eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: yashechka (+7 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Armadillo
Посл.ответ Сообщение

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 12:38 New!
Цитата · Личное сообщение · #1

Предлагаю отдельный топик с вопросами по арме.

Сразу и начну.
ArmaFP: Armadillo v4.40
Armadillo Process Detach:
-------------
[PROTECTiON SYSTEM]
Professional Edition
[PROTECTiON OPTiONS]
Debug-Blocker protection detected
Strategic Code Splicing enabled
Import Table Elimination enabled
Nanomites Processing enabled
[CHiLD iNFO]
Child process iD: [00000390]
Entry point: [00466000]
Original bytes: [60E80000]
Detached successfully
-------------
В качестве инструмента OllyDbg + Phantom под VmWare.

Проблема №1: под отладчиком прога никогда не доходит до ОЕП (второй "call ecx"). Код возврата 80000003.

Дополнительные проблемы: бряки на доступ к памяти или железные останавливают в нужном месте, но с сообщением "Exception can't be handled by application...". Этот вопрос решил установкой бряков за пределами первых 5 байт.

Как бы решить первую проблему?

offtop: Может еще кто знает почему AdvancedOlly v1.26b может закрывать олю сразу после старта? Может ей что-то нехватает?


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 26 июня 2009 12:52 New!
Цитата · Личное сообщение · #2

r_e
Это у тебя олька глючная. Скачай чистую и поставь только необходимые плаги

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 13:41 New!
Цитата · Личное сообщение · #3

Скачал чистую - эффект тот же.
Попробовал Defixed сборку - умирает молча, даже не дойдя до бряка в CreateThread. + Почему-то не грузит плаг Phantom
Попробовал Armadillo сборку. Точно так же не доходит до ОЕП, а без бряков вообще - выходит с 80000003.

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 14:31 New!
Цитата · Личное сообщение · #4

Продолжение событий.
С определенными настройками в AdvancedOlly (как в туторе) не умирает, но до ОЕП все-равно не доходит. Видимо, нужно еще в шаманский бубен постучать.
Картина в аттаче.

{ Атач доступен только для участников форума } - 1.PNG

Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 26 июня 2009 17:51 · Поправил: MasterSoft New!
Цитата · Личное сообщение · #5

r_e
Быть может вся проблема в VmWare ???
Кстати, ты прожку выложи чтоль, так, для разнообразия. Зачем на скрине затёр "module name" ?

Ранг: 617.3 (!)
Статус: Участник

Создано: 26 июня 2009 18:15 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #6

Судя по картинке ты оеп уже пролетел и олька вылетает у тебя на наномитах.
В Olly Advanced убери все галки из антидебаг разделов кроме IsDebuggerPresent

Ранг: 1.0 (гость)
Статус: Участник

Создано: 26 июня 2009 18:36 New!
Цитата · Личное сообщение · #7

Если хочешь как в туторе, то детачь ArmaFP.

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 20:00 New!
Цитата · Личное сообщение · #8

MasterSoft
С удовольствием бы выложил прожку, но не могу. Не серчайте. В противном случае давно заказал бы кому-то из вас.
Проверил на реальной машине - проблема та же.

Vovan666
Похоже что проблема из-за одной из DLL, которая тоже под армой. Получается сначала ее нужно "обезвредить", потом уже браться за .exe

Loser
Я использовал тутор "CopyMemII&Debugblocker&IAT Elimination.swf" с tut4you. А детачер здесь роли не играет, imho.

Ранг: 617.3 (!)
Статус: Участник

Создано: 26 июня 2009 20:41 New!
Цитата · Личное сообщение · #9

r_e пишет:
Похоже что проблема из-за одной из DLL, которая тоже под армой.

Наврядли.

r_e пишет:
CopyMemII&Debugblocker&IAT Elimination.swf

Зачем тебе тутор по копимему если он в твоем случае не используется?

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 21:14 New!
Цитата · Личное сообщение · #10

Vovan666
Переключился на эту DLL. Если пускать ее без детачера - тоже не работает метода по определению ОЕП через "call ecx". Если с детачером - то он патчит там где надо. Разбираюсь со сплайсингом и иат.

Зачем тебе тутор по копимему если он в твоем случае не используется?
Дык я начало и пропустил.

Кстати, тут бы еще определиться с терминологией.
Debug-Blocker. Родительский процесс цепляется к рабочему процессу в качестве отладчика.
Strategic Code Splicing. Ворует куски кода из проги, вставляя на их место jmp ... При выполнении ложит эти куски в выделяемой памяти и правит jmp.
Import Table Elimination. То же самое что и SCS, но только тырит IAT.
Nanomites Processing. Хз че такое. Возможно, то что арма тырить функции целиком? Или это подмененные элементы ИАТ на собственные эмуляторы системных функций?


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 26 июня 2009 21:51 New!
Цитата · Личное сообщение · #11

Наномиты-замена условных переходов на инт3 и обработка их отцом, только совместно с блокером пашет.
Я бы не упирался на ВТОРОЙ call reg32 (ибо не ecx, а любой регистр может быть, edi я точно встречал), в некоторых версиях не всегда 2, вроде, лучше бы бряк на память тыкал после нужного останова на CreateThread.
А свалилось на картинке явно в коде проги.

Ранг: 576.5 (!)
Статус: Модератор

Создано: 26 июня 2009 23:43 New!
Цитата · Личное сообщение · #12

По DLL
- ebfe на OEP
- почистил сплайсинг ArmInline'ом
- вернул IAT взад им же
- ImpRec'ом сдампил и зафиксил
- hiew32 изменил Fixup entry со старой .reloc1 на новую .reloc + пофиксил OEP

Проблема: импорты не отрезолвились и продолжают светиться как
Code:
  1. .text:1000B1B1 84C                 call    dword ptr ds:100C4490h


WTF? Не пойму что я забыл.

Ранг: 617.3 (!)
Статус: Участник

Создано: 27 июня 2009 00:07 New!
Цитата · Личное сообщение · #13

Статья по распаковке длл со сплайсингом
arteam.accessroot.com/arteam/site/download.php?view.205

Ранг: 576.5 (!)
Статус: Модератор

Создано: 27 июня 2009 18:14 New!
Цитата · Личное сообщение · #14

Vovan666
+1. Неплохой тутор. У меня только один ньюансик возник - если ОЕП детектить через memory access bp, то потом сдампить не получается - не могут дамперы доступ к памяти получить.
Но в итоге имею ту же проблему - косяк с импортом: при загрузке в авторежиме в ИДЕ - имена не светит. Но если грузить через manual load + указать загрузку хедера - то светит нормально. При этом hiew32 нормально все показывает. Да и при попытке загрузки этой длл приложениями - вылетает с исключениями, а если в Оле грузить - говорит что некорректный файл.
Осталось чем-нибудь порипать лишние секции и решить эту проблему с импортом. Я так думаю что проблема весьма элементарна - где-то в хедере поправить надо или директории или с секциями поколдовать.


Ранг: 539.1 (!)
Статус: Участник
оптимист

Создано: 7 августа 2009 14:11 New!
Цитата · Личное сообщение · #15

Написал я пару скриптов для армы может кому пригодятся там для dll и exe

{ Атач доступен только для участников форума } - Armadillo script.7z


Ранг: 269.8 (наставник)
Статус: Участник
Advisor

Создано: 7 августа 2009 23:13 New!
Цитата · Личное сообщение · #16

ClockMan, погонял на консоли и приложении, для универсала - всё пучком !!!
Хз. мож частный случай, но для таблички мона и "разделители" между блоками фунок прописывать.
Code:
  1. 01081076     99                     CDQ
  2. 01081077     B9 14000000            MOV ECX,14
  3. 0108107C     F7F9                   IDIV ECX
  4. 0108107E     8B85 44DAFFFF          MOV EAX,DWORD PTR SS:[EBP-25BC]
  5. 01081084     8B8C95 ECD9FFFF        MOV ECX,DWORD PTR SS:[EBP+EDX*4-2614]
  6. 0108108B     8908                   MOV DWORD PTR DS:[EAX],ECX -------- !!!!!
  7. 0108108D     8B95 44DAFFFF          MOV EDX,DWORD PTR SS:[EBP-25BC]
  8. 01081093     83C2 04                ADD EDX,4
  9. 01081096     8995 44DAFFFF          MOV DWORD PTR SS:[EBP-25BC],EDX
  10.  

Ранг: 0.5 (гость)
Статус: Участник

Создано: 9 июля 2018 08:45 · Поправил: unknown New!
Цитата · Личное сообщение · #17

День добрый.
Попалась программа https://www.sendspace.com/file/9djnht , накрытая, судя по всему, "Armadillo" .
Стандартный скрипт "Armadillo 9.64 unpack script version 0.1.txt" не помогает - на VirtualProtect точка остановки не срабатывает и программа запускается.
Возможно, кто-нибудь поделится распакованной версией?


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 9 июля 2018 10:25 New!
Цитата · Личное сообщение · #18

Это в запросы на взлом с пометкой, что надо распаковать.
 eXeL@B —› Протекторы —› Распаковка Armadillo
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS