eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler, Wargrinder (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Flynano v1.1
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 13 октября 2008 16:09 New!
Цитата · Личное сообщение · #1

Flynano v1.1
An INT3 tracer for on-the-fly Armadillo nanomites jumps from nanomite tables.
forum.tuts4you.com/index.php?act=attach&type=post&id=3721


Ранг: 500.6 (!)
Статус: Участник

Создано: 17 октября 2008 22:07 New!
Цитата · Личное сообщение · #2

daFix пишет:
Не могу найти магический прыжок в новой арме. Подскажите как он выглядит


В какой ?
Сколько видел, всегда как обычно.


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 17 октября 2008 22:28 New!
Цитата · Личное сообщение · #3

В версии 6.04. Последний раз я смотрел ещё в червётрой версии. С тех пор он изменился

Ранг: 22.3 (новичок)
Статус: Участник

Создано: 18 октября 2008 03:20 New!
Цитата · Личное сообщение · #4

Поменял заголовок окна, шестая арма всё равно палит отладчик, что делать?

Ранг: 75.7 (постоянный)
Статус: Участник

Создано: 18 октября 2008 06:41 · Поправил: vel New!
Цитата · Личное сообщение · #5

del


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 18 октября 2008 09:09 · Поправил: daFix New!
Цитата · Личное сообщение · #6

SYNAPSiS
Арма перебирает заголовки всех окон, и даже папок. Так что ты должен закрыть и все папки, содержашие в заголовке названия крякерских тулз. А ещё как вариант можно запатчить эту проверку в самой арме

Так подскажет кто нибудь мне как найти Magic Jump в новой арме?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 18 октября 2008 11:58 New!
Цитата · Личное сообщение · #7

PE_Kill пишет:
В несколько заходов, с перекурами за несколько часов всё восстановил

Ради интереса делал что то подобное ;) но чет повторять как то желания не возникало )


Ранг: 500.6 (!)
Статус: Участник

Создано: 18 октября 2008 12:10 New!
Цитата · Личное сообщение · #8

vel пишет:
А ошибка весьма детская, чтоб ее незаметить.


Хоть намекнул-бы на эту ошибку.

Ранг: 617.3 (!)
Статус: Участник

Создано: 18 октября 2008 12:26 New!
Цитата · Личное сообщение · #9

daFix пишет:
Так подскажет кто нибудь мне как найти Magic Jump в новой арме?


Да как и раньше через push 100.


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 18 октября 2008 13:26 · Поправил: daFix New!
Цитата · Личное сообщение · #10

Vovan666
Можешь чуть подробнее?

Огромное спасибо! Шарился где-то рядом. Значит истина была близко))

Ранг: 617.3 (!)
Статус: Участник

Создано: 18 октября 2008 14:30 New!
Цитата · Личное сообщение · #11

Code:
  1. 00BED4F9    68 00010000                  PUSH 100     ;<---- PUSH100
  2. 00BED4FE    8D8D 38C1FFFF                LEA ECX,DWORD PTR SS:[EBP-3EC8]
  3. 00BED504    51                           PUSH ECX
  4. 00BED505    8B95 38C2FFFF                MOV EDX,DWORD PTR SS:[EBP-3DC8]
  5. 00BED50B    8B02                         MOV EAX,DWORD PTR DS:[EDX]
  6. 00BED50D    50                           PUSH EAX
  7. 00BED50E    E8 4D52FBFF                  CALL 00BA2760
  8. 00BED513    83C4 0C                      ADD ESP,0C
  9. 00BED516    8D8D 38C1FFFF                LEA ECX,DWORD PTR SS:[EBP-3EC8]
  10. 00BED51C    51                           PUSH ECX
  11. 00BED51D    8D95 48C2FFFF                LEA EDX,DWORD PTR SS:[EBP-3DB8]
  12. 00BED523    52                           PUSH EDX
  13. 00BED524    E8 B01F0100                  CALL 00BFF4D9
  14. 00BED529    83C4 08                      ADD ESP,8
  15. 00BED52C    85C0                         TEST EAX,EAX
  16. 00BED52E    75 11                        JNZ SHORT 00BED541
  17. 00BED530    8B85 38C2FFFF                MOV EAX,DWORD PTR SS:[EBP-3DC8]
  18. 00BED536    8B48 08                      MOV ECX,DWORD PTR DS:[EAX+8]
  19. 00BED539    898D 4CCAFFFF                MOV DWORD PTR SS:[EBP-35B4],ECX
  20. 00BED53F    EB 02                        JMP SHORT 00BED543
  21. 00BED541  ^ EB 9B                        JMP SHORT 00BED4DE
  22. 00BED543    8B95 9CD4FFFF                MOV EDX,DWORD PTR SS:[EBP-2B64]
  23. 00BED549    83C2 01                      ADD EDX,1
  24. 00BED54C    8995 9CD4FFFF                MOV DWORD PTR SS:[EBP-2B64],EDX
  25. 00BED552    EB 3E                        JMP SHORT 00BED592
  26. 00BED554    68 00010000                  PUSH 100
  27. 00BED559    8D8D 54D8FFFF                LEA ECX,DWORD PTR SS:[EBP-27AC]
  28. 00BED55F    E8 DC52FBFF                  CALL 00BA2840
  29. 00BED564    0FB6C0                       MOVZX EAX,AL
  30. 00BED567    99                           CDQ
  31. 00BED568    B9 14000000                  MOV ECX,14
  32. 00BED56D    F7F9                         IDIV ECX
  33. 00BED56F    8B85 4CD8FFFF                MOV EAX,DWORD PTR SS:[EBP-27B4]
  34. 00BED575    8B8C95 E8D7FFFF              MOV ECX,DWORD PTR SS:[EBP+EDX*4-2818]
  35. 00BED57C    8908                         MOV DWORD PTR DS:[EAX],ECX
  36. 00BED57E    8B95 4CD8FFFF                MOV EDX,DWORD PTR SS:[EBP-27B4]
  37. 00BED584    83C2 04                      ADD EDX,4
  38. 00BED587    8995 4CD8FFFF                MOV DWORD PTR SS:[EBP-27B4],EDX
  39. 00BED58D    E9 72010000                  JMP 00BED704
  40. 00BED592    83BD 4CCAFFFF 00             CMP DWORD PTR SS:[EBP-35B4],0
  41. 00BED599    75 44                        JNZ SHORT 00BED5DF ;<-------Magic JMP (NOP)
  42. 00BED59B    0FB785 44C2FFFF              MOVZX EAX,WORD PTR SS:[EBP-3DBC]
  43. 00BED5A2    85C0                         TEST EAX,EAX
  44. 00BED5A4    74 0F                        JE SHORT 00BED5B5
  45. 00BED5A6    0FB78D 44C2FFFF              MOVZX ECX,WORD PTR SS:[EBP-3DBC]
  46. 00BED5AD    898D C4A8FFFF                MOV DWORD PTR SS:[EBP+FFFFA8C4],ECX
  47. 00BED5B3    EB 0C                        JMP SHORT 00BED5C1


Вариант 2 (лучше)
Code:
  1. 00BA2760    55                           PUSH EBP ;<-RET
  2. 00BA2761    8BEC                         MOV EBP,ESP
  3. 00BA2763    83EC 2C                      SUB ESP,2C
  4. 00BA2766    833D 20E6C100 00             CMP DWORD PTR DS:[C1E620],0
  5. 00BA276D    75 59                        JNZ SHORT 00BA27C8
  6. 00BA276F    C745 EC 65581329             MOV DWORD PTR SS:[EBP-14],29135865
  7. 00BA2776    68 00010000                  PUSH 100 ;<--------- PUSH100
  8. 00BA277B    E8 E6820500                  CALL 00BFAA66

Ранг: 1.1 (гость)
Статус: Участник

Создано: 20 октября 2008 04:26 New!
Цитата · Личное сообщение · #12

Умеет:
Из таблицы наномитов(можно ее получить например из арминлоайн) на лету по исключению int3 восстанавливать байтики на место,и вести лог как бы "проверенных" наномитов,
по проверенной таблице, можно пропатчить программу.

Не умеет:
Пока искать наномиты (нужен какой нить стоящий алгоритм, тот который вшит и арминлайн, не сильно удачный)

Но я открыт для всех предложений, предлогайте, добавлю функционал.

Ранг: 75.7 (постоянный)
Статус: Участник

Создано: 20 октября 2008 06:34 · Поправил: vel New!
Цитата · Личное сообщение · #13

del

Ранг: 39.1 (посетитель)
Статус: Участник

Создано: 20 октября 2008 09:05 New!
Цитата · Личное сообщение · #14

serrge
Было бы не плохо спрятать тулзу поглубже.
Описание на тулзу какое ни какое, что бы вопросами не долбили.
PE_Kill однозначно орден - аЦкое терпение. Попробовал .... однозначно нужно иметь титановые нервы.

Ранг: 1.1 (гость)
Статус: Участник

Создано: 21 октября 2008 03:10 New!
Цитата · Личное сообщение · #15

vel движок олли я уже переложил в длл (asmcode.dll) так что с проблемами asm2opcode opcode2asm не должно быть , остались вопросы что палит арма, чтобы прятаться.
Думаю к выходным что нить свояю

2PE_Kill: Можете подробнее описать о других exceptions?


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 21 октября 2008 10:51 New!
Цитата · Личное сообщение · #16

pavka пишет:
Ради интереса делал что то подобное ;) но чет повторять как то желания не возникало )

Не, я потом еще раза 3 повторял. Но там уже было не более 15 000 наномитов, так что даже без перекуров.

SpoliatoR пишет:
Попробовал .... однозначно нужно иметь титановые нервы.

Ну да, только чисто руками это и я не сделаю, я уже писал что делал плагин для анализа. Где то, от 0.5 до 10 секунд на наномит.

serrge пишет:
Можете подробнее описать о других exceptions?

Уже на нескольких программах встретил наномиты в виде инвалидных инструкций. Найду линки приатачу.


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 21 октября 2008 11:41 · Поправил: daFix New!
Цитата · Личное сообщение · #17

serrge пишет:
остались вопросы что палит арма, чтобы прятаться.


Сделай меню опций в проге и создай вкладку "Изменить заголовок окна". Арма только по этому детектит его.
Примечание - арма проверяет все заголовки окон, так что и папки с именем "Flynano v1.1" она тоже воспримит за крякерскую утилиту и начнёт ругаться


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 21 октября 2008 22:08 · Поправил: daFix New!
Цитата · Личное сообщение · #18

Vovan666
Первый вариант Magic JMP'а понятно как находим... А как мы нашли второй вариант(Тот который лучше)?
Не хочу бонально по сигнатуре находить


Вот тут есть одна странность - нашёл этот прыжок по первому варианту и занопил его. В результате имеем неправильно заполненную таблицу импорта... Ещё ни разу такого не встречал

Ранг: 617.3 (!)
Статус: Участник

Создано: 21 октября 2008 22:50 New!
Цитата · Личное сообщение · #19

daFix пишет:
Первый вариант Magic JMP'а понятно как находим... А как мы нашли второй вариант(Тот который лучше)?
Не хочу бонально по сигнатуре находить


Первый CALL после PUSH 100 в первом варианте


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 22 октября 2008 19:16 New!
Цитата · Личное сообщение · #20

serrge
Подставляю дамп, засовываю таблицу наномитов, жму на начало трассировки и процесс
дампа закрывается... Прога - Flash Decompiler Trillix 3.2.0.630

Ранг: 32.8 (посетитель)
Статус: Участник

Создано: 7 декабря 2008 14:38 New!
Цитата · Личное сообщение · #21

прога работает хорошо, правда действительно бесполезно пытаться её использовать для полного исправления наномитов, когда их, к примеру, около 1000.
интерпретатор Адмирала не идеален и работает нормально разве что только в 2000/xp. но я заметил, что в режиме поиска INT3 Flynano отлично фиксит наномиты на лету - отсюда предложение к serrge, создать своё решение полного исправления наномитов, в виде лодыря хотя бы - чтобы фиксил таргет на лету по выбранной табличке.nan, и не нужна никакая возня с VEH.
<< . 1 . 2 .
 eXeL@B —› Софт, инструменты —› Flynano v1.1

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS