Сейчас на форуме: Magister Yoda, subword (+9 невидимых)

 eXeL@B —› Основной форум —› Снятие HASP HL Envelope. Есть ли скрипты для восстановления импорта ?
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

 Создано: 14 марта 2008 01:00
· Личное сообщение · #1

Столкнулся с тем, что по уроку «Распаковка конверта HASP/HASP_HL/HARDLOCK» от s0cpy не получается снять конверт на проге защищённой HASP HL. Перечитал тему «И снова HASP Envelope». Импорт подгаженный частично. Видимо многие встречались с подобным, но как я понял из темы, вариант восстановления импорта только ручной предлагается. Вопрос в том, есть ли на паблике скрипты облегчающие восстановления импорта после конверта или автоматизирующие всё что делалось ранее в уроке s0cpy ?




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 27 марта 2008 10:30
· Личное сообщение · #2

AlexVel полностью согласен, на логи не смотрел

-----
Yann Tiersen best and do not fuck


Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

 Создано: 27 марта 2008 10:37
· Личное сообщение · #3

AlexVel пишет:
Вообще-то в данном случае это без сомнения фунция GetCurrentProcessId
Вместо ExitProcess д.б. некоторая функция, которая вернула -бы в EAX (т.к. видим последующий вызов TerminateProcess) HANDLE процесса.

Спасибо за подсказку ! Уже 3 программы видел, где места вызовов эмулируемых функций похожие. Скоро можно скрипт писать для распознавания эмулируемых функций.



Ранг: 6.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 20 июля 2008 01:08 · Поправил: ktoto
· Личное сообщение · #4

Видимо появился свежак. Скрипт не пашет уже. Конкретно последовательности FFFF82D18BE55DC3 уже в секции протект нету. Пришлось обхохить через хард бряк на стек. Щас вот такой выход - 8B E5 5D 66 C1 E7 20 С3. Но все равно чтото не получилось у меня скрипт переделать, подвисает однако.



Ранг: 1.0 (гость)
Активность: 0=0
Статус: Участник

 Создано: 29 августа 2008 15:20
· Личное сообщение · #5

Здравствуйте! Прочитал «Распаковка конверта HASP/HASP_HL/HARDLOCK» от s0cpy, очень полезный мануал. Но для моего уровня кажется сильно привязан к какой-то версии HASP. Мне попалась эта версия www.aladdin.com/support/hasp/hasp4/enduser.aspx#latestDD www.aladdin.com/hasp/srm-strong-copy-protection.aspx (HASL HL, последняя версия). Пытаюсь снять конверт, но не могу нормально найти OEP, вопрос: как я могу быть уверенным что я нашел правильный ОЕП?

Ну конечно там еще проблемы с Iмport table но это потом, пока нужен хороший совет или мануал. Может кто нибудь работал уже с данной версией?

Надеюсь здесь можно задавать такие вопросы. Спасибо!



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

 Создано: 16 декабря 2008 13:20
· Личное сообщение · #6

Не у кого такого не было на конверте ?
Ставлю бряк на .rdata, отпускаю и оля думает и думает.. написано Tracing SFX..
Такая штука происходит у меня на Olly Shadow
на Olly TSRh все нормально - останавливается где надо
это бага сборки или я в настройках чего навтыкал?



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

 Создано: 16 декабря 2008 13:25 · Поправил: arnix
· Личное сообщение · #7

Tyrus

Может это?
Debugging Options -> SFX
синхрогизируй с работающей версией Оли



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

 Создано: 16 декабря 2008 13:33
· Личное сообщение · #8

arnix
не, я эти все настройки сделал как в Olly TSRh
плагины вообще все вырубил кроме скрытия



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

 Создано: 16 декабря 2008 13:39
· Личное сообщение · #9

Tyrus
Проверь в экзешнике Оли, по адресу RAW 00006C22 стоят байты 8B 47 1C 89 или E9 D9 39 10 ?



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

 Создано: 16 декабря 2008 13:46
· Личное сообщение · #10

E9 D9 39 10



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

 Создано: 16 декабря 2008 13:48 · Поправил: arnix
· Личное сообщение · #11

Tyrus пишет:
E9 D9 39 10

Значит Оля пропатчена патчем от CracksLatinoS.

из www.wasm.ru/article.php?article=ollydbg26


Чем отличается пропатченный OllyDbg? Тем, что при установке BPM ON ACCESS остановка происходит не по событиям ON READ и ON EXECUTE, а только по ON EXECUTE, и это очень полезно для нахождения OEP’ов и для Visual Basic, так как программа не будет останавливаться тысячу раз в библиотеке VB, а будет каждый раз возвращаться обратно в код программы, и мы не потонем в DLL-библиотеке Visual Basic’а.


Если ставить bpm, Оля сама обрабатывает on write и on read на участок памяти, и пишет что сколько и куда записалось, а останавливается только на on execute, и это долго, зато удобно до OEP добираться.



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

 Создано: 16 декабря 2008 13:58
· Личное сообщение · #12

arnix
спасибо
т.е. вписать туда значение от Olly TSRh ?



Ранг: 210.5 (наставник), 2thx
Активность: 0.140
Статус: Участник

 Создано: 16 декабря 2008 14:00 · Поправил: arnix
· Личное сообщение · #13

Tyrus

нет, пропатчены не только эти 4 байта, вот результат fc /b:

Code:
  2. Comparing files 0LLYDBG+P5.EXE and OLLYDBG.EXE
  3. 00006C22: E9 8B
  4. 00006C23: D9 47
  5. 00006C24: 39 1C
  6. 00006C25: 10 89
  7. 00006C26: 00 45
  8. 00006C27: 90 C4
  9. 00006C28: 90 8B
  10. 00006C29: 90 57
  11. 00006C2A: 90 14
  12. 00006C2B: 90 89
  13. 00006C2C: 90 55
  14. 00006C2E: 90 8B
  15. 00006C2F: 90 4F
  16. 00006C30: 90 18
  17. 00006C31: 90 89
  18. 00006C32: 90 4D
  19. 00006C33: 90 A4
  20. 00006C34: 90 C7
  21. 00006C35: 90 45
  22. 00006C36: 90 AC
  23. 00006C37: 90 04
  24. 00006C38: 90 00
  25. 00006C39: 90 00
  26. 00006C3A: 90 00
  27. 0000E3B6: E9 83
  28. 0000E3B7: 64 C4
  29. 0000E3B8: C2 10
  30. 0000E3B9: 0F 8B
  31. 0000E3BA: 00 4D
  32. 0000E3BB: 90 E0
  33. 0000E3BC: 90 51
  34. 0000E3BD: 90 8B
  35. 0000E3BE: 90 45
  36. 0000E3BF: 90 F8
  37. 0000E3C0: 90 C1
  38. 0000E3C1: 90 E0
  39. 0000E3C2: 90 03
  40. 0000E3C3: 90 50
  41. 0000E3C4: 90 8B
  42. 0000E3C5: 90 55
  43. 0000E3C6: 90 E4
  44. 0000E3C7: 90 52
  45. 0002F82D: 90 0F
  46. 0002F82E: 90 84
  47. 0002F82F: 90 85
  48. 0002F830: 90 01
  49. 0002F831: 90 00
  50. 0002F832: 90 00
  51. 0003463D: EB 7C
  52. 0003463E: 6A 16
  53. 00034675: EB 75
  54. 00034676: 1E 10
  55. 00034860: EB 74
  56. 00034861: 2B 10
  57. 000B5FEE: 61 4F
  58. 000B5FEF: 72 6C
  59. 000B5FF0: 6E 6C
  60. 000B5FF1: 69 79
  61. 000B5FF2: 78 44
  62. 000B5FF3: 64 62
  63. 000B5FF4: 62 67
  64. 000B5FF6: 61 6F
  65. 000B5FF7: 72 6C
  66. 000B5FF8: 6E 6C
  67. 000B5FF9: 69 79
  68. 000B5FFA: 78 64
  69. 000B5FFB: 64 62
  70. 000B5FFC: 62 67
  71. 000B6018: 61 4F
  72. 000B6019: 72 4C
  73. 000B601A: 6E 4C
  74. 000B601B: 69 59
  75. 000B601C: 78 44
  76. 000B601D: 64 42
  77. 000B601E: 62 47
  78. 000B71B3: 41 44
  79. 000B71B4: 52 42
  80. 000B71B5: 4E 47
  81. 000C0891: 61 4F
  82. 000C0892: 72 6C
  83. 000C0893: 6E 6C
  84. 000C0894: 69 79
  85. 000C0895: 78 44
  86. 000C0896: 64 62
  87. 000C0897: 62 67
  88. 000C7FA4: 61 64
  89. 000C7FA5: 72 62
  90. 000C7FA6: 6E 67
  91. 000CC000: 8B 00
  92. 000CC001: 47 00
  93. 000CC002: 1C 00
  94. 000CC003: 89 00
  95. 000CC004: 45 00
  96. 000CC005: C4 00
  97. 000CC006: 8B 00
  98. 000CC007: 57 00
  99. 000CC008: 14 00
  100. 000CC009: 89 00
  101. 000CC00A: 55 00
  102. 000CC00B: 90 00
  103. 000CC00C: 8B 00
  104. 000CC00D: 4F 00
  105. 000CC00E: 18 00
  106. 000CC00F: 89 00
  107. 000CC010: 4D 00
  108. 000CC011: A4 00
  109. 000CC012: C7 00
  110. 000CC013: 45 00
  111. 000CC014: AC 00
  112. 000CC015: 04 00
  113. 000CC019: E9 00
  114. 000CC01A: 09 00
  115. 000CC01B: C6 00
  116. 000CC01C: EF 00
  117. 000CC01D: FF 00
  118. 000CC01E: 90 00
  119. 000CC01F: 83 00
  120. 000CC020: C4 00
  121. 000CC021: 10 00
  122. 000CC022: 8B 00
  123. 000CC023: 4D 00
  124. 000CC024: E0 00
  125. 000CC025: 51 00
  126. 000CC026: 8B 00
  127. 000CC027: 45 00
  128. 000CC028: F8 00
  129. 000CC029: C1 00
  130. 000CC02A: E0 00
  131. 000CC02B: 03 00
  132. 000CC02C: 50 00
  133. 000CC02D: 8B 00
  134. 000CC02E: 55 00
  135. 000CC02F: E4 00
  136. 000CC030: 52 00
  137. 000CC031: E9 00
  138. 000CC032: 85 00
  139. 000CC033: 3D 00
  140. 000CC034: F0 00
  141. 000CC035: FF 00
  142. 000CC036: 90 00
  143. 000CF36F: 00 5F
  144. 000CF37E: 00 5F
  145. 000CF390: 00 5F
  146. 000CF398: 00 5F
  147. 000CF3A3: 00 5F
  148. 000CF3B0: 00 5F
  149. 000CF3C7: 00 5F
  150. 000CF3D9: 00 5F
  151. 000CF3EC: 00 5F
  152. 000CF3FB: 74 5F
  153. 000CF3FC: 72 53
  154. 000CF3FD: 61 65
  155. 000CF3FE: 63 74
  156. 000CF3FF: 65 74
  157. 000CF400: 70 72
  158. 000CF402: 75 63
  159. 000CF403: 73 65
  160. 000CF404: 65 70
  161. 000CF405: 6F 61
  162. 000CF406: 6E 75
  163. 000CF407: 63 73
  164. 000CF408: 6F 65
  165. 000CF409: 6D 6F
  166. 000CF40A: 6D 6E
  167. 000CF40B: 61 63
  168. 000CF40C: 6E 6F
  169. 000CF40D: 64 6D
  170. 000CF40E: 73 6D
  171. 000CF40F: 00 61
  172. 000CF410: 5F 6E
  173. 000CF411: 53 64
  174. 000CF412: 68 73
  175. 000CF413: 6F 00
  176. 000CF414: 77 5F
  177. 000CF415: 73 53
  178. 000CF416: 6F 68
  179. 000CF417: 75 6F
  180. 000CF418: 72 77
  181. 000CF419: 00 73
  182. 000CF41A: 53 6F
  183. 000CF41B: 65 75
  184. 000CF41C: 74 72


0LLYDBG+P5.EXE - пропатченный, OLLYDBG.EXE - оригинал

Добавлено:
упс, но тут (в листе, первая колонка) не только оригинальный патч от CLS, но и мой патч который меняет некоторые имена чтобы оля не палилась. Скачай оригинальный пропатченный вариант из ссылки на wasm.ru и сам сравнивай с оригиналом чтобы найти пропатченные байты.



Ранг: 47.8 (посетитель), 16thx
Активность: 0.020.01
Статус: Участник

 Создано: 16 декабря 2008 14:06 · Поправил: Tyrus
· Личное сообщение · #14

arnix
все сделал - именные байты не трогал
теперь как надо работает


<< . 1 . 2 .
 eXeL@B —› Основной форум —› Снятие HASP HL Envelope. Есть ли скрипты для восстановления импорта ?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати