Modificar esto de este programa

Iniciado por amlop, 17 Octubre 2008, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

KJD

Cita de: amlop en  3 Noviembre 2008, 17:51 PM
Lo que e echo es cambiarle el nombre luego cuando el icono se queda abajo en el escritorio al pasar el raton por encima me sale el nombre del programa y quiero quitarlo como seria?

Busca nuevamente la cadena que quieras cambiar, lo puedes hacer con olly o con alguno de los editores antes mencionados.
"Solo hay 10 tipos personas que saben leer binario, los que si y los que no"

"Keyboard not Found, press F1 To Continue" WTF???

tena

En su dia escribi:

Cita de: tena en 25 Octubre 2008, 22:29 PM
Tambien podes abrir el exe en el Ollydbg y poner un breakpoint en SetWindowTextW, como haces esto? bueno en ollydbg presiona ctrl+g y ahi escribis SetWindowTextW, enter, y F2 para poner el bp.
Luego das run con F9, cae en el breakpoint que pusiste..

Fijate en la pila que aparece el puntero a la cadena, hace ctl+f9 para ir al ret, ahora f7 para llegar al codigo, aqui podes modificar el puntero a otra direccion donde tengas otra cadena diferente...
Saludos..

Haciendo asi como te dije ya no figura el nombre del programa cuando lo minimizas.

Saludos

amlop

#32
a esto es a lo que me refiero.


Shaddy

Bueno amlop,

Yo lo que te recomiendo es que cojas el Import Reconstructor y saques la tabla de importaciones de eso que estás mirando, luego le das a Save Tree y lo guardas en un .txt, y luego buscas algo así como:

"ShellTrayIcon" o algo así...

algo parecida es la api que envia esos "globos" en la barra de tareas, así que buscala en la lista de APIs para meterle un BreakPoint y ver de donde saca el texto etc..

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

amlop

Le di a Save Tree y no se donde se queda guardado?

tena

1- Ejecutas el programita que estas viendo
2- luego en ImportRec seleccionas el proceso de dicho prog
3- le das al boton IAT autosearch
4- le das al boton Get Imports
5- Save Tree y elegis donde lo guardas.

saludos

amlop

Ok ahora si me salio y me salio lo siguiente:

; Syntax for each function in a thunk (the separator is a TAB)
; ------------------------------------------------------------
; Flag   RVA   ModuleName   Ordinal   Name
;
; Details for <Valid> parameter:
; ------------------------------
; Flag:  0 = valid: no  -> - Name contains the address of the redirected API (you can set
;                            it to zero if you edit it).
;                          - Ordinal is not considered but you should let '0000' as value.
;                          - ModuleName is not considered but you should let '?' as value.
;
;        1 = valid: yes -> All next parameters on the line will be considered.
;                          Function imported by ordinal must have no name (the 4th TAB must
;                                                                          be there though).
;
;        2 = Equivalent to 0 but it is for the loader.
;
;        3 = Equivalent to 1 but it is for the loader.
;
;        4 = Equivalent to 0 with (R) tag.
;
;        5 = Equivalent to 1 with (R) tag.
;
; And finally, edit this file as your own risk! :-)

Target: C:\Documents and Settings\manolo\Escritorio\Nueva carpeta10\01.exe
OEP: 00004626   IATRVA: 00008000   IATSize: 00000160

FThunk: 00008000   NbFunc: 00000001
1   00008000   comctl32.dll   0057   InitCommonControlsEx

FThunk: 00008008   NbFunc: 0000000C
1   00008008   gdi32.dll   008D   DeleteDC
1   0000800C   gdi32.dll   0090   DeleteObject
1   00008010   gdi32.dll   016C   GetDIBits
1   00008014   gdi32.dll   002E   CreateCompatibleDC
1   00008018   gdi32.dll   0051   CreateSolidBrush
1   0000801C   gdi32.dll   01DF   PatBlt
1   00008020   gdi32.dll   0210   SelectObject
1   00008024   gdi32.dll   024B   StretchBlt
1   00008028   gdi32.dll   0217   SetBkColor
1   0000802C   gdi32.dll   0162   GetClipBox
1   00008030   gdi32.dll   0218   SetBkMode
1   00008034   gdi32.dll   002F   CreateDCA

FThunk: 0000803C   NbFunc: 00000008
1   0000803C   kernel32.dll   01AF   GetStartupInfoA
1   00008040   kernel32.dll   0343   Sleep
1   00008044   kernel32.dll   0199   GetProcAddress
1   00008048   kernel32.dll   0048   CreateDirectoryA
1   0000804C   kernel32.dll   0175   GetModuleFileNameA
1   00008050   kernel32.dll   0245   LoadLibraryA
1   00008054   kernel32.dll   00F1   FreeLibrary
1   00008058   kernel32.dll   0177   GetModuleHandleA

FThunk: 00008060   NbFunc: 0000001A
1   00008060   msvcrt.dll   00F7   _exit
1   00008064   msvcrt.dll   0050   _XcptFilter
1   00008068   msvcrt.dll   0291   exit
1   0000806C   msvcrt.dll   0285   atoi
1   00008070   msvcrt.dll   0309   strncpy
1   00008074   msvcrt.dll   00A9   _acmdln
1   00008078   msvcrt.dll   006F   __getmainargs
1   0000807C   msvcrt.dll   013C   _initterm
1   00008080   msvcrt.dll   009C   __setusermatherr
1   00008084   msvcrt.dll   00B7   _adjust_fdiv
1   00008088   msvcrt.dll   0082   __p__commode
1   0000808C   msvcrt.dll   0087   __p__fmode
1   00008090   msvcrt.dll   009A   __set_app_type
1   00008094   msvcrt.dll   00EE   _except_handler3
1   00008098   msvcrt.dll   00D7   _controlfp
1   0000809C   msvcrt.dll   0308   strncmp
1   000080A0   msvcrt.dll   02E1   memset
1   000080A4   msvcrt.dll   02FF   strchr
1   000080A8   msvcrt.dll   029F   fopen
1   000080AC   msvcrt.dll   029A   fgets
1   000080B0   msvcrt.dll   0294   fclose
1   000080B4   msvcrt.dll   030B   strrchr
1   000080B8   msvcrt.dll   0011   ??2@YAPAXI@Z
1   000080BC   msvcrt.dll   02FA   sprintf
1   000080C0   msvcrt.dll   0012   ??3@YAXPAX@Z
1   000080C4   msvcrt.dll   0054   __CxxFrameHandler

FThunk: 000080CC   NbFunc: 00000001
1   000080CC   shell32.dll   0120   SHFileOperation

FThunk: 000080D4   NbFunc: 00000015
1   000080D4   user32.dll   0217   RegisterClassA
1   000080D8   user32.dll   009F   DialogBoxParamA
1   000080DC   user32.dll   0088   DefDlgProcA
1   000080E0   user32.dll   015B   GetSysColor
1   000080E4   user32.dll   00E4   FindWindowA
1   000080E8   user32.dll   0200   PostMessageA
1   000080EC   user32.dll   01B8   LoadCursorA
1   000080F0   user32.dll   01BC   LoadIconA
1   000080F4   user32.dll   01BE   LoadImageA
1   000080F8   user32.dll   023C   SendMessageA
1   000080FC   user32.dll   00C7   EndDialog
1   00008100   user32.dll   01B6   LoadBitmapA
1   00008104   user32.dll   01DD   MessageBoxA
1   00008108   user32.dll   0281   SetWindowLongA
1   0000810C   user32.dll   016F   GetWindowLongA
1   00008110   user32.dll   0194   InvalidateRect
1   00008114   user32.dll   00C5   EnableWindow
1   00008118   user32.dll   0237   SendDlgItemMessageA
1   0000811C   user32.dll   0293   ShowWindow
1   00008120   user32.dll   01A9   IsRectEmpty
1   00008124   user32.dll   0112   GetDlgItem

FThunk: 0000812C   NbFunc: 0000000C
1   0000812C   ws2_32.dll   0073   WSAStartup
1   00008130   ws2_32.dll   0074   WSACleanup
1   00008134   ws2_32.dll   0003   closesocket
1   00008138   ws2_32.dll   0004   connect
1   0000813C   ws2_32.dll   0009   htons
1   00008140   ws2_32.dll   000B   inet_addr
1   00008144   ws2_32.dll   0010   recv
1   00008148   ws2_32.dll   0013   send
1   0000814C   ws2_32.dll   0015   setsockopt
1   00008150   ws2_32.dll   0016   shutdown
1   00008154   ws2_32.dll   0034   gethostbyname
1   00008158   ws2_32.dll   0017   socket

No veo lo que me dice...

amlop

Ya puse lo que me pedistes y ahoira?

leos_79

ya te lo consegui amiga :)
, con cualquier hex editor
buscas la cadena
T.e.a.m.V.i.e.w.e.r

los puntos son 00

y lo reemplazas por ejemplo por
H.o.l.a.q.t.a.l.a.a

reemplaza todas las cadenas

Shaddy

Hola amlop,

Bueno ahí te respondió leos_79 (Gracias :) ), en la lista de las API no encontré ninguna que pudiese valer, así que sería probablemente por "SendMessage", como tengo estos días muchas cosas que hacer la verdad no he podido echarle un vistazo yo mismo, y eso que lo utilizo.

Para verlo lo que podrías aver probado también (es lo que yo haría), es "logear" con OllyDBG los mensajes que envía, así probablemente encontrarías el mensaje que utiliza para poner el texto ahí. Ésto se hace con un "BreakPoint Conditional Log" que si los sabes utilizar tienen muchísima potencia.

Si te interesa ésta opción, si quieres te lo podría poner en un "mini-tutorial" de como modificar ese texto.

Buen dia.
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com