Здравствуйте , делаю робкие попытки в крекерском деле.
Вот возникала проблема.

Пишу простейшую программу на Delphi
И пытаюсь ее сдампить. Использую
Olly, Imprec + WinXP-SP2

И вот возникает проблема, как только запускаю программу в olly сразу
Делаю дамп. Запускаю Оригиан+Imprec восстанавливаю импорт все работает.
Если без ImportRec тогда пишет что не найдена точка входа и.т.д
(все правильно так и должно быть до восстановления импорта.)

Но если я делаю дамп программы уже в процессе работы предварительно оставив ее Olly
Возникает ошибка (0xc0000005) а когда восстанавливаю импорт программа тоже не работает. (в процессе OEP меняю на начальное при загрузке программы не помогат)

Вот возникли вопросы.
1. Всегда ли если программа “Хорошо” сдамплена пишет что не находит точки входа в процедуры, без восстановления ипорта или может всякий бреет писать при запуске.

2. Слышал в форумах что это проблема XP в 98 вроде все хорошо должно дампится как решить эту проблему. Используя желательно только ollydump.

P/S программу простейшая просто две кнопки на форме.


Спасибо.

| Сообщение посчитали полезным:

Когда ты дампишь - точка входа неверна(старая). ImpRec же точку входа изменяет, на ту, которую ты указал при восстановлении импорта. А Olly, встретив всякую ерунду на точке входа пишет тебе ошибку. Просто исправь точку входа на OEP.
Если в чём не прав - поправьте.

| Сообщение посчитали полезным:

Последовательность моих действий

1. Запускаем в Olly программу (OEP 4 59618)
2. DumpOlly (Modify-59618) ничего не меняем
3. Запускаем полученный дамп видим ошибку не найдена точка входа в процедуру.
4. Imprec все работает.

Втрой вариант

1. Запускаем в Olly программу (OEP 4 59618)
2. Ставим бряк. (на что угодно)
3. F9
4. DumpOlly (Modify-59618) изменяем в окне дампа так как там в полу OEP59618 в в modifi дургая цифра
5. Запускаем полученный дамп видим ошибку Возникает ошибка (0xc0000005)
почему ошибка другая а не та что в первом варианте

| Сообщение посчитали полезным:

Да еще Olly переодически виснет после дампа, может что то может мешать ему?

| Сообщение посчитали полезным:

0xc0000005 - косяк в импорте
Дампить всегда нужно стоя на ОЕР!!! Если уже совсем не в моготу, но лучше этого не делать.
Вообще OllyDump у меня на не протекченных прогах сам нормально фиксает импорт!

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice, может это покажется глупо так как новичок в этом деле что значит стоят только на ОЕP?

Как быть в таком случаии?
Пример предположим программа имеет шифрованную процедуру. простейший (XOR)

1. Запустили программу. стоим на OEP
2. Брякнулись после расшифровки это процедуры (стоим уже не на OEP)
3. Сдампили программу. (Разве в этом моменте нельзя сделать дамп что бы он был рабочим?)
4. Востановили импорт.
5. Удалили запуск процедыры для расшифровки так как уже как бь программа расшифрованна.
7. Подправили exe все программа запускается.

где мой косяк ?

| Сообщение посчитали полезным:

1. Запустили программу. стоим на OEP
3. Сдампили программу.
2. Брякнулись после расшифровки это процедуры (стоим уже не на OEP) (сдампили расшифрованные данные/подпрограмму)
5. Удалили запуск процедыры для расшифровки так как уже как бь программа расшифрованна.
7. Подправили exe все программа запускается.
regvoc пишет:
где мой косяк ?
косяк в том что ты номер 6 пропустил

| Сообщение посчитали полезным:

я тебе говорю про свой личный опыт дамп в произвольный момент времени иногда получается не рабочий.
Делаешь дамп на ОЕР, ждешь пока расшифруется и меняешь расшифрованную процедуру в сдампленном файле.
dMNt - опередил!


З.Ы. что то у меня JavaScript в FireFoxе не работает? опять меняли что то?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Насчет номера 6 это точно

Тогда получается в моем приведенном примере.
Даже дамп ненужно делать А столько проблемм изза него возникло

1. Брякнулись после расшифровки этой процедуры (стоим уже не на OEP) (сдампили расшифрованные данные/подпрограмму) (Небольшой участок памяти)
2. Удалили запуск процедыры для расшифровки.
3. Изменили в файле (на диске) это участок.

А как быть если скажем процедура расшифровки меняет несколько участков в памяти программы напримр 100 как быть?
найти то их очень тяжело а в памяти все как бы расшифрованно. так и хочеться просто дампануть

| Сообщение посчитали полезным:

regvoc ïèøåò:
А как быть если скажем процедура расшифровки меняет несколько участков в памяти программы напримр 100 как быть?
найти то их очень тяжело а в памяти все как бы расшифрованно
Ну тогда можно распаковать прогу как обычно, оставив пока пошифрованные участки. Потом запустить оригинал, сдампить оргинальную секцию кода, затем распакованную и сравнить по содержимому...

| Сообщение посчитали полезным:

втыкаешь в процедуру вызов на свою ф-ию или длл подключаешь, пишешь все это в файл
например при нажатии кнопки идет вызов Decrypt() с адреса 0411111 и в качестве параметра передаётся адрес 0422222 вот этот адрес и пишешь в файл, поработал с программой у тебя в файле весь лог вызовов
0422222
0433333
и т.д.
теперь запускаешь программу и при вызове этой ф-ии скармливаешь эти адреса

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

ок спасибо. а чем проще всего дампить секцию кода. в olly вроже только полный дамп. хотя это не столь важно. думаю в loadPE что то подобное есть.

а если программа шифрует не код а данные? получается такую программу можно взловать только Oi-LIne или (on-lie) патчем только во время запуска?

| Сообщение посчитали полезным:

regvoc ïèøåò:
а чем проще всего дампить секцию кода
PETools например, опция Dump region

| Сообщение посчитали полезным:

>втыкаешь в процедуру вызов на свою ф-ию или длл подключаешь
nice, а это интерестно ведь не так просто свою процедуру (вроде как) внедрить в чужую программу.
нет ли интсрументов упрощающих жизнь или там все довольно просто?

| Сообщение посчитали полезным:

regvoc
Можешь чисто код вписывать отладчиком типа Оли. Или можно написать на любимом языке библиотеку и подгрузить её (опять таки код написать под отладчиком). Всё зависит от необходимой процедуры и сложности.

| Сообщение посчитали полезным: