Pentru a plăti versiuni noi (dacă nu se modifică semnificativ logica activității secțiunii de cod corespunzătoare), trebuie să faceți următoarele:
0. Instrucțiunile sunt potrivite pentru mai mult sau mai puțin educați și, cel mai important, specialiștii inteligenți, care știu cum să gândească. Cei care sunt obișnuiți cu totul "copie" prin copie / pastă, se pare, nu se vor face față și vor putea să-și asume "muchii" și "inhibând" că "multe Bukov", "dificil" sau "Niasilil" în virtutea mai multe temeri și stereotipuri de gândire, mai degrabă decât complexitatea problemei. Acesta este lotul lor. Născut crawling, după cum știți, nu poate zbura. Nu te dai să se usuce, Anon! Beți Jada sau faceți afaceri și începeți să vă respectați!
1. Descărcați orice - plătit sau versiune gratuită. Hiew.
Chiar și versiunile foarte vechi ale anilor '90 sunt potrivite, dar dacă aveți nevoie de patch-uri x64, atunci avem nevoie de 8.x (începând de la mijlocul anului 2000x :)) mai bine, desigur, luăm proaspăt. Autorul de 25 de ani a dezvoltat un produs și există câteva creații perfecte ale abilității programatorului.
2. Luați-l pe concordanță cu o versiune acceptată - versiunea originală și pannă. Dacă nu există nici un fel de urmărire - este rezonabil să presupunem că este necesar să-l urmăriți cu Patcherul semnificativ nu proști! Începeți să gândiți! Tot fișiere. Puneți într-un dosar sau un dosar separat. Nu este nevoie să încercați să reglați ceva pe o singură copie în System32. Oricum, nimic nu se va întâmpla (înregistrarea este blocată în sistem32) și astfel faceți doar berbecile.
3. Comparați versiunile patch-uri și nespecifice ale aceluiași DLL de către orice comparator al fișierelor binare. Consola de consolă Fc utility intră în ferestre. "FC / B Terestrv.org TermensRv.crk\u003e Diferente.txt" duce la un profit. Lista diferențelor, și este mic acolo, rândurile pentru 20, se va duce la fișierul diferențelor.txt
Deschideți fișierul editor de text Și, sau, lăsăm deschis sau rescrie pe o bucată de hârtie din care octeți s-au schimbat. Impactul imediat și înțelegeți că toate schimburile și valorile octeților, precum și mai jos în Hiew, sunt indicate în sistemul hexazecimal, dar nu ar trebui să "sperie" acest lucru, deoarece nu va trebui nici măcar să se traducă în zecimal! (Dacă aveți nevoie brusc, pentru dezvoltarea generală - Calculator Windows pentru a vă ajuta.)
În lista vedem (detectam) 3 blocuri convenționale, unde adresele merg la rând. Primul Blocați - 2 octeți de la începutul exe, cu 140-C-ceva-H (DLL are același format ca exe, singura diferență este că este doar proceduri și funcții pentru un apel extern - așa-numitele așa-numite . Exporturile, prin urmare, o îndeplinesc direct, redenumirea în Ex nu va reuși). Acestea sunt datele, premisele de deplasare cad pe antetul fișierului ex. Pe aceste compensări sunt stocate verificați suma Codul de date (fără titlu), ce verifică Windows înainte de lansare, asigurându-vă că fișierul nu a fost deteriorat și ceva nu se deranjează cu exactitate, atunci când încercați să o executați. Să ne întoarcem mai târziu la ei.
Apoi, un bloc de modificări este de aproximativ 10 octeți. Aceasta este, exact ceea ce vom studia. După aceasta, există un alt bloc de schimbare - cel de-al șaselea dintre cei mai recenți octeți ai ex-shnik. Esența se apropie de faptul că, în loc de "Zerule", autorul și-a condus propriul nume "DeepXW" într-un loc gol la sfârșit. Arc scăzut pentru un plasture și o idee, dar repetăm \u200b\u200b"delicii" sale atunci când transferați un patch dintr-un motiv special, prin urmare, poate face pe oricine care nu are nimic de-a face cu serile lungi de iarnă în cadrul studiului "Ringing obișnuit BEECLES în scaune goale EXE Fișiere folosind Hiew. Cu toate acestea, îl puteți percepe ca un tribut al autorului (doar "acolo" nimeni nu citește).
3. Deschideți dLL original Într-o fereastră de origine Hiew, Panned - în cealaltă (Start 2 Copii ale Hiew! În general, mult mai convenabil de utilizat Far - două sutiene, ca manager de fișiere și baza pentru lansarea "acestor" hiew dvs.). În ambele faceți clic pe F4 (MODE) și selectați Decodea (F3). Vom vedea o bucată de dezasamblare a fișierului de la început. Nu există nimic de vizionat acolo, pentru "încercările" pentru a dezasambla antetul fișierului exe și acesta este datele și nu codul. Nu există nimic de a privi și vă arată că este complet normal, pentru că este necesar să credeți aici și să nu "copiați"! Mergem din nou și începem să ne gândim că nu este nevoie să încercăm stupid și literal pentru a îndeplini instrucțiunile ...
4. În ambele hiew (la rândul său, naibii, credem ...) Apăsați F5 (Goto) și vedem că câmpul de introducere a apărut în partea de sus. Conducem adresa primei diferențe (de la al doilea bloc!) Găsite în fișierul diferențe. De exemplu, în Win7sp1x86rus, aceste adrese în zona din 19100 și în VistaSp2eng (X86 sau X64 - XS), așa cum am văzut un blog al autorului - adrese în jurul anului 65200h. Ne aflăm în locul primului octet corectat.
Datele din această fereastră de vizualizare au forma:
- În prima coloană - Hex offset - de la începutul fișierului sau în memoria de proces, depinde de modul Hiew selectat de Alt-F1 (global-local). Implicit afișează local \u003d ca în memorie dacă Hiew poate dezasambla formatul codului de date. În cazul nostru, această problemă nu reprezintă deoarece formatul fișierului ex vă permite să fie ușor de "imaginat". Prin urmare, nu trebuie să vă fie frică de a vedea 06F2F8D51 acolo în loc de a fi introdus 19153. Adresarea memoriei este importantă pentru înțelegerea adresei procesului, deoarece va arăta atunci când va fi efectuată, cazare pentru analiza codului, dacă este necesar.
- În cea de-a doua coloană există o prezentare hexazecimală a codului de date cu un ansardă care cod și date la care includ instrucțiunile. Prin urmare, apoi fiecare linie de diferite lungimi. Afișarea atât de exclusiv pentru confortul dvs. "De fapt," (c) în dosarul în sine, toți sunt "orbiți" împreună - într-un rând pe care îl puteți vedea în modul "simplu" Vizualizarea datelor HEX (F4-\u003e Hex), unde "stupid" la Stânga este arătată de byte-urile hexagonale prin spații și pe dreapta - "Crakozyabry" de la masa ASCII, pe care acești octeți corespund - ca în "orice" bătrân-bun "Editor de tip Wex Winhex ale cărui capturi pe care le-ați văzut" Kulkhaqker " site-ul web. Noi toți lucrăm cu aceiași octeți ca și de fapt, computerul. Întrebarea este exclusiv în prezentarea și interpretarea lor. Când copiați fișierul executabil de pe disc pe disc - toate datele și niciun cod, pentru că nimeni nu efectuează nimic. Dar este necesar să specificați Windows că acesta este un fișier executabil, executați-l, deoarece Windows dezasamblează codul și datele și pornește codul dintr-un standard predeterminat și antetul site-ului, după care codul executabil de către procesor este citit în continuare Structura sa și este împărțită din nou pe cod și date și așa mai departe.
În modul F4-\u003e Decodea, noi, în loc de "Cracoyar", arată octeți și "sens adevărat".
- În al treilea (dreapta) și cea mai mare coloană (mai precis, o pereche de coloane) prezintă o secțiune de dezasamblare a codului - text, așa-numitele. Prezentarea "mnemonică" a acestui cod (limba de asamblare), destinată oricărei percepții simplificate și ușor de înțeles pentru un "om rezonabil", cu minunatul său gândire asociativă analogică, extrem de greu de percepție a secvențelor de cod "goale".
5. Prin trecerea la offsetul dorit în paragraful anterior, vedem că cursorul (sulf este :)), arată începutul comenzii de 6 octeți (în X64 pot exista mai mulți octeți) tipul de instrucțiuni relevant "dezasamblat" CMP EAX,
Dacă luați o linie de mai sus și ușor mai mică, tipul de tip va fi lansat:
MOV EAX,
CMP EAX,
Jz .06F30B25E.
Împingeți Edi.
Împingeți 020.
Apel .06F2E1440.
Pop ECX.
Pentru a înțelege acest design, nu este necesar să fii "un cunoscător de asamblare", deși se recomandă să aibă cel puțin cunoștințe de bază pe tema "Programare pe orice zyayka". Dar cunoașterea limbii engleze nu împiedică pe nimeni!
Prima instrucțiune (care nu patrulează, este "deasupra primei diferențe") numită MOV - Ce, îmi pare rău, prima asociație vine în mintea engleză? - Asta e - Mișcare - I.E. Mișcare. Instrucțiunile argumente merg în al doilea "podstolebce". EAX și EDI sunt așa-numite. Registrele pe 32 de biți sunt celule de memorie unică în interiorul înșiși, concepute pentru a stoca date în timpul procesării acestora. Aproape toate registrele de același tip, în mod teoretic, poate fi scris ceva, dacă nu a primit, dar unele dintre ele sunt utilizate în mod tradițional pentru a stoca aceste tipuri specifice (astfel încât să nu fie confundate), de exemplu, EAX, EBX, ECX, EDX sunt utilizate direct pentru "datele utilizatorilor", mai mult, ECX merge în mod tradițional ca un metru (de exemplu, ESI, EDI - ca indicatori ai unei anumite poziții curente în memorie, adrese cu care să funcționeze. Și o parte din hardware-ul registrelor dependente și "mai bine nu atinge" - de exemplu, registrul IP conține automat adresa instrucțiuni actualePe care procesorul funcționează și, dacă încercați să înregistrați câteva dintre datele dvs. acolo - variabila programului dvs., atunci procentul va fi prost în instrucțiunile cu această adresă și totul se blochează. ESP - indică un stack - un fel de "sticlă", în care a urcat prima dată, ultimul va ieși (pumn în ultima ieșire), destinat stocării temporare a datelor, care nu sunt plasate în registre, dar nu are sens Pentru a le conduce înapoi în memorie, va fi folosit în curând. Pentru a lucra cu datele, de obicei, un anumit octet - 8bit, cuvântul este 16bit, cuvântul lung - 32 de ani sau dublu lung 64bit (pentru procesoarele pe 64 de biți) sunt plasate din memorie la registru. Pentru a lucra cu date scurte, puteți contacta părțile din registru (EAX constă din Ax - partea de jos 16bit și Ah și Al - părți ale toporului în sine), dar acest lucru este în afara problemei noastre. Apoi, o anumită transformare a MAT se face cu datele din registru, după care rezultatul este plasat înapoi în memorie - în partea superioară a celui sau a oricărui altul, evidențiată de programele autorului (sau compilatorul său) pentru cazare.
În paranteze pătrate indică adresele. Dacă aveți nevoie să luați date din celula de memorie pe o anumită adresă și nu de adresa însăși, ci doar scrierea în paranteze pătrate. Designul de tip înseamnă că datele trebuie luate din celula de memorie care are o adresă a cărei valoare este obținută prin adăugarea valorii în registrul ESI + 324H. În asamblare, este obișnuit să scrieți mai clar, dar autorul hiew-ului a fost mai convenabil pentru a arăta atât de mult posibil pentru claritate. La introducerea comenzilor HEEW este perfect tipuri standard de modele de tip, care sunt prezentate mai jos.
Total înțelegem că această instrucțiune ia adresa (4bit \u003d 32bit) la adresa și le pune în Registrul EAX. Următoarea instrucțiune ((care este deja patch-uri) - CMP. Primul lucru care vine în mintea unei luminoase, învață limba engleză la școală este comparată. Vorbim despre comparație. În caz contrar, același lucru ca în instrucțiunea anterioară . Adresați-vă numai vecinului. Instrucțiuni
CMP EAX,
Compară conținutul registrului EAX și al celulei de memorie la adresa. În registrul EAX, instrucțiunea anterioară a condus numărul din celula vecină. Acum este comparat cu un număr din celulă. Ceea ce este complicat, îmi pare rău ??? Puteți învăța berbecul! Este cu siguranță mai simplă decât obiectele "Multi-kilometru" de la un fel de govnezub, întinzând mii de proprietăți în care vă puteți îneca ...
Cum rămâne cu rezultatul? Comparați, bineînțeles, ceea ce este sensul, întreabă un cititor atent ... Cum să știți, unde câinele rulează? Iar rezultatul este stocat în Steagurile Steaguri Special Special. În acest registru rezervat, fiecare bit înseamnă o anumită casetă de selectare. În special, există un steag zero. Dacă, ca urmare a executării instrucțiunii de comparație, se pare că numerele sunt egale, caseta de selectare va fi zdrobită (1), dacă nu, apoi a scăzut (0) (sau adrchele, prea leneș să se uite cu a depozit - nu contează). În mod similar, există o altă casetă de selectare pentru un semn mai mult sau mai puțin. Steagurile sunt modificate în instrucțiunile rezultate pentru schimbarea acestora și vor rămâne în poziția lor până când acestea sunt modificate ca urmare a executării altor instrucțiuni care afectează starea lor. Prin urmare, după CMP, putem efectua orice alte instrucțiuni în funcție de starea casetei de selectare până când nu îndepliniți una care o schimbă. Starea steagurilor este citită de instrucțiunile tranziției condiționate și altele și absența acestor instrucțiuni devine alții și rutina.
Următoarea instrucțiune vine
Jz .06F30B25E.
Instrucțiuni care pornesc pe J [Aproape] toate salturile medii - salt, adică Trecerea la un alt loc. Această instrucțiune Se referă la instrucțiunile tranziției condiționate și decriptați ca salt dacă zero - adică Du-te la adresa, dacă este steagul zero. Dacă caseta de selectare nu merită, "nimic nu se va întâmpla". Ca argument, adresa de tranziție este dată (ele sunt diferite, relative sau absolute, "departe" sau "închidere" în memorie. Aici adresa este specificată în spațiul de adrese al programului, deoarece este configurat de antetul exe, Nu există nici un sens, complică doar. Dacă instrucțiunea anterioară a arătat egalitatea argumentelor, tranziția va avea loc, dacă nu, procesorul nu se va întâmpla cu următoarea instrucțiune.
Următoarele două instrucțiuni
Împingeți Edi.
Împingeți 020.
Ne amintim că în limba engleză înseamnă împingerea, împingeți. Aici înseamnă să conduceți numerele într-un stack temporar de stocare. Salvați frecvent variabilele înainte de a intra în procedură, PC-ul din cadrul procedurii, registrele pot fi utilizate în alte scopuri și utilizând stack-ul Puteți salva valorile registrelor și transferați argumentele la procedura care le va scoate De acolo după introducerea acestuia și rezultatele vor fi blocate dacă sunt disponibile și necesare. Comoditatea este că nu este necesar să se ocupe de alocarea spațiului de adresă pentru stocarea datelor de timp ale volumului esențial. Dacă trebuie să treci o matrice - dați-o doar la adresa memoriei. Toate elementele matricei nu transmit nici un motiv, este doar o memorie deviabilă inutilă și timp de procesor, așa cum se face în timpul bydlooding-ului. (Când trebuie să salvați exemplul original al matricei bazate pe logica lucrării - aceasta este o altă situație, iar programatierul înșiși inițiază în mod conștient copierea matricei în scopul replicării.)
Când lucrați cu un stack, măsura în sine are grijă de tot - zona de stivă este evidențiată de sistemul de operare în timpul suportului hardware pentru proceduri.
Prima instrucțiune va salva valoarea înregistrării EDI - indicator într-o anumită zonă de memorie, iar al doilea se va opri acolo în avans constantă de 20 ore. Probabil, un anumit argument al procedurii, dar nu contează pentru noi pentru că nu este nevoie să facem o analiză că autorul patch-ului a făcut - vom transfera patch-ul finit la o altă versiune a programului și de obicei, doar!
Următoarea instrucțiune
Apel .06F2E1440.
În limba engleză înseamnă apelarea, apelarea.
Vorbim despre procedura de apel. Nu există nume în procedurile de procedură de procedură - există adrese în care se află codul acestora. Pentru confort, dezasamblații (inclusiv Hiew) pot scoate numele procedurilor și funcțiilor de la importurile și exporturile fișierelor exe (perspectiva este interacționată acolo diferite programe Și "bibliotecile" după compilare și proceduri li se dă numele pentru care pot fi chemați dintr-un alt program, dar procedurile interne nu sunt numite după compilație). În surse, numele, bineînțeles, au fost, dar după compilarea ei nu au putut ... numai locul ar fi ocupat. Procesorul nu are nevoie să cunoască numele cuiva, el consideră că numerele ... uneori decompiorii / dezasambleramul a reușit să scoată numele procedurilor de la depanarea informațiilor (dacă un alt bydlood a uitat-o \u200b\u200bsă-l taie și să se umfle de mărimea binară inutilă Info) și acest lucru este util în analizarea codului, dar în cazul nostru, chiar și nu-i pasă. Nu trebuie să înțelegem de ce este nevoie de această procedură și ceea ce face ... îți amintesc, avem un patch gata și dacă reușiți să transferați "fără aventură" pentru ao delve și nu va avea nevoie.
Ultimele instrucțiuni
Pop ECX.
Pop - acțiune inversă inversă - adică Trageți ultima unitate în valoare. În acest caz, în Registrul ECX. Probabil că această instrucțiune trebuie să extragă rezultatul procedurii, dar nu ne îngrijorăm, inclusiv. Și pentru că această instrucțiune, ca 2 împingere de mai sus, și apel, după ce patch-urile nu se schimbă și sunt date pentru o anumită prezentare generală și ca punct de reper al plasturelui. După plasture, toate aceste instrucțiuni vor rămâne în vigoare, precum și pe toți după ei.
6. Acum luăm în fereastra Hiew Terestrv.dll într-o altă fereastră de la aceeași adresă, ne uităm la ce instrucțiuni sunt acolo.
MOV EAX,
MOV EAX, 000000100
nop.
MOV, EAX.
Împingeți Edi.
Împingeți 020.
Apel .06F2E1440.
Pop ECX.
Diferențele sunt vizibile numai în a doua, a treia și a patra instrucțiuni.
Al doilea MOV EAX, 000000100
Doar introduceți o constantă 100H (\u003d 256) în Registrul EAX
Al treilea nop.
Cel mai "amuzant" \u003d Nooperation - nimic nu face nimic și pentru totdeauna. De ce este nevoie? Și am nevoie de ea pentru a alinia sincronizarea prin date de cod. Faptul este că dimensiunile codului original și de panică trebuie să coincidă complet în numărul de octeți și la granița echipelor (împreună cu argumentele lor). Dacă ceva este mutat cel puțin un octet, procesorul nu va "nu va percepe un anumit argument al instrucțiunilor, ca o comandă și octeți pentru el - ca argumentele acestei comenzi, chiar dacă există un alt cod de comandă acolo . Totul va mânca imediat și fatal. 99% că programul va zbura cu o eroare fatală. Comanda NOP are un cod de 90 de ore și ia un octet. Dacă există un cod excesiv care nu este necesar sau chiar dăunător în scopul plasturelui, acesta poate fi înlocuit cu argumente pe atât de multe nops la rând, cât de mult este octetul. Printre hackeri, aceasta se numește alpinism sau scufundată. De fapt, aceasta este singura modalitate de a șterge un cod de excedent de la codul executabil, deoarece nu este textul și orice "tăiat din mijloc" "în scopul scurgerii" va duce imediat la ceea ce vor fi schimbate, va mânca toate adresele și nu vor funcționa deloc. Și "cel mai rău" se întâmplă atunci când noul cod care trebuie înlocuit de cel vechi nu urcă locul "vechi" ... aici începe cefaleea de la hacker - cum să-l tragi pentru a obține ...
Al patrulea MOV, EAX
Plasați numărul din registrul EAX din celula de memorie
În principiu, al treilea și al patrulea sau al treilea și al doilea instrucțiuni pot fi schimbate în locuri - nu va schimba nimic. Dar este imposibil să eliminați NOP în nici un fel, deoarece comenzile noi de-a lungul lungimii codului pe octet sunt mai mici decât vechi și o astfel de discrepanță, dacă nu parry nu se va duce imediat la pista de sincronizare.
Comparație "cu faptul că a fost" imediat pune totul în locul ei!
A fost - a lua un număr din celulă, comparați-l cu un număr din celulă. Dacă sunteți egal, atunci "undeva" sari, dacă nu, atunci mergeți mai departe și executați procedura. În contextul problemei amintește această comparație a numărului de conexiuni admise cu limita admisibilă (adică 1 pentru stație de lucru sau 2 pentru server). Limita este stocată într-o anumită constantă, a cărei adresă este specificată în instrucțiunile de comparație.
Ce sa întâmplat - să ia un număr din celulă, scor pe "această afacere" și să suprascrieți imediat valoarea registrului constant al EAX 100H (\u003d 256 - adică, aparent, o nouă limită de 256 conexiuni), apoi puneți acest număr în celulă
Nimeni nu compară nimic, procedura care se numește mai jos va fi întotdeauna finalizată. În plus, în celulă, în cazul în care, evident, limita conexiunilor "forțat" este scrisă la o nouă limită \u003d 256 în caz în altundeva în celălalt loc al programului există și alte controale ale acestei limite. ASTA E TOT! Este greu să vii cu ceva mai primitiv!
Dacă trebuia să căutăm acest loc pe cont propriu, aș fi trebuit să urmăresc depanatorul procedurii acestui DLL, ca autorul patch-ului sau dezasamblați totul ca IDA și studiați cu atenție codul care conține cu atenție sute de mii de instrucțiuni cu atenție. Dar avem totul gata! E ca o glumă despre mecanic, care a aruncat odată un ciocan și mașina a început, dar subtilitatea este că știa unde să bată și costă o mulțime de muncă. (Doar nu au nevoie de bani aici - Împingeți-i fundul! Mai ales în vacanța lui Aptison! Pentru iubitorii "Câștigurile pe Internet" - există situri specializate.)
De ce plasturele nu funcționează la toate versiunile ulterioare - deoarece adresele se schimbă și codul (argumentele sale) se schimbă ușor la compilare. Acest lucru duce la o deplasare a codului dorit în interiorul exe la alte deplasări și, dacă căutați prin semnătură (secvență strictă de octeți), este posibil să nu găsească alarmele s-au schimbat. Multe adrese sunt, de asemenea, argumente de instrucțiuni și schimbă codul binar la disperabilitate, în ciuda faptului că este același lucru ... Fă-o manual! Aveți un cap pe umeri, nu "secvența strictă a convoluțiilor" ...
7. Acum, în versiunea Original TeRSSRV.dll, care patch-uri Patcher, trebuie să găsiți un fel de unic, în contextul programului, secvența octetului lângă locul care trebuie turnat pentru ao căuta versiune noua Terestrov.dll, pe care doriți să le urmăriți, dar patcherul nu este patch-uri ...
Este necesar să urmăriți dezasamblatorul, ci să-l căutați pe octeți adecvat și dacă alegeți ceva prea "simplu", atunci o astfel de combinație se va întâlni atunci când se va căuta de mai multe ori și va fi dificil să găsiți locul potrivit, acesta va fi "scufundarea" printre mormanul altor similare. Și suntem extrem de importanți "acuratețea de a obține", pentru că dacă urmăriți "nu", atunci nu va funcționa, iar apoi ferestrele vor atârna ...
Selectați instrucțiunile pentru șirul de căutare care conține adrese fixe lungi nu pot fi. La compilarea altor versiuni, cel mai probabil vor fi consumate și nu veți găsi nimic pe ele în noua versiune.
Întreaga procedură este locul unde se întâmplă cecul, mic, doar câteva duzini de echipe. Pentru asamblare nu este "nimic". Hiew vă va arăta limitele condiționate ale procedurii ca "benzi" _ _ ^ _ ^ _ ^ _ ^ _. Vă rugăm să rețineți că la începutul procedurii există un apel la adresa "Import" Procedură Windows API - CDEFPOLICY :: Interogare și Hiew Acesta este un intitulat (deci numele funcției și câștigat și scris). Aceasta ar trebui să fie o orientare bună pentru dvs., pe drumul spre locul potrivit. În plus, această "Kakbe indică" că poate există o modalitate diferită de a rezolva problema, de exemplu, găsirea unei anumite politici "secrete" responsabile pentru comportamentul serverului terminal. Cei care doresc să poată salva codul de către debugger și să caute modul în care variabila sau constanta este inițializată cu numărul de conexiuni. Dar pentru șirul de căutare "codul din CDEFPOLICY" nu este potrivit, deoarece adresa procedurii în importuri este cel mai probabil mănâncă în noua versiune. Aș încerca să caut octeți de la începutul procedurii după CDEFPOLICY. Mestrează:
57 Împingeți Edi.
6A10 PUSH 010.
8BF1 MOV ESI, ECX
33db xor ebx, ebx
57 6A 10 8B F1 33 DB
La final, puteți adăuga mai mult cod de instrucțiuni de apeluri E8, care urmează, dar nu argumentul său (următorul octeți), pentru această adresă și va fi modificat la compilarea noilor versiuni.
O astfel de secvență îmi dă atunci când caut în Hiew (Căutare F7)
Total 3 Coincidență, iar apelul CDEFPOLICY este vizibil în context într-un singur caz - în primul. Dacă aveți și un loc găsit, scrieți adresa de la prima coloană (după apăsarea Alt-F1 - Global!) "Pe o bucată de hârtie" și încercați să faceți patch-uri.
Dacă codul sa schimbat atât de mult încât nimic nu găsește, căutăm alte secvențe unice, inclusiv. A avut loc în procedurile adiacente și încercați să le căutați. Sarcină - găsiți codul doritÎn cazul în care "Totul coincide în sensul", nu o secvență, ne gândim la asta și ne uităm la context, încercând să căutăm CDEFPOLICY :: Interogare în noua versiune. Puteți căuta text CDEFPOLICY :: Interogare în New.dll, veți găsi un șir (de mai multe ori), dar nu un loc în care se face referire. O astfel de metodă ajută uneori la găsirea celor dorit utilizând F6 (Referință) în Hiew și am reușit să găsesc locul potrivit în DLL de la Win7sp1x86rus de dragul experimentului, dar nu și faptul că pretutindeni va reuși, chiar mai mult cu alte programe).
8. Acum trebuie să luați Dermsrv.dll din versiunea de care aveți nevoie pentru a patch-uri. Lansând cea de-a treia copie a Hiew, deschideți noul DLL în ea "(pentru a comuta cu ușurință între toate cele trei și comparați vizual). Găsim locul potrivit, așa cum este descris ușor mai mare sau mergeți la adresa, care a scris "pe o bucată de hârtie" (o bucată de hârtie - un prieten al unui programator în această lume lucioasă, unde veți obține hard disk-uri, bateți blocajele de trafic și Hang OS).
Analizăm codul de mai jos CDEFPOLICY :: Interogare și găsiți cu ușurință locul potrivit similar cu:
CMP EAX,
Jz .06F30B25E.
Înțelegem că adresa, dar dacă sa schimbat, de exemplu, aceasta este adresa de care aveți nevoie și operați în viitorul drept.
9. Dacă ați fost convins că am găsit exact ceea ce este necesar, uitați-vă la cursorul la instrucțiunile CMP și apăsați cu îndrăzneală F3-Editare. Cursorul "gri" se va schimba la "Normal" (pentru modul text de afișare) - înlocuire. Ar trebui să indice aceeași instrucțiune CMP.
Faceți clic pe fila (sau f2) și va apărea dialogul de înregistrare a instrucțiunilor de asamblare.
Introduceți instrucțiunile de acolo
MOV EAX, 100
Apoi introduceți. Pe ecranul principal se va vedea că bytes "din instrucțiune" s-au schimbat și unii dintre ei au devenit "auriu" (galben). În același timp, instrucțiunile de mai jos "mișcate" și în coloana din dreapta a acestora arată "Belibred" - deloc ce a fost acolo înainte.
Dialogul de intrare de comandă de pe fereastra principală continuă să "atârnă" și să așteptați introducerea de instrucțiuni noi, arătând un fel de următor, interpretat incorect, datorită congresului adresat, instruire.
Această instrucțiune nu plătește cea mai mică atenție și conduce următoarele.
Vbe nop și apăsați enter
În cea mai mare parte Windows Galben aprins următorul șir cu codul 90.
Sincronizarea va fi restaurată și următoarea comandă va fi din nou jz. Acesta va fi oferit pentru a modifica dialogul de introducere a instrucțiunilor.
Conduce acolo
MOV, EAX.
Dacă în loc de 320 în comanda CMP a existat o altă adresă, apoi o scoateți afară!
Apasa Enter. După aceasta, codul va aprinde codul în 3 rând, din care trebuie să fie manualul MOV, EAX (sau nu 320 și numărul care a fost acționat).
Verificăm că nu am mutat sincronizarea codului de date. Următoarea instrucțiune ar trebui să fie împingă EDI (sau altul dacă codul sa schimbat foarte mult și ați avut o instrucțiune diferită de plasturele acolo - ar trebui să rămână în locul meu și să interpretați corect, ceea ce indică faptul că totul este bine lângă ea).
Când toată lumea a bătut, apăsați pe ONC. Dialogul de intrare Instrucțiuni va dispărea, dar poate fi apelat din nou în orice moment (în modul de editare) apăsând fila. Toate octetele modificate vor avea galben. Verificați că totul pare corect, nicăieri nu a fost acoperită. Nimeni nu vă va verifica aici, nu "protecție împotriva proștilor" de orice rang și fără titlu. Nimeni nu va lua în considerare regalia. Ce au făcut - au primit. Nault - se va bloca și nu va face nimic.
Dacă toate OK este apăsată F9 (Actualizare). Modificările vor fi înregistrate în fișierul de pe disc, iar octeții modificați vor schimba culoarea la uzual (cyan).
10. Acum trebuie să corectați suma de verificare a exe. Fă-o înainte de nebunie plictisitoare, uite hiew va face această lucrare pentru tine și nu face aproape nimic de făcut. Faceți clic pe F8 (antet). Fereastra "gri neclint" apare cu "decodarea" parametrilor antetului fișierului exe.
Faceți clic pe F3 (editați). În partea de sus a ferestrei "non-luminoase" apare "culoarea" purpurii. Enumeră toți parametrii antetului care indică adresele și valorile acestora. Cu o frunză de față plictisitoare mai aproape de un capăt și găsiți parametrul de verificare acolo. Este indicat în partea dreaptă (de fapt rezumatul de verificare) în expresia hexazecimală și zecimală rămasă "la moștenire" din fișierul original fără mâini. Apăsăm din nou F3 și, despre un miracol, șirul este vopsit în galben, iar controlul controlează valoarea acestuia. Putem crede Hiew și putem găsi pe forumuri sau în cărți și putem calcula manual. Dacă "totul este mulțumit de" clema F9 (actualizare). Fereastra clipește, totul dispare ... acesta este sfârșitul, crede cititorul unimalim. Dar când praful se încadrează, controlul se dovedește a fi corect. Inspectivul poate merge din nou la dialogul menționat și să compare controlul cu atenție cu atent salvat la execuție în Bakap pe o bucată de hârtie. Puteți părăsi vizualizarea la ESC și treceți la pasul de testare a acțiunii dvs.
11. După ce ați primit un fișier de pante, puteți încerca să înlocuiți Termenv.dll în sistemul de operare țintă.
Datorită mecanismelor de protecție ale ferestrelor din schimbarea fișierelor de sistem, precum și interzicerea înregistrării rularea programelor Partajarea încălcării) va trebui să oprească serviciul de servicii terminale.
Dacă totul funcționează, atunci ați devenit un kulkhakker sau ați făcut primul pas conștient pe această cale. Nimeni nu te deranjează să alegi și să înveți mai departe, făcând lumea mai bună și mai bună. În Nete există multe instrucțiuni și forumuri întregi tematice pentru cei care doresc să gândească capetele lor și nu numai să consume o porno multiplicatoare din matrice.
Nu înscrieți o listă de octeți modificați (puteți obține cu ajutorul tuturor "FC / B File1 File2") pentru alți utilizatori mai puțin sofisticați, aici și / sau pe alte resurse, faceți vecinul bun, ca Domnul a lăsat-o și glorifică numele său în analele istoriei hackerilor.
Conform listei de modificări, puteți face fișierul .crk (pentru patch-uri care înțeleg acest format antic) sau fabricarea patch.exe cu ajutorul oricărui producător de patch-uri, Koi, de-a lungul anilor de evoluție, au scris zeci și sute. Alegeți apoi "cu windows Support Vista / 7 "Pentru vechile, deși bine adecvate, dar nu știu nimic despre privilegiile escaladatului, iar Windows nu le va permite stupid să patching în ferestre / sistem sau fișiere de program. În instrucțiuni, menționați cerința de oprire a serviciului terminalelor sau utilizarea patch-urilor pe fișiere în foldere individuale, urmată de submeniul în sistemul 32 de către utilizatorii înșiși. În orice caz, publicați o listă de modificări, nu ardeți pe "Lavra", perspectiva unei persoane poate fi nevoită să dracu și informațiile vor găsi o soluție alternativă. Patcherul autorului face totul în mod automat, inclusiv lucrul cu Winsxs - a urmărit codul, dar găsiți un astfel de patchmaker, astfel încât toate acestea să ia în considerare, va fi crezut nu doar.
Există o oportunitate foarte convenabilă de a face de la ferestre obișnuite 7 Semnificația unui server terminal cu capacitatea de a se conecta și de a lucra pe un computer la mai mulți utilizatori ai PDR. Poate fi relevantă în oficiul mic Pentru a lucra în 1c prin intermediul PDR. Mai mulți oameni vor putea lucra cu ușurință pe un computer obișnuit.
Faptul este că desktopul la distanță în versiunile serverului, implicit acceptă două conexiuni simultane pentru a depana și a controla computerul. Alți utilizatori se pot conecta simultan până când aveți licențele de acces pentru clienți necesare pentru acest server și mașina poate face față cu ea, adică Are suficiente resurse.
Pentru a permite utilizatorilor mai mulți să lucreze cu un computer în același timp, trebuie să eliminați această limită. Pentru a face acest lucru, comanda DeepXW a creat un plasture universal. Patch-ul face modificări în fișierul Termenv.dll, care este situat în% Systemroot% \\ System32 \\.
FASHION FAIDER.
Patch suportă:
- Windows XP SP2 SP3;
- Vista SP1 SP2;
- Windows 7;
- Windows Server. 2008 SP1 / SP2.
Va apărea o fereastră, ca în imaginea de mai sus, unde puteți patch-ul terminat pentru a elimina restricția sesiunilor desktop la distanță sau pentru a restabili fișierul sursă în orice moment (calea către calea către fisier de rezerva: \\ Windows \\ System32 \\ TerestrV.dll.Backup). După aplicarea plasturelui, reporniți computerul și puteți începe să lucrați.
Pentru a verifica eliminarea restricției, lăsați sesiunea deschisă a unui utilizator pe computerul în care ați aplicat patch-ul și de la cealaltă mașină, încercați să vă conectați la computer la distanță de la un alt utilizator. Dacă totul a mers cu succes, ambii utilizatori vor fi activi în sistem, fiecare la sesiunea sa.
Original: "http://www.techspot.com/guides/485-windows-concurrent-sesions/"
Până în prezent, există încă două moduri de a face din terminalul Windows 7 SP1. Primul cu un plasture la biblioteca TerestrV.dll, al doilea fără. Este preferabil să utilizați al doilea mod, dar dacă ceva nu funcționează, puteți utiliza primul. Acum, în detaliu despre aceste metode.
Metodă a celei de-a doua
Puteți face totul manual, cine o înțelege, poate face pe baza conținutului arhivei. ÎN dosarul cmd. Sunt descrise toate acțiunile care vor fi fabricate cu sistemul. Pentru cei care nu doresc să înțeleagă acest lucru, există un script install.cmd. Pentru a instala un plasture, trebuie să o executați în numele administratorului
Asta e tot. Puteți verifica, conecta. Trebuie să creeze conturi Utilizatorii, nu uitați să rezolvați conexiunea la desktopul la distanță:
Metoda a treia
Windows XP Professional și Windows XP Media Center Edition (MCE) Au un serviciu de conectare desktop de la distanță (RDP)Ceea ce vă permite să conectați de la distanță computerul, accesul și controlul unui alt computer sau gazdă. Cu toate acestea, mașinile de pe sistemul de operare Windows XP. Permiteți simultan conectați-vă la un desktop la distanță Doar un singur utilizator care a fost conectat la el, fără mai multe sesiuni conexiuni la distanță de la distanță sau sprijin suport.
Ori de câte ori utilizatorul de la distanță se conectează prin client la desktop de la distanță (RDC) Pentru a vă conecta la gazdă Windows XP.Utilizatorul local este oprit cu blocarea consolei sau fără permisiunea sa. Desktop la distanțăSpre deosebire de serverul de servicii terminale din Windows Server 2003 și Server 2008, acesta este conceput pentru un utilizator de unică folosință, indiferent dacă este un utilizator local sau la distanță.
Aici hack pentru a debloca o limită care permite mai multe simultane Desktop la distanță. Sesiunile de conectare în ediția Windows XP Professional și Media Center utilizând fie o versiune prelungită a ansamblului prelungit prelungit HERMERV.DLL.dll versiunea 5.1.2600.2055, astfel încât un număr nelimitat de utilizatori să poată simultan conectați-vă la un computer utilizând un desktop la distanță.
- Descărcați o copie a prelungită, care va elimina restricțiile conectare la distanță La desktop deconectat pentru dvs. versiunea Windows. XP:
Windows XP SP3: termenirv.dll (versiunea 5.1.2600.5512)
Pentru a obține informațiile terminv.dll, plasturele are de obicei următoarele biți de coduri HEX care sunt suprascrise în următoarele valori:
00022A17: 74 75
00022A69: 7f 90
00022A6A: 16 90
- Reporniți computerul și descărcați informațiile în modul sigur făcând clic pe F8. În timpul încărcării și selectați modul de siguranță . Acest pas este necesar numai dacă sunteți în acest moment Utilizați serviciile de terminale Windows sau servicii desktop de la distanță, Protecție sistemul de fișiere Trebuie să fie săriți, altfel următorul mesaj de eroare pare să restabilească termenii originaliRv.dll.
3. PURGE B. % System System 32 Si fa backup. (sau redenumiți) termenirv.dll. .
4. Amestecați sau ștergeți terminal.dll. în dosar % WINDIR% System32 Dllcache.
5. Copiere încărcată termenirv.dll. în % System System 32 , % WINDIR% SERVICEPACKFILES I386 (dacă există) și % WINDIR% System32 Dllcache .
6. Download și rulați pentru a îmbina valorile de registry în registru sau puteți porni editorul de registry manual și puteți adăuga următoarele opțiuni de registry:
"EnableccurrentSessions" \u003d DWORD: 00000001
"Allowmulsessims" \u003d DWORD: 00000001
7. Faceți clic pe buton start -> A executa Și introduceți comanda gpedit.msc. , Click. INTRODUCE Pentru a deschide editorul de politici de grup.
8. PURGE B. Configurarea computerului. -> Șabloane administrative -> Componentele Windows. -> Servicii de terminale .
9. Opriți-vă limitați numărul de conexiuni și setați numărul de conexiuni în 3 (sau mai mult). Setarea permite simultan mai mult de o utilizare a computerului.
10. Urmați desktopul de la distanță în fila Ștergere Proprietăți sistem selectând comutatorul Permiteți utilizatorilor să se conecteze la distanță la acest computer. .
11.Cunde comutarea rapidă a utilizatorului în Panouri de control -> conturi de utilizator -> Schimbarea loginului sau închiderii utilizatorului .
12. Încărcați un computer ca de obicei.
I Notă Dacă nu puteți înlocui sau rescrie fișierul Termserv.dll - Accesul este refuzat sau eroarea de fișier, opriți "Serviciile Termine" în secțiunea "Servicii" a panoului de control al administrației. În plus, fiecare conexiune fizică conectată trebuie să aibă propriul cont de utilizator în computerul țintă, iar autentificarea trebuie efectuată cu numele de utilizator și parola corespunzătoare a acreditărilor.
Pentru a șterge și a reveni la Original TeRSSRV.dll, ștergeți pur și simplu versiunea corectată, precum și redenumiți backup-ul înapoi la "TeRSSERV.dll". Dacă serviciile terminale sunt incluse și funcționează, trebuie să o faceți într-un mod sigur,.
Dacă computerul S. Windows XP. conectat la domeniu, în retea locala, Windows. Va exista o valoare a lui Regkey "AllowMultipletSessions" în "0" de fiecare dată când computerul nu va fi repornit. Pentru ca un număr de sesiuni multiple sau nelimitate de conexiune la distanță la desktop, este permisă în mediul de domeniu publicitar, valoarea datelor pentru "AllowMultsessSessions" care trebuie să fie setată la "1" cu fiecare sistem de pornire a sistemului. Pentru a schimba valoarea, reporniți doar ts_multiple_sesions.bat. De fiecare dată când porniți computerul. De asemenea ts_multiple_sesions.bat. în C: Documente și setări Toate utilizatorii Meniul principal Startup Foldere pentru ca acesta să fie automat la primul utilizator cu drepturile de administrator. O altă soluție este de a instala serviciu suplimentar sau definiția cheie în filiala de registry HKEY_LOCAL_MACHINE software. Microsoft Windows. Currentversion rulează.Prin intermediul căruia fișierul batch este automat bootabil și acest lucru este util dacă computerul nu se va înregistra la nimeni, dar necesită un angajat să permită conexiuni nelimitate la un desktop de la distanță la locul de muncă.
Un alt lucru, dacă utilizatorul se închide compuși de la distanță În loc să completați o sesiune atunci când el sau ea încearcă să se conecteze din nou, apare un mesaj de eroare cu un eveniment TCP / IP. Pentru a rezolva această problemă, descărcați și instalați Windows XP TCP / IP, restricționând patch-ul de conectare și eveniment 4226 și instalați conexiunea cel puțin 50.
Această adunare este construită pe forma originală a versiunii rusești Microsoft Windows XP Professional SP3, cu toate actualizările! Discul multi-încărcare. DESCĂRCARE GRATUITĂ -
Fixați dezavantaje ale PDR. Utilizarea bibliotecii de ambalaj din RDP
La tabelul sisteme de operare Microsoft are unele limitări asociate cu activitatea desktopurilor la distanță. Deci, mai întâi, suportul pentru partea serverului (gazda RDP) este numai în edițiile senior ale Windows (nu este profesional mai mic). În editorii de acasă, această funcție este dezactivată, deci este imposibil să se conecteze la versiunile Windows mai tinere la PDR.
În al doilea rând, numărul sesiunilor PLDP paralele este limitat. Numai o singură conexiune simultană prin intermediul RDP este permisă și când încercați să deschideți a doua sesiune RDP, sistemul va emite un mesaj pe care sistemul conține deja un singur utilizator și îl solicită să-l arunce.
Bypassing aceste restricții va permite proiectul Biblioteca de ambalaj din RDP de STAS.Împachetarea cu RDP funcționează ca un strat între managerul de service (managerul de control al serviciului, CSM) și desktop-urile de la distanță. În același timp, spre deosebire de alte soluții de acest tip, nu schimbă fișierul termenirv.dll. (Biblioteca utilizată de serviciul de servicii desktop la distanță), care nu permite falsificarea actualizări Windows..
În Windows 8 / 8.1, precum și în versiunile anterioare Microsoft Client OS, acceptat doar o conexiune simultană a RDP. Aceasta înseamnă că doar un singur utilizator (o sesiune), local sau la distanță, poate conecta simultan la Windows 8 printr-un desktop la distanță. În majoritatea cazurilor, acest lucru este suficient, dar uneori aș dori să pot lucra simultan mai mulți utilizatori în propriile noastre sesiuni. Un exemplu bun poate fi un computer ca centru media, când videoclipul este jucat în sesiunea consolei și, în același timp, trebuie să lucrați la distanță cu sistemul fără a întrerupe video la televizor.
Consiliu.Accesul la rețea de la distanță nu funcționează la domiciliu (acasă) Windows Editions, trebuie să editați Pro sau Enterprise.
Când încercați să deschideți a doua sesiune a RDP pe un computer cu Windows 8, apare un mesaj pe care sistemul a fost deja înregistrat în sistem și sesiunea sa poate fi finalizată.
Consiliu. Anterior în proprietățile computerului din fila de acces la distanță (la distanță), trebuie să adăugați conturi pentru utilizatorii necesari în grupul local Utilizatorii desktop de la distanță. Administratorii locali rDP de la distanță. Accesul este permis în mod implicit. După încorporare Accesul la RDP. În proprietățile sistemului, Firewall-ul Windows. Permite automat regulile care să permită traficul primitor la portul 3389. Uneori, prezența acestei reguli trebuie verificată manual.
De exemplu, în versiunea de server a Windows, sunt susținute două conexiuni administrative simultane cu sesiuni individuale (în cazul unei organizații baza de date Windows. Serverul TERMIN RDS Server, acest număr poate fi chiar mai mare).
Cu toate acestea, pe Internet, puteți găsi un plasture special care vă permite să ocoliți această limitare. Datorită acestui patch, mai mulți utilizatori se vor conecta simultan la RDP la un computer cu Windows 8 / Windows 8.1.
Important. Utilizarea acestui plasture este în esență o încălcare acord de licențiere Și termenii de utilizare a produselor Microsoft. Prin urmare, toate operațiunile descrise mai jos efectuați riscul dvs.
Deci, plasturele implică înlocuirea originalului fișier de sistem. % Systemroot% \\ System32 \\ TerestrV.dll (Biblioteca utilizată de serviciul de servicii desktop de la distanță).
- Windows 8 - termenirv.dll-win8.zip
- Windows 8.1 - TerestrV.dll-win8.1.zip
Înainte de a înlocui biblioteca de sistem, creați o copie de rezervă a fișierului Termanv.dll cu comanda:
Copiați C: \\ Windows \\ System32 \\ TerestrV.dll TermensRv.dll_old
Acum, dacă ceva nu merge bine, puteți să reveniți întotdeauna la configurația inițială, înlocuind fișierul curent cu Original TeRSSERV.dll_old.
Descărcați arhiva bibliotecii pentru versiunea dvs. de Windows.
În Windows 8, trebuie mai întâi să modificați următoarele taste în filiala de registry HKLM \\ System \\ CurrentControlset \\ Control \\ Terminal Server \\:
- fdenytsConecții(DWORD) - 0 (Cheia permite computerului)
- fsinglesesionperuser. (DWORD) - 0
Aceeași operație poate fi efectuată din linia de comandă:
REG Adăugați "HKLM \\ System \\ CurrentControlset \\ Control \\ Terminal Server" / V FdenytsConnection / T Reg_DWord / D 0 / F REG Adăugați "HKLM \\ System \\ CurrentControlset \\ Control \\ Terminal Server" / v FSILSTIONUUSER / T REG_DWORD / D 0 / F
Apoi mergeți la catalog C: \\ Windows \\ System32Găsirea unui fișier. termenirv.dll. și deschideți proprietățile sale.
Implicit, proprietarul acestui fișier este Instalare de încredere Și chiar administratorul nu are dreptul să îl înlocuiască. 
Să ne întoarcem la filă Securitate Și faceți clic pe buton Editați | ×.. În lista de acces, găsiți un grup de administratori locali și furnizați-l cu drepturi depline la dosar ( Control total) Și salvați modificările.
Următorul pas înainte de a înlocui fișierul bibliotecii, deschideți consola de administrare a serviciilor ( servicii.msc.) și opriți serviciul Servicii desktop de la distanță.
Copiați fișierul TeressRv.dll din arhiva descărcată pentru versiunea sa de Windows din catalog % Systemroot% \\ System32 \\ (cu înlocuirea).
Notă. Arhiva pentru Windows 8.1. Conține două fișiere 32_termsrv.dll. și 64_termsrv.dll., pentru versiunea 32 și 64 de biți a Windows 8.1, respectiv. Despachetați arhiva și redenumiți fișierul pentru versiunea dvs. a sistemului în Contronv.dll
După înlocuirea fișierului, executați serviciul de servicii la distanță și încercați să creați două sesiuni RDP cu o mașină probată în conturi diferite. Dacă sunteți făcut cu toții corect, trebuie deschise două sesiuni independente ale desktopului la distanță.
Consiliu. Poate fi necesar să reporniți computerul.
ImportantFotografiile! Folosirea versiunii probate a modalitățiiRv.dll are o serie de deficiențe. Principalul principal când instalați următoarea actualizare a Windows 8.1 / 8, acest fișier poate fi înlocuit. În consecință, va fi necesar să se utilizeze editorul HEX pentru a patchiza un fișier nou utilizând editorul HEX sau pentru a căuta pe Internet un fișier modificat gata pentru constructorul Windows.
Ca o soluție care este rezistentă la înlocuirea fișierului termenirv.dll la instalarea actualizărilor Windows, ar trebui să utilizați soluția open source deschisă Biblioteca de ambalaj din RDP(Disponibil pe GitHub), care nu conduce fișierul Termenv.dll și este un strat între serviciile terminale și serviciul CSM. Puteți citi mai multe despre utilizarea bibliotecii de ambalaj din RDP.
