eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: redlord, cppasm, hlmadip, martin02a (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Проблема с адресами после снятия Asprotect с dll
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 1 ноября 2018 12:30 New!
Цитата · Личное сообщение · #1

Здравствуйте, у меня имеются exe и dll накрытые AsProtect, скорее всего, последней версии (скорее всего, потому, что не один анализатор точно не определил версию, только ProtectionID сказал что версия больше 2.72). Распаковываю на Windows 7. Так вот, скриптом от VolX, exe распаковался без проблем, а вот с dll возникли проблемы. Предыдущие версии этой же библиотеки я без труда распаковывал на XP, т.к. dll грузилась в память по адресу в ImageBase (10000000), а вот последняя версия библиотеки (как и exe) напрочь отказывается запускаться на XP, поэтому приходится распаковывать на Windows 7, а на windows 7, библиотека грузится в другую область памяти. После выполнения скрипта и прикручивания импорта к дампу, у меня получается библиотека с новым ImageBase (с тем, по которому грузилась dll), с рабочими адресами на таблицу IAT (внешние вызовы), а вот остальные внутренние абсолютные адреса не правильные (все смещены). Если я в заголовке исправляю ImageBase на 10000000, то у меня внутренние абсолютные адреса исправляются, а все внешние вызовы портятся. Пробовал что-нибудь сделать используя Relox и Rebaser, но опять же они меняют все адреса, а у меня получается часть правильно, часть не правильно. Поэтому подскажите, пожалуйста, можно ли как-то на Windows 7 загрузить dll по ее оригинальному ImageBase, чтобы избежать таких проблем, либо как можно исправить часть адресов в коде, или же может быть есть еще какой-то вариант?
Проблемная dll во вложении.

{ Атач доступен только для участников форума } - AGERC.rar

Ранг: 238.1 (наставник)
Статус: Участник

Создано: 1 ноября 2018 12:45 New!
Цитата · Личное сообщение · #2

Google -> ASLR

| Сообщение посчитали полезным: starik222


Ранг: 0.2 (гость)
Статус: Участник

Создано: 1 ноября 2018 13:33 New!
Цитата · Личное сообщение · #3

TryAga1n пишет:
Google -> ASLR

Спасибо, долго мучился с этой "рандомизацией", но не знал точно что это такое. Глобальное отключение ASLR спасло меня.
Code:
  1. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management]
  2. "MoveImages"=dword:00000000

| Сообщение посчитали полезным: TryAga1n

 eXeL@B —› Вопросы новичков —› Проблема с адресами после снятия Asprotect с dll
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS