Продолжил я вчера раскапывать арму.
Сказали мне что есть прога с новой армой, скачал тут
www.thegrideon.com/download/aspsetup.exe. Туторов начитался, копался в ней долго, вот чего выяснил. Версия армы там 3.75d. У меня винда при загруженном айсе падает в BSOD. Если находит в реестре iceext, то прога говорит General Extraction Error. При установке бряка на WriteProcessMemory винда падает туда же, поэтому я ставил bpx WriteProcessMemory+8. Плюс в память какой-то байт влезает непонятно откуда примерно таким образом:

mov ecx, dword ptr [eax]
shr ecx, 5
and cl, bl
mov byte ptr [esi+3D2F], cl ; CL = 1

Арма его проверяет, если он 1, то она ксорит нафиг всю секцию кода child процесса и на ОЕР получаем мусор. Ладно, и это я обошел.

Сейчас наловчился, за минуту добираюсь до ОЕР, только одно но... Стою на ОЕР. Запускаю импрек, ввожу RVA OEP, нажимаю IAT AutoSearch - большой облом. Говорит, Couldnt find anything good at this OEP. Заколебался, но импорт так и не восстановил. Потом подумал, что дело в том, что эта прога на VB. Взял саму арму 3.76 и разобрал ее. Тоже самое.

Вот если б добрые люди помогли бы импорт восстановить, я б тутор по этой арме написал бы... =)

| Сообщение посчитали полезным:

а я вот чета етот дженерал екстракшон еррор обойти не могу...с сайсом

| Сообщение посчитали полезным:

однако IceExt 0.62 решает все проблемы

| Сообщение посчитали полезным:

EGOiST выложу завтра всем этот iceext которого я искал 3 дня... респект to ilya

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Проги на VB бывают дополнительно защищают, если OEP выглядит так:

pushf
pusha
call $+7

то нет там накакого импорта, он будет дальше. А если такого нет, то надо ловить вручную по GetProcAddress.

| Сообщение посчитали полезным:

MC707 пишет:
Запускаю импрек, ввожу RVA OEP, нажимаю IAT AutoSearch
наивный... =) в арме 3.75 есть так называемое iat Elimination - перенаправление iat за пределы exe и перемешивание функций из разных либ между собой. Там просто импреком не отделаешься...
Сейчас вообще большинство протекторов что-нить да делает с иат (ACProtect - перестроеная иат вызовы к которой идут через одну функцию, а не напрямую jmp [], Obsidium - определение адреса апи непосредственено перед вызовом, ASPR - ну сами знаете =), и т.д.)

| Сообщение посчитали полезным:

Mario555
Увы, как всегда ты прав . Это я увидел, когда RVA IAT руками ввел и получил cant read memory process ;)

Мде, похоже руками весь ипорт надо перелопатить?

| Сообщение посчитали полезным:

Мда, у нарвахи победа над IAT Elimination занимает 6 туторов... Я все базары оббегал, нигде переводчика испанского не нашел. Придется денек-другой сериалы бразильские посмотреть и садиться за них

| Сообщение посчитали полезным:

а я сколько себя помню, всю жизнь смотрел сериалы по первому каналу... ну усе, побежал.. "Клон" начался

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

MC707 пишет:
у нарвахи победа над IAT Elimination занимает 6 туторов
Там у него на самом деле просто очень растянутое объяснение К тому же там в арме и кроме Elimination гадости есть.
А вообще получить правильную иат в арме гораздо проще, чём например в том же аспре...

| Сообщение посчитали полезным:

подскажите НОМЕР нарваховского тутора про IAT Elimination

| Сообщение посчитали полезным:

bi0w0rm
203-208 вроде

Mario555
ты б поделился как получить правильную ИАТ, в общих чертах хотя бы.... а с остальными фишками справимся ;)

| Сообщение посчитали полезным:

MC707 пишет:
правильную ИАТ, в общих чертах хотя бы...
что конкретно из тутора тебе не понятно ?

| Сообщение посчитали полезным:

Подскажите, пожалуйста где можно скачать эти туторы

| Сообщение посчитали полезным:

gost
crackslatinos.hispadominio.net/miembros/teorias/t201-220

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice
Спасибо.

| Сообщение посчитали полезным:

Посмотрите плз что я тут наляпал, стыдно показывать пока, но...
www.mc707.nm.ru/Arma_OEP_and_Import.rar Просьба сильно не пинать. Размер архива 1.4М. Видеотутор. И еще вопрос... почему вся ИАТ в этой проге по алфавиту? В первый раз такое вижу... Или я импорт неправильно восстанавливаю?

Ладно, пока дома покопаю, буду во вторник, может чего накопаю...

| Сообщение посчитали полезным:

MC707 пишет:
[url=http://www.mc707.nm.ru/Arma_OEP_and_Import.rar
]http://www.mc707.nm.ru/Arma_OEP_and_Import.rar[/i]
[/url]
Copymem ? (two bytes не в счёт)
Elimination ?
Code redirecting ?
Nanomites ?

| Сообщение посчитали полезным:

С IAT Elimination`ом вроде разобрался, а чё делать со Strategic Code Splicing?

| Сообщение посчитали полезным:

sanniassin пишет:
Strategic Code Splicing?
А что это такое ? типа jmp arma с секции кода exe или что-нить ещё ?

| Сообщение посчитали полезным:

Mario555 пишет:
типа jmp arma с секции кода exe

Они самые

| Сообщение посчитали полезным:

с этим всё просто - в некоторый момент арма выделяет страницу памяти (VirtualAlloc) сохраняет указатель на неё в переменную и потом уже заполняет эту страницу спёртым кодом и формирует jmp'ы на него... так что нужно всего лишь подменить адрес выделенной страницы памяти на какой-нить адрес из неиспользуемого места в exe, дальше арма сама всё сделает =)

| Сообщение посчитали полезным:

MC707 пишет:
Мда, у нарвахи победа над IAT Elimination занимает 6 туторов... Я все базары оббегал, нигде переводчика испанского не нашел. Придется денек-другой сериалы бразильские посмотреть и садиться за них
это не вопрос. я сразу нашел даже в нашем маленьком городе.
накрайняк юзай translate.ru

| Сообщение посчитали полезным: