Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то...


V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то прога незапускается, просто загружается а потом без всяких месаг вылетает
врсия Армы, как пишет PEDI 1.хх-2.хх, помогите может у кого-то такое было. ??
бара :: возможно, что это защита уже софтовая проверяет CRC или размер где...

WELL :: Может попробовать поискать ссылки на ExitProcess или чего-нить в этом духе.
Может и правда проверка целостности кода...

V0ldemAr :: мда, наверно я че то не то сделал, сидел в Олли короче прога вирубается через это:
mov eax,[eax]
а в еах очень большое число то есть прога вылетает при доступе к памяти. :((
мда придется ещераз попробовать распаковать.
Кстати Очень странно что когда я пробовал ПеТулзами снимать дамп то провобще видавала Екзекюшн Еррор. :((

Mario555 :: V0ldemAr пишет:
цитата:
вроде распаковал сабж, но чего-то прога незапускается


А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...

V0ldemAr :: Блин, рас такий умный скажы в чем тут дело :) я вроде все сделал

MozgC [TSRh] :: Mario555 пишет:
цитата:
А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...


Да ладно, дофига прог запускаетмя сразу

infern0 :: Mario555 пишет:
цитата:
Сейчас мало какие проги сразу после распаковки запускаются


можно посоветовать пропатчить hands.sys... :))

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
hands.sys


Поправочка: curvehands.sys :)

бара :: а может brains.sys

RottingCorpse :: ili straight_IZVYLINY’s_in_da_brain.sys :)

Mario555 :: infern0 пишет:
цитата:
можно посоветовать пропатчить hands.sys... :))


И что это интересно у меня с руками не так ?!

.::D.e.M.o.N.i.X::. пишет:
цитата:
Поправочка: curvehands.sys :)


Ну это вообще верх остроумия - ах*уенно смешно.

Или вы все не встречали прог с проверкой на распакованность ?! Мне последнее время в основном только такие и попадаются. Что Alfaclock, SIGuardian или Perl Editor - у кого-нить сразу после распаковки запустились ? а все проверки на наличие протектора в этих прогах мне просто приглючились ???

infern0 :: не лезь в бутылку - это злой крякерский юмор...

бара :: я вообще против таких нападок всегда был... Вообще не понимаю, почему на этом форуме некоторые считают, что имеют право посылать новичков на *** и подтрунивать над товарищами по цеху. Зачинщиков в баню короче. Семь суток чтобы не евши...

infern0 :: бара пишет:
цитата:
Зачинщиков в баню короче


ну вот один:

бара пишет:
цитата:
а может brains.sys


бара :: поймал поймал Так меня этот чёрт - RottingCorpse совратил на преступление Я ищо молодой и неопытный А он плохим словам тут учит...
Так я просто продолжил абстрактный ряд синонимов, не проэцируя их на персоналии...

V0ldemAr :: Мда, народ тут веселый, ладно
Короче никакой проверки там нет, это глюканул, кроме секции CODE, не востоновил DATA,
но єто ничего недало, всмысле прога дальше незапускается, но хотябы еррор выдает.
Короче сидел в Олли и нашол в чем глюк, глюк в том что импорт я невесь востоновил.
Вот пример функции из которою Импрек неопознал и я незнал что с ней делать и просто удалил:
01107018 push ebp
01107019 mov ebp,esp
0110701B sub esp,104
01107021 push esi
01107022 push edi
01107023 push 1132EC0
01107028 call [1126070] // = ntdll.dll/0218/RtlEnterCriticalSection
0110702E mov ecx,[1132CE4] // DWORD value: 003A9978
01107034 mov eax,[112B8C0] // DWORD value: 0001EED7
01107039 xor edi,edi
0110703B mov [1133640],eax // DWORD value: 000085D4
01107040 cmp ecx,edi
01107042 je short 01107057
01107044 mov eax,[ecx]
01107046 cmp eax,edi
01107048 je short 01107057
0110704A mov edx,[113363C] // DWORD value: F1100000
01107050 sub [eax],edx
01107052 add ecx,4
01107055 jmp short 01107044
01107057 mov ecx,[1133098] // DWORD value: 003A9928
0110705D cmp ecx,edi
0110705F je short 01107074
01107061 mov eax,[ecx]
01107063 cmp eax,edi
01107065 je short 01107074
01107067 mov edx,[113363C] // DWORD value: F1100000
0110706D sub [eax],edx
0110706F add ecx,4
01107072 jmp short 01107061
01107074 mov eax,[1133280] // DWORD value: 0112BC9C
01107079 movzx esi,word ptr [eax+12]
0110707D call 011224FD
01107082 mov ecx,[1133644] // DWORD value: 00000000
01107088 lea eax,[eax+ecx+7640005E]
0110708F push eax
01107090 mov eax,[112BAC0] // DWORD value: 00000212
01107095 add eax,esi
01107097 push eax
01107098 mov eax,[1133284] // DWORD value: 01100000
0110709D sub eax,esi
0110709F add eax,[112B8C0] // DWORD value: 0001EED7
011070A5 push eax
011070A6 call 01104074
011070AB mov ecx,[1133098] // DWORD value: 003A9928
011070B1 add esp,C
011070B4 cmp ecx,edi
011070B6 mov [ebp-4],eax
011070B9 je short 011070CE
011070BB mov eax,[ecx]
011070BD cmp eax,edi
011070BF je short 011070CE
011070C1 mov edx,[113363C] // DWORD value: F1100000
011070C7 add [eax],edx
011070C9 add ecx,4
011070CC jmp short 011070BB
011070CE mov ecx,[1132CE4] // DWORD value: 003A9978
011070D4 cmp ecx,edi
011070D6 je short 011070EB
011070D8 mov eax,[ecx]
011070DA cmp eax,edi
011070DC je short 011070EB
011070DE mov edx,[113363C] // DWORD value: F1100000
011070E4 add [eax],edx
011070E6 add ecx,4
011070E9 jmp short 011070D8
011070EB mov ecx,[1132CE8] // DWORD value: 003A3C28
011070F1 cmp ecx,edi
011070F3 je short 01107108
011070F5 mov eax,[ecx]
011070F7 cmp eax,edi
011070F9 je short 01107108
011070FB mov edx,[113363C] // DWORD value: F1100000
01107101 sub [eax],edx
01107103 add ecx,4
01107106 jmp short 011070F5
01107108 mov eax,[1133284] // DWORD value: 01100000
0110710D mov ecx,[112B8C4] // DWORD value: 0000714B
01107113 push edi
01107114 add ecx,eax
01107116 push dword ptr [112BAC4] // DWORD value: 000000D1
0110711C push ecx
0110711D push dword ptr [ebp-4]
01107120 call 011014AC
01107125 mov ecx,[1132CE8] // DWORD value: 003A3C28
0110712B add esp,10
0110712E cmp ecx,edi
01107130 je short 01107145
01107132 mov eax,[ecx]
01107134 cmp eax,edi
01107136 je short 01107145
01107138 mov edx,[113363C]
0110713E add [eax],edx
01107140 add ecx,4
01107143 jmp short 01107132
01107145 push ebx
01107146 xchg eax,edx
01107147 xchg dx,dx
0110714A xchg eax,edx
0110714B push edx
0110714C out dx,eax
0110714D pop ebp
0110714E xor dl,[ebp-7F]
01107151 or cl,[edx]
01107153 fild qword ptr [edx]
01107156 dec ebx
01107157 lahf
01107158 push ebp
01107159 mov esi,8D14C134
0110715E call 662E61AF
01107163 retn

Вот и все. Кто уже такоэ видел, и как боролся, подскажыте.

бара :: по арме Mario555 спец у нас и Feuerrader - у них туториалы про это есть да и опыт распаковки немалый... Так что рекомендую связаться с ним по e-mail и обсудить как выйти на поверхность из этого... нехорошей ситуации.

V0ldemAr Re: бара :: Да сенкс.
Но у Feuerrader-а тутор без КОПИМЕМ - а, и в туторе нет того что уменя попалось :(

Mario555 :: V0ldemAr пишет:
цитата:
Вот пример функции из которою Импрек неопознал


Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...

Mario555 :: бара пишет:
цитата:
арме Mario555 спец


Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...

V0ldemAr :: Mario555 пишет:
цитата:
Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...


Может что-то предложыш, а то я уже неделю парюсь, распаковал уже кучу своих прог упакованой армой негде нету такого :((

Mario555 :: V0ldemAr
У меня такого не было... все проблемы с импортом решались правкой «magic jmp» (ну это ессно кроме 3.7a - там с импортом повеселее сделано :)).

бара :: так туториалы видать безымянные которые мне прислали по её снятию не твои ? тогда понятно...

V0ldemAr :: Mario555 пишет:
цитата:
с импортом решались правкой «magic jmp»


это ти про jle XXXXXXXX

Mario555 :: V0ldemAr пишет:
цитата:
это ти про jle XXXXXXXX


Это я про тот, который определяет что писать в iat - адрес апи или переходник.

V0ldemAr :: Mario555 пишет:
цитата:
Это я про тот, который определяет что писать в iat - адрес апи или переходник.


Опа, а где эго искать неподскажеш??

Mario555 :: V0ldemAr пишет:
цитата:
Опа, а где эго искать неподскажеш??


Дык как обычно - бряк на запись в iat - попадёшь на цикл обработки импорта, ну а там уже смотри где и что записывается и куда jmp’ы направлены.

А ты вручную функции определял что-ли ???

ViNCE [AHT] :: Mario555 пишет:
цитата:
Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...


Марио, с тебя Олли-скрипт против армы!

musulmanin :: недавно нашел хорошие туторы по распаковки армы(и не только)...
http://www.hackemate.com.ar/cracking/

musulmanin :: ViNCE [AHT] пишет:
цитата:
Марио, с тебя Олли-скрипт против армы!


хорошо бы

V0ldemAr :: Mario555 пишет:
цитата:
А ты вручную функции определял что-ли ???


Угу, а что?

Mario555 :: ViNCE [AHT] пишет:
цитата:
с тебя Олли-скрипт против армы!


Не думаю, что возможно написать скрипт, который будет полностью снимать арму с copymem.

V0ldemAr пишет:
цитата:
Угу, а что?


Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.

EGOiST[TSRh] :: чета я щас тоже нарвался..с мэджик джампом не восстановилось ешо туча ф-ий..странно

V0ldemAr :: Mario555 пишет:
цитата:
Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.


А какой еще способ есть чтобы определить функции?

EGOiST[TSRh] :: V0ldemAr
почитай статью Драгона, там как раз используется этот метод..

p.s. восстановил импорт таки..прикол в том что арма не по порядку их прописывает, так что ловить на записи апи, может оказаться неправильным..

infern0 :: EGOiST[TSRh] пишет:
цитата:
ловить на записи апи, может оказаться неправильным


зато это легко помогает нати magic jmp и пи следующем запуске брякнутся сразу на нем :)

EGOiST[TSRh] :: не, правильно есесно.просто надо менять етот джамп когда цикл тока начинается..

Mario555 :: EGOiST[TSRh] пишет:
цитата:
прикол в том что арма не по порядку их прописывает


Функции из разных библиотек перемешаны ? Iat за пределами exe ? если да, то это 3.7a.
Там ещё и антидамп по типу, как в ACProtect.

PS для распаковки 3.7a есть скрипт. Да и если вручную распаковывать - один фиг скрипт писать придётся, хотябы чтобы iat упорядочить.

EGOiST[TSRh] :: да не, все по порядку..просто арма их не по порядку обрабатывает а как то по своему..

Gloomy :: Новую тему решил не создавать поэтому пишу сюда: давно пытаюсь распаковать полезную в хозяйстве прогу Easy CD-DA Extractor (http://www.poikosoft.com/download.html 4,5 Мб). PEiD определяет Армадиллу 1.хх-2.хх, другая программа IsItArma (http://databack4u.com/snc/download/trashreg.zip) тоже определяет Армадиллу. Очень смущает вид кода в отладчике, вот картинка загруженой программы: http://tinysoft.nm.ru/dbg.png Посмотрел пример из статьи про распаковку Армадиллы - там все полностью пошифровано. А здесь чистый код да еще и ресурсы в любом редакторе спокойно правятся (!). Как такое возможно? Все типичные армадильные фокусы типа двух процессов и файла в папке temp присутствуют - значит прога действительно упакована Армадиллой. Но почему тогда код и ресурсы доступны? Может кто с таким уже сталкивался? И главное как тогда ее распаковать?

V0ldemAr Re: Gloomy :: Ну ты чувак даеш, это же и есть версия 2.хх она тем и отличается. :))
Прочти тутор HEX-а по снятию армы, очень поможет.
Кста, я тоже хотер распаковать Easy CD-DA Extractor, но блин у меня она незапускается под Вын2к, хз что делать.
Кто-то может подсказать что нужно делать?????

V0ldemAr :: EGOiST[TSRh] пишет:
цитата:
почитай статью Драгона, там как раз используется этот метод..


дык какраз прочитал, перед тем как на форум зайти,
вот вопрос, а как сохр дерево импорта если мы с проги вылетаем?
Где нужно остоновится?






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS