| Сейчас на форуме: _MBK_ (+7 невидимых) |
 |
eXeL@B —› Основной форум —› Расскажите как снять Armadilla с этого файла? |
| Посл.ответ | Сообщение |
|
|
Создано: 31 июля 2007 09:03 · Личное сообщение · #1 Вот файл slil.ru/24684796 PeID говорит, что Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks. Armadillo Process Detach пишет: Filename: ezcddax Parent process iD: [00000E90] Processing... [PROTECTiON SYSTEM] Professional Edition [PROTECTiON OPTIONS] Debug-Blocker protection detected Strategic Code Splicing enabled Import Table Elimination enabled Nanomites Processing enabled [CHiLD iNFO] Child process iD: [000004D8] Entry point: [00861000] Original bytes: [60E80000] Detached successfully 
Делал по мануалам на 3-ю и 5-ю арму. OllyDbg вылетает с ошибкой о том, что выполнила не правильную инструкцию и как всегда будет закрыта. Вылетает поле того, как несколько раз выполнится MOV EDI,EDI.  |
|
|
Создано: 31 июля 2007 09:08 · Личное сообщение · #2 rat Ты закрывал Armadillo Process Detach после деатача? ----- Research For Food |
|
|
Создано: 31 июля 2007 09:08 · Личное сообщение · #3 Нет, не закрывал. |
|
|
Создано: 31 июля 2007 09:12 · Личное сообщение · #4 rat У меня была подобная проблема, долго мучался, немог понять в чём дело. Попробуй взять чистую ольку, не накрытую ничем, должно прокатить ----- Research For Food |
|
|
Создано: 31 июля 2007 10:06 · Личное сообщение · #5 daFix Попробовал, такая же ерунда. |
|
|
Создано: 31 июля 2007 11:51 · Личное сообщение · #6 А у тебя оля пропачена от глюка с дебаг строкой? |
|
|
Создано: 31 июля 2007 12:21 · Личное сообщение · #7 Оля у меня OllyDbg v1.10 XP Style by BoOMBoX/TSRh2004 |
|
|
Создано: 31 июля 2007 12:47 · Поправил: rat · Личное сообщение · #8 В общем слил олю с оригинального сайта. Таже фигня что и с OllyDbg v1.10 XP Style. Причем обе вываливаются даже на UnpackMe_Armadillo_5.0. 
Bit-hack А чем или как патчить? |
|
|
Создано: 31 июля 2007 12:53 · Личное сообщение · #9 rat, юзай сборку от SLV. ----- Array[Login..Logout] of Life |
|
|
Создано: 31 июля 2007 12:53 · Личное сообщение · #10 Попробуй поставить плаг OllyAdvanced |
|
|
Создано: 31 июля 2007 13:08 · Личное сообщение · #11 rat, юзай либо готовые сборки Оли (патченые), либо: BoOMBoX/TSRh пишет: плаг OllyAdvanced только в нем на форме Bugfixer поставь галочку возле: Kill %s%s (full fix in string-routine) и не придется самоу нечего патчить |
|
|
Создано: 31 июля 2007 13:09 · Личное сообщение · #12 OllyAdvanced на чистую олли (с офф сайта) если поставить, то палиться в арме ничего небудет. Со slil.ru не все качать могут (у меня скорость 0,1 - 0,3 к примеру), и если выкладываешь - смотри чтоб минимальный дистрибутив работал ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 31 июля 2007 18:38 · Личное сообщение · #13 rat Хм, я тоже юзаю OllyDbg v1.10 XP Style by BoOMBoX/TSRh2004 с phOntom и OllyAdvanced, у меня нету косяков, все нормально снимаецо. ----- xchg dword [eax], eax |
|
|
Создано: 01 августа 2007 08:50 · Личное сообщение · #14 Поставил OllyAdvanced, вылетать перестало. Чего то по мануалам не могу пока снять арму эту. Разница между 3-й и 4-й большая? И еще, что такое?: Strategic Code Splicing, Nanomites Processing. |
|
|
Создано: 01 августа 2007 09:35 · Личное сообщение · #15 rat Это дополнительные опции защиты, вторая из которых новичкам в распаковке армы обычно не под силу. Для тебя конкретно: Strategic Code Splicing - из программы воруется часть кода, которая размешивается мусором и помещается в отдельный блок памяти. Nanomites Processing - из программы воруются условные переходы и заменяются на int3, которые протектор обрабатывает сам определяя адрес перехода. ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 августа 2007 10:00 · Личное сообщение · #16 А у меня на инструкции RDTSC выдает - Debugged program was unable to process exception и программа закрывается, хоть и стоит в OllyAdvanced галочка Anti-RDTSC И вообще при загрузке оли падает процесс svchost и нет виснет, даже отключится не могу 
|
|
|
Создано: 01 августа 2007 10:50 · Личное сообщение · #17 Dem0n1C пишет: стоит в OllyAdvanced галочка Anti-RDTSC как раз из за этогои выдаёт)))) выключи её... ----- [nice coder and reverser] |
|
|
Создано: 01 августа 2007 11:58 · Личное сообщение · #18 Hellspawn пишет: >Dem0n1C пишет: >стоит в OllyAdvanced галочка Anti-RDTSC как раз из за этогои выдаёт)))) выключи её... Спасибо большое помогло и свцхост перестал падать
|
|
|
Создано: 01 августа 2007 14:08 · Личное сообщение · #19 Попробовал снять арму с помощью dilloDIE 1.4 и dilloDIE 1.6. Они пишут что CreateProcess... --> Filename: ezcddax.exe --> Process ID: 00000BE8 Debugblocker detected... Entering Child Process... --> Process ID: 000008BC New Thread created. ID: 00000770 New Thread created. ID: 00000F28 New Thread created. ID: 000009AC New Thread created. ID: 00000930 New Thread created. ID: 0000086C New Thread created. ID: 00000BDC New Thread created. ID: 00000154 New Thread created. ID: 00000978 New Thread created. ID: 00000AB0 New Thread created. ID: 00000C68 New Thread created. ID: 0000081C New Thread created. ID: 00000C6C New Thread created. ID: 00000814 И всё. Ничего не распаковывает. Прога висит запущенная. Если закроешь, то пишет Eeeek. Process died.
Пробовал играть опциями. То же самое. |
|
|
Создано: 01 августа 2007 15:19 · Поправил: ManHunter · Личное сообщение · #20 rat пишет: Попробовал снять арму с помощью dilloDIE 1.4 и dilloDIE 1.6. Они пишут что это 5-я арма, все ее симптомы. dilloDIE тут не поможет. я такое же наблюдал на последнем HyperSnap-DX |
|
|
Создано: 01 августа 2007 15:50 · Личное сообщение · #21 rat Возьми Armadillo Find Protected v1.7 и посмотри с какими опциям стоит арма. ЗЫ: где то недавно на форуме пролетала ссылка на ArmaFP v1.7 ----- xchg dword [eax], eax |
|
|
Создано: 01 августа 2007 19:01 · Поправил: FrenFolio · Личное сообщение · #22 v0id2k пишет: Возьми Armadillo Find Protected v1.7 и посмотри с какими опциям стоит арма. А зачем? Он определил и при помощи Armadillo Process Detach.
ManHunter пишет: это 5-я арма, все ее симптомы. dilloDIE тут не поможет. +1 ArmaFP v1.7 показал версию 5.02. Кстати, кому интересно, вот сайт программы www.poikosoft.com/. Прога Easy CD-DA Extractor 10.5 build 1 и размером 5,5 Мб. ----- Программист SkyNet |
|
|
Создано: 02 августа 2007 14:01 · Личное сообщение · #23 Кто еще кроме меня пробовал снять аму с этого файла? |
|
|
Создано: 02 августа 2007 15:16 · Личное сообщение · #24 народ, а кто что-нть путное по восстановлению наномитов может подсказать...? авто-анпакеры и ArmInline не в счет... почитал тутор Guan de Dio про инжект кода, но немного не въехал... основной текст переведен на англицкий, а текст в картинках - нет... может есть на родном языке что-то подобное...? |
|
|
Создано: 02 августа 2007 15:21 · Личное сообщение · #25 s0cpy пишет: народ, а кто что-нть путное по восстановлению наномитов может подсказать...? авто-анпакеры и ArmInline не в счет... почитал тутор Guan de Dio про инжект кода, но немного не въехал... основной текст переведен на англицкий, а текст в картинках - нет... может есть на родном языке что-то подобное...? глянь-ка вот это:http://estetatet.narod.ru/Archives/ru_Lydia_3_Nanomites.rar |
|
eXeL@B —› Основной форум —› Расскажите как снять Armadilla с этого файла? |
Для печати