 |
eXeL@B —› Основной форум —› Неизвестно откуда начинается выполнение, совсем запутался |
| Посл.ответ | Сообщение |
|
|
Создано: 23 декабря 2005 13:55 · Личное сообщение · #1 Взвалил на себя задачку взлома серьёзно защищённой проги. Она зашифрована и к тому же содержит антиотладочные средства (которые к слову меня сильно ставят в тупик). Значит так: Запускается прога эксэшником в котором лишь одна экспортируемая функция - start, где всего две команды - переход к протектору: push 0F4F3C823h jmp ds:PROTECT_1 протектор - совершенно отдельная DLL (protect.dll) вся шифрованная перешифрованная. Но странно когда вышеуказанный эксэшник запускаешь в "ольке" выполнение начинается по совершенно непонятному адресу:00DBEE0C!? "Олька" пишет что это -protect, но я дисассемблировал эту DLL там нет такого адреса и в эксешнике нет. Трассировать не могу - антиотладочные средства. Помогите хотя бы с "какой стороны" надо начинать думать?  |
|
|
Создано: 23 декабря 2005 14:10 · Личное сообщение · #2 Епт.... ну сколько раз писали ! Как тебе помочь ? Ту все телепаты и волшебники што-ли ? 
Где ссылка ? или мне свой блокнот под Олькой запустить ? |
|
|
Создано: 23 декабря 2005 14:18 · Личное сообщение · #3 Судя по описанию, чел пытается в "ольке" снять старфорс... |
|
|
Создано: 23 декабря 2005 14:41 · Личное сообщение · #4 да надо это сообщение в юмор 
----- power and the money money and the power |
|
|
Создано: 23 декабря 2005 14:44 · Личное сообщение · #5 artkar поставь ловушку на вход в протект и на вход в экзе (поменяй первый байт на cc) мож это тебе поможет (черт его знает мож это и не старфорц) вообще это реально на шутку похоже. в юморе не так смешно... ----- power and the money money and the power |
|
|
Создано: 23 декабря 2005 14:45 · Личное сообщение · #6 Spiteful Судя по описанию, чел пытается в "ольке" снять старфорс... да хоть EXEcriptor ! Нах надо сидеть и гадать ! Одна строчка - программа такая то, если есть ссылка такая то ! Всё ! |
|
|
Создано: 23 декабря 2005 16:53 · Личное сообщение · #7 artkar пишет: дисассемблировал эту DLL artkar пишет: вся шифрованная перешифрованная Интересно... Если ДЛЛка такая зашифрованная, то как ты ее дизассемблировал??? О протекторах тебе вообще что-нибудь известно? Если нет, то... RTFM ----- Blame the victim! |
|
|
Создано: 23 декабря 2005 16:58 · Личное сообщение · #8 реально чел хочет старфорс заломать. Удачи тебе !!!.... ----- ~ the Power Of Reversing team ~ |
|
|
Создано: 23 декабря 2005 22:57 · Личное сообщение · #9 artkar пишет: Запускается прога эксэшником в котором лишь одна экспортируемая функция - start в exe может вообще не быть экспортируемых функций, так что в данном случае это всёго-навсего точка входа не можешь трассировать, попытайся дизассемблировать что находится по адресу push 0F4F3C823h ? protectdll - хорошее название для DLL можно даже давать рекомендации шароварщикам: вызывайте protect.dll, все будут думать, что у вас старфорс ----- EnJoy! |
|
|
Создано: 24 декабря 2005 00:11 · Личное сообщение · #10 artkar ЕКЛМН Ну скажи народу что за прога ! Чтож ты за партизан такой.. |
|
|
Создано: 24 декабря 2005 03:53 · Личное сообщение · #11 artkar Если ты взялся ломать Star-Force то сразу хочу сказать что у тя ниче не получиться ... 
|
|
|
Создано: 24 декабря 2005 08:11 · Личное сообщение · #12 doctor Ice пишет: черт его знает мож это и не старфорц А что например?
... Ну разве что EXEcriptor подделывается под SF .
Уважаемый artkar, предполагаю, что с экономлю Вам кучу времени, если уговорю вас отложить взлом StarFors'a на длительный период. Никто из здесь присутствующих не смог справится с этой защитой! С другой стороны, теоретически может быть что это и не Старфорс. На такой случай в правилах записано, что просьба о помощи оформляется определённым образом (название жертвы, ссылка, что проделал, в чём вопрос). Кстати, существуют программы-идентификаторы, такие как PEiD. ----- Всем привет, я вернулся |
|
|
Создано: 24 декабря 2005 08:13 · Личное сообщение · #13 Bitfry походу новички ни правила, ни правила оформления запроса на взлом или просьбы о помощи, так никто и не научился оформлять |
|
|
Создано: 25 декабря 2005 13:35 · Личное сообщение · #14 Извините что долго молчал был занят! Программа называется "Лучшие из лучших горные лыжи 2005" от компании русобит Признаюсь сразу чтобы в мой адрес не отпускали язвительных выпадов я действитьельно новичок. Но ломать всякие крякмисы мне не интересно. Те действия которые я проделал с прогой позволяют мне судить что она обладает каким то странным свойством перед запуском полностью менять свой код(Да кстати олька и пишет что программа имеет самомодифицирующийся код, хотя я честно до этого случая не думал что под ВИНДОУС можно сделать самомодифицирующиеся программы, хотя може это возможно если какая то служба переключает регистр ldtr таким образом что это уже сегмент данных и пишет туда каким то хитрым образом, а потом переключает обратно на сегмент кода). Это я могу судить потому что изменив пару байт в эксешнике в нём становятся все смещения по другим адресам, хотя код не меняется!? Я запускал прогу под разными отладчиками: "Олька", "СофтАйс" и даже "Турбо Дебаггер" всегда она (прога) безошибочно определяет что её отлаживают и вежливо просит отключить отладчик. Я предполагаю что видимо при инсталяции была установлена какая то служба котроая перехватывает запуск программы и передает управление в protect.dll Пока всё. Да и если вас забавляет мое незнание ликуйте молча, а на этом сайте я бы хотел получать советы чтобы если даже и не взломать эту прогу, а хотя бы поднять свою квалификацию! P.S. Да и ещё хочу сказать напоследок!!!! Когда я писал на этот форум, а до этого проходил утомительную процедуру "экзамена", то предпологал что попаду в круг профессионалов, которые помогают решать проблемы. Поэтому мне крайне обидно видеть сообщения типа : "да надо это сообщение в юмор ", "чел пытается в "ольке" снять старфорс..." И сообщения типа :"Если ты взялся ломать Star-Force то сразу хочу сказать что у тя ниче не получиться ...", тоже мне кажутся странными!? Если Вы профессионал (у Вас ранг ветерана) то вы, наверно, должны были сказать примерно следующее: "Ты парень ломаешь такую то программу , а она использует это... и это... чтобы её взломать нужно знать то то и то то , а для этого тебе понадобиться в соответствии с этим - то перебрать X*(f/n) cos z вариантов, а это займет столько то тысяч лет" Извините коечно за слишком резкие слова, но мне хотелось бы РЕАЛЬНЫХ советов, либо дельных рассуждений на этот счет! Жду Ваших ответов да и по видимому протектор - стар форс |
|
|
Создано: 25 декабря 2005 14:57 · Личное сообщение · #15 artkar пишет: Поэтому мне крайне обидно видеть сообщения типа : "да надо это сообщение в юмор ", "чел пытается в "ольке" снять старфорс..." Ты лучше вместе того что бы обижатся, взял что-то другое и ломал. Эта защита не простая тебе же писали: Bitfry пишет: Никто из здесь присутствующих не смог справится с этой защитой! Хотя может у тебя и получится, пробуй.... Думаю с этой защитой тебе сейчас мало кто подскажет. ЗЫ: Сорри топик вышел суший оффтоп. |
|
|
Создано: 25 декабря 2005 15:07 · Поправил: TOG · Личное сообщение · #16 artkar пишет: переключает регистр ldtr таким образом что это уже сегмент данных и пишет туда каким то хитрым образом Достаточно атрибут секции кода поставить Writeable+Shareable и самомодифицируйся на здоровье. Пока всё. Да и если вас забавляет мое незнание ликуйте молча Скорее умиляет Тут такое порой пишут........ Не переживай.
|
|
|
Создано: 25 декабря 2005 22:02 · Личное сообщение · #17 artkar Просто ты взялся за то, что оооочень мало кому под силу... У тебя не хватает знаний даже по вопросам программирования под Windows не говоря уже о крэкинге... Тут топик есть (поиск тебе в помощь) про StarForce почитай, только... не поможет. ----- Blame the victim! |
|
|
Создано: 26 декабря 2005 09:48 · Личное сообщение · #18 artkar пишет: Если Вы профессионал (у Вас ранг ветерана) Ранги – это глупая ошибка форума. Большинство очков за пустой трёп. Мы постараемся удалять пустые ответы и уменьшать ранги флудерам, но это займёт много времени, а пока не смотри на "ветеран", три звезды и 200 балов. artkar пишет: Признаюсь сразу чтобы в мой адрес не отпускали язвительных выпадов я действитьельно новичок. Мог бы и не признаваться, это видно за километр. artkar пишет: Но ломать всякие крякмисы мне не интересно. Зачем же крякми, изучай простые пакеры и протекторы. artkar пишет: Те действия которые я проделал с прогой позволяют мне судить что она обладает каким то странным свойством перед запуском полностью менять свой код Ну вот, ты сразу столкнулся с самым обычным свойством пакованных программ. Если бы ты до этого разобрался с PE-форматом и с UPX'ом, так бы не писал. artkar пишет: хотя може это возможно если какая то служба переключает регистр ldtr Да, я тоже по началу старался быстро понять защитный режим и работу с памятью в WinNT. Но до сих пор я в этом деле чайник. По этому и тебе советую не лезь сразу в драйверы и тем более в PM. И, к тому же, Винда памятью рулит так хитро, что все идеи от Intel можно забыть =))). Код менять можно. Читай PE-формат. artkar пишет: Я запускал прогу под разными отладчиками: "Олька", "СофтАйс" и даже "Турбо Дебаггер" всегда она (прога) безошибочно определяет что её отлаживают и вежливо просит отключить отладчик. Отлаживать SF можно только в SoftIce (или каком-нибудь своём отладчике нулевого кольца). Но это теоретически. А на практике у тебя уйдёт слишком много времени даже для того чтоб начать отладку. Это не эффективная трата сил. artkar пишет: Если Вы профессионал (у Вас ранг ветерана) то вы, наверно, должны были сказать примерно следующее: "Ты парень ломаешь такую то программу... Почему ты решил, что все профессиональные крякеры – телепаты? Опять отправляю тебя читать правила. artkar пишет: а она использует это... и это... Как мы выяснили – StarForce artkar пишет: чтобы её взломать нужно знать то то и то то Внимательно прочти http://www.exelab.ru/f/action=vthread&forum=1&topic=2060 Особенно обрати внимание на посты Ms-Rem. Он больше всех полезного написал (и в теме и в коде =). artkar пишет: мне хотелось бы РЕАЛЬНЫХ советов, либо дельных рассуждений на этот счет! Реальный совет – читай, учись, вернись к этой идеи спустя пару лет усердных тренировок =(. ----- Всем привет, я вернулся |
|
|
Создано: 27 декабря 2005 21:09 · Личное сообщение · #19 1nn0cent интересно, а как ты определил что у меня "не хватает знаний даже по вопросам программирования под Windows"?... не говоря уже о крэкинге - по моему можно быть блестящим крэкером и полным нулём в Windows - программировании. ...но это лирическое отступление Bitfry Спасибо, первые дельные слова, все что Вы порекомендовали я обязательно изучу. P.S. Про СтарФорс мне стало даже ещё интересней, пожалуй возмусь за это на полном серьёзе, вы меня разозлили
|
|
|
Создано: 27 декабря 2005 22:36 · Личное сообщение · #20 artkar пишет: вы меня разозлили Зря злишься, те "пинки" которые ты получил в свой адрес они правильные. Считай их предостережениями, от грез, что не зная винды, ты сможешь справиться с протами (тем боле старфорсом). Bitfry в своё время получил свою "дозу пинков" от меня 8), теперь он уже тебе предлагает не заниматься мечтательством, а развиваться постепенно. Присоединяюсь к этому совету. artkar пишет: по моему можно быть блестящим крэкером и полным нулём в Windows - программировании. ну это на башорг... ----- Все говорят что мы вместе. Но не многие знают в каком. |
|
|
Создано: 28 декабря 2005 14:29 · Личное сообщение · #21 artkar пишет: 1nn0cent интересно, а как ты определил что у меня "не хватает знаний даже по вопросам программирования под Windows"?... не говоря уже о крэкинге artkar пишет: хотя я честно до этого случая не думал что под ВИНДОУС можно сделать самомодифицирующиеся программы Вот так и определил... Ты сам об этом сказал =) Не обижайся! Можно совет? Спасибо... Начни с чего-нибудь попроще (распаковка пакеров, ASProtect, Armandillo), а потом уже берись за СтарФорс. Удачи! ----- Blame the victim! |
|
eXeL@B —› Основной форум —› Неизвестно откуда начинается выполнение, совсем запутался |
Для печати