Доброго времени суток всем!
Я в крэкерском искусстве пока новичок, поэтому очень надеюсь, что кто-нибудь из профессионалов уделит моей проблеме немного внимания. Суть в следующем. Я хочу исследовать программу Girder версии 3.3.10. Это программа для обработки команд с ИК-пульта и управления компьютером. О программах такого типа уже был разговор на форуме, правда, в другом аспекте. Найти её можно по этой ссылке: promixis.com/download.php?ID=673 . И вот столкнулся с такой ситуацией: не могу определить, запакован ли исполняемый файл. Программа вроде бы написана на Дельфи (в пользу этого говорят большой размер exe-файла, и в Restorator'е формочку какую-то видно, и названия процедур и свойств), а PEid пишет: "Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]". Запускал ProtectionID 5.0 - результат: "Armadillo [unknown version] detected !". PE-Scan 1.4a отвечает, что "no recognised packer/encryptor found" (вроде как отсутствуют распознаваемые пакеры - несколько радует), а DeDe 3.50 при нажатии кнопки "Процесс" сначала выводит сообщение "DConsoleapplication compiled with runtime packages found", затем при загрузке цели очень надолго останавливается (я так и не дождался окончания загрузки). В этой связи у меня вопрос: как мне решить, упакована программа или нет? И, если это действительно Armadillo, то что против него можно в дальнейшем предпринять? Если у кого-то есть время и желание, подскажите, пожалуйста.

| Сообщение посчитали полезным:

[U]Serge [Overlay] -> Dubug Blocker

| Сообщение посчитали полезным:

Вообщем так

OEP = 00188C2C
RVA = 0018F1DC
Size = 00000874

после распаковки EXE весит 3,21 МБ (3 375 104 байт) ....
Юзай Armadillo Standart Unpack ;)

ac6d_Tree.txt

| Сообщение посчитали полезным:

Arma tutochki! I tutori est! 6 statej zdes zhe! Chitaj i dejstvuj!

| Сообщение посчитали полезным:

Z0oMiK пишет:
Юзай Armadillo Standart Unpack

Спасибо за совет! Сейчас попробую поискать сей софт в сети...

| Сообщение посчитали полезным:

[U]Serge
Да не ищи ты софт, распаковывай руками по статьям и мануалам - полезнее будет

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

кста классная прога, давно пользуюсь =) а вот защита вроде совсем лажа =)

| Сообщение посчитали полезным:

4kusNick пишет:
Да не ищи ты софт, распаковывай руками по статьям и мануалам - полезнее будет

Полностью согласен! Именно поэтому и написал в форум. Вот только большинство статей, которые я пока нашёл, ориентированы в большей мере на профи, чем на новичков, к коим я (как уже писал) отношусь. Не спорю, что опыт приходит со временем, но пока мне тяжело "переварить" фразы вроде этой: "Механизм armadillo: первая - это совсем пустая секция сына и, стараясь выполнить OEP, он дает ошибку, т.к. у него ничего нет. Это повлечет за собой доклад об ошибке ОТЦУ.ОТЕЦ для продолжения, копирует блок, необходимый для сына, и потом позволяет ему продолжать выполнять программу. ОТЕЦ копирует только 1000 байтов - будет другая ошибка после того, как этот блок обработается сыном, другой доклад об ошибке, и другой блок, скопированный отцом для сына. И т.д. " Это цитата из испанской статьи, переведённой ESTET'ом "СУПЕРОБЪЯСНЕННАЯ ARMADILLO 3 РАСПАКОВКА ПРОГРАММЫ LYDIA (ЧАСТЬ 1) ". Нашёл ещё кое-что с форума, пока изучаю.

voidshah пишет:
Arma tutochki! I tutori est! 6 statej zdes zhe! Chitaj i dejstvuj!

Spasibo! Vrode nashel. Nadejus', chto pomojet.

Z0oMiK пишет:
Юзай Armadillo Standart Unpack ;)

Z0omik, искал в Яндексе, нигде не нашёл. Где можно ссылочку найти на это чудо?

P.S. Буквально только что нашёл в форуме твои статьи с туторами. Сейчас видео перекачиваю. Успел-таки, а то твоё видео живёт только до 08.11.2005. Закачаю - приступлю к изучению.

Mario555 пишет:
классная прога, давно пользуюсь =) а вот защита вроде совсем лажа =)

Ага, классная, согласен. Один только захват целей чего стоит - не надо никаких скриптов писать, как в других программах. И распознавание сигнала чёткое (правда, я пока не под все программы смог его адаптировать). Но в целом доволен. А что касается защиты... Знаешь, всё относительно. У тебя, как видно в подписи, ветеранский статус. Следовательно, ты крэкер со стажем. Может, я на твоём месте и с твоим опытом тоже бы так говорил. А пока вот столкнулся, и справиться не могу. Ну, да ничего, буду учиться.

| Сообщение посчитали полезным:

[U]Serge Armadillo Standart Unpack это скрипт для Олли

| Сообщение посчитали полезным:

Z0oMiK Перекопал весь свой софт, не нашёл такого скрипта. На сайте его можно найти?
У меня тут ещё Olly что-то чудить начала. Вроде было всё нормально, а сейчас даже простенький тутор по определению версии armadillo выполнить не могу. Но не буду флудить, попрошу помощи в другой теме.

| Сообщение посчитали полезным:

Вот деревня держи

8e7b_Armadillo Standard Unpack.txt

| Сообщение посчитали полезным:

Z0oMiK Премного благодарен!!! Как настрою Олю, попробую. Но это уже, наверно, завтра к вечеру, сегодня времени свободного уже не будет.

| Сообщение посчитали полезным:

По Арме кидали хороший линк tinicat.de/hacnho/
Тут есть почти все что связано с Армой.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] Я уже находил эту ссылку в форуме (кажется, в теме про учебники) и заходил по ней. Там действительно много всего, но, как я понял, нужно знать номер версии armadillo. Все материалы там ориентированы на конкретный номер версии. Мне номер версии пока неизвестен (не считая того, что сообщил PEid - "1.xx - 2.xx")

| Сообщение посчитали полезным:

[U]Serge
А вот эту ссылку не встречал на этом форуме?
www.tuts4you.com/
А конкретно вот это может пригодится
www.tuts4you.com/tutorials/Unpacking/path=Armadillo+%28Finding+Exact+Version%29/

Хотя сорри Это для 3й версии армы детект подходит...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
А вот эту ссылку не встречал на этом форуме?
www.tuts4you.com/
А конкретно вот это может пригодится
www.tuts4you.com/tutorials/Unpacking/path=Armadillo+% 28Finding+Exact+Version%29/

Встречал я и эту ссылку, [HEX]. И тутор этот я выполнил, достал номер версии (3.60). Только на моём материале это почему-то не прокатывает. Как только жму SHIFT+F9, Olly вызывает системную ошибку и вылетает. Пока не понял, почему.

| Сообщение посчитали полезным:

ну дык это наверно из-за оллиного бага (c OutputDebugString), скачай плагин с защитой, либо пропатчи (скачай пропатченную) олли.

| Сообщение посчитали полезным:

Mario555 Возможно. Я тут покопался в форуме, нашёл в теме http://exelab.ru/f/action=vthread&forum=1&topic=1708 ссылку на Repair (патч для Олли): http://exelab.ru/f/files/179a_Re_Pair_0.1.rar . Обрадовался, хотел скачать, а ссылочка не работает. Может, перенесли куда-то?

| Сообщение посчитали полезным:

[U]Serge пишет:
Возможно. Я тут покопался в форуме, нашёл в теме http://exelab.ru/f/action=vthread&forum=1&topic=1708 ссылку на Repair (патч для Олли): http://exelab.ru/f/files/179a_Re_Pair_0.1.rar . Обрадовался, хотел скачать, а ссылочка не работает. Может, перенесли куда-то?

Держи

e8ec_Re_Pair_0.6.zip

| Сообщение посчитали полезным:

arnix, спасибо! Буду пробовать...

| Сообщение посчитали полезным:

Приветствую всех! Давненько не появлялся, проблемы были. Да и самому надо было хоть до чего-то своим умом дойти, не всё же форумчан мучить Проблему с отладчиком я вроде решил (нашёл пропатченную Olly). Не знаю, правильно или нет, но получил дамп программы из Olly, используя присланный Z0oMiK'ом скрипт. Немного, правда, смутил тот факт, что в окошке Registers появляются надписи типа: "LastErr ERROR_SUCCESS (00000000)" или что-то подобное про INVALID_HANDLE. Но скрипт всё-таки завершился с выдачей рекомендации об использовании в дальнейшем Lord PE и ImpRec. Дамп записал на диск с помощью Lord PE. Размер полученного дампа 3 362 816 байт. OEP, если не ошибся, получается 588С2С(h)-400000(h) = 188C2C(h). (Эти адреса вроде бы совпали с тем, что сообщил Z0oMiK). Далее запускаю ImpRec, выбираю процесс, ввожу в окошко OEP секции "IAT Infos Needed" 188С2С, нажимаю IAT AutoSearch, получаю в окошке RVA: 18F1DC, Size: 874. Потом жму Get Imports, и получаю в окне Imported Functions Found всего одну строку: "? FThunk: 0018F1E0 NbFunc:21С (decimal:540) valid: NO" Попробовал загрузить присланное дерево функций (см. третий пост), там везде YES! Я сравнил полученное дерево функций с тем, что мне прислали, и отметил вот какие внешние отличия: при загрузке "не моего" дерева нет галки в опции "Add new section" [это секция New Import Infos (IID+ASCII+Loader)], и, кроме того, в этой же секции размер Size в окошке равен 2722. А в моём полученном дереве после нажатия Get Imports тот же Size равен всего-навсего 28. Извиняюсь, если сильно загрузил, но у меня вопрос к знающим людям: почему так происходит? Что я делаю не так?

| Сообщение посчитали полезным:

[U]Serge пишет:
Извиняюсь, если сильно загрузил, но у меня вопрос к знающим людям: почему так происходит? Что я делаю не так?
многое ) во первых использовать скрипт не понимая что он делает это полубезполезно, в скриптах не учитывают ошибки, поэтому он скорее всего не напишет тебе о том что не нашёл чего-то там или т.п. а просто продолжит выполнение которое будет уже ошибочно.
Во вторых IAT AutoSearch это ерунда которая довольно часто неправильно определяет адрес и размер iat ;) поэтому адрес и размер iat надо определять вручную (то как это делать описано во многих туторах).

| Сообщение посчитали полезным:

Дык, мужики. Если там "secure sections" , то это вообще уже другая тема.
Это уже надо грамотный брутфорс делать.
А вот распаковывать (по моему мнению) как раз и не обязательно и особенно проги на Делфи.
Хватит и дампа. DeDe обойдется и без импорта.

| Сообщение посчитали полезным:

TOG Насчёт "secure sections" не знаю. Насчёт Delphi я теперь тоже не уверен. И DeDe его [дамп] не берёт.

Mario555 пишет:
поэтому он скорее всего не напишет тебе о том что не нашёл чего-то там или т.п.

Согласен. Но ведь у кого-то получилось! Посмотри третье сообщение от Z0oMiK'а. Я использовал ту же программу, тот же скрипт (Armadillo Standard Unpack), адреса у меня тоже сошлись с теми, что он написал. Разве что уровень мозгов разный А вот дерево функций получилось почему-то у меня совершенно нерабочее в отличие от полученного им дерева. Вот это-то мне и непонятно. В чём конкретно у меня может быть ошибка?

Mario555 пишет:
адрес и размер iat надо определять вручную (то как это делать описано во многих туторах)

Именно это я и хочу сделать. Попробую.

| Сообщение посчитали полезным:

Дык ты дамп то не сырой в DeDe суй.
Сдампил. Заголовок поправил, чтоб все на месте было. Верный признак - если иконка нормально
отображаться стала, то ресурсы на месте. Импорт можешь не восстанавливать, DeDe тебе и так
основную работу сделает. В этом рулез прог на делфи.

| Сообщение посчитали полезным:

TOG Попробовал. Ну, как сказать... Помнишь, как в старом добром мультфильме про Винни-Пуха: "...не то, чтобы совсем не попал... Просто не попал в шарик". В общем, поправил заголовок с помощью Лорда (Rebuild PE), потом отдал дамп DeDe. DeDe вроде как его принял, но опять капитально завис с просьбой нажать OK по окончании загрузки. Я не дождался, раньше нажал. В декомпилированном материале - несколько форм со свойствами, типы данных и т.д. Но кода программного нет, вот что обидно!
TOG пишет:
Верный признак - если иконка нормально
отображаться стала, то ресурсы на месте.
А у меня почему-то и с неисправленным заголовком иконка отображалась...

Ну, ладно, буду пытаться и продолжать свои изыскания. Буду рад выслушать чьи-то дельные советы относительно моих ошибок и того, что и как надо правильно делать.

| Сообщение посчитали полезным:

Попытка вручную найти OEP с помощью Сайса провалилась. Упаковщик, очевидно, пропалил использование отладчика, и вылетел с каким-то сообщением об ошибке. Поставил IceExt - стало ещё хуже. Girder вообще запускаться перестал, даже после удаления и повторной установки. Заработал только тогда, когда я IceExt снёс. Видимо, придётся всё-таки Олей пользоваться.

| Сообщение посчитали полезным:

Нашёл часть IAT (в предположении, что OEP найдено верно). Но получил всего 3 ветки с дерева функций с метками YES! А должно быть явно больше...

| Сообщение посчитали полезным:

[U]Serge пишет:
Нашёл часть IAT

Это ИАТ упаковщика.

| Сообщение посчитали полезным:

NIKOLA пишет:
Это ИАТ упаковщика

Вполне возможно. Я об этом даже и не подумал. Надо будет поискать дальше.

| Сообщение посчитали полезным: