Русский / Russian English / Английский

Сейчас на форуме: parfetka (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› 64 битная энигма
Посл.ответ Сообщение

Ранг: 2.2 (гость)
Статус: Участник

Создано: 28 апреля 2017 18:41 New!
Цитата · Личное сообщение · #1

Есть нужда в распаковке 64 битной энигмы версии 5x с одного dll для дальнейшего исправления содержимого...

У кого какие мысли есть?


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 28 апреля 2017 20:56 New!
Цитата · Личное сообщение · #2

1. Брать и распаковывать.
2. Идти в поиск специалистов.


Ранг: 584.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 28 апреля 2017 20:58 New!
Цитата · Личное сообщение · #3

matrixa26 пишет:
У кого какие мысли есть?


Вы правила форума читали?

Ранг: 2.2 (гость)
Статус: Участник

Создано: 28 апреля 2017 21:17 New!
Цитата · Личное сообщение · #4

Archer пишет:
2. Идти в поиск специалистов.

Уже там...

Добавлено спустя 1 час 45 минут
P.S. Сам длл не сдампить - это 100% известно стало. Единственный вариант через загрузчик длл и в отладчике ковырять.


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 29 апреля 2017 00:40 New!
Цитата · Личное сообщение · #5

matrixa26 пишет:
Сам длл не сдампить - это 100% известно стало

Интересно, почему? Почему Вы так считаете? Начнём тогда с простого вопроса: что Вы понимаете под словом "сдампить"? Я лично понимаю так: сдампить - это получить распакованный образ модуля(dll или exe) и не важно, будет он запускаться или нет - для анализа как-то годится.

Добавлено спустя 1 минуту
Не видел такого случая, чтобы нельзя было сдампить какой-то модуль какого-либо процесса )

Ранг: 2.2 (гость)
Статус: Участник

Создано: 29 апреля 2017 02:35 New!
Цитата · Личное сообщение · #6

Уважаемый, DenCoder, могу выдать в личку архив и сами глянете. Но уверяю, что уже не один реверсер его посмотрел и все в один голос говорят, что дамп можно только с exe получить, а вот сам dll не выйдет, он даже в загрузчике dll не загружается.


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 29 апреля 2017 02:41 · Поправил: DenCoder New!
Цитата · Личное сообщение · #7

matrixa26, давай, гляну

Добавлено спустя 5 минут
У меня есть дампер под x64. Не выйдет дампером - верифер испытаю )

Добавлено спустя 19 минут
matrixa26 пишет:
Есть dll под энигма 5x
Кто может распаковать?

Так что нужно - сдампить или распаковать? Распаковать в моём понятии - это снять слой упаковщика с dll так, чтоб она загружалась, это одно. Сдампить - просто снять дамп, не важно, будет dll потом загружаться или нет, но чтоб был код для анализа, это другое.

Ранг: 70.8 (постоянный)
Статус: Участник

Создано: 29 апреля 2017 07:45 · Поправил: sefkrd New!
Цитата · Личное сообщение · #8

Сама прога написана на .NET.. Основные функции для обработки внутри этой dll.. Возвращаемые значения из нее bool(RunProtector) и int вроде по остальным(уже не помню)..
Если бул еще можно выяснить, то возвращаемый инт не понятен, ибо сегфолтится прога в защите из dll..

Ранг: 2.2 (гость)
Статус: Участник

Создано: 29 апреля 2017 11:33 New!
Цитата · Личное сообщение · #9

DenCoder пишет:
распаковать?


Дамп не получается, так как длл нативна.


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 29 апреля 2017 11:41 · Поправил: DenCoder New!
Цитата · Личное сообщение · #10

matrixa26 пишет:
Дамп не получается, так как длл нативна.

Какая-то чушь!

для любой dll:
либо снаружи
OpenProcess + EnumerateLoadedModulesProc64 + ReadProcessMemory
либо изнутри
копируем в shared section, другим процессом забираем

Что неправильно? )
Можно, конечно, защиту и от этого придумать... Надо глянуть )


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 29 апреля 2017 11:56 New!
Цитата · Личное сообщение · #11

Наработки в студию, иначе топик кандидат на закрытие по п.9 правил форума.


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 29 апреля 2017 11:59 New!
Цитата · Личное сообщение · #12

Archer
Ещё суток не прошло, но уже ходит слушок, что наработок от лично тс не стоит ожидать )

| Сообщение посчитали полезным: Jaa


Ранг: 2.2 (гость)
Статус: Участник

Создано: 29 апреля 2017 12:07 New!
Цитата · Личное сообщение · #13

Archer пишет:
Наработки в студию


Свои измышления и советы я выдал выше, о каких наработках ещё может идти речь?


Ранг: 2011.4 (!!!!)
Статус: Модератор
retired

Создано: 29 апреля 2017 12:33 New!
Цитата · Личное сообщение · #14

Под наработками имеется в виду что-то вроде: загрузил в отладчик, обошёл антиотладку по адресам А и Б, восстановление импорта по адресу В, но вот застрял где-то в области Г, помогите советом.
Пока все наработки сводятся к: я поспрашивал у людей, и они все отмазались.

Тема закрыта за нарушение п.9 правил форума.

Предвидя следующий вопрос "я же запостил в поиск специалистов, но народу не видно", вот алгоритм действий:
1. Постится там запрос.
2. Выжидается срок на усмотрение.
3. Увеличивается цена в 2 раза, goto п.1.

| Сообщение посчитали полезным: DenCoder, CyberGod, sefkrd

 eXeL@B —› Крэки, обсуждения —› 64 битная энигма
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ