Hi, people!

DVD Data Rescue 2.1 build 1458
h**p://www.naltech.com/download/dvddr.exe (2 мегаса) - Arma 3.7-4.х

Проблема:
отделяю сынка от папы, вывожу сынка из loop, ставлю бряку на CreateThread - всё как обычно (до этого места)... НО nag после первого бряка на CreateThread не выскакивает - появляется после второго... А после подтверждения триала вообще не брякается и прога запускается :-/

FYI:
После "прохода" по ret из двух бряков на CreateThread никаких CALL EDI нету - есть только CALL ECX

Гляньте, где лажа запрятана...

ЗЫ. Скрипт для отделения папы/сынка (для новых Арм, к-ые палят bp) - в аттаче.


e940_ArmDetach.osc.zip

| Сообщение посчитали полезным:

estet пишет:
есть только CALL ECX

Так вот и ставь бряк на CALL ECX, тот который перед ret.

| Сообщение посчитали полезным:

NIKOLA

CALL ECX там не простой - я ловил не первый, а ВТОРОЙ...

0D070355 /75 1E JNZ SHORT 0D070375
0D070357 |8B90 88000000 MOV EDX,DWORD PTR DS:[EAX+88]
0D07035D |FF76 18 PUSH DWORD PTR DS:[ESI+18]
0D070360 |3390 84000000 XOR EDX,DWORD PTR DS:[EAX+84]
0D070366 |FF76 14 PUSH DWORD PTR DS:[ESI+14]
0D070369 |3350 40 XOR EDX,DWORD PTR DS:[EAX+40]
0D07036C |FF76 10 PUSH DWORD PTR DS:[ESI+10]
0D07036F |2BCA SUB ECX,EDX
0D070371 |FFD1 CALL ECX ; dvddr.0046698B
0D070373 |EB 23 JMP SHORT 0D070398
0D070375 \83FA 01 CMP EDX,1
0D070378 75 21 JNZ SHORT 0D07039B
0D07037A FF76 04 PUSH DWORD PTR DS:[ESI+4]
0D07037D 8B90 88000000 MOV EDX,DWORD PTR DS:[EAX+88]
0D070383 3390 84000000 XOR EDX,DWORD PTR DS:[EAX+84]
0D070389 FF76 08 PUSH DWORD PTR DS:[ESI+8]
0D07038C 3350 40 XOR EDX,DWORD PTR DS:[EAX+40]
0D07038F 6A 00 PUSH 0
0D070391 FF76 0C PUSH DWORD PTR DS:[ESI+C] ; dvddr.00400000
0D070394 2BCA SUB ECX,EDX
0D070396 FFD1 CALL ECX ; dvddr.0046698B

Выходим сюда после первого бряка на CreateThread (Z0oMiK, привет, дамп на этом месте я делал уже)

0046698B 55 PUSH EBP
0046698C 8BEC MOV EBP,ESP
0046698E 6A FF PUSH -1
00466990 68 38EE4E00 PUSH dvddr.004EEE38
00466995 68 984B4600 PUSH dvddr.00464B98
0046699A 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004669A0 50 PUSH EAX ; dvddr.0070560C
004669A1 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004669A8 83EC 58 SUB ESP,58
004669AB 53 PUSH EBX ; dvddr.006E26B3
004669AC 56 PUSH ESI ; dvddr.0070D098
004669AD 57 PUSH EDI ; dvddr.00401000
004669AE 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
004669B1 FF15 34434E00 CALL DWORD PTR DS:[4E4334]

DS:[004E4334]=0D05AD38

А вот здесь...
0D05AD38 - это ж "левая" секция... Дамп вылетает именно на этом адресе...

Я, похоже, немного чего-то затупил :-] - но сегодня на работе у коллеги дочка родилась...

| Сообщение посчитали полезным:

На стратегик кодесплицинг похоже =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

По моему это есть антидамп. Если не хочется такие перлы выгребать сотнями, то эту секцию
нужно тоже сдампить и прикрутить к твоему файлу.

| Сообщение посчитали полезным:

TOG пишет:
то эту секцию нужно тоже сдампить

Нинадо её дампить, нужно перенаправить вызовы в эксешник.

| Сообщение посчитали полезным:

Это на любителя. Этих редиректов будут сотни.

| Сообщение посчитали полезным:

TOG
Достаточно одного при аллоке памяти.

| Сообщение посчитали полезным:

Smon пишет:
На стратегик кодесплицинг похоже =)
данунафиг =) на кодесплитинг это совсем не похоже, это похоже на кривовосстановленный (или не восстановленный) импорт.

| Сообщение посчитали полезным:

Mario555
Я не смотрел саму прогу, просто помнится кодесплитинг пишется по большим адресам типа 0Dxxxxxx, какой там может быть импорт ? Если только iat elimination был бы, и то адреса вроде поменьше обычно у него =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

я тоже прогу не смотрел, но уже по приведённому листингу видно что на кодесплитинг это не похоже.

Smon пишет:
просто помнится кодесплитинг пишется по большим адресам типа 0Dxxxxxx, какой там может быть импорт ?
выделяемые адреса вообще специфичны для каждой системы, а по поводу импорта - переходники ессно ;)

| Сообщение посчитали полезным:

javascript:di('NIKOLA','');

NIKOLA пишет:
Нинадо её дампить, нужно перенаправить вызовы в эксешник.

Что значит перенаправить ?
У нас там часть кода в этой секции осталась.

| Сообщение посчитали полезным:

Хотя да, если импорт неправильно восстановлен, в иат остались указатели на выделенную память, которой в дампе естесно нет =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

TOG пишет:
Что значит перенаправить ?
У нас там часть кода в этой секции осталась.
эх... ну уже же обсуждалось раз 50 =) что перенаправлять надо при выделении памяти (на VirtualAlloc'е).

| Сообщение посчитали полезным:

Народ! =)

С восстановлением я разберусь попозже чутка... Никто собсно не сказал по сабжу: ПОЧЕМУ бряк на CreateThread не работает "как положено"?

| Сообщение посчитали полезным:

estet

Сейчас качну, погляжу.

| Сообщение посчитали полезным:

Ёпт, всё стандартно, ни копи мем, ни наномитов, короче,
кроме таблицы там нечего востанавливать.

estet пишет:
ПОЧЕМУ бряк на CreateThread не работает "как положено"?

Ты ставь бряк не на начало функции, а на конец (ret).
У меня всё сработало.

| Сообщение посчитали полезным:

estet пишет:
Выходим сюда после первого бряка на CreateThread (Z0oMiK, привет, дамп на этом месте я делал уже)

0046698B 55 PUSH EBP
0046698C 8BEC MOV EBP,ESP
0046698E 6A FF PUSH -1
00466990 68 38EE4E00 PUSH dvddr.004EEE38
00466995 68 984B4600 PUSH dvddr.00464B98
0046699A 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004669A0 50 PUSH EAX ; dvddr.0070560C
004669A1 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004669A8 83EC 58 SUB ESP,58
004669AB 53 PUSH EBX ; dvddr.006E26B3
004669AC 56 PUSH ESI ; dvddr.0070D098
004669AD 57 PUSH EDI ; dvddr.00401000
004669AE 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
004669B1 FF15 34434E00 CALL DWORD PTR DS:[4E4334]

Кстати, это и есть ОЕП.

| Сообщение посчитали полезным:

NIKOLA Ну все как я ему в лс и написал .... OEP такой же .... тока еще вот что у тебя где Magic Jump ?
Там еще гипер проверка CRC Если EXE Имеет название не dvddr.exe то при запуске он пишет Please
reinstall.... ваще ЛОЛ

| Сообщение посчитали полезным:

Z0oMiK

У меня чёт ещё круче байда...
Дома восстановил импорт - всё вроде гут - запускаю пофиксенный дамп - "Please
reinstall"... Переименовываю дамп в dvddr.exe, запускаю - опять NAG про триал... Гружу в Ольку: стартует с нормальной ОЕР, импорт в нужном месте... Хрень какая-то...

Я ж помню после снятия Армы обычно и NAG с триалом убираются...

У меня MagicJump здесь:

0D06CACD 75 42 JNZ SHORT 0D06CB11

| Сообщение посчитали полезным:

estet пишет:
после снятия Армы обычно и NAG с триалом убираются

Это когда в регистрация проги заюзаны апи армы.

| Сообщение посчитали полезным:

estet Переименуй снятый дамп в dvddr.exe ... я вышк писал уже об этом

| Сообщение посчитали полезным:

Z0oMiK
Я ж писал ;-]
estet пишет:
Переименовываю дамп в dvddr.exe

А по триалу...

идёт обращение к реестру... через RegQueryValue:
HKEY_CURRENT_USER\Software\nd\dvddr\userdata
"id"="nid" (наверно, NO_id или NULL_id подразумевается...)
"k1"="223"
"k2"="443"
"ddu"=dword:00000001

а потом обращение к gcddr.dat (лежит в папке с прогой) - процедуру обработки ещё не разобрал.

NIKOLA пишет:
Ты ставь бряк не на начало функции, а на конец (ret).
Я имел ввиду, что по классике: первый бряк на CreateThread, потом NAG, потом второй бряк на CreateThread и потом выход на ОЕР. А здесь - выход на ОЕР получается после первого бряка, а NAG - после второго (at least, у меня так было...)

| Сообщение посчитали полезным:

estet пишет:
первый бряк на CreateThread

Он сработал из протектора.

estet пишет:
второй бряк на CreateThread

А это уже из самой проги.

| Сообщение посчитали полезным:

Ох, ёп...

Кажися, я въехал =)

NIKOLA
Получается, NAG-ом управляет не Арма, а сама прога, так? Первый раз вижу Арму без NAG-a ;-]

Чёт совсем замордовался с работой - "притупливать" стал... 8=)

Ну, в принципе, я ответ получил - если народ конкретно DVD_Data_Rescue пообсуждать не хочет, то можно топик закрывать.

Tnx to all

| Сообщение посчитали полезным:

estet пишет:
NAG-ом управляет не Арма, а сама прога, так?

Так точно.

| Сообщение посчитали полезным:

estet

А прожка то, патчится одним байтом .

| Сообщение посчитали полезным: