привет всем! скачал зе бат последнюю версию почтовика клиента и ради хохмы решил его крякнуть! хе-хе не тут-то было загурзил в PEID он мне фигню какуюто выдаёт.... .загрузил в DIE вот он сразу расставил все точки над и..... говорит это злая Themida...... загрузил в Ольку и тутже вздрогнул.... Олька зависла и тут же винда мне сообщила что ошибка и нужно отправить отчёт к какойто матери..... короче парни помогите.... в чём трабла? нужна примочка к Олле? или какиенить настройке в Олле заменить?

| Сообщение посчитали полезным:

Есть такая проблема... код одной интересной функции засунут в фемиду, т.е. от функции остался только пролог, затем переход на код в фемиде, и оттуда возврат на конец функции

записал трассировку в лог, там около 3*10^6 строчек,
что с этим делать?

| Сообщение посчитали полезным:

GoldFinch
Разбирать VM и восстанавливать оригинальный код функции. Это если в лоб решать проблему. Но лучше найти обходные пути

| Сообщение посчитали полезным:

VM... между "jmp Themida" и "pop esi " гдето 100 байт. Какая же это должна быть ВМ что она 20-30 инструкций превратила в 3'000'000 %)
Входными данные для кода - ESI и EBX, причем в ESI видимо число, а EBX указатель вроде бы на строку.
Результат работы функции - вроде бы изменение байт строки.
Есть ли какой-нибудь скрипт, который отследит что происходит с этими двумя значениями?

| Сообщение посчитали полезным:

GoldFinch
Какая же это должна быть ВМ что она 20-30 инструкций превратила в 3'000'000 %)
Обычно так и есть

Есть ли какой-нибудь скрипт, который отследит что происходит с этими двумя значениями?
Нет, универсальных инструментов нет, все делается индивидуально для каждой программы.

| Сообщение посчитали полезным:

Отслеживание зависимости входа и выхода конкретных переменных слайсингом зовётся, теории на эту шнягу много, а вот практики хорошей чо-то не видел. В принципе если дофига времени и нужно писец как, то можно накодить.

| Сообщение посчитали полезным:

trouble пишет:
lobs
Залей свой плагин фантома.

мой плагин фантома!




d287_08.09.2008_CRACKLAB.rU.tgz - PhantOm.dll

| Сообщение посчитали полезным:

daFix пишет:
lobs
Обычно это бывает при неправильном CRC памяти. Это может быть вызвано тем что олька при трассировке использует int3 прерывания

в опции Debugging options -> Exceptions -> INT3 breaks отключено!
или в других опциях что-то отключить надо!

P.S. Раньше юзали ASProtect теперь Themida =)

| Сообщение посчитали полезным:

lobs
Эта опция означает только то, что остановится олька при встрече в коде не своего int3, или нет. А при трассировке по F8 она все равно будет использовать это прерывание.

| Сообщение посчитали полезным:

Errins пишет:
Эта опция означает только то, что остановится олька при встрече в коде не своего int3, или нет. А при трассировке по F8 она все равно будет использовать это прерывание.

чтоже тогда делать? должны быть обходные пути!

| Сообщение посчитали полезным:

lobs Пишет:чтоже тогда делать? должны быть обходные пути!
Есть обходной путь взять и почитать русскую справку по --> Olly <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

C помощью плагина --> poison <-- http://www.tuts4you.com/download.php?view.2281 отпадает необходимость скачивания патченой оли для фемиды.
Настройка:Options=> OllydbgPatcher=>FPU Bug и после перезапустите олю.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan, не проще юзать фантом вместо связки других плагов для хайда?

| Сообщение посчитали полезным:

Я что то не пойму. Накануне запускал Olly+прогу с фемидой, свободно ставил бряки, трейсил и т.п. Опций никаких не менял, даже комп не выключал. На след. день делаю все то же самое - не работает!
Запускаю прогу, запускаю Olly, делаю аттач, затем - Run - внизу пишет - thread xxx terminated. Если ставлю бряки, то либо вообще не реагирует, либо ведет себя совершенно неадекватно (допустим если пропатчить опред. байты, то реакция проги, которая должна быть и мне уже известна - уже не такая), либо вообще вылетает с ошибкой. В чем дело??? Пробовал все...сносил Olly, перезагружал комп и т.п. Не дает больше дебажить!!!.

Один раз вылечилось запуском компии этой же проги с другого диска..больше не помогает.Сборка Olly специально под фемиду. Бред какой то.

| Сообщение посчитали полезным:

Вернёмся к TheBat.
Качнул сегодня последнюю альфу v4.0.34.17 http://www.ritlabs.com/download/files3/the_bat/beta/tb403417.rar и сразу в тупик она меня поставил. НЕ могу найти ОЕП. Всё не по фильму.
Чегото наизменяли. Раньше на третем бряке ловилось
CALL to GetModuleHandleA
pModule = NULL
А щас вообще нет.
И EP не похожо на другие версии...

-----
AutoIt

| Сообщение посчитали полезным:

Наверно темиду обновили

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Блин, вот засада. Может новое кино кто снимет? Если не затруднит.
А может там дальше всё легко пойдёт по сценарию (по фильму), гляньте ктонибудь.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
там еще и импорт попорчен, так что oep тебе не поможет.
и на 17-й бетке поверх темиды похоже какая-то мелкая дрянь дополнительно навешана. в конце файла непонятный кусочек кода и секции переименованы.

| Сообщение посчитали полезным:

Видимо афторы тоже читают руборд и смотрели наше кино))
что делать будем?

-----
AutoIt

| Сообщение посчитали полезным:

Даешь по фильму на билд!

Сорри за офтоп но реально смешно топик выглядит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

а действительно, будет 2 часть блокбастера
the bat unpacking 2: the return of the protector

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

OLEGator
я на прошлой неделе распаковывал 4.0.34.0 было все так же как в кино один в один!

если будет время гляну, чего они там нового добавили =)

| Сообщение посчитали полезным:

Вобщем тут темида версии 2.x.x.x и скрытие сигнатуры по типу1.

OEP тут:

00C6DE78 > $ 55 PUSH EBP

Начало создания iat:

011FAA11 B0 90 MOV AL,90


Конец создания iat:

011FAA53 ^\E9 D6FEFFFF JMP thebat.011FA92E


После скрипта для восстановления iat половина вызовов невалидные, не вручную же их восстанавливать??? подскажите ктонить!!

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

RSI пишет:
я на прошлой неделе распаковывал 4.0.34.0
эту и я распаковывал. проблем не было. проблемы начались гдето в районе v4.0.34.17
Глянь пожалуйста, заранее благодарен. (если сильно изменено всё, то киношку бы, чтоб не приставать с последующими версиями)

-----
AutoIt

| Сообщение посчитали полезным:

кстати скрипт такого содержания:

mov OEP, C6DE78
mov bp1, 11FAA11
mov bp2, 11FAA53
mov iat, 10F2FF8

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

ты таки распаковал? и как оно в целом? процесс сильно изменился\отклонился от фильма?

-----
AutoIt

| Сообщение посчитали полезным:

depler
ачё посмотри как скрепт работает, да поправь, в фемиде импорт ваще слабый..

depler пишет:
кстати скрипт такого содержания:

mov OEP, C6DE78
mov bp1, 11FAA11
mov bp2, 11FAA53
mov iat, 10F2FF8
bp1 и bp2 скорей всего места, где виден адрес апи и куда будет переходник писаться, сам почти такой же скрепт песал..

| Сообщение посчитали полезным:

OLEGator нет таки, не распаковал (( После работы скрипта половина функций не распозналась

sniperZ дык bp1 и bp2 я правильные нашел, скрипт отработал нормально, дальше то че с импортом делать? Вручную сотню функций то не осилишь

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
то че с импортом делать?
Зачем тебе фима если не можешь с импортом справиться Импорт любого уровня востанавливается элементарно, гораздо проще чем у многих протов среднего уровня..

| Сообщение посчитали полезным:

pavka ну покажи мастер класс как импорт восстановить

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

А че там показывать ;) иди в рар статьи и читай статью SergSh
Принципиально импорт восстанавливается всегда одинаково

| Сообщение посчитали полезным: