Сейчас на форуме: YDS, _MBK_, user99 (+10 невидимых)

 eXeL@B —› Основной форум —› СМК или ещё чего-нибудь?
Посл.ответ Сообщение

Ранг: 30.4 (посетитель)
Активность: 0.020.01
Статус: Участник

Создано: 16 января 2006 23:27
· Личное сообщение · #1

СМК или ещё чего-нибудь?
Сталкнулся с такой ситуацией. Имеется длл. В ИДА дизассемблируется нормально. Прохожу её под Айсом. Адреса к примеру 02Сххххх. Вхожу в какой нибудь call и попадаю в адреса типа 094ххххх. В Айсе не написано какой это модуль загружен. Хочу проверить. Переписываю опкоды. Ищу на винте и нет ничего. Приэтом опкоды из длл прекрасно находятся.
Предполагаю варианты
1.СМК этой же длл(почему адресация другая?)
2.Пошифровано несколько ответственных процедур(как расшифровать в нормальный вид)
3.Может ещё одна длл извлекается из первой и распаковывается в памяти.(фантастика)
4.ХЗ???

Кто что думает по этому поводу на основании собственного опыта. Я с этим столкнулся впервые и незнаю как локализовать причину. Искал по статьям - не встретилось.
200% кракер делал защиту.



Ранг: 16.7 (новичок)
Активность: 0.010
Статус: Участник

Создано: 17 января 2006 16:29
· Личное сообщение · #2

Динамический код и распаковка, ничего особенного вообще говоря, если только распаковка - дампишь эту секцию, выносишь код её записывающий и пришиваешь в виде секции правленную.




Ранг: 84.8 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 17 января 2006 18:28
· Личное сообщение · #3

Думаю это библиотека самой проги. "MOD -u" напиши, проверь.
Хотя конечно 1,2,3,4 не исключено.



Ранг: 30.4 (посетитель)
Активность: 0.020.01
Статус: Участник

Создано: 17 января 2006 18:45
· Личное сообщение · #4

TOG
Где искать "MOD -u"? Как текст, часть названия функции. Не понятно что подразумевается.




Ранг: 84.8 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 17 января 2006 18:49 · Поправил: TOG
· Личное сообщение · #5

Да в сайсе дай команду "mod -u". Он покажет список длл, вот и смотри, будет твой таинственный адрес принадлежать кокой-нибудь из них.
Вообще можешь поискать сигнатуру как ты делал, только теперь в длл'ках(если не пакованые они конечно).



Ранг: 30.4 (посетитель)
Активность: 0.020.01
Статус: Участник

Создано: 17 января 2006 19:08
· Личное сообщение · #6

Блин. Туплю.
Не принадлежит на первый взгляд. Там ведь только начальные адреса.



Ранг: 30.4 (посетитель)
Активность: 0.020.01
Статус: Участник

Создано: 18 января 2006 23:44
· Личное сообщение · #7

Как оказалось вариант 3, да ещё запакована.
Никто не знает где бы почитать про то как енто делается. Мож самому пригодиться.
А не видно её в процессах потому что извлекается в Temp и после загрузки в память уничтожается.
Извращенец делал. МОЛОДЕЦ.


 eXeL@B —› Основной форум —› СМК или ещё чего-нибудь?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати