Доброго времени суток всем!
Я в крэкерском искусстве пока новичок, поэтому очень надеюсь, что кто-нибудь из профессионалов уделит моей проблеме немного внимания. Суть в следующем. Я хочу исследовать программу Girder версии 3.3.10. Это программа для обработки команд с ИК-пульта и управления компьютером. О программах такого типа уже был разговор на форуме, правда, в другом аспекте. Найти её можно по этой ссылке: promixis.com/download.php?ID=673 . И вот столкнулся с такой ситуацией: не могу определить, запакован ли исполняемый файл. Программа вроде бы написана на Дельфи (в пользу этого говорят большой размер exe-файла, и в Restorator'е формочку какую-то видно, и названия процедур и свойств), а PEid пишет: "Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]". Запускал ProtectionID 5.0 - результат: "Armadillo [unknown version] detected !". PE-Scan 1.4a отвечает, что "no recognised packer/encryptor found" (вроде как отсутствуют распознаваемые пакеры - несколько радует), а DeDe 3.50 при нажатии кнопки "Процесс" сначала выводит сообщение "DConsoleapplication compiled with runtime packages found", затем при загрузке цели очень надолго останавливается (я так и не дождался окончания загрузки). В этой связи у меня вопрос: как мне решить, упакована программа или нет? И, если это действительно Armadillo, то что против него можно в дальнейшем предпринять? Если у кого-то есть время и желание, подскажите, пожалуйста.

| Сообщение посчитали полезным:

Решил тоже попробовать распаковать арму. Сделал всё как в статье (Armadillo Exact Version Location Tutorial) и вроде всё получилось, но версии армы там не стояло. Значит версия армы не 3.хх?

оффтоп
Не у кого не завалялся плагин OllyScript 0.92? А то с версией 0.85 Armadillo Standart Unpack вроде не пашет.

e9ca_Arma1.JPG.zip

| Сообщение посчитали полезным:

rep0A
Бери...

1177_sh_osc09.zip.zip

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

NIKOLA Ни фига у меня не получилось... Может, это и была IAT упаковщика, но другого адреса функции GetModuleHandleA я в дампе не нашёл. А она ведь по идее должна быть.

Доигрался. Срок действия trial закончился. Теперь толком и не поработаешь.

| Сообщение посчитали полезным:

rep0A

Версия армы вроде как 1.xx - 2.xx (PEid пишет). Тутор я этот выполнял, но версии тоже не нашёл.
А ты сабж распаковывал?

| Сообщение посчитали полезным:

ValdiS
Спасибо

[U]Serge пишет:
А ты сабж распаковывал?
Распаковывал. Пока как и у тебя заморочки с импортом. Тоже выходит не полный импорт.

| Сообщение посчитали полезным:

rep0A пишет:
но версии армы там не стояло

Если арма выше 4.00, версию уже не найдёш.

| Сообщение посчитали полезным:

rep0A, если что-нибудь получится, черкни, ладно? Я пока даже новый дамп получить не могу. И систему заново сносить-ставить ну очень не хочется. Может, что-нибудь придумаю.

| Сообщение посчитали полезным:

в гирдере (по крайней мере том который у меня - 3.3.7) арма в самой "дохлой" комплектации, тоесть ни копимема, ни кодесплитинга, ни наномитов... поэтому непонимаю с чем вы тут так долго возитесь.

| Сообщение посчитали полезным:

Mario555, импорт не получается. Вручную найти не могу, ImpRec не справляется, пишет одну строчку с ответом No.

| Сообщение посчитали полезным:

[U]Serge
Попробуй поискать триальные ключи в реестре какойнибудь прогой. Правильный импорт вроде в idata лежит.

У меня сейчас вообще комп глючить стал (или руки уж очень кривые). Не одна копия дампа не даёт себя ни удалить ни изменить. При этом если от копии сделать ещё копию, то она тоже не будет удалятся. Импрек изменить файл тоже не может. Вот сижу, туплю. Может кто знает как с этой хренью бороться?

ЗЫ. Ещё раз сорри за оффтоп.

| Сообщение посчитали полезным:

rep0A пишет:
Попробуй поискать триальные ключи в реестре какойнибудь прогой

Четыре проги использовал. Никакого эффекта. Одна прога находит 3 ключа Армы, но удалить их не может. Запускаешь её снова - они тут как тут.

rep0A пишет:
Не одна копия дампа не даёт себя ни удалить ни изменить. При этом если от копии сделать ещё копию, то она тоже не будет удалятся.

Странные какие-то явления. У меня такого не было.

| Сообщение посчитали полезным:

Что за прогу то мучаем?

| Сообщение посчитали полезным:

NIKOLA пишет:
Что за прогу то мучаем?

А имя темы ни о чём не говорит?

| Сообщение посчитали полезным:

arnix

внатуре лоханулся. прошу прощения.

| Сообщение посчитали полезным:

Вот, блин! Вчера переставил всё-таки систему, сразу поставил сабж. Заработало. Сегодня запустил - говорит, что на компе время переведено возможно с целью нейтрализации защиты (это, если не ошибаюсь, армадиллина фишка). И сразу за этим выскакивает сообщение, что одна из dll не найдена. Врёт ведь, не переводил я ничего! И библиотека на месте! Глюк какой-то...

| Сообщение посчитали полезным:

Сегодня пошёл к другу и попробовал у него распаковать. Импрек тоже обламывается. Когда нажимаю на Fix Dump пишет "Not enough space" "Can't add any section to this dump file!" Это типа на диске места мало? Уже ничего не понимаю.

| Сообщение посчитали полезным:

rep0A пишет:
ix Dump пишет "Not enough space" "Can't add any section to this dump file!" Это типа на диске места мало? Уже ничего не понимаю.
это значит мало места в хидере... правда туда по идее можно запихать очень много секций (в 1000h хидер) ;)

| Сообщение посчитали полезным:

rep0A

Хочешь поприкалываться? Загрузи в ImpRec присланное Z0oMiK'ом дерево функций. На какое-то мгновение кажется, что всё заработало как надо: жмёшь Get Imports, и - вуаля! - вот оно! И везде YES!
Правда, привязать полученный импорт к дампу не получится, выдаётся то же самое сообщение, о котором ты написал.
А вот самому почему-то вытащить импорт не получается. Ввожу те же адрес и размер - и фигу. Почему так - не знаю.

| Сообщение посчитали полезным:

[U]Serge
Я раскусил тайну Гирдера. Они в этой проге юзают чёрную магию! Как не пытался импрек всё-равно обламывается и дампы не удаляются. Пойду выпью йаду.

Z0oMiK
Ты до конца распаковывал? Рабочий дамп получился?

| Сообщение посчитали полезным:

rep0A пишет:
Они в этой проге юзают чёрную магию!
Я начинаю склоняться к этой мысли. Тогда пакер стоило бы переименовать в arMAGillo или что-то типа этого.
Кстати, тоже хотел бы спросить Z0oMiK'а относительно работоспособности полученного им дампа. А самое главное, попросить объяснить, как он его получил, с помощью каких инструментов, настроек, и т.д.Подозреваю, что инструменты были те же самые, просто есть какие-то тонкости, нюансы: там поставить такую-то галку, здесь в опциях выключить вот это, и т.п.

| Сообщение посчитали полезным:

[U]Serge
Вот вроде разобрался с той ошибкой. Оказывается e_lfanew досовского заголовка указывало не на смещение заголовка виндовс, а на какой-то мусор. (Кстати интересная статья: www.wasm.ru/print.php?article=packlast01, узнал много нового)
Для того что-бы увидеть это достаточно открыть дамп в LordPE(PE Editor) и нажать на L. Там есть e_lfanew. Это значение должно указывать на "PE" буквы в дампе. Если оно туда не указывает, значит значение не верное и надо исправлять. Для этого в любом хекс редакторе нужно открыть дамп и поправить значение по смещению 3ch(у меня). Вместо мусора нужно написать 00 01 00 00(байты записываются наоборот = 100h(у меня)). Всё. Хеадер получается нормальный и имрек может вписать секцию. Но опять вылазит ошибка: "Import Adress Table Problem" "Invalid dump file! Can't match RVA to Offset in the dump file". Что-бы это значило? Ну да ладно, буду копать дальше. ;)

| Сообщение посчитали полезным:

Поэкспериментировал с Лордом. Получил кучу самых разных дампов, но ни с одним ничего путного не получилось. Попробовал вместо ImpRec использовать Revirgin, она начинает подсчитывать ссылки на IAT. Долго считает, но это ни к чему не приводит.

rep0A пишет:
Кстати интересная статья: www.wasm.ru/print.php?article=packlast01, узнал много нового)

Почитал. Статья действительно интересная. Как человек самокритичный, узнал о себе много нового ;)
Честно говоря, не всё понятно, да и Perl я не знаю.
Глянул у себя в полученный дамп через ImpRec. В секции DOS Header значение e_lfanew указывает на какой-то адрес: 0x0023AFB3. Что это такое?
Кстати, по поводу сообщения "Can't match RVA to Offset in the dump file". Попробуй снять галку в секции ImpRec'a "New Import Infos" и запиши в нужное окошко RVA. Может, что-то и получится.

| Сообщение посчитали полезным:

[U]Serge
Вот блин, у меня ИЕ почему-то именно эту страницу сохранил и показывал сохранённую. Уже подумал что ты на прогу забил...

Методом научного тыка понял что нормальный дамп получается только в LordPE(мои настройки в аттаче). В сдампленом файле ПЕ хеадер получается не забитый мусором.

Если хочешь получить такое-же красивое(но не рабочее) дерево как у Z0oMiK'a, то в импреке введи в поле OEP 188C2C и нажми IAT AutoSearch. Он скажет что вроде нашёл правильную IAT. Теперь Show Invalid и на одном из выделенных инвалидных функций правой кнопкой мыши и Cut thunk(s). Красиво не правда ли?

Но вот проблема, полученный дамп падает. Почему? А потому-что отрезанные функции вызываются, а в таблице вместо адреса нули. То-есть прога прыгает в никуда. Если посмотреть то место где падает дамп в нормальной проге, то видно что прыжок ведёт в тело армы. Видимо IAT Elimination.

8fdc_LordPe_Settings.PNG.zip

| Сообщение посчитали полезным:

rep0A пишет:
Видимо IAT Elimination.
нету там илиминатиона, я специально скачал и посмотрел. Не понимаю ваших проблем, всё там распаковываеццо =)

| Сообщение посчитали полезным:

rep0A пишет:
то видно что прыжок ведёт в тело армы

Я так понимаю, это армакссес длл. Обычно 3-6 функций (вызов диалога регистрациии, проверка
зарегиности и т.д. и т.п.) но после них идёт ещё импорт, Некоторые люди забывают их востанавливать.

По импорту, попробуйте в настройках импрека убрать галочку с Use PE Header from Disk.
иногда помогает или при дампе открыть вторую олли и загрузить ислед. программу, стоя на еп
скопировать пе хидер и вставить в ту олли, в которой собираетесь дампить и только потом делаете дамп.

| Сообщение посчитали полезным:

Фуф.. распаковал! Моя первая арма.
В принципе делал всё как здесь:
http://www.tuts4you.com/tutorials/Unpacking/path=Armadi llo+4.20+%28Minimum+Protection%29/ http://www.tuts4you.com/tutorials/Unpacking/path=Armadi llo+4.20+%28Minimum+Protection%29/
только надо было брать адрес не от call-а, а от jmp-a + занопить прыжок на ошибку импорта.

Всем спасибо за супорт ;)

| Сообщение посчитали полезным:

Я солидарен с Mario555. Распаковывать там нечего. Всё стандартно.
Надо бы глянуть GVMS.dll ===> Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks,
чего она делает ещё не понял.

| Сообщение посчитали полезным:

rep0A пишет:
Уже подумал что ты на прогу забил...
Не забил. На работе квалификационный экзамен сдавал. Само собой, подготовиться надо было.

rep0A, поздравляю! Хоть кому-то это удалось! Буду делать как ты написал.

rep0A пишет:
только надо было брать адрес не от call-а, а от jmp-a + занопить прыжок на ошибку импорта
Не совсем понял последнюю фразу. Что за прыжок на ошибку импорта? Где его искать?

| Сообщение посчитали полезным:

[U]Serge пишет:
Что за прыжок на ошибку импорта? Где его искать?

У меня это адрес 5CB4F5.
Если ты поставишь ret в ту процедуру и импорт не перенаправится в тело армы, то потом вылезет MessageBox с сообщением что произошла ошибка импорта и программа будет закрыта или чтото в этом роде. Чтобы окно не появлялось надо "занопить" прыжок.

Нашёл так: bp MessageBoxA

| Сообщение посчитали полезным:

rep0A пишет:
В принципе делал всё как здесь:
www.tuts4you.com/tutorials/Unpacking/path=Armadi llo+4.20+%28Minimum+Protection%29/

Начал делать по этому тутору, и уже столкнулся с ошибкой. Итак, всё по порядку. Грузим сабж в Олю, далее лезем в Memory Map. Моя "карта памяти" несколько отличается от туторной (см. аттач), но, если я правильно понял, надо поставить брекпоинт (Set memory breakpoint on access) на следующую после заголовка секцию. У меня это секция CODE. Ставлю. Закрываю Memory Map, нажимаю SHIFT+F9. Сабж запускается, появляется окошко Reminder, жму OK. И следом за этим получаю сообщение: "OllyDbg is unable to activate memory breakpoint on address range 00000000..00000000. Breakpoint is completely removed."
Почему так? Что ей не нравится? Может, у меня Оля не так настроена? Там есть список каких-то исключений, которые можно игнорировать. Или дело не в этом?

e97f_memory_map.zip.zip

| Сообщение посчитали полезным: