Электронная библиотека
Xakep
Азы хака. Подборка инструментов.
Xakep, номер #013, стр. 013-051-4
INT-Мониторы
INT-Монитор - программа для отслеживания и записи всех (или только указанных) прерываний, вызываемых подопытной программой. Для DOS это - INTController и INTIndicator by Maxim Chirkov. Это небольшие резиденты, которые висят на нужных прерываниях и следят за частотой их вызова. А для win32 существует прекрасная вещь - APISPY32 by Yariv Kaplan. Правда, чтобы `шпиён` ловил вызовы какой-нибудь апишной функции, ему необходимо в специальном файле прописать имя этой функции и тип ее аргументов - несколько утомительно, и если используются функции из собственных библиотек, поставляемых вместе с программой, - ничего уже не сделаешь. Но это единственный известный мне вариант подобной утилиты под win32. Пригодится.
Унпакеры-распаковщики (unpackers)
Предназначены для снятия так называемых `навесных` защит. Например, есть уже готовая программа, и лень лезть и встраивать защиту. Или хочется, чтобы она занимала меньше места на диске. Тогда берется программа пакер-паковщик (packer), и `натравливается` на бедный
ехе-шник. Паковщик упаковывает код проги и пишет свой распаковщик в начало, а потом дописывает все остальное в конец. Когда программа вызывается, то сначала отработает распаковщик, затем уже будет выполняться запакованная программа. В результате, такую программу невозможно пропатчить, не распаковывая, так как нужные байты, как правило, запакованы-шифрованы, и найти их не удается. Но можно распаковать весь файл и исследовать/патчить его отдельно. А потом при желании запаковать (тем же или другим паковщиком - для экономии availspace на hdd). Для тех, кто на бронепоезде - именно этим (распаковкой) и занимаются унпакеры. Существуют унпакеры как универсальные (CUP386[DOS], ProcDump[WIN] - лучшие из них, на мой взгляд), так и `заточенные` под конкретный паковщик. Из вторых могу посоветовать Universal Unpacker Package by Predator 666 - сборник унпакеров для самых популярных пакеров + универсальный унпакер. Из первых - все же лучше CUP386; единственное, что придется делать самому - так это мучительно вспоминать, `куда же он делся? после вчерашнего...`, а остальное он сделает сам (если найдешь, конечно). Для Win32 лидером пока что остается ProcDump. Это по совместительству унпакер и дампер. Есть хорошие фичи, вроде примитивных скриптов, на которых можно описать принцип действий унпакера для конкретного паковщика.
Вродетогопослесловиеиливродетого
Вот такое вот оно - хакерское дело. И софта в нем занято немерено, и юзать его ещё научиться надо. Но ты - ты научишься обязательно. Как говорится, у страха глаза велики, зато енг маленький. Только начнешь - всё получится и всё будет в порядке. Ах да! Где софт взять? Чуть ни забыл. Почти все, о чем здесь шла речь, можно слить (или найти ссылку, а потом слить) с http://i.am/wwh, http://dore.on.ru, http://www.idapro.com, www.internals.com.