Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых) |
![]() |
eXeL@B —› Основной форум —› Проблема при распаковке MyChatServer (EXECryptor ) |
<< . 1 . 2 . 3 . 4 . 5 . 6 . >> |
Посл.ответ | Сообщение |
|
Создано: 05 июля 2007 13:51 · Личное сообщение · #1 Привет всем. Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз. Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB) Как уже понятно - это чат для локальной сети. Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ). Итак, что я нарыл: 1) Прога написана на Delphi 2) Нашел тем же способом как в статье IAT ( и восстановил скриптом ) Начало RVA IAT: 0026617C Размер IAT: 7BC 3) OEP оказалось только одно, и без спертого кода. OEP: 0024FE80 4) TLS: 0026A000 Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!! И вот возник вопрос. Почему это такое? и как с ним бороться? ![]() |
|
Создано: 19 июля 2007 13:23 · Личное сообщение · #2 А вот есть челы, которые берут чужой скрипт А "баба-яга" против...))))) Есть три простые истины на этом форуме,по крайней мере для меня: 1.Если ты пришёл на этот форум: А.За советом и помощью - возможно ты не ошибся. Б.Посоветовать,помочь и поделиться опытом - ты наверняка не ошибся. 3.Если ты пришёл чморить и т.д. - кажется ошиблись с тобой. -------------------- И опять же повторюсь,туторы пишуться не для "новичков",а для "знакомства" с дырками защиты. Есть способности и время разгребать всё самому.Ждёмс результатов!!!!! ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 19 июля 2007 13:50 · Личное сообщение · #3 Smon пишет: скрипт PE_Kill'а по восстановлению иат Скрипт PE_Kill'а хорошо откоментирован и статья его есть ! лучше я бы не написал ;) ну и как вы могли заметить сам я его скриптом не пользуюсь ![]() Smon пишет: Нормальные туторы и должны разъяснять восстановление вручную а не "Теперь запускаем скрипт от такого то такого то для восстановления того то того то" Это не тутор а небольшое резюме на Amok пишет: Поиск команд JMP 00406324 и CALL 00406324 ничего не дал. Как тут ОЕР восстанавливать? Vovan666 пишет: Больше половины времени в видео он восстанавливает вручную импорт. Хм .. Вообще то импорт можно восстановить банальным импреком с плугом почти во всех вериях прота ![]() |
|
Создано: 19 июля 2007 14:08 · Личное сообщение · #4 |
|
Создано: 19 июля 2007 14:17 · Личное сообщение · #5 |
|
Создано: 19 июля 2007 14:21 · Личное сообщение · #6 |
|
Создано: 19 июля 2007 14:30 · Личное сообщение · #7 Bronco пишет: Ждёмс результатов!!!!! Это что в мою сторону чтоли? Конкретнее можно, что отменяя нужно? ![]() Если это насчет плагина(?) ну, дык Hellspawn еще не отписался у себя в теме про плагин, ты не беспокойся, я что знаю ему, чтобы помочь все напишу, если напишет что нужно полное описание этой функи, я ему его дам… (я за деньги то, что знаю, НЕ ПРОДАЮ!!! Все бесплатно! (если там еще что имелось ввиду дополнительно)) ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com ![]() |
|
Создано: 19 июля 2007 15:27 · Личное сообщение · #8 Demon666 пишет: Это что в мою сторону что-ли? Я вообще-то не указывал в чей огород....))))) Скорее всего обобщающе....))))) ------------- если напишет что нужно полное описание этой функи, я ему его дам - Не проси, сами предложат!!!! //У Воланда кажется так сказано? У меня нет ни функи, ни описания,была бы - просто слил бы. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 19 июля 2007 16:00 · Личное сообщение · #9 Bronco пишет: - Не проси, сами предложат!!!! //У Воланда кажется так сказано? У меня нет ни функи, ни описания,была бы - просто слил бы. Я у него, не спрашивал, нужно ли ему описание функи, а уточнял для себя конкретно поставленную им задачу, после этого постараюсь более подробно написать, чтобы потом не было багов в плагине (эта функа является одной из основных в отладчике и чтобы хорошо ее описать ну-но пару страничек черкнуть!!! Все зависит от поставленной задачи (кстати на паблике подробного ее описания нет!)), это обычные технические обсуждения, но если вдруг есть претензии то в студию их, что я там неправильно написал? Короче советую, кто не шаред НЕХ флейм в теме разводить, я тут высказал свои положительные эмоции насчет боевичков от pavka, если здесь это строго запрещается, то сорри не знал… ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com ![]() |
|
Создано: 19 июля 2007 16:47 · Личное сообщение · #10 Demon666 пишет: я тут высказал свои положительные эмоции насчет боевичков от pavka, если здесь это строго запрещается, то сорри не знал… Да нет не воспрещаеться ![]() ![]() |
|
Создано: 19 июля 2007 17:34 · Личное сообщение · #11 |
|
Создано: 19 июля 2007 18:47 · Личное сообщение · #12 pavka Да-да, было такое, как только чуток разгребу дела, в подфоруме для новичков создам тему для обсуждения как раз по мета/полиморфу, мутаторы и т. д. надеюсь, найдутся не только читатели, но и те, кто будет обсуждать данную тему, там типа непосредственно интересные фишки протекторов, не знаю, насколько все будет гуд, но думаю, попробовать стоит… (с меня, кстати, писатель тоже хреновый получается) Там выложу плагин, в нем будет несколько фишек + драйвер со своими приколами типа бряки и т. д. + я добавлю несколько приколов, чтобы было интереснее ну типа, чтобы воспользоваться той или иной функой надо будет чуток заломать, ну и будут пасхальные яйца, надеюсь, все это будет интересным! Ну и будет по-крайней мере у большинства работать Вообщем там много еще всего планирую, но вот вопрос дадут ли осуществить задуманное Bronco пишет: Ну если..... "уточнял задачу",смотри.... как бы на "гладиолус" не напороться....)))))) Этот сарказм в мою сторону в надежде чтобы у меня не получилось помочь Hellspawn с плагином, если да, то я тебя не понял чего ты тут пытаешься доказать кому-то и самое главное что… смысл тобой написанных слов не согласовывается, да это и не важно в принципе… ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com ![]() |
|
Создано: 19 июля 2007 19:34 · Личное сообщение · #13 Demon666 У тя "анализ" надуманный...))))) в надежде чтобы у меня не получилось А какой у меня мотив?))))))) Ваще у меня ща башка забита как kernelwind32.exe кильнуть. не понял чего ты тут пытаешься доказать Да в принципе это: смысл тобой написанных слов не согласовывается Библейская история...))))) В чужом глазу соринку видим?))))) --------- Но я рад,что ты прочитал,а главное что не споришь. Поэтому...замяли...)))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 19 июля 2007 19:39 · Личное сообщение · #14 Посмотрел китайское полнометражное кино ![]() pavka Спасибо за скрипты по восстановлению ОЕР. Потестировал....на проге Hyundai Flasher 1.01 сигнатура не находится. Прогу брал из запросов http://www.exelab.ru/f/action=vthread&forum=2&topic=8910&p age=10 Demon666 Ждем плагин. Все в предвкушении ![]() ![]() |
|
Создано: 19 июля 2007 19:56 · Личное сообщение · #15 |
|
Создано: 20 июля 2007 03:24 · Личное сообщение · #16 |
|
Создано: 20 июля 2007 03:47 · Личное сообщение · #17 |
|
Создано: 20 июля 2007 06:03 · Личное сообщение · #18 Amok push не находит версия компиля постарше ;) калл находит надо по версим посмотреть что бы более универсально сделать ;) 004050D1 h> 6A 60 push 60 004050D3 68 C43D4100 push hyflashe.00413DC4 004050D8 E8 BF0C0000 call hyflashe.00405D9C 004050DD 33F6 xor esi,esi 004050DF 56 push esi 004050E0 8B3D 2C915600 mov edi,dword ptr ds:[<&kernel32.GetModuleHand>; kernel32.GetModuleHandleA 004050E6 FFD7 call edi 004050E8 66:8138 4D5A cmp word ptr ds:[eax],5A4D 004050ED 75 1F jnz short hyflashe.0040510E Нужен тебе анпакнутый? или сам разберешся? если нужен скажи выложу! ![]() |
|
Создано: 20 июля 2007 09:56 · Личное сообщение · #19 |
|
Создано: 20 июля 2007 15:38 · Личное сообщение · #20 r99 пишет: аналогично можно было б сделать и оепо-искатель В контексте криптора зачем? В этой проге Hyundai Flasher 1.01 можно было принять оеп 004B7E30 E8 C2FAF7FF call hyflashe.004378F7 ; OEP 004B7E35 C4AE DB104804 les ebp,fword ptr ds:[esi+44810DB] или еще пару мест и не париться в восстановлением байтов ! Другое дело в делфи где стырен целый стаб и в статике можно сделать только каркас ..Криптор не зря охраняет еп после еп пракический любое место где он восстанавливает стек можно смело брать за оеп и не париться восстановлением я предлагал прогу CSE HTML Validator v8.04 вот к примеру 2 точки можно взять за оеп 0090DF12 6272 F7 bound esi,qword ptr ds:[edx-9] 0090DF15 870C24 xchg dword ptr ss:[esp],ecx 0090DF18 E8 8D01FEFF call cse80.008EE0AA ; ***oep -------------------------------------- 008B59E0 c> E8 036FFFFF call cse80U_.008AC8E8 ; ***oep 008B59E5 4C dec esp 008B59E6 04 ED add al,0ED ![]() |
|
Создано: 20 июля 2007 15:54 · Личное сообщение · #21 |
|
Создано: 20 июля 2007 17:05 · Личное сообщение · #22 |
|
Создано: 20 июля 2007 17:22 · Поправил: Amok · Личное сообщение · #23 pavka пишет: Что происходит прога стартует? По адресу 00658215 попадаю на int3. Перезапускаю прогу ноплю это место, попадаю сново на int3 токо теперь по адресу 007В5С31. Перезапускаю, ноплю оба адреса вылетает окно, что прога выполнила недопустимую операцию и будет закрыта, либо сразу терменейт процес. ![]() |
|
Создано: 21 июля 2007 06:22 · Личное сообщение · #24 Amok пишет: Перезапускаю прогу ноплю это место, попадаю сново на int3 токо теперь по адресу 007В5С31. Перезапускаю, ноплю оба адреса вылетает окно, что прога выполнила недопустимую операцию и будет закрыта, либо сразу терменейт процес. Хм .. а что другое может произойти? ;) Дружище читай внимательно топик вот качнул этот Total Uninstall 4 распаковка заняла не более минуты ![]() вот распакованый файл уж если есть такое желание восстановить стаб проще сдлать это с распакованого ![]() rapidshare.com/files/44109759/Tudump.rar ![]() |
|
Создано: 21 июля 2007 15:05 · Личное сообщение · #25 pavka пишет: читай внимательно топик Уверяю тебя, читаю очень внимательно топик. pavka пишет: Грозный криптор как какой нить упх ловится на востановлении стека Скачал анпакнутый тобой Total Uninstall 4 посмотрел в нем ЕР. Поставил на этот адрес бряк в не распакованном файле. Брякнулся смотрю стек 0012FFC4 77E814C7 RETURN to kernel32.77E814C7 <--ESP Такой стек я видел и в программе Hyundai Flasher 1.01, стоя на ОЕР. Поэтому стал пробывать находить ОЕР, через бряк на RETURN to kernel32.77E814C7. В Hyundai Flasher 1.01 это прокатывает, а вот в Total Uninstall 4 hr 0012FFC4 не срабатывает, пролетаю мимо и брякаюсь в системных библах, а потом уже начинаются int3. ![]() |
|
Создано: 21 июля 2007 15:24 · Личное сообщение · #26 |
|
Создано: 21 июля 2007 15:56 · Личное сообщение · #27 pavka На 0012FFC0 пробывал ставить бряк, он срабатывал внутри kernel32, продолжал жать на шивт+F9 и пролетал мимо ОЕР. Сейчас попробовал ещё раз, брякнулся внутри kernel32, Alt+F9 (вернулся в прогу) и стал трейсить по F7 и следить за стеком. Через 4 команды по JMP EAX попал на ОЕР, а стек уже как 3 команды назад был равен 0012FFC0 поэтому я брякался раньше и не узнавал ОЕР, который видел в распакованном файле. Спасибо за помощь, думаю, что теперь у меня не будет проблем с поиском ОЕР в EXECryptor'е. ![]() |
|
Создано: 21 июля 2007 16:01 · Личное сообщение · #28 Сэнькс YDS за патч - отличная работа!!!! "Петя" и RDG воду мутят - PEtite 1.3 die честный - EXECryptor.2.1.x....)))))))))) Скрипт PE_Kill'а(для иат), не подошёл,плаг к имреку тоже виснет,а вот скрипт от KaGra чисто отработал. По сути, первый раз Borland C++ востанавливал.Повезло..., с оер не пришлось возиться...)))))) Это криптора работа,с таким интервалом блоки библ разбрасывать? Пришлось инлайнить новую базу.TLS вернул в родное место.Остальное пока не смотрел. Сабж хоть и работает,но по ходу там ещё надо востанавливать,ибо секции криптора так просто не кильнёшь. Из-за этих секций, размер архива большой получился: _http://www.sendspace.com/file/wnt9ds Ну и так,для тех кто уже знает.Где там от ключа в реестре оттучить? В принципе из-за него снимал...))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 21 июля 2007 17:28 · Личное сообщение · #29 |
|
Создано: 21 июля 2007 18:04 · Личное сообщение · #30 |
|
Создано: 21 июля 2007 21:18 · Личное сообщение · #31 |
<< . 1 . 2 . 3 . 4 . 5 . 6 . >> |
![]() |
eXeL@B —› Основной форум —› Проблема при распаковке MyChatServer (EXECryptor ) |