Русский / Russian English / Английский

Сейчас на форуме: darsy, selbiz (+8 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› FSG 2.0, оер нашёл, импорт прикрутил ... перепробовал всё ...(почти)
Посл.ответ Сообщение

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 15 мая 2005 00:21 New!
Цитата · Личное сообщение · #1

По всем признакам - это JMP на ОЕР:
004001CC 40 INC EAX
004001CD ^78 F3 JS SHORT SongsKG.004001C2
004001CF 75 03 JNZ SHORT SongsKG.004001D4
004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C]
Импорт находится по IAT AutoSearch ( одна msvcrt.dll с 18-ю функциями ). После прикручивания: .exe is not a valid Win32 application. Скорее всего RVA определяется не правильно. Как вычисляется в таких случаях?

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 15 мая 2005 01:20 New!
Цитата · Личное сообщение · #2

Раньше Ara цитировал тута.Поиск как обычно рулит.

Ранг: 53.8 (постоянный)
Статус: Участник

Создано: 15 мая 2005 08:26 New!
Цитата · Личное сообщение · #3

buddy
IAT AutoSearch для FSG 2.0 неправильно определяет размер, поставь побольше, лишнее - удали, если not a valid Win32 application, попробуй Rebuild PE.


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 15 мая 2005 12:21 New!
Цитата · Личное сообщение · #4

оер нашёл
offtop: Там ОЕР лежит в самом конце файла в открытом виде

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 15 мая 2005 21:47 New!
Цитата · Личное сообщение · #5

Bit-hack
offtop
DrFits
Это первое, с чего я начал, но почему-то нет ни в дампе ни в файле getModuleHandleA и даже LoadLibraryA не находится, хотя в OllyDbg есть ASCII строка...
bkslash
Не помогает.

4All
Это нормально, что нет ни user32.dll ни kernel32.dll в таблице?
Сама прога - это кейген для проги: Allsongs.exe, про неё недавно было 2 топика, особой нужды в ней нет, заинтересовал FSG 2.0 (кстати аккорды не совсем правильные, песен 10 посмотрел,- в каждой ошибки)
Может там ещё что-нибудь навешено? Вот это чудо, посмотрите плиз =>



{ Атач доступен только для участников форума }

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 15 мая 2005 22:18 New!
Цитата · Личное сообщение · #6

Сам запаковал файлик, перед этим запомнил ЕР, распаковал, ОЕР находится правильно, импорт - тоже, прога запускается, но дальше пишет, что "не может прочитать инструкции по адресу ..."


Ранг: 500.6 (!)
Статус: Участник

Создано: 15 мая 2005 23:42 New!
Цитата · Личное сообщение · #7

buddy


{ Атач доступен только для участников форума }


Ранг: 500.6 (!)
Статус: Участник

Создано: 15 мая 2005 23:48 New!
Цитата · Личное сообщение · #8

buddy


{ Атач доступен только для участников форума }

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 15 мая 2005 23:51 New!
Цитата · Личное сообщение · #9

NIKOLA
ясно, что дело тёмное


Ранг: 420.3 (мудрец)
Статус: Участник

Создано: 16 мая 2005 00:34 · Поправил: ValdiS New!
Цитата · Личное сообщение · #10

buddy

Попробуй


Ранг: 420.3 (мудрец)
Статус: Участник

Создано: 16 мая 2005 00:36 New!
Цитата · Личное сообщение · #11

Из-за правки исчез аттач

{ Атач доступен только для участников форума }

Ранг: 200.3 (наставник)
Статус: Участник

Создано: 16 мая 2005 00:47 New!
Цитата · Личное сообщение · #12

Да млин, если каждый свой распакованный файл выкладывать будет, то что получиться? Лучше бы для buddy объяснили как распаковать, а то как гуру выложили файлы и довольны, так тогда бы уже с исходниками выкладывали.


Ранг: 500.6 (!)
Статус: Участник

Создано: 16 мая 2005 01:00 New!
Цитата · Личное сообщение · #13

DrFits пишет:
Лучше бы для buddy объяснили как распаковать


http://exelab.ru/f/index.php?action=vthread&forum=1&topic=600


Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 16 мая 2005 01:17 New!
Цитата · Личное сообщение · #14

NIKOLA
Хмм, самому не нравится, когда тебе отвечают не так, как хочется... Нах постить распакованный файлик?
Мне вот тоже интересно, как ты засунул в распакованный файл API, которая неопределилась? Или анпакеры рулят?


Ранг: 500.6 (!)
Статус: Участник

Создано: 16 мая 2005 01:24 New!
Цитата · Личное сообщение · #15

Ara пишет:
Мне вот тоже интересно, как ты засунул в распакованный файл API, которая неопределилась?


Посмотри 7911_IAT_8759_SongsKG.txt, размер иат по дефолту.
То что не определилось, вырезал.


Ara пишет:
Или анпакеры рулят?


Анпакер не справился.


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 16 мая 2005 06:12 New!
Цитата · Личное сообщение · #16

buddy пишет:
offtop

Я это сказал просто так, для всех, кто этого не знал, т.к. ОЕР там действительно искать не надо, в конце файла лежат строки с именами каких-то winapi функций, а над ними ОЕР...
buddy пишет:
Импорт находится по IAT AutoSearch ( одна msvcrt.dll с 18-ю функциями ).

Юзай Get Api Calls.

{ Атач доступен только для участников форума }

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 16 мая 2005 11:03 New!
Цитата · Личное сообщение · #17

ValdiS
Анпакеры стараюсь не юзать, но этом случае пишет: The instruction at "0x00402e87" referenced at "0x00001014". The memory could not be "written".
Bit-hack
Распакованный у меня уже есть, спасибо, мне надо:
Наташа Ростова: Поручик, вы любите детей?
Поручик Ржевский: Нет, детей я не люблю, но сам процесс ...
DrFits
В яблочко!
Ara
Какая API не определяется?
И почему в уже распакованном файле импорт в дизасме не виден?


Ранг: 303.7 (мудрец)
Статус: Участник
tPORt Manager

Создано: 16 мая 2005 11:36 New!
Цитата · Личное сообщение · #18

buddy
Короче, ОЕР смотри в конце файла. Доходи до ОЕР в отладчике, дампь процесс. Грузи ImpRec. Вводи RVA OEP, Iat AutoSearch, кликни правой кнопкой мыши по окну, где должен быть импорт, Advanced..., Get Api Calls. Весь мусор вырежи. Дамп пофикси. Rebuild PE.

Ранг: 20.6 (новичок)
Статус: Участник

Создано: 16 мая 2005 17:25 New!
Цитата · Личное сообщение · #19

Bit-hack
Офигенной спасибо!!! всё гуд, (мусора не было и оер почему-то в конце файла не наблюдается, дампил в начале топика).
 eXeL@B —› Крэки, обсуждения —› FSG 2.0, оер нашёл, импорт прикрутил ... перепробовал всё ...(почти)

Видеокурс ВЗЛОМ