| Сейчас на форуме: _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Проблемы с IceExt. |
| Посл.ответ | Сообщение |
|
|
Создано: 25 июня 2005 19:46 · Поправил: Модератор · Личное сообщение · #1 ASProtect 1.2x - 1.3x В апреле был топик по распасовке "Advanced Registry Tracer 2.01" (http://www.elcomsoft.com/download/art.zip)1.7mb Подсеажите пожалуста чем обойти проверку на Softice. "IceExt, FrogsICE" не помогли. Хотя пользуюсь ими впервые возможно чтото не так делаю.  |
|
|
Создано: 25 июня 2005 21:15 · Личное сообщение · #2 Может ты просто в SoftIce забыл дать команду !Protect on |
|
|
Создано: 26 июня 2005 01:15 · Личное сообщение · #3 timon Внроятно я не правильно iceext подключаю. после "not start iceext получаю "No softice capable network adapter loader" а после !Protect on "Extension command not found". Может перед этим вводом на до еще чтото сделать? |
|
|
Создано: 28 июня 2005 16:53 · Личное сообщение · #4 Может кто из спецов подскажет, в чем отличие 1.2x - 1.3x от 1.23RC4 в плане восстановления oep и импорта, или хотя бы где про это можно почитать... 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 июля 2005 19:41 · Личное сообщение · #5 Уважаемые спецы помогите с IceExt разобратся. После ввода "net start IceExt" появляется окно SoftIce где вижу нижеследующее: NTICE: Unload32 MOD=ICEEXT NTICE: Load32 start=F1E31000 SIZE=37C80 KPEB=843CA830 MOD=ICEEXT Error: SoftIce is miconfigured. Set LDHeapSize=0x0000 parameter of type REG_SZ under NTICE registry key. А в командной строке : системная ошибка 1450. Недостаточно системных ресурсов для завершения операции. Вобщето до запуска SoftIce ресурсов предостаточно, а после не знаюю. Может рипнутый SoftIce (Numega SoftIce 4.2.7 NT/2000/XP RC1 - 2.86mb) виноват? |
|
|
Создано: 01 июля 2005 20:06 · Личное сообщение · #6 shel_nik В своё время мне помогло следующее: в реестре,в ключе... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTice] ...необходимо поправить значение параметра KDHeapSize (DWORD),чтобы оно приняло следующий вид 0х00008000 . Кстати,расположенный рядом параметр KDStackSize должен иметь походу такое же значение. P.S. У меня стоит DS 3.2 и IceExt 0.67 ----- the Power of Reversing team |
|
|
Создано: 01 июля 2005 23:44 · Личное сообщение · #7 DillerInc Спасибо за помощь, вроде работает правда один параметр (Warning: AC97 not found. ) и "Advanced Registry Tracer"всёравно Softice обнаруживает. если не затруднит подскажите что за "AC97" ? может из за него ART обнаруживает Softice? |
|
|
Создано: 02 июля 2005 00:28 · Личное сообщение · #8 shel_nik Команда !Protect on работает ? Активируются ли там все опции ? После загрузки только SoftIce - пишет ли он о каких-либо ошибках в своём "информационном" окне ? P.S. По-моему,пора топик переименовывать  .
----- the Power of Reversing team |
|
|
Создано: 02 июля 2005 13:49 · Личное сообщение · #9 DillerInc Ешё раз благодарен за помошь! Про команду "!Protect on" я начисто забыл (видимо склероз) всё работает! (Виноват, торик действительно надо было назвать по другому) Есть ещё вопрос по IceDump ID6026? Так что не сочтите за наглость! От asprotect 1.0 он спасает а вот снять дамп памяти не получается. Вроде делаю все как в helpe : Pagein D 006AF000 3000 C:\dump1.dmp или так Pagein D 006AF000 3000 \zet.exe\C:\dump1.dmp получаю "Folder to create output file. Possible reason: wrong path name" Что я делаю не то? |
|
|
Создано: 02 июля 2005 14:41 · Поправил: DillerInc · Личное сообщение · #10 shel_nik shel_nik пишет: Есть ещё вопрос по IceDump ID6026? ...дык,не легче ли воспользоваться командой того же IceExt !dump ? К примеру: !dump C:\nfsu2_stolen_bytes_recovered.dat 00401000 00382000 1. путь к файлу 2. начальное смещение дампа 3. размер дампа В общем,смотри Readme,прилагаемое к IceExt . Либо тогда уже зациклить программу в нужном месте и,выйдя из отладчика,снимать полный дамп с помощью PETools (например). ----- the Power of Reversing team |
|
|
Создано: 02 июля 2005 17:11 · Личное сообщение · #11 DillerInc Либо тогда уже зациклить программу в нужном месте и,выйдя из отладчика,снимать полный дамп с помощью PETools (например). Да я так и делал раньше. А если надо снять только дамп секции импорта? ...дык,не легче ли воспользоваться командой того же IceExt !dump ? Иногда я переключаюсь на meleniym так как в winXP с SoftIce есть проблемы которые мне разрешить так и неудалось (поставив BPX на функции windows выйти из них по F12 и даже по F10 в код проги удаётся не всегда, чаще всего срабатывает следующий бряк. В win9X IceExt не установиить, поэтому хотелосьбы разобратся с IceDump. Заранее блогадарю! |
|
|
Создано: 02 июля 2005 17:18 · Личное сообщение · #12 shel_nik пишет: А если надо снять только дамп секции импорта? дык в том же PETools - DumpRegion или DumpPartial ;) |
|
|
Создано: 02 июля 2005 18:16 · Личное сообщение · #13 b]DillerInc[/b] И ещё один вопрос, на этот раз по теме. В апрельском топике по распасовке "Advanced Registry Tracer " вам дали нежеследующий ответ: Делай так: Тормози на EP, далее по F10 до PUSHAD CALL 0062A00A ;тут тормозни и bpm esp-04 JMP 45BFA4F7 PUSH EBP RET 19 раз жми F5, попадешь сюда :00EC4CC1 5D POP EBP ........... ;немного кода и перед REt'ом увидишь спертые байты 55 PUSH EBP 8BEC MOV EBP, ESP 83C4F4 ADD ESP, -0C B854F85200 MOV EAX, 0052E854 Дальше выходишь по RET и попадешь сюда: :00EC4661 60 PUSHAD :00EC4662 9C PUSHFD :00EC4663 FC CLD :00EC4664 BF7746EC00 MOV EDI, 00EC4677 :00EC4669 B953010000 MOV ECX, 00000153 :00EC466E F3AA REPZ STOSB :00EC4670 9D POPFD :00EC4671 61 POPAD :00EC4672 E940B566FF JMP 0052FBB7 <= типа OEP Проделать сиё мне не удалось. На 19 ый F5 запускается прога, пробовал трассить с 18 того F5 но безрезультатно. |
|
|
Создано: 02 июля 2005 18:41 · Личное сообщение · #14 Mario555 shel_nik пишет: А если надо снять только дамп секции импорта? дык в том же PETools - DumpRegion или DumpPartial ;) Спасибо за ответ! На "DumpRegion и DumpPartial" я натысался неоднократро но разобратся что это за команды оставлял на потом. Для снятия дампа применял "Progdump или lordpe" А с "IceDump" тоже хочется разобратся. |
|
|
Создано: 02 июля 2005 20:48 · Личное сообщение · #15 shel_nik пишет: Проделать сиё мне не удалось ...странно,только что у себя попробовал - всё получилось. Может у тебя не все опции активировались после команды !Protect on ? ----- the Power of Reversing team |
|
|
Создано: 02 июля 2005 22:18 · Личное сообщение · #16 DillerInc привожу последние строки после net start iceext : Osint3 : 804E015B Oldint3 : F25E9747 Oldint1: F25E9729 Warning: AC97 not Found Winice dat: E1788008 После !Protect on: Protection is on Meltice protection is on NtQuerySystemInformation protection is on Int3 protection is on UnhandledExtensionsFilter is on CR4 Debug Extensions bit protection is on Если я не доканал всех своими тупыми вопросами? Что надо вводить вместо \??\ после !Dumpscreen. (ЭКРАН дампа SoftICE на диск) |
|
|
Создано: 02 июля 2005 22:22 · Личное сообщение · #17 shel_nik пишет: Что надо вводить вместо \??\ после !Dumpscreen ...да ничего походу не надо вводить - указываешь просто путь к создаваемому файлу. ----- the Power of Reversing team |
|
|
Создано: 02 июля 2005 23:32 · Личное сообщение · #18 DillerInc Всё дошло! Меня сбило столку появившееся после OK DUMSCP: \??\ c:\scren.bin И чего я только вместо ?? не вводил. А что можно сказать по поводу активированных опций после команды !Protect on ? Может весь загрузочный лог выложить? |
|
|
Создано: 02 июля 2005 23:48 · Личное сообщение · #19 shel_nik Если опции все активированы,то это конечно хорошо,но я не могу сказать почему он у тебя не находит т.н. AC97... Попробуй запустить просто голый SoftIce,а потом просмотри его лог. Если там будут какие-нибудь надписи типа "Error...",тогда их содержимое,пожалуйста,в студию. В крайнем случае попробуй обновить файлик "osinfo" . ----- the Power of Reversing team |
|
|
Создано: 03 июля 2005 00:45 · Личное сообщение · #20 Пробовал 2 osinfo.dat для sp1(у меня sp2) с ReVeRsInG pOrTaL с любым Warning: AC97 not Found Error только Exports в этом куске лога: NTICE: EXP=\SYSTEMROOT\SYSTEM32\HAL.DLL Error: Exports already loaded for this module NTICE: EXP=\SYSTEMROOT\SYSTEM32\NTOSKRNL.EXE Error: Exports already loaded for this module NTICE: EXP=\SYSTEMROOT\SYSTEM32\NTDLL.DLL NTICE: EXP=\SYSTEMROOT\SYSTEM32\KERNEL32.DLL Error: Exports already loaded for this module NTICE: EXP=\SYSTEMROOT\SYSTEM32\USER32.DLL Error: Exports already loaded for this module |
|
|
Создано: 03 июля 2005 01:29 · Личное сообщение · #21 shel_nik shel_nik пишет: Error: Exports already loaded for this module ...отсюда мораль - в файлике Winice.dat не надо снимать комментарии с файлов: HAL.DLL NTOSKRNL.EXE KERNEL32.DLL USER32.DLL Отладчик их типа автоматом экспортирует,поэтому их надо обратно закомментировать. Не знаю,насколько это поможет в твоём случае,но так хотя бы будет стерильней  .
----- the Power of Reversing team |
|
|
Создано: 03 июля 2005 04:50 · Личное сообщение · #22 To ALL: Тема топика - ASProtect 1.2x - 1.3x! Зачем же вы устроили из него обсуждение проблем с IceExt?! Строгое предупреждение следующим участникам: Smon, за то что влезает в чужую тему с левыми вопросами, ещё раз повторится - БАН. shel_nik, за неправильное название топика и уход от изначальной темы. Тема закрыта. ----- once you have tried it, you will never want anything else |
|
eXeL@B —› Основной форум —› Проблемы с IceExt. |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати