Jumlah Windows dari koneksi simultan RDP. Perbaiki kekurangan RDP menggunakan Perpustakaan Wrapper RDP

Server Terminal Windows 7 / Vista / XP (SP1 / SP2 / SP3) - Keputusan nyata. Server Terminal. Untuk terhubung ke desktop jarak jauh Windows 7 / Vista / XP (SP1 / SP2 / SP3) Pada saat yang sama beberapa pengguna.

Server Terminal. Anda dapat menggunakan untuk meluncurkan satu aplikasi dengan komputer jarak jauh atau untuk milikmu terminal Server pada Windows 7 / XP / Vista /anda dapat menghubungkan komputer lama lama yang berbeda seperti 486 dan Pentium 1, mereka akan berfungsi seolah-olah sistem operasi yang diinstal pada mereka Windows Vista / 7 / XP dengan Office XP-2003-2007, 1Cdan sekelompok program kantor yang berbeda.

Default. Windows 7 / Vista / XP Tidak mendukung pekerjaan beberapa pengguna secara bersamaan. Untuk memungkinkan banyak pengguna untuk bekerja secara bersamaan oleh RDP., perlu untuk mengganti file C: \\ windows \\ system32 \\ istilahrv.dll dan membuat perubahan pada registri - untuk menghapus batasan yang dikenakan pada Windows XP / 7 / Vista.

Sebelum melakukan perubahan Windows 7 / Vista / XPPastikan tindakan Anda tidak bertentangan dengan undang-undang negara Anda dan perjanjian lisensi, sehingga Anda menggunakan metode atau tidak menyelesaikannya.

Bagaimana cara membuat server terminal dari Windows XP / 7 / Vista?

1. Buat beberapa pengguna dengan hak administrator atau pengguna reguler, pastikan untuk mengatur kata sandi.

Pastikan opsi diaktifkan - switching cepat antara pengguna (panel kontrol -\u003e Akun Pengguna -\u003e Mengubah Login Pengguna)

2. Izinkan koneksi jarak jauh - Pilih "Komputer Saya" dengan mengklik kanan dan buka "Properties". Di jendela yang muncul, buka tab "Sesi Jarak Jauh". Item "Izinkan akses jarak jauh ke komputer ini" Konfirmasikan tanda centang. Pilih pengguna jarak jauh (sebaliknya Desktop jarak jauh. hanya akan bekerja untuk administrator) dan klik "OK"

3. Pastikan kemampuan untuk terhubung ke remote desktop sedang berjalan untuk satu pengguna.

Membuat Server Terminal Windows XP / 7 / Vista

4. Unduh Universal Patch untuk Membuat Server Terminal:
- Windows XP SP2 SP3;
- Windows Vista SP1 SP2;
- Windows 7, 32bit (x86) / 64bit (x64).

5. Ikuti file Universaltermsrvpatch - *. Exe yang sesuai dengan sedikit sistem Anda dan klik Tambalan. Untuk mengganti file A: \\ Windows \\ System32 \\ SyaratRV.dll

6. Ikuti file * .reg yang cocok dengan sistem operasi Anda untuk membuat perubahan pada registri.

7. membebani sistem operasi

8. Mulai -\u003e Jalankan -\u003e gpedit.msc

Untuk Windows 7.

Konfigurasi Komputer -\u003e Template Administratif -\u003e Komponen Windows -\u003e Layanan Remote Desktop -\u003e Node Sesi Remote Desktop -\u003e Koneksi -\u003e

Untuk Windows XP.

Konfigurasi Komputer -\u003e Template Administratif -\u003e Komponen Windows -\u003e Terminal Server-\u003e Batasi jumlah koneksi

Menginstal "diaktifkan" dan ubah nilai dari jumlah terminal yang diizinkan.

9. Nyalakan kembali komputer

Jika Anda semua terpenuhi dengan benar, maka terminal Server Windows 7 / Vista / XP (SP1 / SP2 / SP3) Siap. Sekarang Anda harus bekerja remote Desktop secara bersamaan untuk banyak pengguna.

Server Terminal Pengaturan Lanjut Windows XP.

1. Sebagai pertunjukan praktik, pengguna server terminal hanya dinonaktifkan, dan program bekerja lebih jauh. Anda dapat mengatur waktu untuk menonaktifkan sesi yang tidak aktif.

Mulai -\u003e Jalankan -\u003e gpedit.msc
Konfigurasi Komputer -\u003e Template Administratif -\u003e Komponen Windows -\u003e Server Terminal -\u003e sesi -\u003e Set Batas Waktu untuk sesi yang dinonaktifkan

Aktifkan dan tentukan waktu

Ada juga batasan lain di sana, Anda dapat memilih bagaimana Anda suka

2. Jalankan satu program untuk semua pengguna jarak jauh dari server terminal, tanpa desktop

Mulai -\u003e Jalankan -\u003e gpedit.msc
Konfigurasi Komputer -\u003e Template Administratif -\u003e Komponen Windows -\u003e Terminal Server -\u003e Jalankan program saat terhubung

Memungkinkan
\\ Bkc.remoteclient.exe.

Tentukan folder yang berfungsi
C: \\ Program Files \\ Bcomzv "ULOCity \\ Vіddaki KLєєnt Situs Aweden

3. Jalankan satu program untuk pengguna server terminal yang dipilih, tanpa desktop (Perhatian, itu bertindak bahkan jika Anda pergi secara lokal, jadi saya bahkan tidak tahu cara membatalkannya nanti, kecuali untuk menghapus pengguna, dan kemudian membuat yang baru atau menggunakan boot disk LiveCD, (Program ERD-Commander) dengan pilihan registri Unduh sistem operasi yang Anda butuhkan.

Mulai -\u003e Jalankan -\u003e Regedit

Buat parameter string shell dan di bidang "Nilai" Tentukan jalur penuh ke file program

4. Memulai satu program secara independen oleh pengguna server terminal, tanpa desktop

Untuk mulai mengeksekusi c.2 untuk semua pengguna , kelebihan beban dan kemudian mengembalikan nilai apa adanya (tidak ditentukan)

Di Pengaturan Klien Windows (koneksi ke desktop jarak jauh) dari mana Anda terhubung, dalam parameter di tab Program, beri tanda centang "Saat Anda terhubung untuk menjalankan program berikut"

Tentukan jalur penuh ke program dan nama file

Tentukan folder yang berfungsi
C: \\ Program Files \\ Bcomzv "ULOCity \\ Vіddaki KLєєnt Situs Aweden

5. Memulai program saat memasuki sistem pada desktop

Tambahkan pintasan ke folder startup
C: \\ Documents and Settings \\ user_name \\ Main Menu \\ Programs \\ Busload \\

Di Windows 8/8.1, serta versi sebelumnya OS klien Microsoft, hanya didukung satu koneksi RDP yang masuk secara simultan. Ini berarti bahwa windows komputer 8 Setelah desktop jarak jauh dapat secara bersamaan menghubungkan hanya satu pengguna (satu sesi), lokal atau jarak jauh. Dalam kebanyakan kasus, ini sudah cukup, tetapi kadang-kadang saya ingin dapat secara bersamaan bekerja beberapa pengguna sekaligus dalam sesi kami sendiri. Contoh yang baik dapat berupa komputer sebagai pusat media, ketika video diputar di sesi konsol, dan pada saat yang sama Anda perlu bekerja dengan jarak jauh dengan sistem tanpa mengganggu video di TV.

Dewan.Akses RDP jarak jauh tidak berfungsi di rumah (rumah) edisi Windows, Anda perlu mengedit pro atau perusahaan.

Ketika Anda mencoba untuk membuka sesi RDP kedua ke komputer dengan Windows 8, sebuah pesan muncul bahwa sistem telah dicatat dalam sistem dan sesi tersebut dapat diselesaikan.

Dewan. Sebelumnya di properti komputer pada tab Remote Access (Remote), Anda perlu menambahkan akun untuk pengguna yang diperlukan di kelompok lokal. Pengguna desktop jarak jauh. Administrator lokal rDP jarak jauh. Akses diizinkan secara default. Setelah dimasukkan Akses RDP. Dalam sifat-sifat sistem, Windows firewall. Secara otomatis memungkinkan aturan yang memungkinkan lalu lintas yang masuk ke Port 3389. Terkadang kehadiran aturan ini harus diperiksa secara manual.

Jadi, misalnya, di server windows versi Dua koneksi administrasi simultan dengan sesi individu didukung (dalam kasus organisasi berdasarkan Server Windows. Server Terminal RDS, nomor ini bisa lebih banyak).

Namun, di Internet, Anda dapat menemukan tambalan khusus yang memungkinkan Anda untuk melewati batasan ini. Berkat tambalan ini, beberapa pengguna secara bersamaan akan terhubung ke RDP ke komputer dengan Windows 8 / Windows 8.1.

Penting. Penggunaan tambalan ini pada dasarnya adalah pelanggaran perjanjian lisensi Dan ketentuan penggunaan produk Microsoft. Oleh karena itu, semua operasi yang dijelaskan di bawah ini Anda tampil pada risiko Anda.

Jadi, patch melibatkan penggantian file sistem asli % Systemroot% \\ System32 \\ SyaratRV.dll (Perpustakaan yang digunakan oleh layanan layanan desktop jarak jauh).

  • Windows 8 - SyaratRV.dll-win8.zip
  • Windows 8.1 - SyaratRV.dll-win8.1.zip

Sebelum mengganti perpustakaan sistem, buat cadangan File SyaratRV.dll dengan perintah:

Salin C: \\ Windows \\ System32 \\ SyaratRV.dll SyaratRV.dll_old

Sekarang, jika terjadi kesalahan, Anda selalu dapat kembali ke konfigurasi awal, mengganti file saat ini dengan istilah asli. Lll_old.

Unduh arsip perpustakaan untuk versi Windows Anda.

Di Windows 8, Anda harus mengubah tombol berikut di cabang registri HKLM \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\:

  • fdenytsconnections.(DWORD) - 0 (Kunci memungkinkan di komputer)
  • fsinglesessionpersuser. (DWORD) - 0

Operasi yang sama dapat dilakukan dari baris perintah:

Reg Tambahkan "HKLM \\ System \\ CurrentControlSet \\ Control \\ Terminal Server" / V fdenytsconnections / t Reg_dword / D 0 / F Reg Tambahkan "HKLM \\ System \\ CurrentControlSet \\ Control \\ Terminal Server" / v fsinglessonuuser / t 0 / f

Lalu pergi ke katalog C: \\ Windows \\ System32menemukan file. syaratRV.dll. dan buka propertinya.

Secara default, pemilik file ini TrustedInstaller. Dan bahkan administrator tidak memiliki hak untuk menggantinya.

Mari kita beralih ke tab Keamanan Dan klik tombol Edit.. Dalam daftar akses, temukan sekelompok administrator lokal dan berikan dengan hak penuh ke file ( Kontrol penuh) Dan simpan perubahan.

Langkah selanjutnya sebelum mengganti file perpustakaan, buka konsol manajemen layanan ( layanan.msc.) dan hentikan layanan Layanan desktop jarak jauh.

Salin file SyaratRV.dll dari arsip yang diunduh untuk versi Windows di katalog % Systemroot% \\ System32 \\ (dengan penggantian).

Catatan. Arsip untuk Windows 8.1. Berisi dua file 32_termsrv.dll. dan 64_termsrv.dll., untuk versi 32 dan 64-bit dari Windows 8.1, masing-masing. Buka kemasan arsip dan ganti nama file untuk versi sistem Anda dalam SyaratRV.dll

Setelah mengganti file, jalankan layanan layanan desktop jarak jauh dan cobalah untuk membuat dua sesi RDP dengan mesin yang disimpan di bawah akun yang berbeda. Jika Anda semua selesai dengan benar, dua sesi independen dari desktop jarak jauh harus dibuka.

Dewan. Mungkin perlu untuk me-restart komputer.

Penting! Menggunakan versi produse dari SyaratRV.dll memiliki sejumlah kekurangan. Yang utama adalah ketika menginstal pembaruan Windows 8.1 / 8 berikutnya, file ini dapat diganti. Dengan demikian, perlu menggunakan editor hex untuk menambal file baru menggunakan editor hex, atau mencari di Internet file modifikasi yang sudah jadi untuk pembangun Windows Anda.

Sebagai solusi yang tahan untuk mengganti file syaratRv.dll saat menginstal pembaruan Windows.harus menggunakan solusi open source terbuka RDP Wrapper. Perpustakaan.(Tersedia di GitHub), yang tidak memerintah file syarat-syarat, dan merupakan lapisan antara layanan terminal dan layanan SCM. Anda dapat membaca lebih lanjut tentang penggunaan Perpustakaan Wrapper RDP.

Windows XP Professional dan Windows XP Media Center Edition (MCE) Memiliki layanan koneksi remote Desktop (RDP)yang memungkinkan Anda menghubungkan komputer, akses, dan kontrol dari komputer atau host lain. Namun, mobil pada sistem operasi Windows XP. Biarkan simultan terhubung ke desktop jarak jauh Hanya satu pengguna yang terhubung dengannya, tanpa beberapa sesi koneksi desktop jarak jauh atau mendukung dukungan.

Setiap kali pengguna jarak jauh terhubung melalui klien ke remote Desktop (RDC) Untuk terhubung ke host Windows XP.Pengguna lokal dimatikan dengan kunci konsol, atau tanpa izinnya. Desktop jarak jauhBerbeda dengan Server Layanan Terminal di Windows Server 2003 dan Server 2008, ia dirancang untuk pengguna sekali pakai, terlepas dari apakah itu pengguna lokal atau jarak jauh.

Sini retas untuk membuka kunci satu batas yang memungkinkan beberapa sesi koneksi desktop jarak jauh secara bersamaan di Windows XP Professional dan Media Center Edition, menggunakan istilah yang berkepanjangan atau perakitan syarat lama hubungkan ke komputer menggunakan desktop jarak jauh.

  1. Unduh salinan yang berkepanjangan, yang akan menghapus batasan koneksi jarak jauh Ke desktop dinonaktifkan untuk versi Windows XP Anda:

Windows XP SP3: SyaratRV.dll (Versi 5.1.2600.5512)

Untuk mendapatkan informasi syaratRv.dll, tambalan biasanya memiliki bit kode hex berikut yang ditimpa ke dalam nilai-nilai berikut:

00022A17: 74 75
00022A69: 7F 90
00022A6A: 16 90

  1. Nyalakan kembali komputer dan unduh informasi dalam mode aman dengan mengklik F8. Selama boot dan pilih mode aman . Langkah ini diperlukan hanya jika Anda berada di saat ini Gunakan Layanan Terminal Windows atau layanan desktop jarak jauh, Perlindungan berkas sistem Harus dilewati, jika tidak, pesan kesalahan berikut tampaknya mengembalikan istilah asli.

3. Purge B. % Windir% System32 dan buat cadangan (atau ganti nama) syaratRV.dll. .

4. Campur atau hapus syaraterv.dll. di folder % Windir% System32 DllCache.

5. Salin dimuat .. syaratRV.dll. di % Windir% System32 , % Windir% ServicePackfiles i386 (jika ada) dan % Windir% System32 DllCache .

6. Titik unduhan dan jalankan untuk menggabungkan nilai registri di register, atau Anda dapat memulai editor registri secara manual dan menambahkan opsi registri berikut:



"EnableConcurrentsesi" \u003d DWORD: 00000001


"AllowMultisSims" \u003d DWORD: 00000001

7. Klik tombol Mulailah -> Melakukan Dan masukkan perintah gpedit.msc. , klik MEMASUKKAN Untuk membuka editor kebijakan grup.

8. Purge B. Konfigurasi komputer. -> Template Administratif -> Komponen Windows -> Layanan Terminal. .

9. Matikan batasi jumlah koneksi dan atur jumlah koneksi di 3 (atau lebih). Pengaturan ini memungkinkan lebih dari satu penggunaan komputer secara bersamaan.

10. Ikuti desktop jarak jauh pada tab Properties sistem yang dihapus dengan memilih sakelar Izinkan pengguna terhubung dengan jarak jauh ke komputer ini. .

11. Buatan pengalihan Pengguna Cepat di Panel kontrol -> akun pengguna -> Mengubah login atau shutdown .

12. Unggah komputer seperti biasa.

Saya perhatikan jika Anda tidak dapat mengganti atau menulis ulang file istilah - akses - akses ditolak atau kesalahan file, matikan "layanan termine" di bagian "Layanan" dari panel kontrol administrasi. Selain itu, setiap koneksi fisik yang terhubung harus memiliki akun pengguna sendiri di komputer target, dan otentikasi harus dilakukan dengan nama pengguna dan kata sandi kredensial yang sesuai.

Untuk menghapus dan kembali ke istilah asli .dll, cukup hapus versi yang diperbaiki, serta ganti nama cadangan kembali ke "SyaratRV.dll". Jika layanan terminal dimasukkan dan beroperasi, Anda perlu melakukannya dalam mode aman,.

Jika komputer S. Windows XP. terhubung ke domain, di jaringan lokal, Windows. Akan ada nilai REGKKY "COOTHULTIPLESSESSI" dalam "0" setiap kali komputer tidak akan dimulai kembali. Agar beberapa atau tidak terbatas sesi koneksi jarak jauh ke desktop, diperbolehkan di lingkungan domain iklan, nilai data untuk "AllowMultissessessesssess" yang harus diatur ke "1" dengan setiap sistem mulai. Untuk mengubah nilainya, cukup restart ts_roliple_sessions.bat. Setiap kali Anda memulai komputer. Taruh juga ts_roliple_sessions.bat. di C: Dokumen dan Pengaturan Semua Pengguna Program Menu Utama Startup Folder sehingga akan secara otomatis berjalan ke pengguna pertama dengan hak administrator. Solusi lain adalah menginstal layanan tambahan atau definisi utama di cabang registri Perangkat lunak HKEY_LOCAL_MACHINE. Microsoft Windows. Currentversion Run.Di mana file batch secara otomatis dapat di-boot, dan ini berguna jika komputer tidak akan mendaftar dengan siapa pun, tetapi masih membutuhkan karyawan untuk memungkinkan koneksi tanpa batas ke desktop jarak jauh untuk bekerja.

Hal lain, jika pengguna ditutup senyawa jarak jauh Alih-alih menyelesaikan sesi ketika ia mencoba masuk lagi, pesan kesalahan muncul dengan acara TCP / IP. Untuk mengatasi masalah ini, unduh dan instal Windows XP TCP / IP, membatasi koneksi dan peristiwa ID 4226 tambalan, dan instal koneksi setidaknya 50.

Perakitan ini dibangun pada bentuk asli Microsoft Windows XP Professional SP3 versi Rusia, dengan semua pembaruan! Disk multi-memuat. DOWNLOAD GRATIS -


Seperti dalam versi klien masa lalu sistem operasi Microsoft, Pro dan Enterprise Windows 10 edisi dapat dihubungkan dengan jarak jauh ke komputer mereka melalui Remote Desktops Service (RDP). Namun, ada batasan jumlah sesi RDP simultan - operasi simultan hanya satu pengguna jarak jauh mungkin. Ketika Anda mencoba membuka sesi RDP kedua, sesi pengguna pertama diundang untuk menyelesaikan.

Bahkan, batas jumlah koneksi RDP simultan tidak teknis, tetapi melisensikan melisensikan atas dasar workstation. Server RDP untuk banyak pengguna.

Dewan. Dalam edisi rumah Windows 10, koneksi masuk ke desktop jarak jauh sepenuhnya dilarang, yang, bagaimanapun, dapat dikalahkan Perpustakaan Wrapper RDP. .

Kami akan melihat dua cara untuk menonaktifkan batas pada jumlah koneksi RDP simultan ke Windows 10:

    Perpustakaan Wrapper RDP.

    Alternatif untuk modifikasi file SyaratRV.dll adalah penggunaan proyek Perpustakaan Wrapper RDP.. Program ini berfungsi sebagai lapisan antara Manajer Kontrol SCM-Service dan Layanan Terminal (Layanan Terminal) dan memungkinkan Anda untuk memungkinkan tidak hanya dukungan dari beberapa sesi RDP simultan, tetapi juga untuk mengaktifkan dukungan host RDP pada edisi rumah Windows 10. RDP Wrapper tidak membuat perubahan pada file syarat syarat, cukup memuat istilah dengan parameter yang dimodifikasi.

    Dengan demikian, solusi ini akan bekerja bahkan ketika memperbarui versi file SyaratRV.dll, yang memungkinkan Anda untuk tidak takut pembaruan Windows.

    Unduh RDP Wrapper Anda dapat dari Repositori GitHub: https://github.com/binarymaster/rdpwrap/releases (versi terbaru yang tersedia dari RDP Wrapper Library v1.6)

    Dewan. By the way, sumber Perpustakaan Wrapper RDP tersedia, yang memungkinkan untuk mengumpulkan file yang dapat dieksekusi jika diinginkan.

    Arsip RDPWrap-v1.6.zip berisi beberapa file:

    • Perangkat lunak instalasi RDPWINST.EXE / Removal RDP Wrapper Library
    • Utilitas Pengaturan Wrapper RDPCONF.EXE - RDP
    • RDPCHeck.exe - Checker RDP lokal - RDP Periksa Utilitas
    • install.bat, uninstall.bat, update.bat - file batch untuk instalasi, hapus dan perbarui RDP Wrapper

    Untuk menginstal utilitas, jalankan file install.bat dengan hak administrator.

    Setelah instalasi berjalan Rdpconfig.exe.. Dan pastikan itu di bagian Diagnostik. Semua elemen dicat berwarna hijau.

    Kami mencoba membuka sesi RDP kedua. Semuanya berhasil! Sekarang windows 10 kami memungkinkan Anda untuk secara bersamaan terhubung ke RDP sekaligus ke dua pengguna jarak jauh.

    Untuk membayar versi baru (jika tidak mengubah logika yang signifikan dari pekerjaan bagian kode yang sesuai), Anda harus melakukan hal berikut:

    0. Instruksi cocok untuk lebih atau kurang berpendidikan, dan yang paling penting, spesialis cerdas yang tahu cara berpikir. Mereka yang terbiasa dengan segalanya "Salin" dengan salin / tempel, tampaknya, tidak akan mengatasinya dan akan dapat membiakkan "erangan" dan "menghambat" yang "banyak bukov", "sulit" atau "niasilyl" berdasarkan lebih banyak ketakutan dan stereotip berpikir daripada kompleksitas masalah. Ini tempat mereka. Lahir merangkak, seperti yang Anda tahu, tidak bisa terbang. Jangan berikan diri Anda kering, anon! Minumlah Jada atau lakukan bisnis dan mulailah menghormati diri sendiri!

    1. Unduh apa saja - berbayar atau versi gratis Hiew.
    Bahkan versi yang sangat kuno dari tahun 90-an cocok, tetapi jika Anda perlu menambal X64, maka kita perlu 8.x (mulai dari pertengahan 2000x :)) Lebih baik, tentu saja, ambil segar. Penulis 25 tahun telah mengembangkan suatu produk dan ada beberapa dari kreasi sempurna dari keterampilan programmer.

    2. Ambil SyaratRV.dll beberapa versi yang didukung - versi asli dan terencana. Jika tidak ada dompet - masuk akal untuk berasumsi bahwa perlu untuk mengejar itu dengan patcher yang bermakna jangan bodoh! Mulai berpikir! Segala sesuatu file Dimasukkan ke dalam folder atau folder terpisah. Tidak perlu mencoba mengatur apa pun pada satu salinan di System32. Ngomong-ngomong, tidak ada yang akan terjadi (catatan diblokir di system32) dan buat saja domba jantan.

    3. Bandingkan versi tambalan dan non-spesifik dari DLL yang sama dengan komparator file biner. Utilitas Konsol FC Console memasuki jendela. "FC / B SyaratRV.org SyaratSrv.crk\u003e Differences.txt" mengarah pada keuntungan. Daftar perbedaan, dan itu kecil di sana, baris untuk 20, akan menuju ke file perbedaan.txt
    Buka file editor Teks Dan, atau, kita pergi terbuka, atau menulis ulang pada selembar kertas dari mana byte berubah. Segera berdampak dan memahami bahwa semua perubahan dan nilai byte, serta di bawah ini di HEIW, ditunjukkan dalam sistem heksadesimal, tetapi seharusnya tidak "menakuti" ini, karena bahkan tidak perlu diterjemahkan ke desimal! (Jika tiba-tiba Anda perlu, untuk pengembangan umum - Kalkulator Windows untuk membantu.)

    Dalam daftar kita melihat (mendeteksi) 3 blok konvensional, di mana alamatnya berturut-turut. Blok pertama - 2 byte di awal exe, dengan 140-c-sesuatu-H (dll memiliki format yang sama dengan exe, satu-satunya perbedaannya adalah hanya prosedur dan fungsi untuk panggilan eksternal - disebut . Oleh karena itu, ekspor, dan secara langsung memenuhinya, mengganti nama di mantan tidak akan berhasil). Ini adalah data, tempat perpindahan jatuh pada header file ex. Pada offset ini disimpan periksa jumlah Kode data (tanpa judul), yang diminta Windows sebelum meluncurkan, memastikan bahwa file itu tidak rusak dan sesuatu tidak mengganggu, dengan akurat, ketika mencoba untuk mengeksekusi. Mari kita kembali ke sana nanti.
    Selanjutnya, blok perubahan adalah sekitar 10 byte. Ini, hanya apa yang akan kita pelajari. Setelah itu, ada blok perubahan lain - byte terakhir dari ex-shnik terbaru. Essence ini turun ke fakta bahwa alih-alih "Zerule", penulis telah mendorong namanya sendiri "DeepXW" ke tempat kosong pada akhirnya. Busur rendah untuk tambalan dan ide, tetapi kami mengulangi "kesenangannya" ketika mentransfer sepetak alasan khusus, oleh karena itu, itu dapat membuat siapa pun yang tidak ada hubungannya dengan malam musim dingin yang panjang dalam rangka studi "berdering biasa Beecles ke kursi kosong file EXE menggunakan Hiew. Namun, Anda dapat melihatnya sebagai penghormatan kepada penulis (hanya "di sana" tidak ada yang membaca).

    3. BUKA dll asli Dalam satu jendela hiew, pocy - di yang lain (Mulai 2 salinan Hiew! Secara umum, jauh lebih nyaman untuk digunakan jauh - dua bra, sebagai manajer file dan dasar untuk peluncuran Hiew "ini". Dalam kedua klik F4 (mode) dan pilih Decode (F3). Kita akan melihat potongan file pembongkaran dari awal. Tidak ada yang perlu ditonton di sana, karena "berusaha membongkar judul File exe., Dan ini adalah data, bukan kode. Tidak ada apa-apa di sana untuk menatap, dan dia menunjukkan kepada Anda bahwa itu benar-benar normal, karena perlu untuk berpikir di sini, dan bukan "salinan"! Kita akan ke sekali lagi dan mulai berpikir tidak perlu mencoba dengan bodoh dan secara harfiah untuk memenuhi instruksi ...

    4. Di kedua Hiew (pada gilirannya, sial, kami pikir ...) Tekan F5 (GOTO) dan kami melihat bahwa bidang input muncul di bagian atas. Kami mengarahkan alamat perbedaan pertama (dari blok kedua!) Ditemukan dalam file perbedaan. Misalnya, di Win7sp1x86rus, ini membahas di daerah 19100h, dan di Vistasp2eng (x86 atau x64 - xs), karena saya telah melihat blog penulis - alamat sekitar 65200h. Kami jatuh ke tempat byte pertama yang dikoreksi.

    Data di jendela hiew ini memiliki formulir:
    - Di kolom pertama - hex offset - dari awal file, atau dalam proses memori, tergantung pada mode Hiew yang dipilih oleh Alt-F1 (global-lokal). Default menunjukkan lokal \u003d seperti dalam memori jika Hiew dapat membongkar format kode data. Dalam kasus kami, masalah ini tidak mewakili karena format file ex memungkinkannya mudah untuk "mencari tahu." Oleh karena itu, Anda tidak perlu takut melihat 06F2F8D51 di sana, bukannya 19153. Pengalamatan memori penting untuk memahami pengalamatan proses, karena akan terlihat ketika melakukan, akomodasi untuk analisis kode, jika diperlukan.
    - Di kolom kedua ada presentasi heksadesimal dari kode data dengan parse kode mana dan data apa yang termasuk dalam instruksi. Oleh karena itu, kemudian setiap baris dengan panjang yang berbeda. Menunjukkan begitu eksklusif untuk kenyamanan Anda. "Bahkan," (c) dalam file itu sendiri, mereka semua "buta" bersama - berturut-turut yang dapat Anda lihat dalam mode "sederhana" melihat data hex (f4-\u003e hex), di mana "bodoh" untuk Kiri ditunjukkan oleh hex byte melalui spasi, dan di sebelah kanan - "crakozyabry" dari tabel ASCII, yang sesuai dengan byte ini - seperti dalam "apa pun" tua-baik "editor hex tipe winhex yang screenshots yang Anda lihat di" Adakah "Kulkhaqker" situs web. Kita semua bekerja dengan byte yang sama seperti sebenarnya komputer. Pertanyaannya secara eksklusif dalam presentasi dan interpretasi mereka. Ketika Anda menyalin file yang dapat dieksekusi dari disk ke disk - semua data dan tidak ada kode, karena tidak ada yang melakukan apa-apa. Tetapi perlu untuk menentukan Windows bahwa ini adalah file yang dapat dieksekusi, jalankan, sebagai Windows membongkar kode dan datanya dan memulai kode dari standar dan header situs yang telah ditentukan sebelumnya, setelah itu kode yang dapat dieksekusi oleh prosesor dibaca lebih lanjut oleh prosesor. strukturnya dan dibagi lagi pada kode dan data dan sebagainya.
    Dalam mode F4-\u003e Decode, kami, bukannya "Krakoyar," menunjukkan byte dan "arti sebenarnya."
    - Pada kolom ketiga (kanan) dan terbesar (lebih tepatnya, sepasang kolom) menunjukkan bagian pembongkaran kode - teks, disebut. "Mnemonic" menyajikan kode ini (Bahasa Assembler), yang ditujukan untuk persepsi yang disederhanakan dan dimengerti untuk "manusia yang wajar", dengan pemikiran asosiatif analog yang luar biasa, sangat sulit memahami urutan kode "telanjang".

    5. Dengan beralih ke offset yang diinginkan pada paragraf sebelumnya, kita melihat bahwa kursor (sulfur adalah :)), menunjukkan awal perintah 6-byte (dalam x64 mungkin ada lebih banyak byte) tipe instruksi "dibongkar" yang relevan Cmp eax,
    Jika Anda mengambil satu baris di atas dan sedikit lebih rendah, jenis jenis akan dirilis:
    Mov EAX,
    Cmp eax,
    JZ .06F30B25E.
    Dorong EDI.
    Dorong 020.
    Hubungi .06F2E1440.
    POP ECX.
    Untuk memahami desain ini, tidak perlu menjadi "Perakitan Connoisseur", meskipun disarankan untuk memiliki setidaknya pengetahuan dasar tentang topik "pemrograman pada setiap zyayka". Tetapi pengetahuan bahasa Inggris tidak mencegah siapa pun!

    Instruksi pertama (yang tidak berpatroli, itu "di atas perbedaan pertama") yang disebut MOV - apa, maaf, asosiasi pertama muncul di benak bahasa Inggris? - Itu benar - Pindah - I.E. Pindah. Argumen instruksi masuk ke "Podstolebce" kedua. EAX dan EDI disebut. Register 32-bit adalah sel memori tunggal di Poter itu sendiri, dirancang untuk menyimpan data selama pemrosesan mereka. Hampir semua register dari jenis yang sama, di sana secara teoritis, dapat ditulis apa-apa, jika hanya itu, tetapi beberapa dari mereka secara tradisional digunakan untuk menyimpan tipe tertentu ini (agar tidak bingung), misalnya, EAX, EBX, ECX, EDX digunakan langsung untuk "data pengguna", apalagi, ECX secara tradisional berjalan sebagai meter (siklus misalnya), dan ESI, EDI - sebagai pointer dari posisi saat ini dalam memori, alamat untuk bekerja. Dan bagian dari register perangkat keras tergantung dan "lebih baik tidak sentuhan" - misalnya, register IP secara otomatis berisi alamat instruksi saat iniYang dilakukan prosesor, dan jika Anda mencoba merekam beberapa data Anda di sana - variabel program Anda, maka persentase akan membodohi instruksi dengan alamat ini dan semuanya crash. Esp - menunjukkan tumpukan - semacam "botol", di mana yang pertama kali naik, yang terakhir akan keluar (pertama di luar), dimaksudkan untuk penyimpanan sementara data, yang tidak ditempatkan di register, tetapi tidak masuk akal Untuk mendorong mereka kembali ke memori, akan segera digunakan. Untuk bekerja dengan data, biasanya, byte tertentu - 8bit, kata adalah 16bit, kata panjang - 32bit atau ganda panjang 64bit (untuk prosesor 64-bit) ditempatkan dari memori ke register ke register. Untuk bekerja dengan data singkat, Anda dapat menghubungi bagian-bagian dari register (EAX terdiri dari AX - 16bit bawah dan Ah dan al-bagian dari kapak itu sendiri), tetapi ini di luar masalah kami. Kemudian transformasi tikar tertentu dibuat dengan data dalam register, setelah itu hasilnya ditempatkan kembali ke memori - dalam ketat satu atau sel lain atau yang lain, disorot oleh program penulis (atau kompiler) untuk akomodasi.

    Dalam tanda kurung menunjukkan alamat. Jika Anda perlu mengambil data dari sel memori pada beberapa alamat, dan bukan alamat itu sendiri, Anda cukup menulis alamat dalam tanda kurung persegi. Jenis desain berarti bahwa data harus diambil dari sel memori yang memiliki alamat yang nilainya diperoleh dengan menambahkan nilai dalam register ESI + 324H. Dalam assembler, itu adalah kebiasaan untuk menulis lebih jelas, tetapi penulis Hiew lebih nyaman untuk ditampilkan dengan sangat mungkin untuk kejelasan. Saat memasuki perintah Hiew dengan sempurna mengambil jenis desain tipe standar, yang ditunjukkan di bawah ini.

    Total kami memahami bahwa instruksi ini mengambil data (4bit \u003d 32bit) ke alamat dan menempatkan mereka ke dalam Daftar EAX. Instruksi berikut ((yang sudah patch) - CMP. Hal pertama yang datang ke pikiran yang ringan, rajin belajar bahasa Inggris di sekolah dibandingkan. Kita berbicara tentang perbandingan. Jika tidak, hal yang sama seperti pada instruksi sebelumnya . Alamat hanya tetangga. Instruksi
    Cmp eax,
    Membandingkan konten register EAX dan sel memori di alamat. Dalam register EAX, instruksi sebelumnya mendorong nomor dari sel tetangga. Sekarang dibandingkan dengan angka dari sel. Apa yang rumit, maaf ??? Anda dapat mengajarkan RAM! Ini tentu lebih sederhana daripada objek "multi-kilometer" dari beberapa jenis govnezub, membentang ribuan properti di mana Anda dapat menenggelang ...
    Bagaimana dengan hasilnya? Bandingkan dibandingkan, well, apa arti, bertanya kepada pembaca yang penuh perhatian ... Bagaimana cara tahu, di mana anjing mencari-cari? Dan hasilnya disimpan dalam bendera bendera register khusus. Dalam register yang dipesan ini, masing-masing bit berarti kotak centang tertentu. Secara khusus, ada bendera nol - nol. Jika, sebagai hasil dari pelaksanaan instruksi perbandingan, ternyata angka-angka sama, kotak centang akan dihancurkan (1), jika tidak, kemudian turun (0) (atau adrches, terlalu malas untuk melihat dengan Setoran - tidak masalah). Demikian pula, ada kotak centang lain untuk tanda-tanda lebih atau kurang. Bendera diubah dalam instruksi yang dihasilkan untuk mengubahnya, dan akan tetap dalam posisi mereka sampai mereka berubah sebagai hasil dari pelaksanaan instruksi lain yang mempengaruhi kondisi mereka. Oleh karena itu, setelah CMP, kami dapat melakukan instruksi lain tergantung pada status kotak centang hingga Anda memenuhi yang mengubahnya. Status bendera dibaca oleh instruksi transisi bersyarat dan beberapa lainnya dan tidak adanya instruksi ini menjadi beberapa lainnya dan rutinitas.

    Instruksi selanjutnya akan datang
    JZ .06F30B25E.
    Instruksi yang dimulai pada J [hampir] semua berarti melompat - melompat, mis. Transisi ke tempat lain. Instruksi ini Mengacu pada instruksi transisi bersyarat dan didekripsi sebagai lompatan jika nol - I.E. Pergi ke alamat, jika itu bendera nol. Jika kotak centang tidak sepadan, "tidak akan terjadi." Sebagai argumen, alamat transisi diberikan (mereka berbeda, relatif atau absolut, "jauh" atau "tutup" dalam memori. Di sini alamat ditentukan dalam ruang alamat program, karena dikonfigurasi oleh header exe, Tidak ada gunanya, itu hanya memperumit. Jika instruksi sebelumnya mengungkapkan kesetaraan argumen, transisi akan terjadi jika tidak, prosesor tidak akan terjadi pada instruksi berikutnya.

    2 instruksi berikut
    Dorong EDI.
    Dorong 020.
    Kita ingat bahwa dalam dorongan bahasa Inggris berarti mendorong, mendorong. Di sini artinya menggerakkan angka-angka dalam tumpukan penyimpanan sementara. Sering menyimpan variabel sebelum memasukkan prosedur, PC di dalam prosedur, register dapat digunakan untuk keperluan lain, dan menggunakan tumpukan Anda dapat menyimpan nilai register dan mentransfer argumen ke prosedur yang akan menariknya keluar Dari sana setelah memasukkannya, dan hasilnya akan diblokir jika demikian tersedia dan diperlukan. Kenyamanannya adalah tidak perlu untuk mengurus alokasi ruang alamat untuk menyimpan data waktu volume penting. Jika Anda perlu melewati array - cukup berikan ke alamat dalam memori. Semua elemen array mentransmisikan tidak ada alasan, itu hanya memori devaable dan waktu prosesor yang tidak berguna, karena dilakukan selama bydlooding. (Ketika Anda perlu menyimpan salinan asli array berdasarkan logika pekerjaan - ini adalah situasi lain dan programmer itu sendiri secara sadar memulai menyalin array untuk tujuan replikasi.)
    Ketika bekerja dengan tumpukan, ukuran itu sendiri menangani semuanya - area tumpukan disorot oleh sistem operasi selama dukungan perangkat keras untuk Proceas.
    Instruksi pertama akan menghemat nilai register edi-pointer ke area memori tertentu, dan yang kedua akan berhenti di sana di muka konstan 20h yang telah ditentukan sebelumnya. Mungkin, argumen tertentu tentang prosedur ini, tetapi tidak masalah bagi kita karena tidak perlu membuat analisis bahwa penulis patch melakukannya - kita mentransfer tambalan jadi ke versi lain dari program dan ini biasanya, hanya!

    Instruksi selanjutnya.
    Hubungi .06F2E1440.
    Dalam panggilan bahasa Inggris berarti menelepon, menelepon.
    Kita berbicara tentang prosedur panggilan. Tidak ada nama dalam prosedur kode prosedur - ada alamat di mana kode mereka berada. Untuk kenyamanan, disassembler (termasuk Hiew) dapat menarik nama-nama prosedur dan fungsi dari impor dan ekspor file EXE (perspektif berinteraksi di sana program yang berbeda Dan "perpustakaan" setelah kompilasi dan prosedur diberikan nama-nama yang dapat mereka dipanggil dari program lain, tetapi prosedur internal tidak disebutkan setelah kompilasi). Dalam sumber, nama-nama, tentu saja, tetapi setelah dikompilasi, mereka tidak bisa ... Hanya tempat itu akan ditempati. Prosesor tidak perlu tahu nama seseorang, ia menganggap angka ... terkadang dekompiors / disassembleram berhasil menarik nama-nama prosedur dari debugging informasi (jika bydlooder lain lupa untuk memotongnya dan membengkak ukuran biner tidak berguna Info) Dan ini sangat membantu dalam menganalisis kode, tetapi dalam kasus kami, bahkan tidak peduli. Kita tidak perlu memahami mengapa prosedur ini diperlukan dan apa yang dilakukannya ... Saya mengingatkan Anda, kami memiliki patch siap dan jika Anda berhasil mentransfer "tanpa petualangan" untuk menghajarnya dan tidak perlu.

    Instruksi terbaru
    POP ECX.
    POP - Action Inverse Push - I.E. Tarik keluar drive terakhir dalam nilai. DI kasus ini Dalam register ECX. Mungkin instruksi ini perlu mengekstrak hasil dari prosedur, tetapi kami juga tidak peduli, termasuk. Dan karena instruksi ini, seperti 2 push-a di atas, dan menelepon, setelah tambalan tidak berubah dan diberikan untuk beberapa presentasi umum dan sebagai tengara tambalan. Setelah tambalan, semua instruksi ini akan tetap di tempatnya, serta semua orang setelah mereka.

    6. Sekarang kita mengambil istilah terengah-engah di jendela hiew lain, pada alamat yang sama, kita melihat instruksi apa yang ada.
    Mov EAX,
    MOV EAX, 000000100
    nop.
    MOV, EAX.
    Dorong EDI.
    Dorong 020.
    Hubungi .06F2E1440.
    POP ECX.
    Perbedaan hanya terlihat pada instruksi kedua, ketiga dan keempat.
    Mov EAX kedua, 000000100
    Cukup masukkan 100H konstan (\u003d 256) di Register EAX
    Nop ketiga.
    Yang paling "lucu" \u003d nopererasi - tidak ada yang melakukan apa-apa dan selamanya. Kenapa dia butuhkan? Dan saya membutuhkannya untuk menyelaraskan sinkronisasi dengan data kode. Faktanya adalah bahwa dimensi dari kode asli dan panik harus sepenuhnya bertepatan dalam jumlah byte dan perbatasan tim (bersama dengan argumen mereka). Jika ada sesuatu yang bergeser setidaknya satu byte, prosesor akan "tidak ada," akan menganggap argumen tertentu dari instruksi, sebagai perintah, dan byte untuknya - sebagai argumen dari perintah ini, bahkan jika ada kode perintah yang berbeda di sana . Semuanya akan segera makan dan fatal. 99% bahwa program akan terbang dengan kesalahan fatal. Perintah NOP memiliki kode 90H dan mengambil satu byte. Jika ada kelebihan kode yang tidak perlu atau bahkan berbahaya untuk keperluan tambalan, itu dapat diganti dengan argumen pada begitu banyak NOP berturut-turut, berapa banyak byte yang dibutuhkan. Di antara peretas, ini disebut panjat atau cekung. Bahkan, ini adalah satu-satunya cara untuk menghapus kode berlebih dari kode yang dapat dieksekusi, karena itu bukan teks dan "dipotong dari tengah" "untuk tujuan pemendekan" akan segera mengarah pada apa yang akan mereka geser, akan memakan semua alamat dan tidak akan berfungsi sama sekali. Dan "terburuk" terjadi ketika kode baru yang perlu diganti oleh yang lama tidak memanjat tempat "lama" ... Di sini dia mulai sakit kepala dari hacker - bagaimana cara menariknya untuk ...
    Keempat Mov, EAX
    Tempatkan nomor dari register EAX di sel memori
    Pada prinsipnya, instruksi ketiga dan keempat atau ketiga dan kedua dapat diubah di tempat - itu tidak akan mengubah apa pun. Tetapi tidak mungkin untuk menghapus NOP dengan cara apa pun karena perintah baru sepanjang kode per byte kurang dari lama dan perbedaan seperti itu, jika tidak menepati nop-ohm akan segera mengarah ke trek sinkronisasi.

    Perbandingan "dengan fakta bahwa itu" segera menempatkan segalanya di tempatnya!
    Itu - untuk mengambil nomor dari sel, membandingkannya dengan angka dari sel. Jika Anda sama, maka "di suatu tempat" melompat, jika tidak, lalu lanjutkan lebih lanjut dan jalankan prosedur. Dalam konteks masalah, itu menyerupai perbandingan jumlah koneksi yang diizinkan dengan nilai yang valid (I.E. 1 untuk workstation atau 2 untuk server). Batas disimpan dalam beberapa konstan, alamat yang ditentukan dalam instruksi perbandingan.
    Apa yang terjadi - untuk mengambil angka dari sel, skor pada "bisnis ini" dan segera menimpa nilai register konstan EAX 100H (\u003d 256 - yaitu, rupanya, batas baru 256 koneksi), lalu letakkan nomor ini di sel
    Tidak ada yang membandingkan apa pun, prosedur yang disebut di bawah ini akan selalu selesai. Selain itu, di dalam sel, di mana, jelas, batas koneksi "secara paksa" ditulis ke batas baru \u003d 256 dalam kasus di tempat lain di tempat lain dari program ini ada pemeriksaan lain dari batas ini. ITU SAJA! Sulit untuk datang dengan sesuatu yang lebih primitif!

    Jika kita harus mencari tempat ini sendiri, saya harus melacak debugger dari prosedur DLL ini, sebagai penulis tambalan atau membongkar semuanya seperti Ida dan hati-hati mempelajari kode yang berisi ratusan ribu instruksi dengan hati-hati. Tapi kami sudah siap! Ini seperti lelucon tentang mekanik, yang pernah melemparkan palu dan mobil dimulai, tetapi kehalusannya adalah bahwa dia tahu di mana harus mengetuk dan biayanya banyak pekerjaan. (Hanya saja, tidak perlu tentang uang di sini - mendorong mereka ke pantat mereka! Terutama dalam liburan Aprison! Untuk Pecinta "Penghasilan di Internet" - ada situs khusus.)

    Mengapa patch tidak berfungsi pada semua versi selanjutnya - karena alamat berubah dan kode (argumennya) sedikit berubah saat menyusun. Ini mengarah pada perpindahan kode yang diinginkan di dalam exe ke perpindahan lain, dan jika Anda mencari dengan tanda tangan (urutan byte yang ketat), mungkin tidak menemukan alarm telah berubah. Banyak alamat juga merupakan argumen instruksi dan mengubah kode biner untuk dispasabilitas, terlepas dari kenyataan bahwa itu semua sama ... melakukannya secara manual! Anda memiliki kepala di pundak saya, bukan "urutan konvolusi yang ketat" ...

    7. Sekarang dalam versi SyaratRV.dll asli, yang patcher patch, Anda perlu menemukan semacam unik, dalam konteks program, urutan byte di dekat tempat yang perlu dituangkan untuk mencarinya versi baru SyaratRV.dll, yang ingin Anda kejar, tetapi Patcher tidak menambal ...
    Perlu untuk menonton disassembler, tetapi untuk mencari byte kepadanya sesuai, dan jika Anda memilih sesuatu yang terlalu "sederhana", maka kombinasi seperti itu akan bertemu ketika mencari berkali-kali dan akan sulit untuk menemukan tempat yang tepat, itu akan sulit ditemukan, itu akan "tenggelam" di antara tumpukan serupa lainnya. Dan kami sangat penting "akurasi untuk mendapatkan", karena jika Anda mengejar "tidak ada di sana", maka itu tidak akan berhasil, dan kemudian jendela akan menggantung ...
    Pilih instruksi untuk string pencarian yang berisi alamat tetap panjang tidak dapat. Saat menyusun versi lain, mereka kemungkinan besar akan dimakan dan Anda tidak akan menemukan apa pun pada mereka dalam versi baru.
    Seluruh prosedur adalah di mana cek terjadi, kecil, hanya beberapa lusin tim. Untuk assembler adalah "tidak ada." Hiew akan menunjukkan batas-batas kondisional prosedur sebagai "band" _ ^ _ ^ ^ _ ^ ^ ^ _. Harap dicatat bahwa pada awal prosedur ada banding ke alamat "Impor" Prosedur Windows API - CDEFPolicy :: Query and Hiew Ini berjudul (jadi nama fungsinya dan Won). Ini harus berorientasi yang baik untuk Anda, dalam perjalanan ke tempat yang tepat. Selain itu, "Petunjuk Kakbe" ini yang mungkin ada cara yang berbeda untuk menyelesaikan masalah, misalnya, menemukan kebijakan "rahasia" tertentu yang bertanggung jawab atas perilaku Terminal Server. Mereka yang ingin menyimpan kode oleh debugger dan mencari bagaimana variabel atau konstanta diinisialisasi dengan jumlah koneksi. Tetapi untuk string pencarian "kode dari cdefpolicy" tidak cocok, karena alamat prosedur impor kemungkinan besar makan di versi baru. Saya akan mencoba mencari byte dari awal prosedur setelah CDefPolicy. Terjadi:
    57 Push Edi.
    6A10 push 010.
    8BF1 MOV ESI, ECX
    33db xor ebx, ebx
    57 6A 10 8B F1 33 DB
    Pada akhirnya, Anda dapat menambahkan lebih banyak kode instruksi panggilan E8, pergi berikutnya, tetapi bukan argumennya (byte berikutnya), untuk alamat ini dan itu akan diubah saat mengkompilasi versi baru.
    Urutan seperti itu memberi saya saat mencari di Hiew (pencarian F7)
    Total 3 kebetulan, dan panggilan CDEFPolicy terlihat dalam konteks hanya dalam satu kasus - di yang pertama. Jika Anda juga memiliki tempat yang ditemukan, tulis alamatnya dari kolom pertama (setelah menekan Alt-F1 - Global!) "Pada selembar kertas" dan coba tambal.
    Jika kode telah berubah begitu banyak sehingga tidak ada yang ditemukan, kami mencari urutan unik lainnya, termasuk. Ditahan dalam prosedur yang berdekatan dan cobalah untuk mencari mereka. Tugas - Temukan kode yang diinginkanDi mana "semuanya bertepatan dalam arti", bukan urutan, kami memikirkannya dan melihat konteksnya, mencoba mencari CDefPolicy :: Query dalam versi baru. Anda dapat mencari teks CDEFPolicy :: Query di New.dll, Anda akan menemukan string (beberapa kali), tetapi bukan tempat yang disebut. Metode seperti itu kadang-kadang membantu untuk menemukan yang diinginkan menggunakan F6 (referensi) di Hai dan saya berhasil menemukan tempat yang tepat di DLL dari Win7sp1x86rus demi eksperimen, tetapi bukan fakta bahwa di mana-mana akan berhasil, bahkan lebih dengan program lain).

    8. Sekarang Anda perlu mengambil dermsrv.dll versi yang perlu Anda tambal. Kami meluncurkan salinan hai ketiga, buka DLL baru di dalamnya "(untuk dengan mudah beralih antara ketiga dan membandingkan secara visual). Kami menemukan tempat yang tepat, seperti yang dijelaskan sedikit lebih tinggi atau pergi ke alamat, yang menulis "pada selembar kertas" (selembar kertas di selembar kertas di dunia yang mengkilap ini, di mana hard drive terbang, mengetuk colokan dan bersiul dan bersiul OS).
    Kami menganalisis kode di bawah CDEFPolicy :: Query dan mudah menemukan tempat yang tepat mirip dengan:
    Cmp eax,
    JZ .06F30B25E.
    Kami memahami bahwa alamatnya, tetapi jika dia telah berubah, misalnya, ini adalah alamat yang Anda butuhkan dan beroperasi di masa depan.

    9. Jika Anda yakin bahwa saya menemukan persis apa yang perlu, lihat kursor ke instruksi CMP dan dengan berani tekan F3-Edit. Kursor "abu-abu" akan berubah menjadi "normal" (untuk mode Tampilan Teks) - substitusi. Itu harus menunjukkan instruksi CMP yang sama.
    Klik pada tab (atau F2) dan dialog entri instruksi assembler akan muncul.
    Masukkan instruksi di sana
    MOV EAX, 100
    Lalu masuk. Di layar utama akan terlihat bahwa byte "dari instruksi" berubah dan beberapa dari mereka menjadi "emas" (kuning). Pada saat yang sama, instruksi di bawah "pindah" dan di kolom kanan di seberang mereka menunjukkan "belibred" - tidak sama sekali apa yang ada sebelumnya.
    Dialog input perintah di atas jendela utama terus "menggantung" dan menunggu input instruksi baru, menunjukkan beberapa jenis selanjutnya, salah ditafsirkan, karena pengalamatan Kongres, instruksi.
    Instruksi ini tidak memperhatikan sedikit pun dan mendorong hal-hal berikut.
    Vbe nop dan tekan enter
    Sebagian besar windows kuning menyala string berikutnya. dengan kode 90.
    Sinkronisasi akan dipulihkan dan perintah berikutnya akan kembali menjadi JZ. Ini akan ditawarkan untuk mengubah dialog input instruksi.
    Mengemudi di sana
    MOV, EAX.
    Jika bukannya 320 dalam perintah CMP ada alamat yang berbeda, lalu buka!
    Tekan enter. Setelah itu, kode akan menerangi kode dalam 3 baris, di sebelah kanannya harus mov manual, EAX (atau tidak 320, dan jumlah yang digerakkan).
    Kami memeriksa bahwa saya tidak memindahkan sinkronisasi kode data. Instruksi selanjutnya harus mendorong EDI (atau lainnya jika kode telah sangat berubah dan Anda memiliki instruksi yang berbeda ke tambalan di sana - itu harus tetap di tempat saya dan ditafsirkan dengan benar, yang menunjukkan bahwa semuanya baik-baik saja di sebelahnya).

    Ketika semua orang mengetuk, tekan ONC. Dialog input instruksi akan hilang, tetapi dapat dipanggil lagi kapan saja (dalam mode pengeditan) dengan menekan Tab. Semua byte yang dimodifikasi akan berwarna kuning. Lihatlah bahwa semuanya terlihat benar, tidak ada tempat yang belum ditutup. Tidak ada yang akan memeriksa Anda di sini, tidak ada "perlindungan terhadap orang bodoh" dari peringkat apa pun dan tidak ada gelar. Tidak ada yang tidak akan mempertimbangkan Regalia. Apa yang mereka lakukan - mereka punya. Nault - itu akan menggantung dan bekerja tidak akan.
    Jika semua OK menekan F9 (pembaruan). Perubahan akan dicatat dalam file pada disk dan byte yang dimodifikasi akan mengubah warna menjadi biasa (Cyan).

    10. Sekarang Anda perlu memperbaiki checksum exe. Lakukan sebelum kegilaan membosankan, lihat Hai akan membuat ini bekerja untuk Anda dan hampir tidak ada hubungannya. Klik F8 (Header). Jendela "Abu-abu Tidak Akhir" muncul dengan "decoding" dari parameter header file exe.
    Klik F3 (Edit). Di atas jendela "tidak terang" muncul "warna" ungu. Ini mencantumkan semua parameter header yang menunjukkan alamat dan nilai-nilai mereka. Dengan daun yang membosankan lebih dekat ke ujung dan temukan parameter checksum di sana. Ini ditunjukkan di sebelah kanan (sebenarnya ringkasan pemeriksaan) dalam ekspresi heksadesimal dan desimal yang tersisa "ke warisan" dari file non-tangan asli. Kami menekan F3 lagi dan, tentang keajaiban, string dilukis dengan warna kuning dan checksum mengubah nilainya. Kita bisa percaya hai, dan kita dapat menemukan di forum atau dalam buku dan menghitung secara manual. Jika "semuanya puas dengan" Clamp F9 (pembaruan). Window Flashes, semuanya menghilang ... Ini adalah akhirnya, berpikir pembaca uniniimal. Tetapi ketika debu jatuh, checksum ternyata benar. Inspektif dapat lagi pergi ke dialog yang disebutkan dan bandingkan checksum dengan disimpan dengan hati-hati untuk eksekusi di bakap di selembar kertas. Anda dapat meninggalkan Hiew ON ESC dan pindah ke langkah pengujian bagian Anda.

    11. Setelah menerima file terengah-engah, Anda dapat mencoba mengganti syaratRv.dll di OS target.
    Karena mekanisme pelindung jendela dari perubahan file sistem, serta larangan rekaman menjalankan program Pembagian pelanggaran) perlu menghentikan layanan layanan terminal.

    Jika semuanya berfungsi, maka Anda telah menjadi Kulkhakker atau membuat langkah sadar pertama di jalan ini. Tidak ada yang mengganggu Anda untuk memilih dan belajar lebih jauh, membuat dunia lebih baik dan lebih ramah. Di Nete ada banyak instruksi dan forum tematik utuh bagi mereka yang ingin berpikir kepala mereka, dan tidak hanya mengkonsumsi porno ganda dari matriks.

    Jangan mencetak daftar byte yang dimodifikasi (Anda bisa mendapatkannya dengan bantuan semua yang sama "" FC / B File1 File2 ") untuk pengguna lain yang kurang canggih, di sini dan / atau pada sumber daya lain, membuat tetangga yang baik, seperti Tuhan mewariskan dan memuliakan namanya dalam sejarah sejarah peretas.

    Menurut daftar perubahan, Anda dapat membuat file .crk (untuk patch yang memahami format kuno ini), atau memproduksi Patch.exe dengan bantuan pembuat tambalan, KOI, selama bertahun-tahun evolusi, telah menulis puluhan dan ratusan. Hanya memilih maka "dengan dukungan Windows Vista / 7 "untuk yang lama, meskipun bagus, tetapi tidak tahu apa-apa tentang hak eskalat, dan Windows tidak akan dengan bodohnya memungkinkan mereka untuk ditambal di Windows / sistem atau file program. Dalam instruksi, sebutkan persyaratan penghentian layanan terminal, atau menggunakan tambalan pada file dalam folder individual, diikuti oleh submenu di System32 oleh pengguna itu sendiri. Bagaimanapun, publikasikan daftar perubahan, jangan terbakar di "Lavra", perspektif kepada seseorang mungkin harus bercinta secara manual dan info akan menemukan solusi alternatif. Patcher penulis melakukan semua ini secara otomatis, termasuk bekerja dengan WinSXS - menonton kode, tetapi menemukan seorang patchmaker seperti ini sehingga semua ini diperhitungkan, itu akan dianggap bukan hanya.

Artikel serupa.