Русский / Russian English / Английский

Сейчас на форуме: igorcauret, Zeratul_zh, keks93, redeflesq, mojsej, 3ton (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Помогите разобраться что за зверь
Посл.ответ Сообщение

Ранг: 2.0 (гость)
Статус: Участник

Создано: 16 ноября 2004 08:56 New!
Цитата · Личное сообщение · #1

Люди, нужна помощь. Есть файлик .ехе (ссылка ниже), я не очень силён в методах защиты, но на сколько я понимаю он чем-то запакован и защищён от debug'a. Перепробовал почти все варианты - ничего не выходит. Пробовали автоматику - пишет с дебугом работать не буду, в ручную тоже ничего не выходит. Проблема состоит в том, чтобы его распаковать для того чтобы подкорректировать.
Народ помогите, очень надо. Заранее спасибо.

ugolok.eclub.lv/main.rar

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 16 ноября 2004 09:15 New!
Цитата · Личное сообщение · #2

ghostks пишет:
Проблема состоит в том, чтобы его распаковать для того чтобы подкорректировать.

Локализаторы?

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 16 ноября 2004 09:27 New!
Цитата · Личное сообщение · #3

так и думал, что армадилка. я пасс

Ранг: 2.0 (гость)
Статус: Участник

Создано: 16 ноября 2004 09:59 New!
Цитата · Личное сообщение · #4

Да, именно армадила
О ней написано очёнь мало и довольно крепкая штука.

NG
Нет, это запускной файл одной игрушки который нужно подкорректировать (изменить кое какой код, это не суть важно).


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 ноября 2004 13:17 New!
Цитата · Личное сообщение · #5

ghostks
весёлый файлик =) Когда-то с него вручную сняли аспр, потом извратили, добавив секции (включая одну долбанутую секцию со дико большим значением Vsize, за которую бы руки надо поотрывать), ну и повесили арму.
Сама амра снимается очень легко, т.к. она там в "слабом" варианте (двухбайтный копимем и усё... никаких илиминатионов и наномитов). Но вот потом сделать нормальный дамп было трудновато... секции вручную лепил...
Короче читай какие-нить туторы по арме и доки по формату PE (чтобы сдампить =) ), там впринципе не сложно.
ЗЫ и всё-таки интересно, что это за файлик, и кто с ним так извращался...

Ранг: 2.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 02:29 New!
Цитата · Личное сообщение · #6

Mario555
Именно в этом и была проблема. Оригинал файла был написан китайцами и зажат Аспром. После его разжали для простых смертных, чтобы можно было иправлять различные баги. Но один умник (тоже вроде китаец =) ), кое-что сделал и зажал снова, чтобы другим не досталось наверное. Вот хотелось бы узнать это самое "что-то". На сколько я понял ты смог его разжать, если не сложно кинь на мыло ghostks@inbox.lv
Спасибо.


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 17 ноября 2004 13:35 · Поправил: Mario555 New!
Цитата · Личное сообщение · #7

ghostks
mario555.pisem.net/Unp_arm_game.rar mario555.pisem.net/Unp_arm_game.rar
Правда насчёт работоспособности я не уверен, там ресурсы какие-то очень маленькие (если не ребилдеть, а прилепить армины секции, то будет надёжнее, но этот файл весит больше, поэтому я выложил тот, который весит меньше =) ). И вообще мало ли какие там подлянки есть... прога-то без файлов не запускается, а ты их не выложил (хотя я бы наверно и качать их не стал).


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 17 ноября 2004 13:44 New!
Цитата · Личное сообщение · #8

бля, кривая ссылка получилась =) вообщем копипаст её (mario555.pisem.net/Unp_arm_game.rar) ;)

2BG: весёлая надпись: "Защита от спама: в течение 4 секунд вы можете отправить не более одного сообщения!"
вот интересно, по каким часам эти 4 секунды измеряются ? и вообще нах было эту хрень ставить ?

Ранг: 2.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 15:05 New!
Цитата · Личное сообщение · #9

Mario555
Не пашет файл, выводит сообщение
Entry point not found
The procedure entry point RestoreLastError could not be located in the dynamic link library kernel32.dll

А вообще в разжатом виде файл должен весить около 5мб. Вот примерно что должно получится. Эта неправленная версия того что должно быть, может поможет как нибудь.
ugolok.eclub.lv/main_old_unpacked.rar


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 17 ноября 2004 15:20 New!
Цитата · Личное сообщение · #10

ghostks пишет:
А вообще в разжатом виде файл должен весить около 5мб

ну хз, может он там криво распакованный (дампили вместе с нулями)... у меня даже с секциями пакера ~ 2.5 mb...

ghostks пишет:
The procedure entry point RestoreLastError could not be located in the dynamic link library kernel32.dll

ну дык то, что у тебя в системе нет апи RestoreLastError - это твои проблемы =) я распаковывал в ХП, там она есть. Смени на SetLastError, тогда будет работать (надеюсь это ты сам сумеешь сделать)...

Ранг: 2.0 (гость)
Статус: Участник

Создано: 19 ноября 2004 09:04 · Поправил: ghostks New!
Цитата · Личное сообщение · #11

Я тут нарыл один тутор на форуме:
"http://www.mc707.nm.ru/Arma_OEP_and_Import.rar
Тутор мой смотрите Он еще не доделан конечно, руки не доходят...
Почти все армы по аналогии снимаются (те, которые copymem2 - 2 bytes without nanomites) "
Ты по аналогии снимал защиту?

P.S. ещё один подопытный ugolok.eclub.lv/npx970.exe =)


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 19 ноября 2004 10:54 · Поправил: Mario555 New!
Цитата · Личное сообщение · #12

ghostks
дык что, после правки апи всё-равно не работает ? Тогда там просто дополнительные проверки внутри кода проги... их можно искать только при возможности запуска проги (а качать ещё какие-то там файлы я не буду, ибо трафик не халявный =) ).
Вообще арма там снята и по идее должно работать, по крайней мере файлик, который ты выложил создаёт папку с файлом npgl.erl и выдаёт мессагу по типу ***Data\Local\Text.bmd file not found***, так вот, мой распакованный делает тоже самое, из этого следует, что оно распаковано, прально ?! =)

ghostks пишет:
Ты по аналогии снимал защиту?

Нет наверно, а что ? (я просто не помню, что там в туторе у MC707)

Ранг: 2.0 (гость)
Статус: Участник

Создано: 19 ноября 2004 11:11 New!
Цитата · Личное сообщение · #13

Это нормальное сообщение если нету данных. Просто хотел узнать каким способом ты снимал защиту с этого файла и правил левые секции. Если не сложно сними арму и со второго файла


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 20 ноября 2004 13:47 New!
Цитата · Личное сообщение · #14

ghostks пишет:
Если не сложно сними арму и со второго файла

не, это уж ты как-нить сам... хорошего понемногу... =)

Ранг: 2.0 (гость)
Статус: Участник

Создано: 21 ноября 2004 05:07 New!
Цитата · Личное сообщение · #15

Ok, если возникнут проблемы спрошу.

Ранг: 2.0 (гость)
Статус: Участник

Создано: 23 ноября 2004 11:30 New!
Цитата · Личное сообщение · #16

Mario555
У меня не полчается найти OEP. Работаю с Олли. Запускаю, ставлю бряк на WriteProcessMemory ищу в дампе начало проги меняю 558B на EBFE, потом ставлю бряк на WaitForDebugEvent лечу в конец, правлю код на DebugActiveProcessStop. И тут самое интересное, запускаю второй Олли прыгаю в мой файл меняю обратно EBFE на 558B. А дальше ничего не получается. Дело в том что в туторе MC707 ставит бряк на первую секцию после PE (.text) и у него их 2, а у меня куча пустых секций и только 1 text. Подскажи как найти OEP.

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 23 ноября 2004 11:33 New!
Цитата · Личное сообщение · #17

ghostks
На следующую секцию после PE ставь бряк

Ранг: 2.0 (гость)
Статус: Участник

Создано: 23 ноября 2004 12:25 · Поправил: ghostks New!
Цитата · Личное сообщение · #18

MC707
В том то и дело что там куча пустых секций:
2 без названия, с названием "0", потом 3 topo1,topo2,topo3. И все пустые. И только после идёт .text (я сейчас пытаюсь разжать последний файл, который я выложил). Кст, я смотрел твой тутор и там именно когда ты ставишь бряк на первую секцию ты что-то нажал только что? Мышка не двигалась.


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 23 ноября 2004 12:49 New!
Цитата · Личное сообщение · #19

ghostks
ну дык и ставь на первую после хедера... Хотя имхо лучше брякнутся на CreateThread и немного потрейсить (там call edi будет переходом к оеп). В случае с твоим первым файликом на оеп было типа
jmp 1
1: jmp2
2: jmp 3
и т.д.
потом jmp origOEP (оно будет в первой после хедера секции).

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 23 ноября 2004 23:55 · Поправил: MC707 New!
Цитата · Личное сообщение · #20

ghostks пишет:
Кст, я смотрел твой тутор и там именно когда ты ставишь бряк на первую секцию ты что-то нажал только что? Мышка не двигалась.

Бряки клавишей F2 ставятся =)

Ранг: 2.0 (гость)
Статус: Участник

Создано: 24 ноября 2004 03:39 New!
Цитата · Личное сообщение · #21

MC707
Как бряк ставится я знаю. Рассказываю по шагам, что у тебя было:
Атачишься ко второму процессу
Меняешь первые 2 байта на оригинал
Открываешь карту памяти(красная строка перед заголовком нашей проги)
Ставишь бряк на первую секцию после заголовка
....
и что дальше происходит?
крыса не двигается, красная строчка пропала, потом карта уходит назад и вылезает код (первая строка IN EAX,DX)
Просто я замучился с сообщением что прога suspended, please resume бла бла. Ты что-то сделал (нажал паузу вроде), потом запустил прогу и она вывалилась по последнему бряку на секцию. По логике так.

P.S. и раз уже ты сделал видео тутор (респект! очень помогает на начальных этапах =) ) то не пользуйся быстрыми клавишами а жми на кнопки крысой, потому что незнающим людям играть в "угадай, а что произошло?" довольно сложно.

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 24 ноября 2004 05:28 New!
Цитата · Личное сообщение · #22

блин, а....

F9 - запуск проги


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 ноября 2004 08:56 New!
Цитата · Личное сообщение · #23

ghostks пишет:
Просто я замучился с сообщением что прога suspended, please resume бла бла

Дык нужно все действия аттача делать в заново запущенном олли =) Тоесть если первый раз не получилось что-то, то нужно новою олли открывать и в ней аттач делать, иначе будет suspended... (почему так - хз, просто у меня тоже когда-то была проблема с этим suspended ;) вот решилась она как говорится методом проб и ошибок ).


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 ноября 2004 08:56 · Поправил: Mario555 New!
Цитата · Личное сообщение · #24

ghostks
ЗЫ а эти твои проги так вообще долбанутые, там олли ещё может виснуть из-за размера секции нулей )

Ранг: 2.0 (гость)
Статус: Участник

Создано: 8 декабря 2004 09:13 New!
Цитата · Личное сообщение · #25

Проблемы продолжаются, распакованный файл не работает. Прога запускается, потом через секунд 20 вылетает. Значит что-то некорректно разжато, только вот не знаю что.

P.S. Второй процесс (тобишь распакованная прога) я открываю в новом Олли и всё равно иногда вылетает такая ошибка про suspended.

Ранг: 2.0 (гость)
Статус: Участник

Создано: 9 декабря 2004 10:55 New!
Цитата · Личное сообщение · #26

А может быть такое, что если прогу распаковывают в ХРюше, то на остальных операционках она будет работать некорректно? Не в том плане, что она не запускается, а просто вылетает?
 eXeL@B —› Основной форум —› Помогите разобраться что за зверь

Видеокурс ВЗЛОМ