пытался сделать по туториалу Benina (PART 1: DUMP FILE Unpack Armadillo - Copymem Target: GetRight 5.0) дамп одной проги, но застрял на шаге Find Cripter Call!
там надо было прерваться по bp WriteProcessMemory и сделать F9, после чего посмотреть в списке Call Stack of main Thread и найти в этом окне декриптор.
у меня же в этом окне кроме самой функции kernel32.WriteProcessMemory нету других вызовов.
что делать в таком случае?

| Сообщение посчитали полезным:

Mario555
Байты там хранятся с мусором сразу, надо плагин делать, но мусорных конструкций меньше 10 его в принципе реально написать пока новая версия не появится

nobody
Да согласен нормальной статьи нету, я писал помню по арме но она уже устарела, думал новую написать а всё никак. Думаю медленно но верно за пару недель распакую Так долго потому что хочу новую тулзу для импорта сделать и плагин для иды чтоб код восстановить в оригинале.

А прогу я как-то давно в клубе компьютерном видел, это которая время отсчитывает

| Сообщение посчитали полезным:

dragon
да, эта прога из той серии
слушай, если ты вдруг будешь писать статью про снятие армы с этой проги, то плиззз, не свети рег. инфой
твою старую статью я начал читать, но она сложна для новичков
так понимаю что ты один из первых в сегменте .ру начал снимать арму? ты крут!

2All, кстати, есть прога ArmInLine, и она что-то делает с кодесплисингом и с наномитами, но опять таки мануалов по её использованию на русском я ещё нигде не встречал!

| Сообщение посчитали полезным:

nobody

Тебе нужно распаковать прогу или помоч в её распаковке?

| Сообщение посчитали полезным:

nobody пишет:
есть прога ArmInLine, и она что-то делает с кодесплисингом и с наномитами, но опять таки мануалов по её использованию на русском я ещё нигде не встречал!
мувик как ей пользоваться лежит здесь www.tinicat.de/hacnho/ вроди в этом туторе GetRight Professional 6.0 Beta 3

| Сообщение посчитали полезным:

nobody
вчера на екзетулз новую статью по арме выложили. Случайно не смотрел?ttp://rapidshare.de/files/11072186/Armadillo.4.40.CUSTOM.unpac king.all.protections.zip.html

| Сообщение посчитали полезным:

test

Перезалей куданибудь, а то на рапиде "файл не найден".


nice

Сенкс. До самого уже допёрло.

| Сообщение посчитали полезным:

убирайте пробелы!
rapidshare.de/files/11072186/Armadillo.4.40.CUSTOM.unpacking.all.prote ctions.zip.html

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

мда, теперь туторы состоят не в описании как ломать, а в описании где брать циферки и куда их тыкать... ужс... куда мир катиццо %))

| Сообщение посчитали полезным:

test
best regards! сегодня обязательно гляну!

NIKOLA пишет:
Тебе нужно распаковать прогу или помоч в её распаковке?
Как результат нужна распакованная(рабочая) прога
но чтобы добиться этого результата мне нужна помощь
если кто-нибудь смог бы паралелльно со мной ковырять эту прогу, было бы вообще отлично!
NIKOLA, может ты? я читал в форуме темы про арму и ты никогда не был в стороне!))

| Сообщение посчитали полезным:

Mario555 пишет:
мда, теперь туторы состоят не в описании как ломать, а в описании где брать циферки и куда их тыкать... ужс... куда мир катиццо %))
в какой-то степени согласен! зато более опытные люди могут почерпнуть себе новые, более рациональные знания!

| Сообщение посчитали полезным:

nobody пишет:
в какой-то степени согласен! зато более опытные люди могут почерпнуть себе новые, более рациональные знания!

Что можно почерпнуть, если в них нет никакой теории. Например я первый раз увидел IAT Elimination и захотел почитать статьи на краклабе, но там написано только где ставить какие бряки и картинки с отладчика налеплены, и нечего интересного там и нету. Пришлось самому разбираться. Вот так и со всем остальным.


Вот инфы немного, OEP = 5ED218, вот переход на него:

.text:00EBF508 cmp edx, 1
.text:00EBF50B jnz short loc_EBF528
.text:00EBF50D push dword ptr [edi+4]
.text:00EBF510 push dword ptr [edi+8]
.text:00EBF513 push 0
.text:00EBF515 push dword ptr [edi+0Ch]
.text:00EBF518 mov edx, [eax+5Ch]
.text:00EBF51B xor edx, [eax+54h]
.text:00EBF51E
.text:00EBF51E loc_EBF51E:
.text:00EBF51E xor edx, [eax+38h]
.text:00EBF521 sub ecx, edx
.text:00EBF523 call ecx ;-> вот он

надо ловить ставить бряк на EBF523 и начать трассировать, как только появится код на OEP(сначала он скрыт copymem) можно снимать дамп каким-нибудь спецдампером для армы. А вот с IAT пока не могу сказать, когда прогу перепишу, скажу, если за это время кто-нибудь другой не распакует

| Сообщение посчитали полезным:

ilya пишет:
мувик как ей пользоваться лежит здесь www.tinicat.de/hacnho/ вроди в этом туторе GetRight Professional 6.0 Beta 3
да, видел такой...туторы от hacnho мне не понравились...
если это мувик, то он обязательно его делает как-будто петух в жопу клюнул!
если это док, то инфа вся на "чуждом" языке и даже её почти всегда не хватает чтобы разобраться что он там хочет нам объяснить

| Сообщение посчитали полезным:

dragon пишет:
Например я первый раз увидел IAT Elimination и захотел почитать статьи на краклабе, но там написано только где ставить какие бряки и картинки с отладчика налеплены, и нечего интересного там и нету.
вот-вот!!! на русском ценной инфы мало!
а как начинаешь на форуме открывать темы с вопросами об этих фичах, так сразу посылают изучать статьи! замкнутый круг!)

| Сообщение посчитали полезным:

dragon
Теория тоже есть,но больше на испанском. Меня всегда удивляли ребята с Cracklatinos - великолепные статьи, разные темы(включая кодинг-Си,Дфи,Асм) ,всегда радуют необычным решением.Очевидно- ответы по многим вопросам, заданными здесь, могли бы найти в этих статьях[.Я сам редко что спрашиваю,не потому что "продвинут" ,ответы нахожу там.Читаю с перводчиком Promt .Время и(или) "таланта" не хватает что бы самому везде разбираться.

| Сообщение посчитали полезным:

test, ссылочку не подкинешь?))

| Сообщение посчитали полезным:

test и вправду дай ссылку,а то я уже наслышан об этих латиносах и о Нарвайи но сколько не искал - одна фигня вылазит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

test
Да я видел такие статьи но если английские ещё можно читать то испанские всё-таки трудновато, промт всё-таки анекдоты переводит - например boot sector - кусок ботинка и др И в соотношении таких хороший статей маловато будет.
Кстати если переводишь хорошую интересную статью, подумай о том, что можно перевод то и выложить..

Удивляет то, что у нас самая продвинутая страна в областях взлома, кодинга и реверсинга, а качественно всё это описывать никто не хочет. Я пишу редко, но если пишу стараюсь описать теорию, чтобы хоть понятно было о чём речь, даже когда я был начинающим и писал статью про арму, то в деталях описал зачем два процесса, что такое copymem и ещё что-то. В статьях про xprot и фемиду я тоже расписал все приёмы защиты в которых смог разобраться. А вот вышеупомянутый Нарвайа в своих статьях даже не написал что такое iat elimination и code splicing и как это реализовано. Да и наши стали всё в таком духе писать, стоит лишь посмотреть последние статьи на краклабе, примерно 1 из 10 будет интересно почитать.
И ещё, допустим есть время, не стоит учиться распаковывать по статьям типа "ставим тут бряк, жмем хз сколько раз ctrl+F9, и вот уже чудесным образом оказались на OEP.. Теперь ищем iat, скачиваем кучу скриптов и запускаем их все подряд пока импорт не восстановился, вот и всё, аспр распаковали". Может это и поможет распаковать один раз, но если попадётся прога, запакованная с другими параметрами или просто выйдет новая версия, толку от такой статьи - ноль.

| Сообщение посчитали полезным:

nobody пишет:
NIKOLA, может ты?

Прога сколько весит?

По поводу туторов здесь http://tutorials.accessroot.com можно кое что найти.

| Сообщение посчитали полезным:

dragon пишет:
А вот вышеупомянутый Нарвайа в своих статьях даже не написал что такое iat elimination и code splicing и как это реализовано
писал вроде... дело в том что у него много статей и в каждой говорить что такое опция защиты как-то неочень, имхо. Тоесть наверно ты читал не первую его статью про взлом армы с илиминатионом или т.п. (кста метод отлома илиминатиона у него наредкость извратный, я ниасили дочитать =) ). К тому же сразу видно что такое илиминатион если раньше распаковывал проги с армой в которых его небыло ;)
имхо статьи Нарвахи вполне приличные, чего нельзя сказать о многих других забугорных афторах, в частности статьи ссылки на которых приведены выше - это ужас =)

| Сообщение посчитали полезным:

драг, очень хочеться твоей статейки с разбором по запчастям армы...планируешь ?

| Сообщение посчитали полезным:

До середины февраля будет, если со сплайсингом разберусь

Mario555
Я читал перевод на краклабе, и метод уж слишком извратный. Я просто искал FF15 (call [xxxxxxxx]) и FF25 (jmp [xxxxxxxx]) в секции кода, доставал реальный адрес и в IAT его кидал, C-шный код на полстраницы всего а то что написано в статье я даже и смотреть не стал

| Сообщение посчитали полезным:

dragon
boot sector - кусок ботинка Да там такого хватает.Но это, если слова не зарезервировать или не оставить без перевода. То есть система позволяет настраивать перевод гибко.Если немного позаниматься
Promt ом то результат будет читаемый.
nobody
PE_Kill Линк выкладывал Рикардо на екзетулз, но сейчас помоему не работает:
www.ricnar456.dnydns.org
Имя и пасс - hola

| Сообщение посчитали полезным:

dragon пишет:
Я просто искал FF15 (call [xxxxxxxx]) и FF25 (jmp [xxxxxxxx]) в секции кода
гм... а вот так:

mov exx, dword [iat]
...
call exx

несложно конечно и их искать, но проще от армы всё это получить... итого 0 страниц си кода и небольшая асм вставка (~строчек 5-10) в код прота для исправления импорта ;)
или ещё можно просто сделать чтоб арма сама записала иат в пределы exe, при этом иат будет перемешанная, но импрек с нужной опцией поймёт и перестроит её и ссылки на неё.

| Сообщение посчитали полезным:

NIKOLA, 2.5 мега.
ссылка в личке, ок?

dragon пишет:
промт всё-таки анекдоты переводит - например boot sector - кусок ботинка и др
обсуждение этого вопроса я уже видел на форуме кряклаба. вроде все пришли к тому мнению, что надо покупать дополнительные(технические) словари, но их стоимость называлась порядка ста баксов!))
ilya пишет:
драг, очень хочеться твоей статейки с разбором по запчастям армы...планируешь ?
да, было бы не плохо! потому что хороших статей с использованием старины СофтАйса нету, а я так понял что ты работаешь именно с ним...
кстати, недавно дали линк на древний способ снятия армы через инжектирование длл-ки!!!
xtin.km.ru/view.shtml?id=85
причем он до сих пор работает!!!!

| Сообщение посчитали полезным:

Mario555
Это ты где искал, не понял что-то. Чтоб переходники исключить достаточно переход(магический который) занопить и восстановить его после цикла, после этого IAT без переходников. Чтобы IAT была внутри exe-шника, надо адрес в айсе один подправить, это тоже легко. А код этот я писал, чтобы перемешанные функции сгруппировать, не знал что импрек без этого импорт восстанавливает

test пишет:
Если немного позаниматься
Promt ом то результат будет читаемый.

Ну если и читаемый то с большим трудом
А я перевожу слова незнакомые в словарике lingvo, но это английские, а испанские так не получится. Поэтому мне всё-таки легче самому раскопать что к чему чем с абсолютно незнакомого языка переводить.


nobody
Да я работаю айсом и идой, и скажу что так легче и раза в два быстрее получается И дамп снимаю именно инжектированием длл, правда сейчас плагин для PE Tools есть хороший extreme dumper - вот им можно всё полностью автоматически сделать. Попытаюсь в ближайшем времени что-нибудь написать

| Сообщение посчитали полезным:

dragon пишет:
А код этот я писал, чтобы перемешанные функции сгруппировать
я о том что обращения к иат это не только FF15 (call [xxxxxxxx]) и FF25 (jmp [xxxxxxxx]) но и ещё то что выше написал, поэтому их тоже надо искать и править.

dragon пишет:
не знал что импрек без этого импорт восстанавливает
я тоже не знал раньше... асмовую вставку делал в арму, чтобы получать приемлемую иат (неперемешанную), а потом как-то случайно (вообще не арму ломал) заметил в импреке опцию Create New IAT ;)
Но т.к. я не очень доверяю этой опции импрека то продолжаю при взломе армы пользоваться асм вставкой...

| Сообщение посчитали полезным:

nobody

При старте прога просит ввести пароль, это что, рег. данные или пароль админа?

По поводу распаковки, здесь нужно работать со вторым процессом (копимем работает из второго процесса).
Опции защиты (армадиллы, на мой взгляд):
1. Improved CopyMem-II (Best protection)
2.Strategic Code Splising
3.Import Table Elimination
Наномитов вродебы нету.

| Сообщение посчитали полезным:

Mario555 пишет:
при этом иат будет перемешанная, но импрек с нужной опцией поймёт и перестроит её и ссылки на неё.
Что за нужная опция можно узнать ?
Просто как я не парился, всё равно приходится импорт править скриптом, который раскидывает адреса по порядку.... может всё же можно как то проще ?
Mario555 пишет:
заметил в импреке опцию Create New IAT ;)
Не обратил внимания, сори, спасибо, надо попробовать

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

nobody пишет:
кстати, недавно дали линк на древний способ снятия армы через инжектирование длл-ки!!!
xtin.km.ru/view.shtml?id=85
причем он до сих пор работает!!!!
Кстати есть еще плагин MS-REM'а для снятия дампа армы с копимемом (дебагблокером). Единственное что, непонятно в чем польза - ведь импорт всё равно придется восстанавливать, а чтобы его восстанавливать - нужно править процедуру его формирования, а это всё в отладчике... Хотя есть и какие-то другие способы - например способ dragon'а.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Mario555
Не стоит этой опции доверять, я всегда восстанавливал импорт без неё.

я о том что обращения к иат это не только FF15 (call [xxxxxxxx]) и FF25 (jmp [xxxxxxxx]) но и ещё то что выше написал

Ну так могут и mov eax, addr0; inc eax; call [eax] - тогда вообще не найти будет
Вообще есть способ лучше, арма распологает IAT всегда по новому адресу, значит внутри ДОЛЖНА быть таблица со всеми адресами, где есть ссылка на IAT. Значит буду копать в этом направлении и искать таблицу, это даст гарантию 100% восстановления.

| Сообщение посчитали полезным: