Uute versioonide maksmiseks (kui see ei muutnud vastava koodi sektsiooni töö oluliselt loogikat), peate tegema järgmist:
0. Juhised sobivad enam-vähem haritud ja mis kõige tähtsam, intelligentsed spetsialistid, kes teavad, kuidas mõelda. Need, kes on harjunud kõike "koopia" kopeerimise / pasta abil, tundub, ei suuda toime tulla ja suudab kasvatada "moans" ja "inhibeerides", et "paljud Bukov", "raske" või "niasilli" Rohkem hirmud ja stereotüüpe mõtlemise asemel keerukust probleemi. See on nende partii. Sündinud indekseerimist, nagu te teate, ei saa lennata. Ära anna endale kuiva, anoni! Joo jada või äri ja alustada austust ise!
1. Laadige alla - makstud või tasuta versioon Vaatama
Sobivad isegi väga iidsed versioonid 90-ndate aastastest versioonidest, kuid kui teil on vaja X64 plaasterit, siis on vaja 8.x (alates 2000x keskpaigast :)) Parem, muidugi võtta värske. 25-aastase autor on tooted välja töötanud ja programmeerija oskuste täiuslik looming on vähe rohkem kui täiuslik looming.
2. Võtke mõningaid toetatud versiooni - originaali ja panitud versiooni võtma. Kui puudub - ei ole mõistlik eeldada, et see on vajalik selle mõtteka patchiseriga jätkata, ei ole loll! Alusta mõtlemist! Kõik faile Panna eraldi kausta või kausta. Pole vaja proovida midagi ühe koopia süsteemis32. Igatahes midagi juhtub (rekord on blokeeritud süsteemis32) ja nii teha ainult RAMS.
3. Võrdle sama DLL-i paagitud ja mittespetsiifilisi versioone ühetaoliste failide võrdlemisel. Konsooli FC konsooli utiliit siseneb aknad. "Fc / b wesfrv.org wervsrv.crk\u003e diferentseeruvad.txt" toob kasumit kasumit. Erinevuste loetelu ja see on seal väike, 20-le reageerivad read erinevusi.txt faili
Avage fail teksti redaktor Ja või me jätame avatud või ümber kirjutada paberitükki, millest baitid muutusid. Mõjutage kohe ja mõista, et kõik nihked ja väärtused baitide, samuti allpool vaates on näidatud kuueteistkümnendas süsteemis, kuid see ei tohiks "hirmutada" seda, sest see ei pea isegi kõrvaldada kümnendkohta! (Kui te äkki vajate üldise arengu - Windowsi kalkulaatori jaoks.)
Nimekirjas näeme (tuvastada) 3 tavapäraseid plokki, kus aadressid lähevad järjest. Esimene plokk - 2 baiti exe alguses, 140-C-h-ga (DLL-il on sama vormindav vorm, ainus erinevus on see, et välise kõne jaoks on see ainult protseduurid ja funktsioonid - nn . Eksport seetõttu ja seda otseselt täidab, et ex ei õnnestu ümbernimetamine). See on andmed, nihke ruumid langevad ex-faili päisele. Nendel kompensatsioonidel salvestatakse kontrollsumma Andmekood (ilma pealkirjata), mis Windows kontrollib enne käivitamist, veenduge, et fail ei kahjustanud ja midagi ei viitsinud, täpselt, kui nad seda täita. Lähme tagasi neile hiljem.
Seejärel on muutuste plokk umbes 10 baiti. See on just see, mida me õpime. Pärast seda on olemas veel üks muudatuste plokk - EX-SHNIK 6. viimane bait. Sisuliselt langeb asjaolule, et "Zerule" asemel on autor juhtinud oma nime "DeepXW" tühjale kohale. Madal vibu plaastrile ja ideele, kuid me kordame oma "rõõmud", kui see seetõttu on erilise põhjuse plaastri ülekandmisel korrata, siis võib see teha igaüks, kellel on midagi pistmist pikkade talveõhtutega uuringu raames " Nööbid tühjade istmega exe faile, kasutades teavet. Siiski saate seda autori austusena tajuda (lihtsalt "keegi ei loeta).
3. Avatud originaal dll Ühes vaate aknas, pannitud - teises (Alusta 2 eksemplari Hiew! Üldiselt palju mugavam kasutada kaugele - kaks rinnahoidjat, failihalduri ja aluse käivitamise "need teie" Hiew). Mõlemas nupul F4 (režiimis) ja valige Decode (F3). Me näeme algusest lahtivõtmist. Seal on midagi vaadata seal, sest Hiew "püüab" lahti exe faili päise ja see on andmed, ja mitte kood. Ei ole midagi seal vahtima ja ta näitab teile, et see on täiesti normaalne, sest see on vajalik siin mõelda ja mitte "koopia"! Me läheme veel kord ja hakkame mõtlema, et ei ole vaja proovida rumalalt ja sõna otseses mõttes, et täita juhiseid ...
4. Mõlemas vaates (omakorda, kuradi, arvame ...) Vajutage F5 (GOTO) ja me näeme, et sisendvälja ilmus ülaosas. Me sõidame esimese erinevuse aadressi (teisest plokist!) Leiti erinevus faili. Näiteks Win7SP1x86rus, see aadress 19100H piirkonnas ja Vissasp2Eng (X86 või X64 - XS), nagu ma näinud blogi autori - aadressid umbes 65200h. Me kuulume esimese parandatud bait.
Selles vaate aknas andmed on vorm:
- Esimeses veerus - Hex offset - faili algusest või protsessi mälus sõltub ALT-F1 (globaalne-kohalik) valitud vaate režiimist. Vaikimisi näitab lokaalset \u003d nagu mälu, kui vaate saab andmekoodi vormingus lahti võtta. Meie puhul ei esinda see probleem, sest ex-faili vorm võimaldab tal olla lihtne "aru." Seetõttu ei pea te kartma näha 06F2F8D51 asemel kasutusele 19153. Mälu aadress on oluline arusaamise protsessi käsitlemise mõistmiseks, nagu ta vaatab, kui vajate koodi analüüsi, vajadusel.
- Teisel veerus on andmete koodi kuueteistmeline esitlus, mille kood ja millised on andmed, millele juhiseid sisaldavad. Seetõttu, siis iga rida erineva pikkusega. Näitan ainult teie mugavuse huvides. "Tegelikult" (c) failis ise, nad kõik on "pimestatud" koos - järjest, et näete "Lihtne" režiimis Hex andmed (F4-\u003e Hex), kus "rumalalt" Vasak on näidatud Hex baiti läbi ruumide ja paremal - "Crakozyabry" alates ASCII tabelist, mis need baitid vastavad - nagu "mis tahes" vana hea "Hex toimetaja tüüp Winhex, kelle ekraanipilte nägid" mis tahes "Kulkhaqker" veebisait. Me kõik kogu aeg töötavad sama baiti nagu tegelikult arvuti teeb. Küsimus on ainult nende esitlus ja tõlgendus. Kui kopeerida käivitatava faili ketta kettale - kõik andmed ja kood, sest keegi ei tee midagi. Aga see on vajalik määrata Windows, et see on käivitatav fail, käivitada see, kuna aknad lahti oma koodi ja andmete ja käivitab koodi etteantud standard ja päise saidi, mille järel kood käivitatava protsessor loetakse edasi Selle struktuur ja on jagatud uuesti koodi ja andmete ja nii edasi.
F4-\u003e dekodeerimisrežiimis, meie asemel "Krakoyar" näitab baiti ja "tõelise tähenduse" asemel.
- Kolmandas (paremal) ja suurimas veerus (täpsemalt veerupaar) näitab koodi teksti lahtivõtmist - tekst, nn. "MNEMONIC" esitlus selle väga koodi (kokkupanek keelt), mis on ette nähtud lihtsustatud ja arusaadava arusaama jaoks "mõistliku mehe jaoks", oma imelise analoogse assotsiatiivse mõtlemise, äärmiselt raske tajumisega abstraktse "alasti" koodijärjestustega.
5. Lülitudes soovitud nihke eelmises lõigus, näeme, et kursor (väävel on :)), näitab 6-baidise käsu algust (X64-s võib olla rohkem baiti) vastava "demonteeritud" juhendamise tüübiga CMP EAX,
Kui te võtate ühe liini üle ja veidi madalam, vabastatakse tüübi tüüp:
Mov EAX,
CMP EAX,
JZ .06F30B25E.
EDI
Push 020.
Helista .06F2E1440
Pop ECX
Selle disaini mõistmiseks ei ole vaja olla "kokkupanek connoisseur", kuigi on soovitatav kasutada vähemalt põhiteadmisi teemal "Programmeerimine igal Zyyka". Kuid inglise keele oskus ei takista kedagi!
Esimene juhendamine (mis ei patrull, see on "üle esimese erinevuse") nimega MOV - Mis, vabandust, esimene assotsiatsioon tuleb meeles inglise keeles? - See on õige - liikuge - st. Liikuda. Juhised argumendid lähevad teise "podstolebce". EAX ja EDI on nn. 32-bitised registrid on ühe mälu rakud, mis on ette nähtud andmete salvestamiseks nende töötlemise käigus. Peaaegu kõik sama tüüpi registrid, teoreetiliselt, saab kirjutada midagi, kui ainult ta sai, kuid mõned neist on traditsiooniliselt kasutatud nende konkreetsete tüüpide salvestamiseks (nii nagu mitte segaduses), näiteks EAX, EBX, ECX, EDXi kasutatakse otse "kasutaja andmed", lisaks ECX Traditsiooniliselt läheb meetri (näiteks tsüklid näiteks) ja ESI, EDI - nagu viiteid teatud praeguse positsiooni mällu, aadressid, millega töötada. Ja osa registrite riistvarast sõltub ja nende "parem mitte puudutada" - näiteks IP-register sisaldab aadressi automaatselt praegune juhendamineMis protsessor teostab, ja kui te üritate salvestada mõned teie andmed seal - muutuja oma programmi, siis protsent toad juhistele selle aadressi ja kõik jookseb. ESP - näitab stack - omamoodi "pudel", kus see esimene ronis, viimane tuleb välja (lõpuks välja arvatud fist), mis on ette nähtud andmete ajutiseks hoidmiseks, mis ei ole registreeritud, kuid see ei ole mõtet Nende mällu tagasi sõita, kasutatakse varsti. Andmetega töötamine, tavaliselt teatud bait - 8bit, sõna on 16-bitine, pikk sõna - 32bit või kahekordne pikk sõna 64bit (64-bitiste protsessorite puhul) paigutatakse mälust registrile. Lühiteandmetega töötamiseks võite pöörduda registri osadega (EAX koosneb AX-st - alt 16Bit ja Ah ja Al - osad kirves ise), kuid see on väljaspool meie probleemi. Siis tehakse teatud mattide ümberkujundamine registris olevate andmetega, mille järel tulemus pannakse tagasi mällu - ühe või teise raku pingul või muu, mis on esile tõstetud autori (või selle kompilaator) programmide poolt.
Square'i sulgudes näitavad aadressid. Kui teil on vaja mälukambrist andmeid mõnele aadressile ja mitte aadressile ise, kirjutate lihtsalt aadress ruuduklassidesse. Tüübi disain tähendab, et andmed tuleb võtta mälukambrist, millel on aadress, mille väärtus saadakse ESI + 324H-registris väärtuse lisamisega. Komplektis on tavaline selgemalt kirjutada, kuid teabe autor oli selguse jaoks nii võimalik näidata nii võimalik. Heardi käskude sisestamisel võtab suurepäraselt standard tüüpi tüüpide kujundusi, mis on toodud allpool.
Kokku me mõistame, et see juhend võtab aadressile andmeid (4bit \u003d 32bit) ja paneb need EAXi registrisse. Järgmine juhend ((mis on juba plaastrid) - CMP. Esimene asi, mis tegemist on kerge, hoolikalt, ma õppida inglise keeles koolis on võrrelda. Me räägime võrdlusest. Vastasel juhul on sama asi nagu eelmises juhendis . Ainult naabruses aadress. Juhised
CMP EAX,
Võrrelda EAXi sisu ja mälukambri sisuga aadressil. EAX-i registris sõitis eelmise juhis naaberrakkude arv. Nüüd võrreldakse seda rakust arvuga. Mis on keeruline, vabandust? Sa võid õpetada RAM! See on kindlasti lihtsam kui "multi-kilomeetri" objektid mingi govnezub, venitades tuhandeid omadusi, kus saate uputada ...
Aga tulemus? Võrdle võrreldes, hästi, mis on tunne, küsib tähelepanelik lugeja ... Kuidas teada, kus koer rummimaged? Ja tulemus salvestatakse spetsiaalregistri lipute lipud. Selles reserveeritud registris tähendab iga bitt teatud märkeruut. Eelkõige on null-null lipp. Kui võrdlusjuhiste täitmise tulemusena selgub, et numbrid on võrdsed, purustatakse märkeruut (1), kui mitte, siis langes (0) (või Adrches liiga laisk, et vaadata koos a deposiit - see ei ole oluline). Samamoodi on veel üks märkeruut rohkem või vähem märk. Flags muudetakse sellest tulenevatest juhistes nende muutmiseks ja jääb nende positsioonile, kuni neid muudetakse teiste nende seisundi mõjutavate juhiste täitmise tulemusena. Seetõttu saame pärast CMP-d täita kõiki muid juhiseid sõltuvalt märkeruut olekust, kuni täidate seda, mis seda muudab. Lipude staatust loetakse tingimusliku ülemineku ja mõne muu juhiste järgi ning nende juhiste puudumine muutub mõneks muuks ja rutiinseks.
Järgmine juhendamine on tulemas
JZ .06F30B25E.
Juhised, mis algavad j [peaaegu] kõik keskmine hüpata - hüpata, s.t. Üleminek teisele kohale. See juhend Viitab tingimusliku ülemineku juhistele ja dekrüpteerimise juhistele hüpata, kui null - s.t. Mine aadressile, kui see on null lipp. Kui märkeruut ei ole seda väärt, "midagi ei juhtu." Argumendina antakse üleminekuade aadressil (need on erinevad, suhtelised või absoluutsed, "kaugel" või "lähedal" mälu. Siin on aadress programmi aadressiruumis, kuna see on konfigureeritud exe päise poolt, Ei ole mõtet, see ainult raskendab. Kui eelmine juhendamine näitas argumentide võrdsust, toimub üleminek, kui mitte, ei juhtu protsessor järgmisele juhile.
Järgmised 2 juhiseid
EDI
Push 020.
Me mäletame, et inglise surve tähendab, lükake. Siin tähendab see numbrite juhtimist ajutises ladustamispakendis. Sageli salvestada muutujad enne protseduuri sisestamist, PC protseduuri sees, registrid saab kasutada muudel eesmärkidel ja kasutades virna saate salvestada väärtused registrite ja edastada argumendid, mis tõmbavad neid välja Sealt pärast selle sisenemist ja tulemused blokeeritakse, kui nii on olemas ja vajalikud. Mugavus on see, et oluliste mahtude ajaandmete salvestamiseks ei ole vaja hoolitseda aadressiruumi eraldamise eest. Kui teil on vaja massiivi läbida - anna see lihtsalt mälu aadressile. Kõik massiivi elemendid edastavad mingit põhjust, see on ainult kasutu deferable mälu ja töötleja aeg, sest seda tehakse BydLooding'i ajal. (Kui teil on vaja salvestada originaal koopia massiivi põhineb loogika töö - see on teine \u200b\u200bolukord ja programmeerija ise teadlikult algatab kopeerimise massiivi eesmärgil replikatsiooni.)
Kui töötate koos virna, meede ise hoolitseb kõike - Stack ala on esile tõstetud operatsioonisüsteemi ajal riistvara toetust Proteas.
Esimene juhend säästab EDI - pointeri registri väärtuse teatud mäluvalrule ja teine \u200b\u200bpeatub eelnevalt eelnevalt kindlaksmääratud konstantse 20 tunni jooksul. Tõenäoliselt teatav menetluse argument, kuid see ei ole meile oluline, sest ei ole vaja analüüsi teha, et plaastri autor tegime - teeme valmis plaastri teise programmi versiooni ja see tavaliselt!
Järgmine juhendamine
Helista .06F2E1440
Inglise kõne puhul tähendab helistamist, helistamist.
Me räägime kõnemenetlusest. Puuduvad nimed protseduuri koodimenetlustes - seal on aadressid, kus nende kood asub. Mugavuse, demonteerimised (sh HIEW) võivad välja tõmmata nimed protseduuride ja funktsioonide nimed impordi ja ekspordi EXE faile (perspektiivi on suheldud seal erinevad programmid Ja "raamatukogud" pärast koostamist ja menetlusi antakse nimed, mille jaoks neid saab helistada teisest programmist, kuid sisemisi protseduure ei nimetata pärast koostamist). Allikates olid nimed, muidugi olid, kuid pärast koostamist nad ei saanud ... Ainult koht oleks hõivatud. Protsessor ei pea teadma kellegi nime, ta peab numbreid ... mõnikord dekomporsioone / dissagembler suutnud välja tõmmata nimed protseduuride silumisteabest (kui teine \u200b\u200bBydLoodner unustasin selle lõigatud ja paistes suurus binaarne kasutu suurus Info) ja see on kasulik koodi analüüsimisel, kuid meie puhul isegi ei hooli see. Me ei pea aru saama, miks see protseduur on vajalik ja mida ta teeb ... Ma tuletan teile meelde, meil on valmis plaaster ja kui teil õnnestub üle kanda "ilma seikluseta", et teda ja ei vaja.
Viimased juhised
Pop ECX
Pop-toiming pöördvõrku - s.t. Tõmmake viimane draiv välja väärtus. Sel juhul ECX registris. Tõenäoliselt vajab see juhend menetluse tulemus, kuid me ei hooli ka, sh. Ja kuna see juhend, nagu 2 push-a eespool ja helistada, pärast plaastrit ei muutu ja antakse mõnda üldist esitlust ja plaastri maamärgina. Pärast plaastri, kõik need juhised jäävad paigas, samuti kõigile pärast neid.
6. Nüüd me võtame panteeritud Tingimused teises vaate aknas samas aadressil, vaatame, milliseid juhiseid on olemas.
Mov EAX,
Mov EAX, 000000100
nop.
MOV, EAX
EDI
Push 020.
Helista .06F2E1440
Pop ECX
Erinevused on nähtavad ainult teises, kolmandas ja neljandas juhris.
Teine mov EAX, 000000100
Lihtsalt sisestage EAX-i registris konstantse 100h (\u003d 256)
Kolmas NOP.
Kõige "naljakas" \u003d müoperatsioon - midagi ei tee midagi ja igavesti. Miks ta vajab? Ja ma vajan seda sünkroniseerimise joondamiseks koodi andmetega. Fakt on see, et originaali ja paanika koodi mõõtmed peavad täielikult kokku langema baitide ja meeskondade piiri (koos nende argumentidega). Kui midagi on nihutatud vähemalt üks bait, töötleb protsessor "mitte seal," tajub teatud argumenti juhiseid, käsu ja baitide jaoks - kui selle käsu argumendid, isegi kui seal on erinev käsu kood . Kõik sööb kohe ja surmavalt. 99%, et programm lendab surmaga lõppeva veaga. NOP käsk on 90h koodi ja võtab ühe bait. Kui on olemas liigne kood, mis ei ole plaastri tähenduses vajalik või isegi kahjulik, võib seda asendada nii paljude NOPS-i argumentidega, kui palju bait see võtab. Häkkerite hulgas nimetatakse seda ronimiseks või uppumiseks. Tegelikult on see ainus võimalus kustutatava koodi liigse koodi kustutamiseks, sest see ei ole tekst ja mis tahes "" keskmise "lõigatud" "lühendamise eesmärgil" toob kohe kaasa sellele, mida nad liiguvad, sööb kõiki aadresse ja ei tööta üldse. Ja "halvim" juhtub siis, kui uus kood, mis tuleb asendada vanaga, ei ronida "vana" kohale ... siin ta algab peavalu häkrist - kuidas seda tõmmata ...
Neljas mov, EAX
Asetage number mälukambris EAXi registrist
Põhimõtteliselt kolmandat ja neljandat või kolmandat ja teist juhiseid saab muuta kohtades - see ei muuda midagi. Aga see on võimatu eemaldada NOP kuidagi, sest uued käsud piki koodi pikkust baiti on vähem kui vana ja selline lahknevus, kui see ei parry Nop-Ohm viib kohe kaasa sünkroonimisrada.
Võrdlus "Asjaolu, et see oli" kohe paneb kõik oma kohale!
See oli - võtta number rakust, võrrelda seda number rakust. Kui te olete võrdne, siis "kuskil" hüpata, kui mitte, siis mine edasi ja täitke protseduur. Probleemi kontekstis meenutab seda võrdlust lubatud ühenduste arvuga lubatud (s.o 1 puhul) tööjaam või 2 serveri jaoks). Limit salvestatakse mõne konstantsena, mille aadress on täpsustatud võrdlusjuhistes.
Mis juhtus - võtta number rakust, skoor "see äri" ja kohe üle kirjutada väärtus EAX Constant Registreeri 100H (\u003d 256 - IE ilmselt uue piiri 256 ühendused), seejärel panna see number kamber
Keegi ei võrdle midagi, protseduuri, mida nimetatakse allpool on alati lõpule viidud. Lisaks on rakus, kus ilmselgelt on ühenduste piirmäär "sunniviisiliselt" kirjutatud uuele piirile \u003d 256 juhul, kui kusagil mujal programmi teises kohas on selle piiri kontrollimise. SEE ON KÕIK! On raske midagi primitiivsemalt tulla!
Kui me pidime selle koha otsima oma, tahaksin jälgida selle DLL-i menetluse silumist, nagu plaastri autor või demonteerib kõike nagu IDA ja hoolikalt uurida koodi, mis sisaldab hoolikalt sadu tuhandeid juhiseid. Aga meil on kõik valmis! See on nagu nali mehaanik, kes kord viskas haamri ja auto alustas, kuid peatündvus on see, et ta teadis, kus koputama ja see maksab palju tööd. (Lihtsalt ärge vajate siin raha - tõmba neid oma perset! Eriti Aprisisoni suurepärases puhkus! Lovers "Internetis kasum" - on spetsialiseerunud saite.)
Miks plaaster ei tööta kõigis järgmistes versioonides - sest aadresside muutus ja kood (selle argumendid) muudab kogumise ajal veidi. See toob kaasa soovitud koodi nihkumine exe sees teistesse ümberasustesse ja kui te otsite allkirja all allkirjaga (ranged baitide järjestus), ei pruugi see häireid leida. Paljud aadressid on ka juhiste argumendid ja binaarse koodi muutmine dislassitavustele, hoolimata asjaolust, et see on kõik sama ... tehke seda käsitsi! Sul on pea minu õlgadele, mitte "range konvolutsioonide järjestus" ...
7. Nüüd originaal-Terminsrv.dll versioon, mis patcher plaastrid, peate leidma mingi ainulaadne, kontekstis programmi, baitide järjestuse lähedal asuva koha lähedal, mis tuleb seda valada uus versioon TERWV.DLL, et soovite jätkata, kuid patcher ei lase ...
On vaja vaadata dispotterbleblerit, kuid otsida baitide jaoks talle sobivaid ja kui valite midagi liiga "lihtsa", siis kohtub selline kombinatsioon mitu korda otsides ja õiget kohta on raske leida, see "uppumine" seas hunniku teiste sarnaste. Ja me oleme äärmiselt oluline "täpsuse täpsus", sest kui te jätkate "mitte seal", siis see ei tööta ja siis aknad ripuvad ...
Valige pikaajaliste fikseeritud aadresside otsinguringi juhised ei saa olla. Teiste versioonide koostamisel söövad nad tõenäoliselt ja te ei leia uues versioonis midagi.
Kogu protseduur on koht, kus kontroll toimub väike, vaid paar tosinat meeskonda. Kokkupanekuks on "midagi." Hiew näitab teile protseduuri tingimuslikke piire kui "ansamblid" _ ^ _ ^ _ ^ _ ^ _ ^ _. Pange tähele, et menetluse alguses on apellatsioonkaebus aadressile "Import" protseduur Windows API - CDEFPOLY :: Päring ja vaate See on õigus (nii funktsiooni nimi ja kirjutas). See peaks olema teie jaoks hea orientatsioon õige koht. Lisaks sellele on see "Kakbe vihjed", mis võib-olla on probleemi lahendamiseks teistsugune võimalus, näiteks terminali serveri käitumise eest vastutava "salajase" poliitika leidmine. Need, kes soovivad, saavad koodi salvestada siluri poolt ja otsige, kuidas muutuja või konstant alustatakse ühenduste arvuga. Aga otsingutringi "kood cdefpolicy" ei sobi, sest protseduuri aadress impordi tõenäolisem sööb uue versiooni. Püüan otsida baitide algusest pärast cdefpolicy. Seal läheb:
57 Push EDI
6A10 Push 010.
8BF1 MOV ESI, ECX
33dB Xor EBX, EBX
57 6a 10 8B F1 33 dB
Lõpuks saate lisada rohkem E8 kõneõppekoodi, mis läheb järgmisele, kuid mitte selle argumendile (järgmine bait), selle aadressi jaoks ja seda muudetakse uute versioonide koostamisel.
Selline järjestus annab mulle vaate otsimisel (F7-otsing)
Kokku 3 kokkusattumus ja Cdefpolicy kõne on nähtav kontekstis vaid ühe juhtumiga - esimeses. Kui teil on ka koht leitud, kirjutage oma aadress esimesest veerus (pärast ALT-F1 - Global!) "Pärast paberile" ja proovige plaastrit.
Kui kood on muutnud nii palju, et midagi ei leia, otsime teisi ainulaadseid järjestusi, sh. Külgnevate protseduuride all ja proovige neid otsida. Ülesanne - leidke soovitud koodKui "kõik langeb kokku tähenduses", mitte järjestus, mõtleme sellele ja vaatame konteksti, püüdes otsida cdefpolicy :: päring uues versioonis. Te saate otsida teksti cdefpolicy :: päringu New.dll, leiad stringi (mitu korda), kuid mitte koht, kus seda nimetatakse. Selline meetod aitab mõnikord leida soovitud F6 (viide) vaate abil ja mul õnnestus leida õige koha DLL-is Win7sp1x86R-st eksperimendi huvides, kuid mitte asjaolu, et kõikjal õnnestub, isegi rohkem muud programmid).
8. Nüüd peate võtma Dermsrv.dll versiooni, mida vajate plaastrile. Me käivitame teabe kolmanda koopia, avame selle uue DLL-i "(selleks, et hõlpsasti vahetada kõik kolm ja võrdle visuaalselt). Leiame õige koha, nagu on kirjeldatud veidi kõrgem või minna aadressile, mis kirjutas "paberile" (paberitükk - programmeerija sõber selles läikivas maailmas, kus sa saad kõvakettad, lööb liiklusummikuid ja ripub OS).
Analüüsime Cdefpolicy'i all olevat koodi :: Päring ja kergesti leida õige koht sarnane:
CMP EAX,
JZ .06F30B25E.
Me mõistame, et aadress, aga kui ta on näiteks muutunud, on see vajalik aadress ja toimimine tulevikus paremale.
9. Kui sa olid veendunud, et ma leidsin täpselt, mida see on vajalik, vaadake kursor CMP-juhendisse ja vajutage julgelt F3-Redigeeri. "Hall" kursor muutub "normaalsele" (ekraani tekstirežiimi jaoks) - asendamine. See peaks näitama sama CMP juhendit.
Vajuta vahekaarti (või F2) ja Assembleri juhendamise dialoogi ilmub.
Sisestage juhised seal
Mov EAX, 100
Seejärel sisestage. Põhiekraanil on näha, et juhendamisest "muutunud bait" muutus ja mõned neist sai "kuldseks" (kollaseks). Samal ajal näitab alltoodud juhiseid "liikunud" ja õiges veerus, mis vastas nende vastas "Belred" - mitte üldse mitte, mis seal oli varem.
Käskide sisestamise dialoog peaakna üle jätkab "riputada" ja oodake uute juhiste sisendit, näidates mingisugust järgmist, valesti tõlgendanud aadresside kongressi tõttu valesti.
See juhend ei maksa vähimatki tähelepanu ja juhtige järgmist.
Vbe Nop ja vajutage Enter
Enamasti Windows kollased valgustatud järgmine string koodiga 90.
Sünkroonimine taastatakse ja järgmine käsk on jälle JZ. See pakutakse muudab juhiseid sisenddialoogi.
Sõitke seal
MOV, EAX
Kui 320 asemel CMP käskis oli erinev aadress, siis sõita seda!
Vajutage Enter. Pärast seda süttib kood koodi 3 reaga, mille paremal peaks olema manuaalne Mov, EAX (või mitte 320 ja juhitava number).
Me kontrollime, et ma ei liiguta andmete koodi sünkroniseerimist. Järgmine juhend peaks olema push EDI (või muu, kui kood on oluliselt muutunud ja teil oli erinev juhis plaaster - see peaks jääma minu kohale ja õigesti tõlgendada, mis näitab, et kõik on OK tema kõrval).
Kui kõik koputasid, vajutage OEC. Juhised INPUT-dialoog kaob, kuid seda saab uuesti helistada igal ajal (redigeerimise režiimis), vajutades tab. Kõik modifitseeritud baitidel on kollane. Kontrollige, et kõik tundub õigesti, kusagil pole kaetud. Keegi ei kontrolli teid siin, ei "Kaitse lollite vastu" mis tahes auastmest ja pealkirjast. Keegi ei pea Regaliat arvestama. Mida nad tegid - nad said. Nault - see riputab ja töö ei.
Kui kõik on vajutada F9 (update). Muudatused salvestatakse ketta failis ja modifitseeritud baiti muudab värvi tavalisele (tsüaan).
10. Nüüd peate eksiste kontrollsumma parandama. Tehke seda enne hullumeelsust igav, vaata vaate selle töö teile ja teha peaaegu midagi teha. Klõpsake nuppu F8 (päis). "Hall Santasp" aken ilmub Exe faili päise parameetrite "dekodeerimisega".
Klõpsake nuppu F3 (redigeeri). Aken "mitte-helge" peal ilmub lilla "Värv" lilla. See loetleb kõik päise parameetrid, mis näitavad nende aadresse ja väärtusi. Mis igav nägu lehed lähemale lõpus ja leida kontrollsumma parameeter seal. See on märgitud paremal (tegelikult kontrolli kokkuvõte) kuueteistkümnend- ja kümnendkoha väljendusega "pärandina" algsest käega failist. Vajutame F3 uuesti ja ime, string värvitud kollases ja kontrollsumma muudab selle väärtust. Me võime uskuda vaatet ja me leiame foorumitel või raamatutes ja arvutada käsitsi. Kui "Kõik on rahul" klamber F9 (update). Window vilgub, kõik kaob ... See on lõpp, arvab, et see on suunatud lugeja. Aga kui tolm langeb, selgub kontrollsumma õigeks. Inspections saab jälle minna mainitud dialoogi ja võrrelda kontrollsumma hoolikalt salvestatud täitmise kohta Bakapi paberile. Saate lahkuda vaate ESC-st ja liikuda oma osa testimise etappi.
11. Olles saanud panteeritud faili, saate proovida asendada TYSRV.DLL sihtmärgi OS-is.
Akende kaitsemehhanismide tõttu muutuvate süsteemide failidest, samuti salvestamise keeld running programmid Rikkumise jagamine) peab lõpetama terminaliteenuste osutamise (vt teiste ülaltoodud kasutajate märkusi) ja asendades DLL-i koopiad "WinSxs" ITP-s, nii et volitamata aknad isegi mõtlevad katsetamise katse taastamiseks.
Kui kõik toimib, siis olete saanud Kulkhakkeriks või tegi selle tee jaoks esimese teadliku sammu. Keegi ei häiri teid üles valima ja edasi õppima, muutes maailma paremaks ja kinderiks. Nete \u200b\u200bon palju juhiseid ja tervet temaatilisi foorumeid neile, kes soovivad oma pead mõelda ja mitte ainult tarbida korrutades porn maatriksi.
Ärge skoorge modifitseeritud baitide loendist (saate selle kõigi samade "FC / B-faili1-faili2") abil teiste, vähem keerukamate kasutajate jaoks, siin ja / või muudel ressurssidel, teha head naaber Issand pärandas ja ülistage oma nime häkkeriajaloo Annals'is.
Muudatuste loendi kohaselt saate teha .crk-faili (plaastrid, mis mõistavad seda iidset vormingut), või valmistada plaaster.exe mis tahes plaastri tegija abil, on evolutsiooni aastate jooksul kirjutanud kümme ja sadu. Lihtsalt vali siis "koos windowsi toetus Vista / 7 "Vanade jaoks, kuigi hea sobivad, kuid ei tea midagi suurepäraste privileegide kohta ja Windows ei võimalda neil rumalalt lubada neid Windowsi / süsteemi või programmifailide plaastrit. Juhendis mainida nõuet peatada terminalide teenuse või kasutades plaastrid faile üksikute kaustade, millele järgneb alammenüü süsteemis32 poolt kasutajate ise. Igal juhul avaldage muutuste loetelu, ärge põletage "Lavra", keegi võib-olla keppida käsitsi ja infot leiab alternatiivse lahenduse. Autori patchker teeb seda kõike automaatselt, sealhulgas töö WinSxsiga - vaatasin koodi, kuid leidke selline patchmaker, nii et kõik see arvestab, seda ei mõtle mitte ainult.
On väga mugav võimalus teha tavalised aknad 7 Terminali serveri semblus võime ühendada ja töötada ühe arvutiga mitmetele RDP kasutajatele. See võib olla asjakohane väike büroo Töötada 1C-s RDP kaudu. Mitmed inimesed saavad kergesti töötada tavalise arvuti abil.
Fakt on see, et serveris versioonide kaugtöölaundwindows, vaikimisi toetab kahte samaaegset seost arvuti tõrkeotsingu ja juhtimise juhtimiseks. Teised kasutajad saavad ühendada samaaegselt seni, kuni teil on selle serveri jaoks vajalikud kliendiliinad ja masin suudab sellega toime tulla, s.t. Sellel on piisavalt ressursse.
Selleks, et võimaldada mitu kasutajat töötada ühe arvutiga samal ajal, peate selle piiri eemaldama. Selleks on DeepXW käsk loonud universaalse plaastri. Plaaster muudab tingimustes TerminsV.dll faili, mis asub% Systemroot% süsteemis32 \\ t
Fashion esimene
Patch toetab:
- Windows XP SP2 SP3;
- Vista SP1 SP2;
- Windows 7;
- Windowsi server 2008 SP1 / SP2.
Ilmub aken, nagu ülaltoodud pildil, kus saab plaaster Tysrv.dll plaaster, et eemaldada kaugtöölaua seansi piiramine või taastada allikafail igal ajal (tee varundusfail: Windows System32 calrv.dll.Bacpep). Pärast plaastri rakendamist taaskäivitage arvuti ja saate alustada tööd.
Piirangu eemaldamise kontrollimiseks jätke ühe kasutaja avatud seanss arvutisse, kus te rakendasite plaastrit ja teisest masinast, proovige ühendada arvutiga kaugjuhtimispult teise kasutajaga. Kui kõik läks edukalt, on mõlemad kasutajad süsteemis aktiivsed iga istungil.
Original: "http://www.techspot.com/guide/485-Windows-concurrent-Sessions/"
Praeguseks on Windows 7 SP1 terminalist veel kaks võimalust. Esimene koos plaaster Terminsv.dll raamatukogu, teine \u200b\u200bilma. On eelistatav kasutada teist viisi, kuid kui midagi ei tööta, saate kõigepealt kasutada. Nüüd üksikasjalikumalt nende meetodite kohta.
Teise meetod
Te saate teha kõike käsitsi, kes seda mõistab, võib muuta see arhiivi sisu põhjal. Sisse cMD-fail Kõik toimingud, mis on valmistatud süsteemiga on kirjeldatud. Neile, kes seda ei taha mõista, on install.cmd skript. Plaastri paigaldamiseks peate seda halduri nimel juhtima
See on kõik. Saate kontrollida, ühendada. Vaja luua kontod Kasutajad, ärge unustage lahendust kaugtöölauaga lahendada:
Kolmas meetod
Windows XP Professional ja Windows XP Media Center väljaanne (MCE) Kas teil on ühenduse teenus kaugtöölaual (RDP)Mis võimaldab teil kaugjuhtida arvuti, juurdepääs ja juhtimine teisest arvutist või vastuvõtva. Kuid autod operatsioonisüsteemis Windows XP. Luba samaaegselt Ühendage kaugtöölauaga Ainult üks kasutaja, kes oli sellega ühendatud, ilma mitu istungi kaugtöölauaühendused või toetada toetust.
Kui kaugkasutaja ühendab kliendi kaudu kaugtöölaual (RDC) Vastuvõtva ühendamiseks Windows XP.Kohalik kasutaja on konsoolilukuga välja lülitatud või ilma selle loata. KaugtöölauaErinevalt Terminal Services Server Windows Server 2003 ja Server 2008, see on mõeldud ühekordselt kasutajal, olenemata sellest, kas see on kohalik või kaug kasutaja.
Siin hack ühe piiri avamiseks mis võimaldab mitu samaaegset Kaugtöölaua. Ühendused Windows XP Professional ja Media Center Editionis, kasutades kas pikaajaline mõisted või vanad progressiivsed mõisted või vanad progressiivsed mõisted Ühendage arvutiga kaugtöölaua abil.
- Laadige pikaajalise koopia alla, mis eemaldab piirangud kaugühendus Töölauale, mis on teie jaoks lahti ühendatud windowsi versioon XP:
Windows XP SP3: TERSSV.DLL (versioon 5.1.2600.5512)
Et saada TYSRV.DLL-i teavet, on plaastris tavaliselt järgmised Hex-koodide bitid, mis on üle kirjutatud järgmistesse väärtustesse:
00022A17: 74 75
00022A69: 7F 90
00022A6A: 16 90
- Taaskäivitage arvuti ja alla laadige teave turvarežiimis klõpsates F8. Käivituse ajal ja valige turvarežiim . Seda sammu vaja on ainult siis, kui olete sel hetkel Kasutage Windowsi terminaliteenuseid või kaugtöölaua teenused, Kaitse faili süsteem Tuleb vahele jätta, vastasel juhul ilmub järgmine veateade, et taastada algse mõistete taastamine.
3. Puhastage B. % Windir% System32 Ja teha varukoopia (või ümbernimetamine) tERWRV.DLL. .
4. Segage või kustutage mõisted. Kausta % Windir% System32 DllCache.
5. Kopeeri laaditud tERWRV.DLL. sisse % Windir% System32 , % Windir% ServicePackfiles i386 (kui see on olemas) ja % Windir% System32 DllCache .
6. Punkti allalaadimine ja käivitamine Registri registri väärtuste ühendamiseks või registriredaktori käivitamine käsitsi ja lisage järgmised registri valikud:
"EnbleconCurrentSussions" \u003d DWORD: 00000001
"LickMultssSSSSMS" \u003d DWORD: 00000001
7. Klõpsa nupule Alustama -> Teostama Ja sisestage käsk gpedit.MSC. , klõpsake SISENEMA Kontserni poliitika redaktori avamiseks.
8. Puhastage B. Arvuti konfiguratsioon. -> Haldusmallid -> Windowsi komponendid -> Terminaliteenused .
9. Lülitage välja piirata ühenduste arvu ja seadistage ühendused 3 (või enama). Seadistus võimaldab samaaegselt rohkem kui ühte arvuti kasutamist.
10. Jälgi kaugtöölauda kustutatud süsteemi omaduste vahekaardil valides lüliti Laske kasutajatel selle arvutiga kaugjuhtida. .
11.Kound kiire kasutaja vahetamine sisse Juhtpaneelid -> Kasutajakontod -> Kasutaja sisselogimise või sulgemise muutmine .
12. Laadige arvuti üles tavalisena.
Märgin, kui te ei saa asendada ega kirjutada Terminalifaili - juurdepääs keelatud või faili viga, lülitage "terminiteenused" haldusjuhtpaneeli "Teenused" osa "Termin Services". Lisaks peab iga ühendatud füüsilise ühenduses olema oma kasutajakonto siht arvutis ja autentimine tuleks läbi viia sobiva kasutajanime ja parooli volikirja.
Kustuta ja naasta originaal-Tysrv.dll lihtsalt kustutada korrigeeritud versioon, samuti ümber varundada backup tagasi "Tysrv.dll". Kui terminaliteenused on kaasatud ja töötavad, peate seda tegema turvalises režiimis.
Kui arvuti S. Windows XP. domeeni ühendatud kohalik võrk, Aknad Iga kord, kui arvuti ei käivitata iga kord, kui arvutit ei käivitata. Selleks, et mitmekordse või piiramatu arvu kaugühenduse istungite arvu töölauale lubatakse reklaami domeeni keskkonnas, andmete väärtus "lubadustelsesssesssions" jaoks, mis tuleb määrata iga süsteemiga "1". Väärtuse muutmiseks, lihtsalt taaskäivita ts_multiple_sesessions.bat. Iga kord, kui arvuti käivitate. Ka panna ts_multiple_sesessions.bat. sisse C: dokumendid ja seaded Kõik kasutajate põhimenüü programmide käivitamine Kaustad nii, et see käivitatakse automaatselt administraatori õigustega esimesele kasutajale. Teine lahendus on paigaldada lisateenus või peamine määratlus registri haru HKEY_LOCAL_MACHINE tarkvara. Microsoft Windows. Currentversion Run.Mille kaudu partiifaili automaatselt käivitatav ja see on kasulik, kui arvuti ei registreeru kellelegi, kuid nõuab siiski töötajat, kes lubab piiramatuid ühendusi kaugtöölauale tööle.
Teine asi, kui kasutaja sulgeb kaugühendid Selle asemel, et lõpetada seansi, kui ta püüab uuesti sisse logida, ilmub veateade TCP / IP-sündmusega. Selle probleemi lahendamiseks, allalaadimine ja installimine Windows XP TCP / IP, ühendamise ja sündmuse ID 4226 plaastri piiramine ning paigaldada ühendus vähemalt 50.
See komplekt on ehitatud Microsoft Windows XP Professional SP3-i vene versiooni algsele vormile, kusjuures kõik uuendused! Mitmekordse plaadiga. TASUTA ALLALAADIMINE -
Parandama rDP puudused. RDP Wrapper raamatukogu kasutamine
Tabelis operatsioonisüsteemid Microsoftil on kaugtöölaudade tööga seotud mõned piirangud. Seega kõigepealt on server osa (RDP host) toetus ainult Windowsi kõrgemates väljaannetes (mitte madalama professionaaliga). Kodu toimetajates on see funktsionaalsus keelatud, mistõttu on võimatu suhelda nooremate Windowsi versioonidega RDP-le.
Ja teiseks on paralleelsete maaelu arengukava seansi arv piiratud. Ainult üks samaaegne ühendus RDP kaudu on lubatud ja kui proovite teise RDP seansi avada, väljastab süsteem sõnumi, et süsteem sisaldab juba ühte kasutajat ja palub seda visata.
Nende piirangute möödumine võimaldab projekti RDP ümbrisraamatukogu poolt stase.RDP ümbris töötab teenusehalduri (Service Control Manager, SCM) ja kaugtöölaudade vaheline kiht. Samal ajal, erinevalt muudest sellistest lahendustest, ei muuda see faili tERWRV.DLL. (Raamatukogu kasutab kaugtöölauateenuste teenus), mis ei pruugi karta windowsi värskendused.
Windows 8 / 8.1, samuti eelmised versioonid Microsoft Client OS toetas ainult Üks samaaegne sissetulev maaelu arengukava ühendus. See tähendab, et ainult üks kasutaja (üks seanss), kohalik või kaugjuhtimispult, võib üheaegselt ühendada Windows 8-ga kaugtöölaua kaudu. Enamikul juhtudel on see piisav, kuid mõnikord tahaksin oma istungitel korraga korraga samaaegselt töötada mitu kasutajat. Hea näide võib olla meediakeskusena arvuti, kui video mängitakse konsooli istungil ja samal ajal peate süsteemiga televiisori katkestamata töö katkestama.
Nõukogu.Remote RDP juurdepääs ei tööta kodus (kodus) Windowsi väljaannetes, peate redigeerima Pro või ettevõtte.
Kui proovite avada teise RDP seansi arvutisse Windows 8-ga, ilmub teade, et süsteem on süsteemi juba sisse logitud ja selle seansi saab lõpetada.
Nõukogu. Varem arvuti omaduste omadusi kaugjuurdepääsu vahekaarti (Remote), peate lisama kontode jaoks vajalikud kasutajad kohalik rühm Kaugtöölaua kasutajad. Kohalikud administraatorid remote RDP. Juurdepääs on vaikimisi lubatud. Pärast lisamist RDP juurdepääs süsteemi omadustes, Windowsi tulemüür Automaatselt võimaldab reegleid, mis võimaldavad sissetuleva liikluse sadama 3389. Mõnikord tuleb selle reegli olemasolu käsitsi kontrollida.
Näiteks Windowsi serveriversioonis toetatakse kaks samaaegset haldusühendust üksikute seansiga (organisatsiooni puhul windowsi andmebaas Server Terminal RDS server, see number võib olla isegi suurem).
Kuid internetis leiate spetsiaalse plaastri, mis võimaldab seda piirangut mööda jääda. Tänu sellele plaastrile ühendatakse mitmed kasutajad üheaegselt Windows 8 / Windowsiga arvutiga samaaegselt arvutiga 8,1.
Tähtis. Selle plaastri kasutamine on sisuliselt rikkumine litsentsilepingu Ja Microsofti toodete kasutustingimused. Seetõttu on kõik allpool kirjeldatud toimingud teie riskis.
Niisiis, plaaster hõlmab originaali asendamist süsteemifail % Systemroot% \\ System32 calrv.dll (Kaugtöölaua teenuste teenus kasutatav raamatukogu).
- Windows 8 - Tysrv.dll-win8.zip
- Windows 8.1 - TERMSSV.DLL-WIN8.1.zip
Enne süsteemi raamatukogu asendamist looge casrv.dll faili varukoopia käsuga:
Kopeeri C: Windows \\ System32 calrv.dll mõistedrv.dll_old
Nüüd, kui midagi läheb valesti, saate alati algse konfiguratsiooni juurde naasta, asendades praeguse faili esialgse tingimustega.
Laadige alla Windowsi versiooni raamatukogu arhiiv.
Windows 8-s peate kõigepealt muutma järgmisi registri haru võtmeid HKLM süsteemi CurrentControlset \\ t:
- fdenytsconnections(DWORD) - 0 (Võti võimaldab arvutil)
- fSinglessionSeringer. (DWORD) - 0
Sama operatsiooni saab läbi viia käsurealt:
Reg Lisa "HKLM SYSTEM \\ CESSSWOCTOCTOLST \\ t
Siis mine kataloogi C: Windows System32Faili leidmine. tERWRV.DLL. ja avage oma omadused.
Vaikimisi on selle faili omanik Usaldusväärne Ja isegi administraatoril ei ole õigust seda asendada. 
Pöördugem vahekaardi poole Julgeolek Ja klõpsake nupul Muuda.. Juurdepääsu nimekirjas leida kohaliku administraatorite rühma ja anda talle täielike õigustega faili ( Täielik kontroll) Ja salvestage muudatused.
Järgmine samm enne raamatukogu faili vahetamist avage teenusehalduse konsool ( teenused.MSC.) ja peatage teenus Kaugtöölaua teenused.
Kopeerige TYSRV.DLL-fail allalaaditud arhiivist selle Windowsi versiooni kataloogi % Systemroot% System32 (asendamisega).
Märge. Arhiiv Windows 8.1. Sisaldab kahte faili 32_termsrv.dll. ja 64_termsrv.dll.Windowsi 32. ja 64-bitise versiooni puhul vastavalt Windows 8.1. Laadige arhiiv lahti ja ümber nimetage faili oma süsteemi versiooni jaoks wellsv.dll
Pärast faili asendamist käivitage kaugtöölaua teenuste teenus ja proovige luua kaks RDP-i seanssi erinevate kontode all oleva pildiga masinaga. Kui te kõik tehakse õigesti, tuleb avada kaks sõltumatut kaugtöölaua seanssi.
Nõukogu. Arvuti taaskäivitamiseks võib osutuda vajalikuks taaskäivitada.
Tähtis! Kasutades tingimata versiooni Tysrv.dll on mitmeid puudusi. Peamiseks on Windows 8.1 / 8 järgmise värskenduse installimisel seda faili asendada. Sellest tulenevalt on vaja kasutada Hex redaktorit uue faili plaaster Hex redaktori abil või otsida Internetist oma Windowsi ehitaja jaoks valmis modifitseeritud faili.
Lahendusena, mis on Windowsi uuenduste installimisel vastupidava lahendusena vastupidav lahendus, peate kasutama avatud avatud lähtekoodiga lahendust RDP WRAPPER raamatukogu(Saadaval GitHubis), mis ei välista TerminsV.dll-faili ja see on terminaliteenuste ja SCM-teenuse vaheline kiht. Rohkem RDP ümbrise raamatukogu kasutamise kohta saate lugeda.
