Решил я посмотреть, что это за зверь такой radmin.
Скачал отсюда:

www.radmin.com/download/radmin22.zip

Прога явно запакована, однако peid пакеров не определил, если ставить бряки на CreateWindow, то вызов идет из кода, который находится в отдельной области памяти.
OEP лежит на виду, антиотладки вроде нет никакой. Пытаюсь получить работоспособный дамп - пока не выходит
Кто знает что это за пакер такой ? И чем он снимается ?

| Сообщение посчитали полезным:

Z0oMiK
Е мое, зачем было выкладывать дистриб (хоть он и с ключом). Не мог подробнее написать, что это. Здесь исследуют распаковку данной проги, а не занимаются поиском ключа... По крайней мере - пока...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
Ну кто топик создавал был готов получить уже ломаную версию... Вот Зумик и выложил...

Я то тоже не против разобраться с ихним упаковщиком...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Я и разбираюсь. Интересная защита. А как у тебя дела с распаковкой? Импорт восстановил?

Z0oMiK
Извини, действительно пост про "вылеченный" radmin не увидел. Но все старайся описывать то, что постишь. Чтобы не сливать 2-ды одно и тоже.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
Эммм... а че импорт разве искарежен?
Вроде целиком находиться... яж писал раньше об этом?!
http://exelab.ru/f/action=vthread&forum=1&topic=3407&page= 0#9

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ValdiS Сами просили выложить я и выложил

| Сообщение посчитали полезным:

Z0oMiK [HEX]
Ключ у меня и так есть, я спрашивал именно про крек Radmin 2.2:

[HEX] пишет:
Поломаная же версия и так в нете есть.

fastlock пишет:
Попытался найти - все везде только ключи попертые лежат.
Не мог бы ты дать ссылочку или название крека, очень любопытно посмотреть, как все таки это поломали.

| Сообщение посчитали полезным:

[HEX]
Ну, если проблем нет, то выложи выгрузку из импрека, плз. На самом деле импрек нормально восстанавливает только функции из кернела. А там еще есть другие Dll.
ЗЫ Эта работа уже в печенке, не могу сесть нормально поковырять прогу, все получается урывками...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
Дёрнуть импреком у меня у самого не получается Так как это вне области процесса Что делать в таком случае я сам ХЗ, так как опыта у меня не очень то много в распаковке да и к тому же распаковка неизвестного упаковщика

Но увидеть сам импорт можно в олле:
00A5D000 77DED5BB ADVAPI32.RegCreateKeyA
....
....
00A5D43C 76397CD8 comdlg32.GetSaveFileNameA
IAT размером 440 байт

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
IAT размером 440 байт
Я знаю, это уже выцепил. А размер - 444 байта.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
ну ошибся я 4 байтами Кому надо тот сам посчитает...
Только вот толку то?! Че дальше? Вроде всё есть, только вот заголовок у дампа какой то хреновый =\ В общем дальше пои познания и опыт заканчиваются... жду дельных предложений Только пока что то их нет

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Прямо магия какая-то с этой программой. С одной стороны, кажется, что все просто, с другой, все во что-то утыкаются и не говорят, в чем подводные камни.
Я лично уперся в необходимость ручной распаковки, с этим проблемы - дамп ни в какую не хочет запускаться.
Давайте делиться опытом, вместе, я думаю мы Radmin одолеем.

Может кто из мудрецов что скажет ?

| Сообщение посчитали полезным:

fastlock пишет:
Я лично уперся в необходимость ручной распаковки, с этим проблемы - дамп ни в какую не хочет запускаться.
Сняв дамп, ты получаешь ехе-шник (читай выше). Но он не запускается, т.к. заголовок файла поврежден. Заголовок восстанавливается на основе запакованного файла, а размер секций и смещения - по значениям VirtualAlloc, плюс проблема с восстановлением импорта, пока только ручками. Кстати, все call (связанных с импортом) абсолютные, т.е. в дампе они указывают на другие адреса. Короче, работы вагон... Времени не хватает катастрофически, поэтому дела продвигаются медленно.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
дампе они указывают на другие адреса

Что ты имееш ввиду?

| Сообщение посчитали полезным:

ну распаковка тут проблем не вызывает... основной exe просто грузят в память, настраивая его на соответствующую базу, эмулят одну апи (GetModuleFileNameA) и соответственно ресурсы читают из файла загрузчика, поэтому ресурсы надо ребилдить и цеплять к полученному дампу. Но после этого полученный файл ругаеццо "Executable file is corrupted", тоесть там есть какие-то проверки целостности и вообще... странные там вызовы есть... возможно VM (Vmprotect ?), хотя может и не VM =) короче к распаковке это уже не относится.

| Сообщение посчитали полезным:

Mario555
VM этот можно каким то образом снять? Чтоб не мешался он...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

NIKOLA пишет:
Что ты имееш ввиду?
Это кусок от ОЕР в исходнике
00A52EBC 55 PUSH EBP
00A52EBD 8BEC MOV EBP,ESP
00A52EBF 6A FF PUSH -1
00A52EC1 68 8073A600 PUSH 0A67380
00A52EC6 68 E42DA500 PUSH 0A52DE4
00A52ECB 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00A52ED1 50 PUSH EAX
00A52ED2 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00A52ED9 83EC 58 SUB ESP,58
00A52EDC 53 PUSH EBX
00A52EDD 56 PUSH ESI
00A52EDE 57 PUSH EDI
00A52EDF 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00A52EE2 FF15 E4D1A500 CALL DWORD PTR DS:[A5D1E4] ; Call FF15_A5
00A52EE8 33D2 XOR EDX,EDX
00A52EEA 8AD4 MOV DL,AH

А это в дампе
00442EBC 55 PUSH EBP
00442EBD 8BEC MOV EBP,ESP
00442EBF 6A FF PUSH -1
00442EC1 68 8073A600 PUSH 0A67380
00442EC6 68 E42DA500 PUSH 0A52DE4
00442ECB 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00442ED1 50 PUSH EAX
00442ED2 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00442ED9 83EC 58 SUB ESP,58
00442EDC 53 PUSH EBX
00442EDD 56 PUSH ESI
00442EDE 57 PUSH EDI
00442EDF 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00442EE2 FF15 E4D14400 CALL DWORD PTR DS:[A5D1E4]
00442EE8 33D2 XOR EDX,EDX
00442EEA 8AD4 MOV DL,AH
Пришлось наваять скрипт, чтобы подправить адреса.

Mario555
А как у тебя с импортом?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Пришлось наваять скрипт, чтобы подправить адреса.
это как ? интересно посмотреть на скрипт который перебазирует exe не используя таблицу релоков =) ведь править придётся не только обращения к иат, но и к данным и т.п. (например 00A52EC1 PUSH 0A67380). Вообще я просто поменил в дампе ImageBase на 00A10000, это решило проблему с адресами (можно было наверно и сдампить до того как пакер перенастроит exe на новую ImageBase, и тогда не менять ёё).

ValdiS пишет:
А как у тебя с импортом?
тоесть ? нормально всё с импортом, перекинул иат в адреса основного модуля и оттуда прочитал её импреком, потом сохранил полученное дерево и автозаменой переправил смещения на те которые нужны в дампе (у меня на 0004Dxxx), ну и соответственно загрузил подправленное дерево в импрек и им прицепил его к дампу.

Распакованный, но не сломанный: mario.h15.ru/files//radmin_unp.rar

| Сообщение посчитали полезным:

Mario555 пишет:
тоесть ? нормально всё с импортом, перекинул иат в адреса основного модуля и оттуда прочитал её импреком...
Да-а, опыт не пропьешь. Спасибо, будет наукой.

Mario555 пишет:
Вообще я просто поменил в дампе ImageBase на 00A10000
Пробовал, но что-то не получилось. Еще посмотрю...

Mario555 пишет:
можно было наверно и сдампить до того как пакер перенастроит exe на новую ImageBase, и тогда не менять ёё)
Думаю, что нет, т.к. образ файла собирается по кускам в 5 подходов. И заголовок файла почти весь "занулен". Хотя...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Mario555
Да... Мы тут копаемся, копаемся, а ты раз, два - и готовый дамп. Круто. Сразу видно мастера.

| Сообщение посчитали полезным:

Mario555 пишет:
Вообще я просто поменил в дампе ImageBase на 00A10000

ValdiS

Марио опередил, это же хотел сказать.

ValdiS пишет:
Пробовал, но что-то не получилось. Еще посмотрю...

На первом виртуал алоке ( там заместо адреса ложится 0, т.е. PUSH 0 ), ну а ты можеш
заместо 0 положить тот адрес, который тибе нравится ( я ложил 10000000).

| Сообщение посчитали полезным:

NIKOLA пишет:
На первом виртуал алоке ( там заместо адреса ложится 0, т.е. PUSH 0 ), ну а ты можеш
заместо 0 положить тот адрес, который тибе нравится ( я ложил 10000000).
Спасибо, попробую. А способ Mario555 работает (изменение ImageBase на 00A10000), у меня не сработало до этого, т.к. с дампом проблемы были (одна из первых попыток). Но все таки, как заставить дамп работать? Вариант дампа от Mario555 не рабочий, к сожалению.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Вариант дампа от Mario555 не рабочий, к сожалению.
в каком смысле ? у меня он вполне рабочий вроде, тоесть никаких ошибок при загрузке нету, выдаётся окно о некорректности exe, но это уже не системное сообщение, а внутренняя проверка и она к работоспособности дампа отношения не имеет.
PS хотя конечно что называть рабоспособным дампом... имхо защита предоставленная не протетором (тоесть которая была и до его навешивания) не относится к распаковке и соответственно к "работоспособности" дампа. А вот если брать с точки зрения выполнения прогой своих функци то это уже другое дело...

| Сообщение посчитали полезным:

Mario555
Просто хочется оживить распакованный вариант. Все же попробую, надеюсь, что получится.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Mario555
Не получается твой дамп оживить
Прога постоянно падает.

Народ, подскажите что с этим дампом дальше делать ?

| Сообщение посчитали полезным:

fastlock У меня на какойто проге фигня была такая что она не могла запуститься на др. компе
хотя на компе на котором ломал все работает

| Сообщение посчитали полезным:

Saniych
релоки?

-----
Computer Security Laboratory

| Сообщение посчитали полезным: