Сейчас на форуме: Magister Yoda, subword (+9 невидимых)

 eXeL@B —› Основной форум —› Cracklab@CrackMe#2 необъяснимый финт
Посл.ответ Сообщение

Ранг: 9.3 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 мая 2008 12:14
· Личное сообщение · #1

Здравствуйте, товарищи!

На днях наткнулся на такой вот интересный сабж от Bad-guy. Сам крякмик прост, но изначально он закриптован нехитрым способом. Раскриптовывается секция ресурсов (атрибуты i-r-). Перед непосредственной модификацией этой запрещенной для записи секции не устанавливается никаких обработчиков исключений, TLS-callback отсутствуют, дополнительных dll статически не прилинковано. И исключение происходит. Однако, программа при этом не завершается, а спокойно продолжает выполняться. Кто может мне сказать, как это сделано?

e805_28.05.2008_CRACKLAB.rU.tgz - clab2.zip




Ранг: 756.3 (! !), 113thx
Активность: 0.610.05
Статус: Участник
Student

Создано: 28 мая 2008 12:43
· Личное сообщение · #2

Ну так напиши афтару в личку или на мыло, в чём проблема?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh





Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 28 мая 2008 12:47
· Личное сообщение · #3

автор и скажет, как сделано. Вроде этого в задумках не было...
ЗЫ:вспомнил, как эти крями ломали...наперегонки, не спали до утра...жесть.



Ранг: 9.3 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 мая 2008 13:01
· Личное сообщение · #4

автор говорит, что это не было задумано но не будет мне покоя, пока не выясню, в чем тут секрет. Думал, может кто знает



Ранг: 9.3 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 мая 2008 13:22
· Личное сообщение · #5

О! Невероятно! Только что выяснил. Оказывается, секцию, содержащую директорию ресурсов, можно модифицировать! И это не смотря на то, что в заголовке секции ясно сказано, что запись в нее невозможна. При этом происходит исключение, но обработчик по умолчанию не прибивает процесс, а... разрешает запись... я в шоке. Забавно, что при пошаговой трассировке обработчик прибивает, а при выполнении в контексте отладчика или при простом выполнении - нет. Чем не антиотладка. Если я изобрел велосипед, пожалуйста, дайте мне об этом знать




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 28 мая 2008 19:39
· Личное сообщение · #6

Написано: сложность - средняя, а ломается за две минуты

-----
Nulla aetas ad discendum sera





Ранг: 536.4 (!), 171thx
Активность: 0.660.13
Статус: Администратор
Создатель CRACKL@B

Создано: 30 мая 2008 23:08
· Личное сообщение · #7

Wolfgang пишет:
Оказывается, секцию, содержащую директорию ресурсов, можно модифицировать!

Да, можно. Кстати, была идея писать пакер и зажимать секцию ресурсов всю разом (кроме иконки конечно), не разбирая структуру, причём я даже удивился почему во всяких аспаках так не делают, но потом оказалось что если так сделать, то поддержка разных платформ не гарантируется. Не исключено что есть и другие более серьезные причины, с которыми можно было столкнуться на этапе разработки.

-----
Всем не угодишь



 eXeL@B —› Основной форум —› Cracklab@CrackMe#2 необъяснимый финт
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати