Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая


den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая программка Alchemy Network Monitor 4.9.7, «поломаная»(не до конца) tEAM-LUCiD. В ней осталась не работающей функция загрузки сохранненого файла настроек(юзается ф-я mfc OnOpenDocument), при попытке загрузить файл-настроек , выдается NAG скрин=( , пытаюсь восстановить данную ф-ю. Подскажите пожалуста в каком направлении копать.....
ЗЫ: брякаться на наг-скрине пробовал... не помогает
maybe руки не прямые.. =(
Kerghan :: если функция вырезана под чистую, то это болты :(

den :: дык, в том то и дело, что при вызове ф-ии OnOpenDocument(она есть в импорте),
каким-то образом выводится окошко НАГ’а (зис фичез вор ин регистеред версион онли =\ )...

Kerghan :: ты бы ссылочку дал или на мыло мне скинул kerghan@pisem.net

тока если больше полутора метров на мыло слать не надо

MoonShiner :: Да запихни файлик в ИДУ, найди этот тухлый наг, просмотри кроссрефы на него и все.

Kerghan :: MoonShiner

цитата:
maybe руки не прямые.. =(


ты уверен, что он сможет это сделать

den :: собсно прога h**p://www.demvar.lv/soft/sistema/monitor.exe

дык, про кроссрефам на НАГ в иде полазил и в si потрейсил.. побрякался.... НАГ могу нахрен убрать.. там несложно, а вот оживить ф-ю, которая загружает файл настроек не могу.
PS: прога запакована asprom (исследовал уже распакованную прогу)

MozgC :: Kerghan пишет:
цитата:
MoonShiner

цитата: maybe руки не прямые.. =(

ты уверен, что он смо


А МунШайнер тут причем ?



Guest123 UPX? Подскажите, вот нахожу в файле upx:
421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
PeID говорит OEP: 4061EE
как это просчитывается? 421fC4 - 35ee?
я, что то не пойму...

И вот еще:
После распаковки ReTools получался дамп, который, не мог изменить ImpRec 1.62+
Только, когда я с помощью LordRe сделал дамп, я его смог изменить.
Почему, неужели ReTools не коректно дамп создает???

freeExec :: Вообщене стоит доверять всяким ПЕИД, хотя для УПХ наверняка найден верно. А джамп помойму относительный, ты посмитри что Айс показывает

Guest123 :: freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...

.::D.e.M.o.N.i.X::. :: Guest123 пишет:
цитата:
freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...


Грузишь в айс, потом ставишь bpx getprocaddress, F5, F12, потом смотришь чуть ниже и видишь
что-то типа:
61 POPAD
E92A42FEFF JMP 4061EE
Вообще-то мне сдается, что ты не тот прыжок нашел. Проверь как я тебе написал через айс.

MozgC :: А я честно скажу я не знаю почему так =)
Можете помидорами бросаться =)

Kerghan :: MozgC
ты это к чему?

Guest123 :: Господа тот самый прыжок!!!
Я раньше уже ковырялся с UPX да и 000000 там их много после последней инструкции....
Я свой файл запаковал и думаю «дай ручками распакую», распаковал, и решил одну длл уже не свою распаковать, а эта DLL есть upx+ручками модификация, мне и понадабилось узнать какой OEP, а там такая же бяка ff ff 3a 22???

MozgC :: Kerghan
К тому что стыдно мне что я точно не знаю. Вот и думаю, щас будете смеяться надо мной, кричать «ламер! ламер! » и помидорами бросаться =)

Kerghan :: MozgC
ламер! ламер!

лови помидоры

MozgC :: мде...

Kerghan :: мда

freeExec :: Кхе-кхе ты по этому джампу на Ф8 жал? И вообще этот джамп в прочессе работы программы правится, а ХИЕВ показывает то что в файле находится.

MozgC :: Хехе, реально сказал.

BSL//ZcS :: Мужики, вы чего?

Блин. Времени нет нифига, работа и всё такое, на форумы давно уже не пишу, только просматриваю изредка. Но этот топик - это просто нешто какое-то. И здесь, и на васме. :(

2 Guest123:

Всё на самом деле гораздо проще.

Во-первых, ты неправильно понимаешь формат отрицательных чисел. На писюках они в дополнительном коде: грубо говоря, отрицательное число это - дополнение целого до единицы. neg(x) = not(x) + 1 Например, байт -5 равен (not(5) + 1) = (0FA + 1) = 0FB

Так что, 0FFFF35EE это не -35EE ни разу. Это -0CA12, у той же хьюшки в калькуляторе можешь посмотреть.

Во-вторых, ты неправильно понимаешь формат машинного кода команды перехода. При такой записи:
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
к адресу следующей за джампом команды (421FC4) надо прибавлять не то, что тебе пишет дизассемблер (он это один раз уже сам проделал), а смещение взятое из самой команды.

В коде E92A42FEFF это последние четыре байта в обратном порядке: 0FFFE422A.
Набрав в том самом хьюшкином калькуляторе 421FC4+FFFE422A ты легко получишь адрес перехода - тот самый 4061EE.

В-третьих, это не баг Hiew. Это поведение неочевидно и неприятно, но вполне логично. А ты неправильно понимаешь формат записи адресов хьюшкиным дизассемблером. ;)

Локальные смещения в хьюшке показываются с точкой в начале. В том же upx-овском распаковщике двумя командами выше того popad есть безусловный переход в рамках секции, и у него точка есть. У этого перехода точки нет - из чего можно сделать вывод, что хьюшка, не найдя в файле секции, в которую попадает этот адрес, обрабатывает его как глобальный, а, поскольку файл пакованый, и данных в секции меньше, чем распакованном виде, глобальное смещение в файле вылетает за верхнюю границу файла и становится отрицательным.

Так что, с этим всё правильно, хотя, конечно, SEN мог бы как-нибудь обработать такие случаи. Свои глюки у хьюшки есть, но этот не из их числа.

А насчёт того, что тебе наговорили - не слушай их, они тебя плохому научат. ;) Адрес перехода на oep у upx-а зашит при упаковке и при работе не правится. Искать переход на oep как-нибудь ещё, в твоём случае тоже совершенно не обязательно - у большинства упаковщиков (не протекторов) этот переход находится на глаз, у upx-а он вообще идёт последней командой в секции распаковщика, в общем, ошибиться сложно. На васме тоже отличились: никаких четвёртых гигабайтов и нулевых колец в глобальном смещении по файлу быть не может, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.

Ладно, что-то я разошёлся. :) Опять, по своему обыкновению, наехал на всех подряд. :)

ЗЫ: Единственный, кто порадовал, это MozgC, который на этот раз, на удивление, занял совсем несвойственную ему позицию. ;))

nice :: BSL//ZcS
Пасибо за разьяснения, а то ламер-ламером, теперь понятно стало, сейчас по мучаю, что бы автомата добится

MozgC :: Позиция мне свойственна. Если я не знаю, то я говорю, что не знаю. Если я знаю, то говорю то, что знаю =)

MoonShiner :: Дааа... BSL//ZcS опять всех залошил и засрал:) Вдвойне обидно, что и ответно наехать нельзя, так как он прав:)

Runtime_err0r :: BSL//ZcS

цитата:
, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.


Вот это, блин, новость !!!! Что это за дамперы такие интересно ??? Ни разу не видел, чтобы после дампа прога, запакованная UPX’ом работала на другом компе (на своём-то она, ясен бивень, пойдёт ). Так что либо MAKEPE в TRW2000 либо Revirgin’ом.

MoonShiner :: А у меня работала:) И до сих пор работает. Может имелся в виду какой нмть непорегенный аспак? Там уж точно импреком его колбасить - извращение.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS