| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Снятие конверта гвардант |
| Посл.ответ | Сообщение |
|
|
Создано: 13 июня 2013 17:11 · Личное сообщение · #1 Всем здрасти) Хочу снять конверт с exe защищенной конвертом Guardant, ключ в наличие имеется (guardant sigh). Все статьи в инете устарели и ни один способ уже не работает, в смысле того что и защита уже другая у гварданта и ключи совершенствуются. Так вот кто нить может подсказать в какую сторону копать?) Кстати у Guardant в линейке ключей новый появился - Guardant SD. (Новый электронный ключ Guardant SD (http://www.guardant.ru/products/guardant-mobile/guardant-sd/) представляет собой карту формата microSD с 4Gb флеш-памяти, собственным микропроцессором и возможностью загрузки пользовательского кода на Java. Для работы с Guardant SD доступен новый Комплект разработчика Guardant Mobile 2.0. Проект Guardant Mobile поддерживает два типа ключей - Guardant SD и Guardant Code любых модификаций. Основа защиты при использовании Guardant Mobile - это загружаемый в электронные ключи пользовательский код (для Guardant Code - C/C++, для Guardant SD - апплеты на Java).)  |
|
|
Создано: 13 июня 2013 17:20 · Личное сообщение · #2 |
|
|
Создано: 13 июня 2013 17:53 · Личное сообщение · #3 Jaa пишет: Поиск специалистов по параметрам <-- Спасибо), что я не знаю что ли. Хочу сам покопаться в огороде)) |
|
|
Создано: 13 июня 2013 22:02 · Личное сообщение · #4 nar100 пишет: Так вот кто нить может подсказать в какую сторону копать? Ну для начала сними конверт. Делай всё олькой. Каков вопрос, таков ответ ----- Research For Food |
|
|
Создано: 14 июня 2013 00:26 · Личное сообщение · #5 daFix пишет: Ну для начала сними конверт. Делай всё олькой. Каков вопрос, таков ответ Вот я и пытаюсь снять конверт с олькой, PEID показывает, что использовался компилятор Microsoft Visual C++ 5.0 [Overlay]. Нахожу ОЕР (ставлю бряк на мемори на секцию .text содержащую код), дампю в ольке, дампится вроде, но потом все действия насмарку, ошибка и не запускается. Вообще все должно быть как обычно делается; дампим, потом редактирование PE заголовка востановление импорта. Может я ОЕР неправильно определяю??? |
|
|
Создано: 14 июня 2013 01:29 · Личное сообщение · #6 Сдампил, поправил, восстановил? На чем после этого падает определил? Может там внутри ГАПИ падает. ----- старый пень |
|
|
Создано: 14 июня 2013 12:37 · Личное сообщение · #7 Скорее всего OEP не могу найти правильно) Все методы нахождения показывают разные адреса)). Какой то плавающий код )). Может кто знает как надо определить или самый правильное определение OEP у этого зверя Microsoft Visual C++ 5.0 [Overlay]?) |
|
|
Создано: 14 июня 2013 12:50 · Личное сообщение · #8 Самый правильный-это на глаз. Может выложишь уже хоть что-нибудь? Или нам погадать на адрес оеп? И в чём сложность, сравнить оригинал и распакованный и посмотреть, где падает и почему? | Сообщение посчитали полезным: nar100 |
|
|
Создано: 14 июня 2013 18:03 · Личное сообщение · #9 Archer пишет: Самый правильный-это на глаз. Может выложишь уже хоть что-нибудь? Или нам погадать на адрес оеп? И в чём сложность, сравнить оригинал и распакованный и посмотреть, где падает и почему? Нет, гадать не надо) Вот ссылка http://rghost.ru/private/46751637/9018f234f84709a22a9e0d0afcb68282 Буду признателен за помощь! |
|
|
Создано: 14 июня 2013 18:11 · Личное сообщение · #10 это че за хрень? секция кода не раскриптована вообще nar100 пишет: тавлю бряк на мемори на секцию .text содержащую код поставил бряк на доступ к секции? брякнулся и сдампил, так чтоли? 
| Сообщение посчитали полезным: ajax |
|
|
Создано: 14 июня 2013 18:15 · Поправил: Модератор · Личное сообщение · #11 Archer забыл dllky : http://rghost.ru/private/46752033/98f8004e2ff11bbbbe2c5663c0a26a25 SReg пишет: поставил бряк на доступ к секции? брякнулся и сдампил, так чтоли? нет конечно SReg Взял из бряка только адрес EAX что бы использовать в дальнейшем для прикрутки импорта. ну и сдампил с петулз От модератора: Пользуйся кнопкой "Правка", не создавай сообщения подряд. |
|
|
Создано: 14 июня 2013 18:28 · Личное сообщение · #12 nar100 Стучись ко мне в аську, распакую, если там без кодсплайсинга ----- Research For Food | Сообщение посчитали полезным: nar100 |
|
|
Создано: 24 июня 2013 23:12 · Поправил: nar100 · Личное сообщение · #13 Спасибо daFix, что отозвался помочь, но у меня с интернетом проблемы, но как говорят не бывает худо без добра. В смысле научился сам распаковывать)) Может кто помочь: перечислить основные функции гвардант апи v. 5х в отладчике ollydbg? Извинюсь, т. е распознать? |
|
|
Создано: 24 июня 2013 23:16 · Личное сообщение · #14 nar100 пишет: перечислить основные функции гвардант апи v. 5х в отладчике ollydbg ога. олли их сам "курит" от рождения. осталось только bp grd!xxx сделать
----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 24 июня 2013 23:48 · Личное сообщение · #15 bp grd здесь не сработает)). А идентифицировать возможно если головой подумать) |
|
|
Создано: 25 июня 2013 00:29 · Личное сообщение · #16 А в чём тогда смысл темы?! Каждый диалог по схеме: сам спросил - сам ответил... |
|
|
Создано: 25 июня 2013 00:50 · Личное сообщение · #17 Я все надеялся что подскажут, поэтому и написал, но как вижу зря. Некоторые даже негативно реагируют)) но ничего сам догоню скоро и напишу статью на эту тему чуть осталось)) |
|
|
Создано: 25 июня 2013 01:50 · Личное сообщение · #18 nar100 Ты извини, я сам на колёсах был последнее время, а сейчас в горах с GPRS'ом, так что сильно напомогать не могу ----- Research For Food |
|
|
Создано: 26 июня 2013 10:12 · Поправил: nar100 · Личное сообщение · #19 daFix пишет: Ты извини, я сам на колёсах был последнее время, а сейчас в горах с GPRS'ом, так что сильно напомогать не могу Приятного отдыха друг. Так спецам хотел задать вопрос, надеюсь они помогут. Так после восстановления импорта с помощью ImportREC запускается , но затем вылетает эта ошибка . Так вроде все сделал правильно так как восстановленные таким же образом три упакованные exe в этой же проге работают нормально. В чем может быть проблема??? |
|
|
Создано: 26 июня 2013 10:41 · Поправил: ARCHANGEL · Личное сообщение · #20 nar100 Ну, это уже такая заезженная тема Гугл приведёт вас . Удачи.
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 26 июня 2013 11:24 · Личное сообщение · #21 |
|
|
Создано: 26 июня 2013 12:42 · Поправил: nar100 · Личное сообщение · #22 ARCHANGEL пишет: Ну, это уже такая заезженная тема Гугл приведёт вас --> Сюда <--. Удачи. Спасибо! Пропатчил, ошибка та пропала, но новая появилась, я то обрадовался что запустилась,но вылетело исключение по адресу.. см. рис Что бы это значило???) |
|
|
Создано: 26 июня 2013 14:03 · Личное сообщение · #23 nar100 0xC000000D STATUS_INVALID_PARAMETER An invalid parameter was passed to a service or function ----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 26 июня 2013 15:44 · Личное сообщение · #24 ajax пишет: 0xC000000D STATUS_INVALID_PARAMETER An invalid parameter was passed to a service or function спасибо, осталось только малое узнать, что за параметр ему не нравится)) |
|
|
Создано: 26 июня 2013 17:05 · Личное сообщение · #25 Hellspawn пишет: Hellspawn Спасибо!!! И ClockMan молодец. Всем большое спасибо за помощь!!! |
|
eXeL@B —› Протекторы —› Снятие конверта гвардант |
Для печати