Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Защита от отладки Без явной упаковки, теория
Посл.ответ Сообщение

Ранг: 0.1 (гость)
Статус: Участник

Создано: 14 ноября 2014 03:13 New!
Цитата · Личное сообщение · #1

Добрый день.
Произвожу отладку некой программы. Отладчик загружает ее нормально но при попытке выполнения перекидывает на строку типа
83С4 04 |ADD ESP,4 я так понял что то ложится в регистр ESP
В куче есть тоже некий любопытный момент "как кажется мне"
0018FEBC /7714FCC2 Вьw ; RETURN to ntdll.NtTerminateProcess+12
и программа подвисает и встает колом, я решил что она упакована вооружился
PEiD 0.95 просканил и получил ответ что компилятор VC++ 6.0
Возникает вопрос почему программа встает колом?
Кого не затруднит подскажите в чем проблема, а лучше где можно про это подробно почитать)


Ранг: 1128.2 (!!!!)
Статус: Участник

Создано: 14 ноября 2014 04:05 New!
Цитата · Личное сообщение · #2

Lokos пишет:
PEiD 0.95 просканил и получил ответ что компилятор VC++ 6.0
Возникает вопрос почему программа встает колом?


1) die
2) Для использования антиотладочных трюков упаковка не нужна.

Ранг: 416.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 14 ноября 2014 08:36 New!
Цитата · Личное сообщение · #3

Lokos пишет:
ADD ESP,4 я так понял что то ложится в регистр ESP

Вам бы не мешало активно подучить теорию (матчасть, ... называйте, как хотите) и английский язык. Регистр ESP в 99,9% случаях-указатель стека, ADD - операция сложения, соответственно стек уходит "вниз" на 4 байта (1 двойное слово), т.е. очевидно, эта инструкция идет после __stdcall вызова функции, которой передается один аргумент.
Для справки: ложиться в регистр командами типа MOV, MOVS, movsx, LEA...
Каким отладчиком пользуйтесь? Будет ли ссылка на программу? Или как называется подопытная программа? Есть ли обращения к WInAPI функции IsDebuggerPresent, что в kernel32?

| Сообщение посчитали полезным: Gideon Vi


Ранг: 422.5 (мудрец)
Статус: Участник

Создано: 14 ноября 2014 08:42 · Поправил: dosprog New!
Цитата · Личное сообщение · #4

--> Тыцъ <--

| Сообщение посчитали полезным: Gideon Vi

 eXeL@B —› Крэки, обсуждения —› Защита от отладки Без явной упаковки, теория

Видеокурс ВЗЛОМ