Проблема с программи защищенными VMProtect

Сейчас на форуме: (+7 невидимых)

Посл.ответ	Сообщение
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 15 апреля 2011 21:02 · Личное сообщение · #1 Здравствуйте форумчане! Столкнулся с такой проблемой: 1. Скачал файл накрытый VMProtect, запустил - файл запустился все ОК. 2. Следующий шаг был просмотр ассемблированного кода в Ольке - Олька просто закрывалась, были перепробованы разные сборки Олек с плагинами Phantom, StrongOD и ODbgScript (ну это пол беды). В ИДЕ все нормально отображалось правда с запуском были проблемы (ну это понятно). 3. Патч от Int'a (ollydbg.1.10-patch.exe) не помог решить проблему, также не помог файл dbghelp.dll. 4. Дальше лучше - перестал запускаться сам файл и далее все файлы накрытые данным протом, причина непонятна (для тех кто спросит запускаются ли остальные файлы, сразу отвечаю все работает в штатном режиме, кроме вышеуказанной проблемы). 5. На виртуальной машине с установленной копией WinXP SP4 подопытные файлы запускались нормально, а вот Олька продолжала закрываться. Думаю проблема где-то в операционке, прошу помощи в решении проблемы. Предложения по переустановке прошу не постить, это будет последний вариант, если не будет решений Моя операционка Chip Windows XP 2010 с минимальным набором программ.

[0utC4St] Ранг: 109.3 (ветеран), 55thx Активность: 0.06↘0 Статус: Участник Yes! I_m noob!	Создано: 15 апреля 2011 21:15 · Личное сообщение · #2 inffo пишет: с установленной копией WinXP SP4 такого в природе не существует. Более того, sp4 и не будет, ибо... OllyDbg+StrongOD и всё шоколадно. Перезагрузись. ----- z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 15 апреля 2011 21:46 · Личное сообщение · #3 [0utC4St], а не кто не говорил про официальную SP4 --> ВоТ <-- смотри [0utC4St] пишет: Перезагрузись. Перезагрузка не помогает, проблема со вчерашнего дня, думал сам разберусь, но не получилось. Поиск по сайту и гуглу результата не дал. Надеюсь на помощь столкнувшихся с такой же проблемой.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 15 апреля 2011 21:55 · Личное сообщение · #4 Ну возьми загрузи ольку в ольку и разберись, почему закрывается. А вообще не стоит удивляться, что что-то глючит, когда наставил себе непойми чего. Какой-то чип хр 2010, ещё и сп4.
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 15 апреля 2011 22:17 · Личное сообщение · #5 Archer пишет: Ну возьми загрузи ольку в ольку и разберись, почему закрывается. Спасибо за совет попробуем. Archer пишет: А вообще не стоит удивляться, что что-то глючит, когда наставил себе непойми чего. Какой-то чип хр 2010 Chip WinXP (сборка) у меня всегда работала исправно, единственная проблема с которой столкнулся описал выше. Archer пишет: ещё и сп4 inffo пишет: На виртуальной машине с установленной копией WinXP SP4 подопытные файлы запускались нормально
ressa Ранг: 49.8 (посетитель), 56thx Активность: 0.09↘0 Статус: Участник	Создано: 15 апреля 2011 22:34 · Поправил: Модератор · Личное сообщение · #6 inffo пишет: Спасибо за совет попробуем. В ... тебя с твоим сарказмом...Тебе доходчиво все объяснили, что непонятного? А патч от Int'a - вообще не при делах, поставь нормальную олю, без всякой херни, и сборку нормальную.. От модератора: нежнее надо, на сутки кара. и вообще не сарказм то был, кажется мне
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 16 апреля 2011 00:36 · Поправил: inffo · Личное сообщение · #7 Archer отловить причину закрытия не удалось, т.к. на моей винде файлы пакованные VMProtect'ом не запускаются, а под виртуальной машиной при загрузке жертвы во вторую ольку при использовании следующих бряков: Code: Breakpoints 7638309F COMDLG32.GetOpenFileNameA COMDLG32 Всегда MOV EDI,EDI 77DC7ABB ADVAPI32.RegQueryValueExA ADVAPI32 Всегда MOV EDI,EDI 77DCEAE7 ADVAPI32.RegSetValueExA ADVAPI32 Всегда PUSH 2C 77DCEFC8 ADVAPI32.RegOpenKeyA ADVAPI32 Всегда MOV EDI,EDI 77DD42A0 ADVAPI32.RegDeleteKeyA ADVAPI32 Всегда MOV EDI,EDI 77DEBCF3 ADVAPI32.RegCreateKeyA ADVAPI32 Всегда MOV EDI,EDI + 7C801812 kernel32.ReadFile kernel32 Всегда PUSH 20 + 7C801A28 kernel32.CreateFileA kernel32 Всегда MOV EDI,EDI 7C801AD4 kernel32.VirtualProtect kernel32 Всегда MOV EDI,EDI 7C801D7B kernel32.LoadLibraryA kernel32 Всегда MOV EDI,EDI + 7C80236B kernel32.CreateProcessA kernel32 Всегда MOV EDI,EDI 7C810E27 kernel32.WriteFile kernel32 Всегда PUSH 18 + 7C812B7E kernel32.GetVersionExA kernel32 Всегда MOV EDI,EDI 7C81CB12 kernel32.ExitProcess kernel32 Всегда MOV EDI,EDI 7C821363 kernel32.GetWindowsDirectoryA kernel32 Всегда MOV EDI,EDI 7C8309B9 kernel32.OpenProcess kernel32 Всегда MOV EDI,EDI + 7C831EAD kernel32.DeleteFileA kernel32 Всегда MOV EDI,EDI + 7C835D54 kernel32.WritePrivateProfileStringA kernel32 Всегда MOV EDI,EDI 7C835E8F kernel32.MoveFileA kernel32 Всегда MOV EDI,EDI 7C838DE8 kernel32.LCMapStringA kernel32 Всегда MOV EDI,EDI 7CA41230 SHELL32.ShellExecuteA SHELL32 Всегда MOV EDI,EDI 7E379849 USER32.EnableWindow USER32 Всегда MOV EDI,EDI 7E37AAFD USER32.PostMessageA USER32 Всегда MOV EDI,EDI 7E37B19C USER32.DestroyWindow USER32 Всегда MOV EAX,1163 7E37C29D USER32.SetWindowLongA USER32 Всегда MOV EDI,EDI 7E37E4A9 USER32.CreateWindowExA USER32 Всегда MOV EDI,EDI 7E3803C7 USER32.GetWindowPlacement USER32 Всегда MOV EAX,11B8 + 7E38216B USER32.GetWindowTextA USER32 Всегда JMP 03300020 7E38C7DB USER32.CreateDialogParamA USER32 Всегда MOV EDI,EDI 7E3A07EA USER32.MessageBoxA USER32 Всегда MOV EDI,EDI 7E3BB05E USER32.GetDlgItemTextA USER32 Всегда MOV EDI,EDI + помечены бряки реагирующие на запуск испытуемого файла. Олька читает секции кода программы (kernel32.ReadFile), создает [имя файла].uud в соответствующей директории и валится на: Code: 0012AC44 59C70E94 /CALL в CreateFileA из dbghelp.59C70E8E 0012AC48 0012BB50 \|FileName = "C:\[имя файла].dbg" 0012AC4C 80000000 \|Access = GENERIC_READ 0012AC50 00000007 \|ShareMode = FILE_SHARE_READ\|FILE_SHARE_WRITE\|4 0012AC54 00000000 \|pSecurity = NULL 0012AC58 00000003 \|Mode = OPEN_EXISTING 0012AC5C 00000000 \|Attributes = 0 0012AC60 00000000 \hTemplateFile = NULL Меняю файл dbghelp.dll (взятый --> отсюда <--) в папке System32 - результат нулевой Параллельно ставлю на VM WinXP SP2, попробую на ней эксперимент поставить. ------------------------------------------ add: ------------------------------------------ ressa пишет: В ... тебя с твоим сарказмом...Тебе доходчиво все объяснили, что непонятного? А патч от Int'a - вообще не при делах, поставь нормальную олю, без всякой херни, и сборку нормальную.. Уважаемый, если Вам по теме сказать нечего, лучше не пишите. По поводу Ольки - она у меня и так с тремя плагинами. А на счет переустановки винды я написал в первом посте, читай внимательно. P.S. И не надо грубости, здесь каждый первый грубить умеет, в том числе и я ------------------------------------------ add: ------------------------------------------ На VM WinXP SP2 то же самое. Файл запускается нормально, а при открытии в Ольке - она закрывается без предупреждения. Использую при работе следующее: чистая олька 1.10, PhantOm plugin 1.54 и StrongOD - v0.4.2.734 (плагины настроены на VMProtect).
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 16 апреля 2011 02:01 · Личное сообщение · #8 inffo пишет: Archer отловить причину закрытия не удалось Значит какя-то антивирус программа недают грузить дрова плагинам(стронгу,фантику), либо твоя навороченная хр пропатчена (что вполне вероятнее), вмпрот видит в процессах ольку и просто её тупо закрывает... ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 16 апреля 2011 04:11 · Личное сообщение · #9 ClockMan пишет: Значит какя-то антивирус программа недают грузить дрова плагинам(стронгу,фантику) Драйвера вижу в АйсСворде как PhantOm так и StrongOD. При загрузке в ольку файла жертвы (разных файлов защищенных пакером) олька падает. Заметил закономерность: запускаю защищенный файл (предварительно добавив в исключение антивируса, хоть он и не ругается) первый запуск проходит нормально, загоняю в ольку, она закрывается и прога накрытая пакером перестает запускаться. Экспериментировал с разными версиями прота (1.7-2.0). А в VM защищенные файлы открывается постоянно, но в ольке не работают. Вот такие вот дела
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 16 апреля 2011 09:33 · Поправил: gena-m · Личное сообщение · #10 Здесь нужно выяснить почему dbghelp пытается открыть файл 0012AC48 0012BB50 \|FileName = "C:\[имя файла].dbg" т.е поставить бряк на:59C70E94 /CALL в CreateFileA из dbghelp.59C70E8E Маловероятно, что этот файл(C:\[имя файла].dbg) есть в системе, по идее отладочная версия не должна запрашиваться, если только раньше не произошла ошибка, что более вероятно. И лучше привести логфайлы первого и второго отладчика. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
vnekrilov Ранг: 329.6 (мудрец), 192thx Активность: 0.14↘0.01 Статус: Участник	Создано: 16 апреля 2011 09:37 · Поправил: vnekrilov · Личное сообщение · #11 inffo пишет: При загрузке в ольку файла жертвы (разных файлов защищенных пакером) олька падает. Когда я работал с Themida последних версий, то олька падала точно также. Но когда я пропатчил файл ollydbg.ini следующим образом: Code: [Plugin PhantOm] PEB=1 GETCOUNT=1 DRX=1 SETCONTEXT=1 DEBSTRING=1 WINVER=0 GETTIMES=0 DRIVER=1 RDTSC=1 REMOVEEP=1 HANDLE=1 WINDOWS=1 VERSION=154 DELTARDTSC=34816 CAPTION=1 BLOCK=1 HIDENAME=Fantik RDTSCNAME=rdtsc CAPTEXT=Forever PRETEXT=xD: SINGLE=1 то проблема ушла. Посмотри, может быть тебе это поможет.
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 16 апреля 2011 09:45 · Личное сообщение · #12 dbghelp положи рядом с ольгой, а не в system32 \| Сообщение посчитали полезным: Nightshade, inffo
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 16 апреля 2011 09:53 · Поправил: VodoleY · Личное сообщение · #13 inffo у мну олька гнала шо дурная, заметил что EIP переставляеца сам по себе, день убил, пока не нашел закономерность, это все происходило когда каспер выгружался из области памяти проги...(с антивирусами отлаживать агрессивный софт гнилое дело) с тех пор на чистой винде, на ноуте только все это и делаю, дабы не создавать себе проблемы З.Ы. а по поводу VMProta у Vamitа в соседнем топике есть Sweeper, поставь чистую ольку, кинь в нее свипера, положи тудаже дбжхлп и в свипере поставь 2 галки и будет у тя вмпрот счастлив ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... \| Сообщение посчитали полезным: inffo
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 16 апреля 2011 10:23 · Поправил: Coderess · Личное сообщение · #14 У мня каспер так делал, первый раз давал грузить второй раз просто блокировал плюс Av0id dbghelp положи рядом с ольгой, а не в system32 ЗЫ: Надо было у дерматолога спросить почему падает ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes \| Сообщение посчитали полезным: VodoleY, inffo
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 16 апреля 2011 11:25 · Личное сообщение · #15 Спасибо всем ответившим. Проблема решена отключением каспера и расположением dbghelp рядом с олькой.

Для печати