče v pobočce registru HKEY_LOCAL_MACHINE SOFTWARE. Microsoft Windows. CurrentVersion běh.přes který automaticky funguje dávkový soubor. Při načítání, a to je užitečné, pokud počítač se nezaregistruje u nikoho, ale stále vyžaduje zaměstnanec, aby umožnil neomezené připojení ke vzdálené ploše do práce.
Další věc, pokud se uživatel zavře vzdálené sloučeniny Namísto dokončení relace, když se pokusí znovu se přihlásit, zobrazí se chybová zpráva s událostí TCP / IP. Chcete-li tento problém vyřešit, stáhněte a nainstalujte systém Windows XP TCP / IP, omezíte náplast připojení a ID události a události a nainstalujte připojení alespoň 50.
Tato sestava je postavena na původní podobě Microsoft Windows XP Professional SP3 ruské verze, se všemi aktualizace! Multi-Loading Disc. STAŽENÍ ZDARMA -
Opravit nevýhody RDP. Použití knihovny Wrapper RDP
U stolu operační systémy Microsoft má některá omezení spojená s prací vzdálených ploch. Nejprve je podpora serverové části (RDP hostitel) pouze ve senior edice Windows (není nižší profesionál). V domovských editorech je tato funkce zakázána, takže je nemožné se připojit k aplikaci Yungger Windows verze systému Windows na RDP.
A za druhé, počet paralelních RDP sezení je omezen. Je povoleno pouze jedno simultánní připojení přes RDP, a když se pokusíte otevřít druhou relaci Druhou RDP, systém vydá zprávu, že systém již obsahuje jeden uživatel a vyzve ho k vyřazení.
Vynechání těchto omezení umožní projektu Library Wrapper RDP Stas.PRDP Wrapper pracuje jako vrstva mezi serverem Správce služeb (Správce služeb Service Správce, SCM) a vzdálené plochy. Současně na rozdíl od jiných řešení tohoto druhu nezmění soubor teraserv.dll. (Knihovna používaná službou služby Remote Desktop Services), která umožňuje strach aktualizace systému Windows..
V systému Windows 8/8.1, stejně jako předchozí verze Microsoft Client OS podporováno pouze jeden simultánní příchozí RDP připojení. Tohle znamená tamto windows Compucon. 8 Po vzdálené ploše může současně připojit pouze jeden uživatel (jedna relace), místní nebo vzdálené. Ve většině případů je to dost, ale někdy bych chtěl být schopen současně pracovat několik uživatelů v našich vlastních sezeních. Dobrý příklad Může dojít k počítači jako mediální centrum, při přehrávání videa v relaci konzoly a zároveň potřebujete dálkově pracovat se systémem bez přerušení videa v televizoru.
Rada.Vzdálený přístup RDP nefunguje doma (Home) Windows Editions, musíte upravit Pro nebo Enterprise.
Při pokusu o otevření druhé relace RDP do počítače s Windows 8 se zobrazí zpráva, že systém již byl v systému zaznamenán a jeho relace lze dokončit.
Rada. Přede-ve vlastnostech počítače na kartě Vzdálený přístup (Remote) Musíte přidat účty pro požadované uživatele do místních uživatelů vzdálených ploch. Ve výchozím nastavení je povolen místní administrátoři Remote RDP přístup. Po zapnutí RDP přístupu k vlastnostem systému, Windows Firewall automaticky zahrnuje pravidla umožňující příchozí provoz K portu 3389. Někdy by měla být přítomnost tohoto pravidla zkontrolována ručně.
Například v serverové verzi systému Windows jsou podporovány dvě simultánní administrativní připojení s jednotlivými relacemi (v případě organizace windows databáze Server Server Terminal RDS Server, toto číslo může být ještě větší).
Nicméně, na internetu, najdete speciální patch, který vám umožní obejít toto omezení. Díky této opravě se několik uživatelů současně připojit k RDP do počítače s Windows 8 / Windows 8.1.
Důležité. Použití této opravy je v podstatě porušením licenční smlouva A podmínky používání produktů společnosti Microsoft. Proto všechny operace popsané níže provádíte na riziko.
Náplast zahrnuje nahrazení originálu systémový soubor % SystemRoot% System32 \\ pubreeb.dll (Knihovna používaná službou služby Remote Desktop Services).
- Windows 8 - teraserv.dll-win8.zip
- Windows 8.1 - teraseRV.dll-win8.1.zip
Před výměnou knihovny systému vytvořte zálohu souboru teraseRv.dll s příkazem:
Zkopírujte C: Windows System32 Publesrv.dll teraseRV.dll_old
Pokud se něco pokazí, můžete se vždy vrátit do počáteční konfigurace, nahrazení aktuálního souboru s originálním teraseRV.dll_old.
Stáhněte si archiv knihovny pro verzi systému Windows.
V systému Windows 8 musíte nejprve změnit následující klíče v pobočce registru HKLM System CurrentControlSet Control Server \\ t:
- fenytsconnections.(DWORD) - 0 (Klíč umožňuje počítače)
- fsinglesessionperuser. (DWORD) - 0
Stejná operace lze provést z příkazového řádku:
Reg Přidat "HKLM System CurrentControlSet Control Terminál Server" / v fdenytsconnections / t reg_dword / d 0 / f reg Přidat "HKLM System CurrentControlSet Control Terminálový server" / v FSinglesSionUuser / t reg_dword / d 0 / f
Pak přejděte do katalogu C: Windows System32nalezení souboru. teraserv.dll. a otevřete své vlastnosti.
Ve výchozím nastavení je vlastníkem tohoto souboru TrustedInsterster. A dokonce i správce nemá právo nahradit. 
Obraťme se na kartu Bezpečnostní A klepněte na tlačítko Upravit.. V seznamu Access najdete skupinu místních administrátorů a poskytnout jí úplná práva k souboru ( Plná kontrola) A uložte změny.
Další krok před nahrazením souboru knihovny otevřete konzolu pro správu služeb ( služby.msc.) a zastavit službu Služby vzdálené plochy.
Zkopírujte soubor teraseRV.dll ze staženého archivu pro svou verzi systému Windows v katalogu % Systemroot% system32 \\ t (s náhradou).
Poznámka. Archiv pro. \\ T Windows 8.1. Obsahuje dva soubory 32_termsrv.dll. a 64_termsrv.dll., pro 32. a 64-bitovou verzi systému Windows 8.1. Rozbalte archiv a přejmenujte soubor pro verzi systému v teraserv.dll
Po výměně souboru spusťte službu Remote Desktop Services a pokuste se vytvořit dvě RDP sezení s probaného stroje pod různými účty. Pokud jste všichni správně provedeni, měly by být otevřeny dvě nezávislé relace vzdálené plochy.
Rada. Může být nutné restartovat počítač.
DůležitéDokázal se! Pomocí zkušební verze teraseRV.dll má řadu nedostatků. Hlavní je při instalaci další aktualizace systému Windows 8.1 / 8, může být tento soubor vyměněn. Proto bude nutné použít HEX Editor pro opravu nového souboru pomocí editoru HEX nebo hledat na Internetu Ready-made upravený soubor pro stavitele systému Windows.
Jako řešení, které je odolný vůči nahrávání souborů teraserv.dll při instalaci aktualizací systému Windows, měli byste použít otevřené řešení open source RDP Wrapper Library.(Dostupné na GitHub), který nepřebírá seznam teraserv.dll a je vrstva mezi svorkovnicí a službou SCM. Více informací pomocí RDP. Knihovna Wrapper lze číst.
