eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Некоторые фишки новой Armadillo
Посл.ответ Сообщение

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 24 августа 2004 07:02 New!
Цитата · Личное сообщение · #1

Продолжил я вчера раскапывать арму.
Сказали мне что есть прога с новой армой, скачал тут
www.thegrideon.com/download/aspsetup.exe. Туторов начитался, копался в ней долго, вот чего выяснил. Версия армы там 3.75d. У меня винда при загруженном айсе падает в BSOD. Если находит в реестре iceext, то прога говорит General Extraction Error. При установке бряка на WriteProcessMemory винда падает туда же, поэтому я ставил bpx WriteProcessMemory+8. Плюс в память какой-то байт влезает непонятно откуда примерно таким образом:

mov ecx, dword ptr [eax]
shr ecx, 5
and cl, bl
mov byte ptr [esi+3D2F], cl ; CL = 1

Арма его проверяет, если он 1, то она ксорит нафиг всю секцию кода child процесса и на ОЕР получаем мусор. Ладно, и это я обошел.

Сейчас наловчился, за минуту добираюсь до ОЕР, только одно но... Стою на ОЕР. Запускаю импрек, ввожу RVA OEP, нажимаю IAT AutoSearch - большой облом. Говорит, Couldnt find anything good at this OEP. Заколебался, но импорт так и не восстановил. Потом подумал, что дело в том, что эта прога на VB. Взял саму арму 3.76 и разобрал ее. Тоже самое.

Вот если б добрые люди помогли бы импорт восстановить, я б тутор по этой арме написал бы... =)

Ранг: 13.1 (новичок)
Статус: Участник
EGOiSM FEELiNG

Создано: 24 августа 2004 09:16 New!
Цитата · Личное сообщение · #2

а я вот чета етот дженерал екстракшон еррор обойти не могу...с сайсом

Ранг: 13.1 (новичок)
Статус: Участник
EGOiSM FEELiNG

Создано: 24 августа 2004 10:36 New!
Цитата · Личное сообщение · #3

однако IceExt 0.62 решает все проблемы


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 24 августа 2004 11:01 New!
Цитата · Личное сообщение · #4

EGOiST выложу завтра всем этот iceext которого я искал 3 дня... респект to ilya

Ранг: 40.0 (посетитель)
Статус: Участник

Создано: 24 августа 2004 11:45 New!
Цитата · Личное сообщение · #5

Проги на VB бывают дополнительно защищают, если OEP выглядит так:

pushf
pusha
call $+7

то нет там накакого импорта, он будет дальше. А если такого нет, то надо ловить вручную по GetProcAddress.


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 августа 2004 12:19 New!
Цитата · Личное сообщение · #6

MC707 пишет:
Запускаю импрек, ввожу RVA OEP, нажимаю IAT AutoSearch

наивный... =) в арме 3.75 есть так называемое iat Elimination - перенаправление iat за пределы exe и перемешивание функций из разных либ между собой. Там просто импреком не отделаешься...
Сейчас вообще большинство протекторов что-нить да делает с иат (ACProtect - перестроеная иат вызовы к которой идут через одну функцию, а не напрямую jmp [], Obsidium - определение адреса апи непосредственено перед вызовом, ASPR - ну сами знаете =), и т.д.)

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 24 августа 2004 23:40 New!
Цитата · Личное сообщение · #7

Mario555
Увы, как всегда ты прав . Это я увидел, когда RVA IAT руками ввел и получил cant read memory process ;)

Мде, похоже руками весь ипорт надо перелопатить?

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 25 августа 2004 03:02 New!
Цитата · Личное сообщение · #8

Мда, у нарвахи победа над IAT Elimination занимает 6 туторов... Я все базары оббегал, нигде переводчика испанского не нашел. Придется денек-другой сериалы бразильские посмотреть и садиться за них


Ранг: 260.3 (наставник)
Статус: Участник
PPC-PROTECT author

Создано: 25 августа 2004 05:39 New!
Цитата · Личное сообщение · #9

а я сколько себя помню, всю жизнь смотрел сериалы по первому каналу... ну усе, побежал.. "Клон" начался


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 25 августа 2004 10:03 · Поправил: Mario555 New!
Цитата · Личное сообщение · #10

MC707 пишет:
у нарвахи победа над IAT Elimination занимает 6 туторов

Там у него на самом деле просто очень растянутое объяснение К тому же там в арме и кроме Elimination гадости есть.
А вообще получить правильную иат в арме гораздо проще, чём например в том же аспре...

Ранг: 1.0 (гость)
Статус: Участник

Создано: 25 августа 2004 10:34 New!
Цитата · Личное сообщение · #11

подскажите НОМЕР нарваховского тутора про IAT Elimination

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 26 августа 2004 00:00 · Поправил: MC707 New!
Цитата · Личное сообщение · #12

bi0w0rm
203-208 вроде

Mario555
ты б поделился как получить правильную ИАТ, в общих чертах хотя бы.... а с остальными фишками справимся ;)


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 26 августа 2004 12:46 · Поправил: Mario555 New!
Цитата · Личное сообщение · #13

MC707 пишет:
правильную ИАТ, в общих чертах хотя бы...

что конкретно из тутора тебе не понятно ?

Ранг: 2.0 (гость)
Статус: Участник

Создано: 27 августа 2004 01:30 New!
Цитата · Личное сообщение · #14

Подскажите, пожалуйста где можно скачать эти туторы

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 27 августа 2004 01:30 New!
Цитата · Личное сообщение · #15

gost
crackslatinos.hispadominio.net/miembros/teorias/t201-220

Ранг: 2.0 (гость)
Статус: Участник

Создано: 27 августа 2004 01:38 New!
Цитата · Личное сообщение · #16

nice
Спасибо.

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 27 августа 2004 09:05 New!
Цитата · Личное сообщение · #17

Посмотрите плз что я тут наляпал, стыдно показывать пока, но...
www.mc707.nm.ru/Arma_OEP_and_Import.rar Просьба сильно не пинать. Размер архива 1.4М. Видеотутор. И еще вопрос... почему вся ИАТ в этой проге по алфавиту? В первый раз такое вижу... Или я импорт неправильно восстанавливаю?

Ладно, пока дома покопаю, буду во вторник, может чего накопаю...


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 27 августа 2004 14:57 · Поправил: Mario555 New!
Цитата · Личное сообщение · #18

MC707 пишет:
[url=http://www.mc707.nm.ru/Arma_OEP_and_Import.rar

]http://www.mc707.nm.ru/Arma_OEP_and_Import.rar[/i]
[/url]
Copymem ? (two bytes не в счёт)
Elimination ?
Code redirecting ?
Nanomites ?

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 29 августа 2004 04:32 New!
Цитата · Личное сообщение · #19

С IAT Elimination`ом вроде разобрался, а чё делать со Strategic Code Splicing?


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 29 августа 2004 14:37 New!
Цитата · Личное сообщение · #20

sanniassin пишет:
Strategic Code Splicing?

А что это такое ? типа jmp arma с секции кода exe или что-нить ещё ?

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 30 августа 2004 00:27 New!
Цитата · Личное сообщение · #21

Mario555 пишет:
типа jmp arma с секции кода exe


Они самые


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 30 августа 2004 10:22 New!
Цитата · Личное сообщение · #22

с этим всё просто - в некоторый момент арма выделяет страницу памяти (VirtualAlloc) сохраняет указатель на неё в переменную и потом уже заполняет эту страницу спёртым кодом и формирует jmp'ы на него... так что нужно всего лишь подменить адрес выделенной страницы памяти на какой-нить адрес из неиспользуемого места в exe, дальше арма сама всё сделает =)

Ранг: 1.0 (гость)
Статус: Участник

Создано: 3 сентября 2004 15:03 New!
Цитата · Личное сообщение · #23

MC707 пишет:
Мда, у нарвахи победа над IAT Elimination занимает 6 туторов... Я все базары оббегал, нигде переводчика испанского не нашел. Придется денек-другой сериалы бразильские посмотреть и садиться за них

это не вопрос. я сразу нашел даже в нашем маленьком городе.
накрайняк юзай translate.ru
 eXeL@B —› Основной форум —› Некоторые фишки новой Armadillo

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS