eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: robertcase (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› как найти CUSTOM RESОURCE в дампе exe vb6 vmprotect QuickUnpack
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 1.8 (гость)
Статус: Участник

Создано: 10 ноября 2018 22:26 New!
Цитата · Личное сообщение · #1

привет кто знает при компиляции vb6 программы, куда и по какому смещению (как найти) компилятор складывает resource files? Есть нерабочий дамп vb6 программы упакованой vmprotect3.0 и сдампленый QuickUnpack. Как найти в дампе ресурсы? Или QuickUnpack не дампит их? Поиск с Hiew ничего недал. Кто знает, спасибо всем


Ранг: 264.9 (наставник)
Статус: Участник

Создано: 17 ноября 2018 22:16 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

Jupiter

Понятия не имею, апп не моё, в нём куча ресурсов. Я выбрал рандомом, тупо вбив 0x10 как идентификатор ресурса.

В любом случае он никак не может отслеживать доступ к рц - апи не изменны, секция ресурсов доступна(RW).

Возможно в какой то другой версии это работает, но я тестил то что есть.

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 17 ноября 2018 23:35 New!
Цитата · Личное сообщение · #3

difexacaw с 30-й стр. и до конца
https://www.sendspace.com/file/3vct62


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 17 ноября 2018 23:52 New!
Цитата · Личное сообщение · #4

SReg
Похоже, да.
Но там какие-то адовые ручные манипуляции.


Ранг: 264.9 (наставник)
Статус: Участник

Создано: 18 ноября 2018 17:41 · Поправил: difexacaw New!
Цитата · Личное сообщение · #5

SReg

Речь шла про уже запущенное апп, те распакованное в памяти. Мол ресурса нет в памяти, а реализован анклав, через хукнутые апи работы с ресурсами, это не так.

Вы же привели пример ручной распаковки, это дичайшее задротство. Хотя учитывая дату публикации дока это вполне нормально.

Если вам интересно как оно настраивает образ, то это всё подробно можно мониторить. Но я смысла не вижу, будет куча выборок толку от которых никакого.

Прот запускается, настраивает образ и его запускает. Фаза настройки интереса не представляет, это локальная для протектора работа и уникальная. Имеет значение лишь настроенный образ и событие запуска(EP).


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 20 ноября 2018 01:29 New!
Цитата · Личное сообщение · #6

difexacaw
У меня ощущение, что ты смотришь примеры, в которых ресурсы просто не потырены.

| Сообщение посчитали полезным: difexacaw



Ранг: 264.9 (наставник)
Статус: Участник

Создано: 20 ноября 2018 18:30 · Поправил: difexacaw New!
Цитата · Личное сообщение · #7

Jupiter

Кстате да, это скорее всего. Я даже и не подумал про это, хотя это первое что следовало сделать. Это увлечение мелкими" деталями, теряется общий смысл.

Возможно при упаковке не были указаны нужные опции. Посмотрим, спасибо!

Последнее время какая то диссоциация и ошибки, притупленность, я нивчём не уверен.


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 20 ноября 2018 22:06 New!
Цитата · Личное сообщение · #8

И ещё: ты когда проверяешь, были ли потырены ресурсы, проверяй хук на пользовательской функции загрузки ресурсов и строк (а не LdrFindResource_U/LdrAccessResource)


Ранг: 264.9 (наставник)
Статус: Участник

Создано: 21 ноября 2018 19:52 New!
Цитата · Личное сообщение · #9

Jupiter

Тогда получается это никакой не анклав, а тупо шифровка указателя через фильтр апи. Ресурс в памяти не изменен(исходный), но перемещён, так как нет прямой адресации. Ссылка получается из апи на основе входных данных. А если апи фильтруется, то должен быть реализован механизм подтверждения, к примеру какой то массив допустимых адресов, из которых референсная апи может вызываться, те из доверенных мест фильтр вернёт поинтер. Это только аналитическое следствие из вашего описания.

По делу же нужно это всё проанализить логгерами. Идеальный подход как в крипторах не пригоден к протекторам.
<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› как найти CUSTOM RESОURCE в дампе exe vb6 vmprotect QuickUnpack

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS