 |
eXeL@B —› Протекторы —› HTML Executable (RLPack 1.20) |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 17 октября 2008 21:03 · Поправил: Djeck · Личное сообщение · #1 привет всем.Понадобилась помощь. Гулял как-то на руборде и заметил одну очень не плохую прогу на котору крека лет пять наверное нету.Решил посмотреть.О проге: HTML Executable- Создаeт exe. файл из нескольких HTML страниц. Программа необходима для разработки и распространения презентаций, документов, учебных пособий и т.п. В формате HTML. Скачать: files.htmlexe.com/heinst.exe Размер 12 метров Мой дамп: rapidshare.de/files/40700304/dump_.rar Размер: 3.7 метров Теперь о самой защите.Файл упакован RLPack 1.20.По ходу с максимальными опциями.Скажу честно прот в глаза вижу в первый раз,поэтому при распаковке мог где и накосячить,т.к. распаковал всего то за 20 минут и с первого раза. немного подробнее о том,что делал: Антиотладка: Code:
По адресу 00C0ACC6 можно посмотреть,как происходит обнаружение и подправить джампы,но разницу нету,так что легче занопить.Дальше: Code:
По адресам 00C0AE3A и 00C0AE3F идёт "включение" андидампа и защиты таблицы импорта.Можно так же потрейсить и разобраться,что тут происходит,но проще занопить и эти две защитные функции идут лесом. Code:
С краденными байтами не разбирался,т.к. тут всего то 3 байта (кстати кто знает рад бы услышать как здесь найти пизженные байты). С антидампом вопрос тоже решил быстро.Просто пристегнул кусок памяти (JMP 014E0119) к экзешнику.Вот собственно распаковка на этом и завершена.А вот дальше хрен знает чё делать. При загрузке строк появляется ошибка: 00407D8B /74 3D JE SHORT 00407DCA 00407D8D |817B 04 0000010>CMP DWORD PTR DS:[EBX+4],10000 ; UNICODE "=::=::" 00407D94 |7D 2A JGE SHORT 00407DC0 00407D96 |68 00100000 PUSH 1000 00407D9B |8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4] В строке подсказки олли: DS:[558BFFCD]=??? Пытался трейсить поочерёдно запакованный файл и дамп,но чё-то не получается.Был бы рад если кто с этим поможет.  |
|
|
Создано: 20 октября 2008 04:32 · Личное сообщение · #2 tempread пишет: Честно говоря, никогда не рассматривал импорт незащищенной програмы на Делфи Так посмотри.. |
|
|
Создано: 20 октября 2008 09:08 · Личное сообщение · #3 Djeck пишет: Я не смог сдампить прогу на диск без поправки LordPE хорошо справляется с антидампом в контекстовом меню выбираешь Active dump engine=>IntelliDump=>Select!.Потом выбираешь В контекстовом меню correct ImageSize и снимаешь дамп 
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 20 октября 2008 10:45 · Личное сообщение · #4 ClockMan пишет: LordPE хорошо справляется с антидампом Здесь мне он не помог  Тем более там для нормального дампа всего то:
00C0D998 |. FF95 310B0000 CALL DWORD PTR SS:[EBP+B31] 00C0D99E |. 83BD 91520000>CMP DWORD PTR SS:[EBP+5291],1 <--------- не должно быть 1,иначе косяк 00C0D9A5 |. 74 1C JE SHORT 00C0D9C3 00C0D9A7 |. 83BD 95520000>CMP DWORD PTR SS:[EBP+5295],1 00C0D9AE |. 74 13 JE SHORT 00C0D9C3 00C0D9B0 |. FFB5 9F5C0000 PUSH DWORD PTR SS:[EBP+5C9F] 00C0D9B6 |. FF95 E84E0000 CALL DWORD PTR SS:[EBP+4EE8] 00C0D9BC |. EB 05 JMP SHORT 00C0D9C3 00C0D9BE |> E8 02000000 CALL 00C0D9C5 00C0D9C3 |> 61 POPAD 00C0D9C4 \. C3 RETN Или как я уже говорил можно не лезть в дебре и запатчить весь call перед самым оеп |
|
|
Создано: 20 октября 2008 12:24 · Личное сообщение · #5 ClockMan пишет: LordPE хорошо справляется с антидампом в контекстовом меню выбираешь Active dump engine=>IntelliDump=>Select!.Потом выбираешь В контекстовом меню correct ImageSize и снимаешь дамп Если юзать дампер,то лучше Петулсовский Хотя здесь вобще не нужен олин и так дампит без проблем
|
| << . 1 . 2 . |
|
eXeL@B —› Протекторы —› HTML Executable (RLPack 1.20) |
Для печати