eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› первые шаги в иследовании
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 1.6 (гость)
Статус: Участник

Создано: 22 сентября 2015 17:58 New!
Цитата · Личное сообщение · #1

нашел старенькую програмку, можно ее не выкладывать?
пробую дебажить через олю.

есть два поля, похожих на TEdit и кнопка.
хочу при чтении с TEdit что бы срабатывал бряк.

ставлю на GetWindowsTextA и GetDlgltemTextA
не срабатывают.
как еще можно пробовать ловить чтение текста?

как можно попробовать поймать нажатие кнопки?

спасибо.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 24 сентября 2015 16:47 · Поправил: 24 сентября 2015 16:54 exec85 New!
Цитата · Личное сообщение · #2

так а что:
https://cracklab.ru/download.php?action=get&n=OTYw

Ранг: 73.3 (постоянный)
Статус: Участник

Создано: 24 сентября 2015 17:50 New!
Цитата · Личное сообщение · #3

Armadillo 6.04

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 11:13 · Поправил: 25 сентября 2015 11:31 exec85 New!
Цитата · Личное сообщение · #4

нахожу куда читается пароль, ставлю бряку на доступ к памяти, вывариваюсь, смотрю, проверка первый пробел.
далее какая то неопределенность. сначало вываливался в бряк при конвертации utf8 в ascii. но потом не стал до этого места доходить. виснем, оля пишет:
Debug string: LDR: LdrLoadDll - failing because LdrpLoadDll(ArmAccess.DLL) returned status c0000005
по коду вижу странное место:
004017A9 . FF15 9C827500 CALL NEAR DS:[<&kernel32.LoadLibraryA>] ; \LoadLibraryA
пытается загрузить (ASCII "ArmAccess.DLL") но такой библиотеки нету...
направте в нужную сторону, или подскажите в какую сторону смотреть..

Добавлено спустя 18 минут
кстати после раскодирования исходного файла, окно неправильный ключ перестал появляться. есть подозрение что он что то портит...

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 25 сентября 2015 11:43 New!
Цитата · Личное сообщение · #5

Это внутренняя библиотека защиты армадилло для операций с активацией.Брутьте sym с помощью armadillo key tool и сможете себе сделать валидную лицензию.Анпакеры все равно не распакуют программу грамотно.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 12:20 New!
Цитата · Личное сообщение · #6

трассировкой заниматься без полезняк?
у меня нет задачи подобрать...
моя цель иследование кода... чусь отлаживать... или мой кролик мне не позубам? слишком сложен? надо брать что то по проше?

Ранг: 6.0 (гость)
Статус: Участник

Создано: 25 сентября 2015 13:48 New!
Цитата · Личное сообщение · #7

exec85 пишет:
или мой кролик мне не позубам?

По армадаллио есть хорошие туторы на тутсях. Там идет сложность по нарастающей, разберитесь там со всеми трюками армы в тех туторах про копимем, деблокер, наномиты) Потом уже вам будет проще снимать этот прот, изучив все его трюки.
Кстати там туторы для разных версий, изучайте с начальных версий.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 14:55 New!
Цитата · Личное сообщение · #8

что такое "тутсях" ? дайте ссылку плз.
попутно вопрос: ставлю бряк на память отпускаю прогу, прога слетает.
ну понятно, без бряка работает...

как отловить причину????

Ранг: 6.0 (гость)
Статус: Участник

Создано: 25 сентября 2015 15:01 New!
Цитата · Личное сообщение · #9

exec85, https://tuts4you.com/download.php?list.11
exec85 пишет:
ставлю бряк на память отпускаю прогу, прога слетает.

Прога может палить бряк и портить вам все) Вы тут опишите конкретнее на что там ставили, что вообще прога делает.
Если валится на бряк memory, попробуйте hard бряк.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 15:52 · Поправил: 25 сентября 2015 16:08 exec85 New!
Цитата · Личное сообщение · #10

00FC7948 ставлю F2 бряк, когда вываливаюсь в EAX адрес строки 0012DBDC дниной 64h
ставлю на первый байт бряк по обращению к памяти... отпускаю, ну и все...

качнул Armadillo 6.xx (Hardware Fingerprint) посмотрел.. ничего не понял...

сейчас почитаю про жлезячные токи останова, и попробу...

Добавлено спустя 16 минут
хард бряк тоже не помог, ошибка, винда предлагает отправить отчет...

Ранг: 2.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 16:21 New!
Цитата · Личное сообщение · #11

Не стоит браться за протектор,не прочитав статьи\не посмотрев туториалы.
Сходу,не получиться ничего.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 25 сентября 2015 16:32 · Поправил: 25 сентября 2015 16:34 mazaxak New!
Цитата · Личное сообщение · #12

exec85 пишет:
качнул Armadillo 6.xx (Hardware Fingerprint) посмотрел.. ничего не понял...

Ну я особо не удивлен, этот протектор трудноват будет, лучше распаковке учиться с более простых к сложным.

Это ты вроде скачал статью про то, как имея валидную пару для другой машины, снять на своей прот.
Качай самые первые версии его, а это специфичный случай, когда разрабы выбрали криптование кода проги.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 17:12 New!
Цитата · Личное сообщение · #13

ProstoAndreyX
"Не стоит браться за протектор"
да, как сказать... так получилось...
Вы имее ввиду браться за программу защищенную протектором?
или разбирать сам протектор?
подскажите что посмотреть... готов..

mazaxak
"лучше распаковке учиться с более простых к сложным."
ну у меня вот такой кролик попался... кто ж знал что он с зубами...
я сейчас даже не смогу определить кто проще, кто сложней... поэтому трудно последовать Вашему совету.
мне бы хотелось бы добить этого зверя...

Добавлено спустя 2 минуты
все равно механизмы надо разбирать.. по отдельности или сразу в куче..

Ранг: 6.0 (гость)
Статус: Участник

Создано: 25 сентября 2015 17:31 New!
Цитата · Личное сообщение · #14

exec85 пишет:
я сейчас даже не смогу определить кто проще, кто сложней...

Посмотри сначала туторы "Введение в крекинг с нуля в ollydbg" там учат распаковке с самых простых пакеров, переходя на протекторы. А после освоения этого можно тогда и на тутсях смотреть.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 25 сентября 2015 17:35 · Поправил: 25 сентября 2015 23:39 exec85 New!
Цитата · Личное сообщение · #15

читал, смотрел, начальный уровень. все как в учебнике
поставил бряк, осмотрелся вот оно кодовое слово! ура куча поздравлений.

сейчас читаю:
https://forum.reverse4you.org/archive/index.php/t-1690.html?s=49c3bbb6b3d7dc57e058cac27b266ec2
http://ru.und3rgr0und.org/wiki/Armadillo

Добавлено спустя 6 часов 4 минуты
Кто нибудь может объяснить что такое мутекс и зачем он нужен? Пример функции: OpenMutexA
В гугле был, только что от туда. Пока ничего не понял.

| Сообщение посчитали полезным: ProstoAndreyX



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 26 сентября 2015 13:28 New!
Цитата · Личное сообщение · #16

exec85

ну как бы вдумчиво читаем:

https://ru.wikipedia.org/wiki/Мьютекс

Ранг: 556.7 (!)
Статус: Модератор

Создано: 26 сентября 2015 14:46 New!
Цитата · Личное сообщение · #17

Мутекс - это бутылка лимонада в толпе измученной жаждой. Пока один присосался - все остальные ждут. Как только напился и отвалился - подхватывает следующий.

| Сообщение посчитали полезным: DenCoder, bizdon


Ранг: 1.6 (гость)
Статус: Участник

Создано: 26 сентября 2015 20:40 New!
Цитата · Личное сообщение · #18

Почему после армагедона образуются два файла? Один из них с подчеркиванием. И запускается только один.

Ранг: 6.0 (гость)
Статус: Участник

Создано: 26 сентября 2015 22:33 New!
Цитата · Личное сообщение · #19

exec85, там вроде один дамп без пофиксинного импорта, а с _ пофиксенный.

Ранг: 1.6 (гость)
Статус: Участник

Создано: 26 сентября 2015 23:02 New!
Цитата · Личное сообщение · #20

У меня два, один как то работает (правда без окошка инвалид) а второй не запускается. Я тут начитался всего про потоки и отладку дочернего, прям и не знаю что думать.
Кстати, тот что запускается файл, я по дебажил и вроде как он хочет отрыть dll-ку ArmAccess.dll если не ошибаюсь. Зачем? У меня ее нету нигде такой.


Ранг: 281.6 (наставник)
Статус: Участник

Создано: 27 сентября 2015 00:09 New!
Цитата · Личное сообщение · #21

exec85 пишет:
вроде как он хочет отрыть dll-ку ArmAccess.dll. Зачем? У меня ее нету нигде такой.

Для справки
В виндовых компонентах, например, в банальном блокноте, также есть попытка загрузки некоторой dll. Так проверяется, доступны ли дополнительные возможности.


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 27 сентября 2015 00:24 New!
Цитата · Личное сообщение · #22

так работает защита армадиллы, цепляются функи с ArmAccess.dll, а потом эта длл пакуется протектором в сам екзешник
короче она вшита была в ваш екзе, когда его распаковали, длл скипнули


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 сентября 2015 12:59 New!
Цитата · Личное сообщение · #23

reversecode фейковую же можно в папку положить с распакованным софтом и возможно все будет пахать без ограничений?


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 27 сентября 2015 13:05 New!
Цитата · Личное сообщение · #24

ну смотря по уму или от балды была зацеплена там арма, если по уму то подсунуть фейковую будет мало

Ранг: 1.6 (гость)
Статус: Участник

Создано: 27 сентября 2015 20:30 New!
Цитата · Личное сообщение · #25

Хм, интересненько..
Ну а резюме? на нее не обращать внимание? Или где то ее искать?


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 27 сентября 2015 20:41 New!
Цитата · Личное сообщение · #26

резюме или ее докидывать, или докидывать заглушку с таким же експортом, и дальше уже реверсить приложение которое ее использует

Ранг: 1.6 (гость)
Статус: Участник

Создано: 27 сентября 2015 21:49 New!
Цитата · Личное сообщение · #27

Мда, теперь бы кто на человечиский перевел бы совет от reversecode ...


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 27 сентября 2015 21:52 New!
Цитата · Личное сообщение · #28

вам не кажется что делать первые шаги засчет других учасников это несколько напряжно для всех ?
почитайте какую то литерадурку, что бы понимать смысл слов, тогда уже беритесь за основы исследования

Ранг: 1.6 (гость)
Статус: Участник

Создано: 27 сентября 2015 22:39 · Поправил: 27 сентября 2015 22:39 exec85 New!
Цитата · Личное сообщение · #29

Так я этим и занимаюсь, не дадите ссылочку, на стоющую внимания статейку?
По крайной мере я чесно могу сказать что я первокласник в этой теме. Я разбираюсь, на сколько могу. Подсказать мне некому. Пока тока насмешки и напряги от старшекласников. ;)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 27 сентября 2015 23:00 New!
Цитата · Личное сообщение · #30

exec85 вот даже поискал, читаем:

тут ссылки есть в топике:
https://exelab.ru/f/index.php?action=vthread&forum=13&topic=21363

ну а тут кучу примеров на англ, но с картинками
https://tuts4you.com/download.php?50.list.11.50.download_name.ASC

| Сообщение посчитали полезным: exec85


Ранг: 1.6 (гость)
Статус: Участник

Создано: 14 октября 2015 17:54 New!
Цитата · Личное сообщение · #31

оля, ->Search for->Name(label) in current module
вываливается простыня разных функция.
есть какой то поиск по этой простыне?
или надо глазами листать, в поиске нужных функций...
<< . 1 . 2 . 3 . >>
 eXeL@B —› Крэки, обсуждения —› первые шаги в иследовании

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS