 |
eXeL@B —› Основной форум —› Хитрая антиотладка |
| Посл.ответ | Сообщение |
|
|
Создано: 15 декабря 2005 13:48 · Личное сообщение · #1 А скажите, господа, чем лечатся вот такие дела. PETools-sniffer выдал :Stranik 1.3 Modula/C/Pascal. PEID выдал:Nothing found * При загрузке в Олю попадает в ntdll 7C90EB94, а внизу написано : Process terminated, exit code FFFFFFFF(-1). При установке int 3 Сайс попадает в прогу, но потом зависает на интах 3 и бегает по кругу. Оля при работающей проге вообще вылетает. Т.к. прога на Делфи, - загрузил в DeDe. Загрузилась, процесс пошел, поспрашивала чего восстанавливать, на все ответил - Да. DeDe весело сообщил, что все тип-топ, смотрю, а там пусто, как-будто ничего и не загружал. WDasm весело декомпилит, но в листинге оказываются тока .text, да и то не вся. Ида - тоже самое. Я эту прогу все равно не сломаю, уровень не тот. Но хотелось бы знать способ борьбы с такой антиотладкой. Вот еще один листинг, вернее кусок, но его можно продолжить до бесконечности: stripper v2.11 rc2.. (c) by syd, 2002-2004.. 20:29:10 - open GeoWhere.2.51.lite.exe.. 20:29:17 - starting e:\soft\geowhere lite\geowhere.2.51.lite.exe.. Victim ImageBase - 00400000 Victim EntryPoint - 0056bcb2 20:29:17 - unhandled break at 0096c89f.. 20:29:17 - unhandled single step at 00969ce9.. 20:29:17 - unhandled break at 00968bb6.. 20:29:17 - unhandled break at 0096d6ee.. 20:29:18 - unhandled single step at 0096dcd1.. 20:29:20 - unhandled break at 0096b972.. 20:29:20 - unhandled break at 0096d6ee.. 20:29:20 - unhandled single step at 0096dcd1.. 20:29:22 - unhandled break at 0096b972.. 20:29:23 - unhandled break at 0096d6ee.. 20:29:27 - unhandled single step at 0096dcd1.. 20:29:28 - unhandled break at 0096b972.. 20:29:30 - unhandled break at 0096d6ee.. 20:29:33 - unhandled single step at 0096dcd1.. 20:29:33 - unhandled break at 0096b972.. 20:29:34 - unhandled break at 0096d6ee.. 20:29:35 - unhandled single step at 0096dcd1.. 20:29:38 - unhandled break at 0096b972.. 20:29:38 - unhandled break at 0096d6ee.. 20:29:39 - unhandled single step at 0096dcd1..  |
|
|
Создано: 15 декабря 2005 13:50 · Поправил: Hellspawn · Личное сообщение · #2 мда =) называется: взламываем по скриншотам, кейгеню по названию =) а где ссылочка на прогу??? =) размер там... так мало что можно сказать... в принципе, прога наверное паковано чем-то =) может юзуются длл какие-то... был пример там из длл детектилось неличие отладчика и ехе даже не запускался =) вот так... ----- [nice coder and reverser] |
|
|
Создано: 15 декабря 2005 14:05 · Личное сообщение · #3 stahh пишет: При установке int 3 Сайс попадает в прогу, но потом зависает на интах 3 и бегает по кругу Дык ёмаё, ну потом-то отключи - "i3here off" |
|
|
Создано: 15 декабря 2005 14:14 · Личное сообщение · #4 stahh В опциях с Exceptions снеми все галки |
|
|
Создано: 15 декабря 2005 14:41 · Личное сообщение · #5 Z0oMiK пишет: В опциях с Exceptions снеми все галки Точнее смотри аттач  6d6b_Options.PNG.zip
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 15 декабря 2005 14:50 · Личное сообщение · #6 На эксе криптор похоже. |
|
|
Создано: 15 декабря 2005 16:18 · Личное сообщение · #7 stahh пишет: При загрузке в Олю попадает в ntdll 7C90EB94, а внизу написано : Process terminated, exit code FFFFFFFF(-1). Вроде из известных протов такой ерундой страдает только экзекриптор, а терминатед - потому что начал выполняться еще с тлс, и обнаружив отладчик кильнулся.... 
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 15 декабря 2005 17:16 · Личное сообщение · #8 Smon c HideDebugger и с IsDebug все ровно палит зараза 
|
|
|
Создано: 15 декабря 2005 17:19 · Поправил: Smon · Личное сообщение · #9 Z0oMiK Есть патч же для оли от экзекриптора (автор - test), поищи на форуме, не помню уж где брал сам.... хотя может там какой новый криптор, от которого этот патч не поможет.... хз.. не смотрел
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 15 декабря 2005 17:26 · Личное сообщение · #10 Z0oMiK Смотри здесь http://exelab.ru/f/action=vthread&forum=3&topic=2069&page= 1#6 ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 15 декабря 2005 18:18 · Личное сообщение · #11 Прога www.geowhere.net/download.php?id=1 2005кило Да в листинге QUnpak написано. Она регится через инет + Делфи + пакер + антиотладчик. А в оле я пробовал и так и этак. В любом случае - ntdll. А если запустить прогу - оля вылетает. То окно, что при запуске вылетает, может его как-то можно в Сайсе поймать? Хендл меняется, да и прочая фигня. Чего стоят названия секций, если в Иде посмотреть. Кряков я для этой проги не видел. Для предыдущих версий -тоже. Вот такая хитрая штука. |
|
|
Создано: 15 декабря 2005 20:02 · Личное сообщение · #12 Прикольно. После ковыряний прога заявила, что триал закончился. Регмон тоже слетает, как и Файлмон. Выставил Олю так: галочку на Ignore memory access violations in Kernel32. Оля стала на 0012fa45 F0:FD LOCK STD. Выставил "ignore also following..." C0000005...C000001E.Опять вынесло в ntdll. Трэйсится по Ф8 с писком "too long(recursive?)SEH chain". А Shift+F9 ее убивает "Debugged program was unable to process exception". Сдается мне, где-то я читал о чем-то подобном... |
|
|
Создано: 15 декабря 2005 20:56 · Личное сообщение · #13 Я же выше написал: NIKOLA пишет: На эксе криптор похоже. |
|
|
Создано: 16 декабря 2005 00:55 · Личное сообщение · #14 NIKOLA пишет: NIKOLA пишет: На эксе криптор похоже. Щас всё что непохоже на аспр и арму, ехе криптором обзывают 
|
|
|
Создано: 16 декабря 2005 01:38 · Личное сообщение · #15 ну пропатчи его тогда - екзекриптор патчится легко. |
|
|
Создано: 16 декабря 2005 19:36 · Личное сообщение · #16 А чо у меня за фигня. В сайсе бряки на Reg* не ставятся. Вообще ни один. Чего надо сделать? |
|
|
Создано: 16 декабря 2005 20:02 · Личное сообщение · #17 stahh пишет: А чо у меня за фигня. В сайсе бряки на Reg* не ставятся. Вообще ни один. Чего надо сделать? ну всмысле не ставятся??? bpx RegOpen.... enter и вылетает ошибка??? или просто не срабатывают?? ----- [nice coder and reverser] |
|
|
Создано: 16 декабря 2005 21:41 · Личное сообщение · #18 stahh Походу у тебя Advapi32 не прописана в конфиге ----- Crack your mind, save the planet |
|
|
Создано: 17 декабря 2005 10:34 · Личное сообщение · #19 Это 100 % EXE Cryptor ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 декабря 2005 18:50 · Личное сообщение · #20 Порядок. Адвапи прописан, но у меня почти все функции на Ех заканчиваются. Псмотрел вывод ехр. Ну а чо с прогой, ни у кого ничо не клеится? У меня облом-с. Я ее переставил, но она один фиг уже експирит. Я вообще кофейник в этом деле( чай не пью:s5 , но поковыряю ешо, мож чо нарою.
|
|
|
Создано: 17 декабря 2005 18:51 · Личное сообщение · #21 О, кста. Я нарыл два лоадера для 2.21 и 2.24. С ними ничо замутить нельзя? |
|
|
Создано: 05 марта 2006 16:29 · Личное сообщение · #22 Ребята, я читал про похожую проблему в какой-то статье (не помню в какой). Там был какой-то хитрый замут с таблицей импорта. Поковыряетесь там, может что-нибудь нароете. Удачи |
|
|
Создано: 05 марта 2006 16:31 · Личное сообщение · #23 Да, если проблема неразрешится - могу поискать статью. Точно помню, что она у меня на винте. Но где... |
|
|
Создано: 05 марта 2006 16:42 · Личное сообщение · #24 Да, если проблема неразрешится - могу поискать статью. Точно помню, что она у меня на винте. Но где... |
|
eXeL@B —› Основной форум —› Хитрая антиотладка |
Для печати
