| Сейчас на форуме: _MBK_ (+6 невидимых) |
 |
eXeL@B —› Основной форум —› помогите с armadillo debug blocker |
| Посл.ответ | Сообщение |
|
|
Создано: 20 мая 2006 06:29 · Личное сообщение · #1 прога www.eltima.com/download/flash_decompiler.exe Все делаю как в туторах (патч EB FE, CALL DebugActiveProcessStop и т.д.). ПОсле аттача к новому процессу оказывается, что он тоже запускает новый процесс, затем тот опять и т.д. Не могу понять почему в туторах ничего про это нет. PEID говорит Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay].  |
|
|
Создано: 20 мая 2006 10:17 · Личное сообщение · #2 Может что пропустил? Или неправильно разделяешь .... Воспользуйся любой прогой для разделения процессов. например "Armadillo find protected v1.2 by Vel" или любой аналогичной. потом атачишся к указанному процессу, F9, F12, востанавливаешь 2 затертых байта - и всё !!! |
|
|
Создано: 20 мая 2006 15:57 · Личное сообщение · #3 voodoo69 Там в принципе все легко и просто. Хотя насчет твоей ситуации впервые слышу, может просто делаеш что то не так. Воспользуйся уже готовым скриптом, например от RICARDO. Точное название DETACH FARTHER - METHOD RICARDO - VER 0.1. >>>PEID говорит Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]. PEID'овские сигнатуры ошибаются, они почти все армы так обзывают, могу кстати выложить чисто армадиловские сигнатуры, которые есть у меня. |
|
|
Создано: 20 мая 2006 17:17 · Личное сообщение · #4 maikkri5ki пишет: , могу кстати выложить чисто армадиловские сигнатуры, которые есть у меня. В студию! 
|
|
|
Создано: 20 мая 2006 18:11 · Личное сообщение · #5 voodoo69 Ищи по форому я тутор делал 
|
|
|
Создано: 20 мая 2006 19:29 · Личное сообщение · #6 |
|
|
Создано: 20 мая 2006 19:43 · Поправил: agentru · Личное сообщение · #7 maikkri5ki пишет: 0xy Получай В аттаче. Всё равно часто ошибается  [
|
|
|
Создано: 21 мая 2006 05:48 · Личное сообщение · #8 2 Z0oMiK тутор что-то не находится. название у проги было какое? да и вряд ли тутор поможет. я уже несколько разных туторов посмотрел - методика то одна и та же. 2 всем кто-нибудь может подтвердить, что распаковал именно эту прогу? а то я уже не один тутор посмотрел, и никак не могу понять где же тут ошибка. я даже скрипт для олли написал, чтобы автоматизировать процесс до того места где надо аттач делать... 2. Попутно вопрос, во всех туторах оеп ищется через брейк на create thread. так вот в армах, которые мне попадаются, почему то нету после create thread того кода как в туториалах типа: Now place bp on CreateThread API and run olly. You will break in kernel on CreateThread API (after nag window), remove bp from there, return to code with Alt+F9: 00AB94C4 POP EDI <----- You are now here! 00AB94C5 POP ESI 00AB94C6 LEAVE 00AB94C7 RETN <-------- Just trace and execute this RET with F7! Do what I tell you and after exiting RET, you will see this: 00AC972D POP ECX 00AC972E MOV EDI,0AD8910 00AC9733 MOV ECX,EDI ... ... ... 00AC97ED CALL ECX 00AC97EF JMP SHORT 00AC9814 00AC97F1 CMP EDX,1 00AC97F4 JNZ SHORT 00AC9817 00AC97F6 PUSH DWORD PTR DS:[ESI+4] 00AC97F9 MOV EDX,DWORD PTR DS:[EAX+88] 00AC97FF XOR EDX,DWORD PTR DS:[EAX+84] 00AC9805 PUSH DWORD PTR DS:[ESI+8] 00AC9808 XOR EDX,DWORD PTR DS:[EAX+40] 00AC980B PUSH 0 00AC980D PUSH DWORD PTR DS:[ESI+C] 00AC9810 SUB ECX,EDX 00AC9812 CALL ECX <----------------------- Jump to OEP!!! У меня вместо этого так (причем без всяких nag ): 007A2D8D 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 007A2D90 25 FF000000 AND EAX,0FF 007A2D95 85C0 TEST EAX,EAX 007A2D97 74 06 JE SHORT FDec.007A2D9F 007A2D99 FF15 44807C00 CALL DWORD PTR DS:[<&KERNEL32.FreeConsole>] ; kernel32.FreeConsole 007A2D9F C685 FCFDFFFF 01 MOV BYTE PTR SS:[EBP-204],1 007A2DA6 C685 20FFFFFF 00 MOV BYTE PTR SS:[EBP-E0],0 007A2DAD C685 24FFFFFF 00 MOV BYTE PTR SS:[EBP-DC],0 007A2DB4 6A 00 PUSH 0 007A2DB6 E8 A8FD0000 CALL FDec.007B2B63 007A2DBB 83C4 04 ADD ESP,4 007A2DBE A3 74EA7C00 MOV DWORD PTR DS:[7CEA74],EAX 007A2DC3 68 70E97C00 PUSH FDec.007CE970 007A2DC8 FF15 A8817C00 CALL DWORD PTR DS:[<&KERNEL32.InitializeCriticalS>; kernel32.InitializeCriticalSection 007A2DCE C745 FC 00000000 MOV DWORD PTR SS:[EBP-4],0 007A2DD5 8D8D E0F5FFFF LEA ECX,DWORD PTR SS:[EBP-A20] 007A2DDB 898D DCF5FFFF MOV DWORD PTR SS:[EBP-A24],ECX 007A2DE1 51 PUSH ECX 007A2DE2 0FC9 BSWAP ECX 007A2DE4 F7D1 NOT ECX 007A2DE6 50 PUSH EAX 007A2DE7 F7D0 NOT EAX 007A2DE9 B8 6D69656C MOV EAX,6C65696D 007A2DEE 91 XCHG EAX,ECX 007A2DEF B9 DEC0ADDE MOV ECX,DEADC0DE 007A2DF4 91 XCHG EAX,ECX 007A2DF5 F7D0 NOT EAX 007A2DF7 58 POP EAX 007A2DF8 F7D1 NOT ECX |
|
|
Создано: 09 марта 2007 12:09 · Личное сообщение · #9 voodoo69 Да она атоматом снимается либо dilloDIE,либо ArmaGUI(если ключ есть). А вот консольную либу,FDCore.dll,получилось только вручную,и то в два захода.Вторым,из под самой проги дампил,а то с первого дампа(под олей)чего то не хотела подгружаться . А чтобы под ней прога стартовала,пришлось вызов сплешки занопить. Сука всё ламанул,А вот конвертить во фла не хочет.Кстати для чего это расширение(*..fla)& ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 09 марта 2007 12:25 · Личное сообщение · #10 Bronco Дату топа глянь. |
|
|
Создано: 09 марта 2007 12:34 · Личное сообщение · #11 NIKOLA Ты прав....)))))))))неказисто как то.....)))))) Я только вчера эту прогу качнул... С либой был гимор,не хотела подгружаться...вот и рылся по сети....))))))))) А из-за последнего Outpost Firewall,вообще всё палиться,и ОС ребутиться.И автоунпакеры висят.... Ладно, кому не лень закройте топ....))))))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 09 марта 2007 14:50 · Личное сообщение · #12 Кстати, что за прога: Bronco пишет: ArmaGUI(если ключ есть) |
|
|
Создано: 09 марта 2007 15:39 · Личное сообщение · #13 NIKOLA. Если жертву то Flash Decompiler,прикольная тулза. Арму снимаю из -за левых ключей в реестре. Registration Name: Rene Schrijvers Registration Key: 0000Q4-9HM353-FVV8PY-94CZQC-R49E4W-916474-B1945D-38085B-F77735-6AA13B- 422502 --------------- Если ты имеешь ввиду тулзу(-=> Armadillo Generic Unpacker Interface v1.5.2 <=-),то попробую прилепить к атачу Два раза пропобовал,нихрена не атачиться,поищи по форому,я кажись тут брал ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 16 марта 2007 03:40 · Личное сообщение · #14 NIKOLA Есть небольшая проблемка,и не пойму как её исправить.Что ручками,что унпакерами,но баг один и тот же,одна форма с заменой ресурса,открывается с ошибкой.Не срабатывает TVirtualDrawTree. Импорт снял чистый,с другого процеса....Проверил,под атаченной,баг на кернеле32 рисуется,остальный библы нормально....Наномитов вроде нет... Кстати,прежде чем создать процесс he CreateThread,надо раз 5-6 пройти he VirtualProtect.Поэтому voodoo69 не туда вылетал....... Так что рано ещё том закрывать.....)))))))))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 16 марта 2007 10:28 · Личное сообщение · #15 Bronco пишет: Наномитов вроде нет... Где (?), если в библе, их там никогда не бывает, только в эксешнике, в FDec.exe их до хрена. Тожe сижу разбираюсь с этим декомпилом (2.0 build 2.9.0.345). |
|
|
Создано: 16 марта 2007 10:30 · Личное сообщение · #16 Bronco пишет: одна форма с заменой ресурса,открывается с ошибкой Такаяже история. |
|
|
Создано: 16 марта 2007 10:59 · Личное сообщение · #17 NIKOLA У меня посвежее будет(2.9.9.360). в FDec.exe их до хрена. ArmInline_0.96 (финал),трендит что они не задействованы(наномиты) Баг с этого куска кода 0056F776 8BC0 MOV EAX,EAX 0056F778 53 PUSH EBX 0056F779 66:83B8 2A060000 00 CMP WORD PTR DS:[EAX+62A],0 ================ прежде чем создать процесс he CreateThread,надо раз 5-6 пройти he VirtualProtect. Немного уточню,топать по F9,пока в стеке не появиться нужный адрес из нашей иат. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 16 марта 2007 11:59 · Личное сообщение · #18 DilloDIE неправильно восстанавливает наномиты в этой проге. Но если вы любите заниматься мазохизмом, и восстанавливать в ручную , я не против. Гораздо проще закейгенить. Учитывая что используется V3ShortKey level=4, на все уйдет пара минут,и тему можна закрыть. username=vel Key=0000UW-014R38-UD5UV8-41UE6R-7M4PQJ-ND2HRZ |
|
|
Создано: 16 марта 2007 12:58 · Поправил: NIKOLA · Личное сообщение · #19 Молодца vel. Топик и вправду иожно закрыть. Предложение vel'у, создать отдельный топик с "запросами", на прогах которых весит арма и пущай vel их кейгенит по мере возможности, смысл в распаковке отпадает. Как на это смотрят vel и модеры? |
|
|
Создано: 16 марта 2007 14:57 · Личное сообщение · #20 Гораздо проще закейгенить. Задача такая не ставилась,выше я уже сливал серийку.Она подходит.... Вот чего бы хотелось: Bronco пишет: Арму снимаю из -за левых ключей в реестре. ----------------- vel пишет: Но если вы любите заниматься мазохизмом А с этим можно было повозиться,если конечно есть инфо как.........)))))))))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 16 марта 2007 15:10 · Личное сообщение · #21 vel пишет: ораздо проще закейгенить. Смотря кому. vel пишет: Но если вы любите заниматься мазохизмом, и восстанавливать в ручную , я не против. Именно так я их и восстанавливаю всегда. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 16 марта 2007 16:17 · Личное сообщение · #22 vel пишет: Учитывая что используется V3ShortKey level=4 ой, спасибо.. еще одна прожка с ловлевелом =) NIKOLA пишет: Как на это смотрят vel и модеры? я за..а то бы и помогал иногда =) NIKOLA пишет: Топик и вправду иожно закрыть. done. ----- Тут не могла быть ваша реклама |
|
eXeL@B —› Основной форум —› помогите с armadillo debug blocker |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати