On 14 Cze, 10:47, "kali" <g...@t...pl> wrote:
> Użytkownik "Przemysłąw Dębski" <p...@g...pl> napisał w
wiadomościnews:kpea2d$2mf$1@node1.news.atman.pl...
>
> > kali pisze:
> ...
> > Ale to chyba jakiś dissasembler masz na myśli ? Mamy przecież do
> > dyspozycji goły exe i nic ponad to. Dodatkowo nie mamy pewności, czy
> > nasza funkcja nie siedzi w jakimś dll - choć ok. w tym konkretnym
> > przypadku to mało prawdopodobne. Załóżmy że przełamię "barierę językową"
> > ;) Jak w takim kodzie znaleźć assemblerowy odpowiednik ~"case WM_PAINT"
> > skoro na tym poziomie komunikat będzie reprezentowany przez liczbę a nie
> > przez nazwę. Dodatkowo takich ~"case WM_PAINT" będzie tyle ile
> > komponentów w aplikacji (dobrze myślę?) i skąd wiadomo który z nich to
> > jest właśnie ten. Jeśli by chcieć szukać interesującego nas fragmentu
> > kodu poprzez jakiś charakterystyczny string, to też mamy problem. To
> > jest komponent chatu i wyświetla to co ludzie napiszą. Exe wrzucony do
> > dissasemblera nie jest (?) działającym programem.
> > Może źle zrozumiałem "włączasz debuger" ?
>
> dobrze zrozumiałeś - debugger :)))
> Choć IDA razem z debuggerem też może być.
>
> Wszystko zalezy od windowsa:  XP, 7,8,* 64/32 ?
> najbezpieczniejszy bedzie windbg  - bo od MS-
> i działa na wszystkich windowsach - ale ciężki w obsłudze.
> Oly bedzie przydatny tylko na 32 bitowych
> ale masz więcej tutoriali - opisów bardziej przyjazny.
> Kiedys softice był dobry na wszystko :)))))

Mamy do czynienia z XP wziętym zasadniczo z Węgorzewskiej ;)

> Debuggerowi wszystko jedno
> czy to jest w exe czy dll czy w czym innym
> on działa na tym co juz w pamięci - skąd się tam
> wzięło to mało ważne.
> Jednak jeśli to komponent w C# np. to
> nie tędy droga . A jeszcze może np.
> ( to juz perwrsja) rysowac poprzez directx
> :))))

Możliwe że są jeszcze bardziej perwersyjni, gdyż ten API Monitor
którym wczoraj się bawiłem DX-a też monitorował :)

> trzeba najpierw rozpoznać co to jest i czy nie ma
> zabezpieczeń antydebugg
> bo wtedy sprawa sie komplikuje.

Jakie tam zabezpieczenia są to nie wiem, ale pewne jest że autorzy
celowo dołożyli starań, by z tego okienka nie dało się nic wyciągnąć,
tudzież by to maksymalnie utrudnić.

> Może puść to pod procesmonitor - sysinternals
?http://technet.microsoft.com/en-us/sysinternals/bb8
96645
>
> będzisz miał nadmiar informacji :))))

Poćwiczę temat gdy wrócę z fabryki.
Natomiast w drodze do fabryki zdałem sobie sprawę z jednego pozornie
błahego faktu. Otóż w tym chacie działa zaznaczenie pojedynczej
linijki i Ctrl+C. Może od tej strony da się jakoś obadać ?

Aha - rozwinę nieco pierwotny plan z pomysłem. Otóż wiedząc że
bezpośrednio w komponencie ciężko będzie znaleźć miejsce w którym
teksty są przetwarzane, pomyślałem, że jak ten komponent by się nie
zabezpieczał i tak ostatecznie musi się odwołać do jakiejś funkcji
systemowej która to fizycznie wyświetli. Plan polegał na
zidentyfikowaniu tej funkcji która jest używana (bezpośrednio lub
pośrednio) do tego wyświetlania i podpięcie się zamiast niej.
Oczywiście trzeba by pokombinować jak zidentyfikować proces ją
wywołujący i zrobić bypass na nie interesujące nas wywołania innych
procesów. Miało by to dodatkowo jedną zaletę. Program który
podsłuchujemy miał by nikłe szanse na zorientowanie się że jest
podsłuchiwany.

Pozdrawiam