Снятие защиты yoda's cryptor 1.2 modified

Сейчас на форуме: Rio (+10 невидимых)

Посл.ответ	Сообщение
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 23 июня 2006 22:34 · Поправил: Iliya · Личное сообщение · #1 Снимал защиту с проги (MiniKeyLog, следилка, http://www.blue-series.de/download/MiniKeyLog.exe http://www.blue-series.de/download/MiniKeyLog.exe ), упакованного соответствующим пакером (уровень защиты один). После восстановления таблицы импорта при запуске проги вылетает сообщение "обнаружена ошибка". Просматриваю данные "отчёта": ошибка сгенерирована по адресу 00401005. Открываю экзешник в OllyDbg - это почти самое начало. Вот строки с начала и до ошибки: ADD AL,10 INC EAX ADD BYTE PTR DS:[EBX],AL POP ES <-- ошибка здесь В чём дело и что делать?

[norwed] Ранг: 15.6 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 24 июня 2006 00:25 · Личное сообщение · #2 у меня ссылка не пашет. Залей на slil
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 01:59 · Личное сообщение · #3 Я ошибся в ссылке, сейчас всё нормально. Но это другая версия MiniKeyLog'а, поэтому выкладываю здесь. 19d4_24.06.2006_CRACKLAB.rU.tgz - MiniKeyLog.part1.rar
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 01:59 · Личное сообщение · #4 2 часть fc20_24.06.2006_CRACKLAB.rU.tgz - MiniKeyLog.part2.rar
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 02:00 · Личное сообщение · #5 3 часть 5238_24.06.2006_CRACKLAB.rU.tgz - MiniKeyLog.part3.rar
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 02:01 · Личное сообщение · #6 4 часть 253e_24.06.2006_CRACKLAB.rU.tgz - MiniKeyLog.part4.rar
Bitfry Ранг: 495.3 (мудрец) Активность: 0.3↘0 Статус: Участник	Создано: 24 июня 2006 02:42 · Личное сообщение · #7 А OEP у тебя 401000? =) Сам посмотри, в начале секции код идёт явно не код: 401000: @ Boolean Очевидно, что это не должно выполняться. Не знаю, что ты там на анпикил, но плясать нужно от OEP = 000D3290 (без ImageBase). ----- Всем привет, я вернулся
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 11:57 · Личное сообщение · #8 У меня были варианты OEP: 00401000 и 00495AAE. Откуда у тебя OEP = 000D3290? У меня это - пустые строки кода, брейкпоинт на этот адрес не помогает. Но валидных функций он там не находит (может быть, я что-то неправильно понял или сделал?)
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 24 июня 2006 12:13 · Личное сообщение · #9 Он же написал: Bitfry пишет: OEP = 000D3290 (без ImageBase). Значит OEP+ImageBase = 000D3290 + 00400000 = 004D3290. Учи формат PE и основы асма. ----- Yann Tiersen best and do not fuck
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 13:40 · Личное сообщение · #10 Ну это понятно. Нам же нужен RVA OEP, у Bitfry он равен 000D3290. Значит, его VA OEP = 004D3290. Я не пойму, откуда он взял этот адрес, как он его нашёл. При попытке восстановления импорта с OEP = 000D3290 (я пользуюсь ImpRec) в ней находится функция, но она не валидная. То же самое происходит и если использовать OEP = 00095AAE (с ImageBase - 00495AAE). Если использовать OEP = 1000 (с ImageBase - 00401000), которая, как сказал Bitfry, не есть правильная, в ней находятся валидные функции, но после их восстановления программа не запускается.
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 24 июня 2006 14:00 · Личное сообщение · #11 Iliya Судя по коду что ты привел ОЕП ты не нашел а импорт находишь скорее всего криптора! Наиди нормально ОЕП и ни каких проблем не будет!
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 24 июня 2006 14:20 · Личное сообщение · #12 Iliya Скачал прогу по ссылке из первого поста. По 004D3290 находится чистый дельфовый OEP. Ставиш на него железный бряк и отпускаеш прогу. Когда бряк сработает дампиш. Запускаеш ImpRec в OEP пишеш D3290. Находится весь импорт, прикручиваеш его к проге и всё работает.
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 17:22 · Личное сообщение · #13 А как установить железный бряк в OllyDbg? Command Line команду bpm не знает, а при установке обычным bp 004D3290 он не останавливается на этом адресе.
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 июня 2006 18:33 · Личное сообщение · #14 Да, действительно, я протупил: OEP - 004D3290. Прошёлся по F8 чуть дальше - и нашёл этот переход. Спасибо большое, господа крекеры.
ev1l_4 Ранг: 66.5 (постоянный) Активность: 0.03↘0 Статус: Участник Повелитель ЗЛА	Создано: 25 июня 2006 01:42 · Личное сообщение · #15 Iliya Загляни сюда, тут есть по снятию защиты yoda's cryptor tuts4you.com/tutorials/Unpacking/
ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 25 июня 2006 10:51 · Личное сообщение · #16 Iliya Скачал твой архив из 4 частей. Прыг на ОЕР: `005F8917 5B POP EBX 005F8918 5D POP EBP 005F8919 - FFE0 JMP EAX ; ОЕР=ЕАХ=004F5FF4 005F891B F4 HLT ; Privileged command` Так выглядит ОЕР (делфи 6 или 7): `004F5FF4 55 PUSH EBP 004F5FF5 8BEC MOV EBP,ESP 004F5FF7 83C4 EC ADD ESP,-14 004F5FFA 33C0 XOR EAX,EAX 004F5FFC 8945 EC MOV DWORD PTR SS:[EBP-14],EAX 004F5FFF B8 FC5B4F00 MOV EAX,MiniKeyL.004F5BFC 004F6004 E8 470DF1FF CALL MiniKeyL.00406D50 004F6009 33C0 XOR EAX,EAX` Импорт для импрека в аттаче. Всем А какую версию проги смотрели Вы? По ссылке или из архивов? 53dd_25.06.2006_CRACKLAB.rU.tgz - tree.txt ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 25 июня 2006 11:19 · Личное сообщение · #17 ValdiS пишет: А какую версию проги смотрели Вы? По ссылке или из архивов? Я смотрел по ссылке из первого поста.
Iliya Ранг: 5.4 (гость) Активность: 0=0 Статус: Участник	Создано: 25 июня 2006 14:10 · Личное сообщение · #18 ev1l_4: Спасибо, почитаю ValdiS: Да-да, у меня то же самое. Спс за импорт.

Для печати