Armadillo. Необъяснимый баг с таблицей импорта (у кого-то было подобное?).

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2010 18:35 · Поправил: Kiev78 · Личное сообщение · #1 ---

Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2010 18:39 · Поправил: Kiev78 · Личное сообщение · #2 ---
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 27 января 2010 19:51 · Личное сообщение · #3 во-первых, не мешало бы лог ArmaFP, во-вторых, где таргет... и в-третьих, на вскидку, арма юзает LoadLibrary/GetProcAddress для вызова своих апи, при восстановлении импорта в анпуцнутом эксешнике указатели на эти апи могут быть неправильными
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2010 20:07 · Поправил: Kiev78 · Личное сообщение · #4 ---
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 января 2010 20:53 · Поправил: Vovan666 · Личное сообщение · #5 Запусти Armadillo Find Protected V1.8 с галкой evar. тебе нужно "восстановить" эти Environment Variable. запусти с такого батника SET xky=0xF0E1D2E3 SET DCEDITION=3 SET ALTUSERNAME=Vasya dumped_.exe если выскочит сообщение о вирусе, значит распаковал правильно, осталось только Environment Variable восстановить.
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2010 21:37 · Поправил: Kiev78 · Личное сообщение · #6 ---
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 января 2010 21:56 · Поправил: Vovan666 · Личное сообщение · #7 http://msdn.microsoft.com/en-us/library/ms682653%28VS.85%29.aspx http://msdn.microsoft.com/en-us/library/ms683188%28VS.85%29.aspx http://msdn.microsoft.com/en-us/library/ms686206%28VS.85%29.aspx Армадила использует эту апи для управления защитой,триалом, лиценциями и т.д. где-нибудь в пустом месте напиши что-то вроде Code: push '0xF0E1D2E3' push 'xky' Call [SetEnvironmentVariable] ;и так же для остальных jmp OEP после чего переделай оеп на этот код
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2010 22:37 · Поправил: Kiev78 · Личное сообщение · #8 ---
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 27 января 2010 23:01 · Личное сообщение · #9 Kiev78 пишет: Например, почему именно эти а не другие значения переменных нужны (xky=0xF0E1D2E3 и т.д.), откуда они взялись? Ты ведь не с потолка взял их? В любом случае спасибо за помощь. Поставь бряк на GetEnvironmentVariableA в распакованной версии, посмотри откуда из кода она вызывается, после чего поставь бряк на это же место в коде в запакованной программе ( без исправленного magic jmp) и смотри с каким параметром вызывается и что возвращает эта функция.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 января 2010 02:09 · Личное сообщение · #10 Kiev78 пишет: GetProcAdress и LoadLibrary ArmAccess.dll тебе в зад ) ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
huckfuck Ранг: 49.6 (посетитель), 9thx Активность: 0.03↘0 Статус: Участник	Создано: 28 января 2010 02:21 · Личное сообщение · #11 Kiev78 держи лодырь, не мучайся multi-up.com/210233
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 28 января 2010 06:57 · Поправил: Kiev78 · Личное сообщение · #12 ---
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 28 января 2010 07:17 · Личное сообщение · #13 нет, он предлагает взять и написать свою armaccess.dll и добавить к таблице импорта, если она не грузится динамически Code: format pe gui 4.0 dll entry DllEntryPoint include '%fasminc%\win32a.inc' section '.data' data readable szKernel db "kernel32.dll",0 szProc db "SetEnvironmentVariableA",0 table dd szCopies,szCopiesin,\ szDays,szDaysin,\ szExtra,szDaysin,\ szKeyCr,szKeyCrin,\ szKey,szKeyin,\ szUser,szUserin,\ szDaysLeft,szCopiesin,\ szExpired,szDaysin,\ szExpVer,szDaysin,\ szUses,szCopiesin,\ szClockBack,szDaysin,\ szClockForw,szDaysin,\ szClockWhy,szDaysin,\ szCommandLine,szDaysin,\ szLastRun,szDaysin,\ szFinger,szFingerin,\ szFinger2,szFingerin,\ szInvKey,szDaysin,\ szLoadWnd,szDaysin,\ szProtFile,szDaysin,\ szProtPath,szDaysin,\ szVersion,szDaysin,\ szODS,szDaysin,\ szODSu,szCopiesin,\ szKeyStr,szKeyin,\ -1,-1 szCopies db "COPIESALLOWED",0 szCopiesin db "999999",0 szDays db "DAYSINSTALLED",0 szDaysin db "0",0 szExtra db "EXTRAINFO",0 szKeyCr db "KEYCREATED",0 szKeyCrin db "1",0 szKey db "USERKEY",0 szKeyin db "666-999-666",0 szUser db "ALTUSERNAME",0 szUserin db "Avoid /// Revenge",0 szDaysLeft db "DAYSLEFT",0 szExpired db "EXPIRED",0 szExpVer db "EXPIREVER",0 szUses db "USESLEFT",0 szClockBack db "CLOCKBACK",0 szClockForw db "CLOCKFORWARD",0 szClockWhy db "CLOCKWHY",0 szCommandLine db "COMMANDLINE",0 szLastRun db "DATELASTRUN",0 szFinger db "ENHFINGERPRINT",0 szFingerin db "0000-0000",0 szFinger2 db "FINGERPRINT",0 szInvKey db "INVALIDKEY",0 szLoadWnd db "LOADINGWINDOW",0 szProtFile db "PROTECTEDFILE",0 szProtPath db "PROTECTEDFILEPATH",0 szVersion db "VERSIONNUMBER",0 szODS db "ODS",0 szODSu db "ODSUSERS",0 szKeyStr db "KEYSTRING",0 section '.text' code readable executable proc DllEntryPoint uses ebx esi edi, hInstDLL,fdwReason,lpvReserved cmp [fdwReason],1 ; attach jnz @f invoke DisableThreadLibraryCalls,[hInstDLL] invoke LoadLibrary,szKernel mov esi,eax invoke GetProcAddress,esi,szProc mov edi,eax mov ebx,table .again: mov eax,[ebx] cmp eax,-1 jz .out mov ecx,[ebx+4] cmp ecx,-1 jz .out stdcall edi,eax,ecx add ebx,8 jmp .again .out: invoke FreeLibrary,esi @@: xor eax,eax inc eax ret endp proc _uninstkey, lpParam1,lpParam2 xor eax,eax inc eax ret endp proc _instkey, lpParam1,lpParam2 xor eax,eax inc eax ret endp proc _updenv xor eax,eax inc eax ret endp section '.idata' import data readable writeable library kernel32,'kernel32.dll',\ user32,'user32.dll',\ gdi32,'gdi32.dll',\ advapi32,'advapi32.dll' include '%fasminc%\api\kernel32.inc' include '%fasminc%\api\user32.inc' include '%fasminc%\api\gdi32.inc' include '%fasminc%\api\advapi32.inc' section '.edata' export data readable export 'ArmAccess.DLL',\ _uninstkey,'UninstallKey',\ _instkey,'InstallKey',\ _updenv,'UpdateEnvironment' section '.reloc' fixups data discardable ; eof
Iona Ранг: 30.8 (посетитель), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 28 января 2010 07:45 · Личное сообщение · #14 @Kiev78 Думаю, что туторов ты не найдеш - это всеравно что искать тутор, как сложить два плюс два. Тебе всегото надо две утилиты и нажать две кнопки. dilloDIE 1.6 Armadillo Reducer 1.7.1 RC2
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 января 2010 14:38 · Поправил: ClockMan · Личное сообщение · #15 Эти значения должны быть(первые два самые главные) push "0xF0E1D2E3" push "xky" call SetEnvironmentVariableA push "3" push "DCEDITION" call SetEnvironmentVariableA push "DEFAULT" push "ALTUSERNAME" call SetEnvironmentVariableA Программка непростая оказалоась /5996B5/ CALL 005947F0 /5996BA/ ADD ESP,8 /5996BD/ CMP DWORD PTR [EBP-3C],F23B28C1(црк проверка) /5996C4/ JE SHORT 0059970B /402C82/ CALL 005999AC /402C87/ POP ECX /402C88/ TEST AL,AL /402C8A/ JNZ 00402D1A там ещё црк замудрённая надо разбирать сидеть мне лень... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 января 2010 16:59 · Поправил: ClockMan · Личное сообщение · #16 Недала меня эта фигня отдахнуть спокойно /50B359/ ADD ESP,10============>поставить бряк(esp+40)адрес перемен /50B35C/ LEA EAX,[EBP-10] /50B35F/ PUSH EAX /50B360/ PUSH 0 /50B362/ PUSH 0 /50B364/ PUSH 0069E960 в адрес переменной вписать 6617744B650A23787658745F44303078 прога по црк раскриптовывает сво ресурсы Вот расспакованный с триалом multi-up.com/210559 ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 28 января 2010 17:55 · Поправил: Kiev78 · Личное сообщение · #17 ---
huckfuck Ранг: 49.6 (посетитель), 9thx Активность: 0.03↘0 Статус: Участник	Создано: 28 января 2010 22:38 · Поправил: huckfuck · Личное сообщение · #18 Kiev78 пишет: Я так думаю алго генерации ключей там не простой (закейгенить вряд ли удастся), интересно - он он там самопальный или что-нибудь стандартное? Стандартный, от армудилы
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 29 января 2010 07:27 · Поправил: Kiev78 · Личное сообщение · #19 ---
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 29 января 2010 10:20 · Поправил: ClockMan · Личное сообщение · #20 Kiev78 пишет: Но самое интересное, что когда я ставлю бряк (хардварный!) на доступ (access) на восстановленную АПИ (думая, что происходит проверка участка памяти на изменение, и надеясь найти код, который проверяет таблицу импорта), то процесс завершается, без срабатывания этого бряка Всё рaбатает просто если остановится то на начале самой айпи,поставь в настройках poison(a) IsDebuggerPresent OutputDebugStringA в фантике Custom handle exceptions и всё остальное всё отключенно и всё работает ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Kiev78 Ранг: 67.4 (постоянный), 6thx Активность: 0.05↘0 Статус: Участник	Создано: 29 января 2010 17:52 · Поправил: Kiev78 · Личное сообщение · #21 ---
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 30 января 2010 03:52 · Личное сообщение · #22 Kiev78 Ставь себе виртуалку и не парь себе мозги... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 30 января 2010 10:15 · Личное сообщение · #23 ... и нам тоже

Для печати