Сейчас на форуме: (+9 невидимых) |
eXeL@B —› Крэки, обсуждения —› Как бы распаковать DLL библиотеку упакованную Arma |
<< . 1 . 2 . |
Посл.ответ | Сообщение |
|
Создано: 09 января 2005 04:19 · Поправил: sne · Личное сообщение · #1 Доброго времени суток, не могли бы вы мне подсказать, помочь советом, ткуть носом в распаковщик, если таковой существует, как распаковать DLL библиотеку упакованную Armadillo... И не надо, плз, говорить что так же как и exe'шник, таких советов я уже в поиске нагляделся ) Мне бы что-нить по существу, т.е. поразжевать бы ) P.S. То что оно паковано Armadillo, меня уверил PEiD... То что хочу распаковать, тут: URL: [url=http://www.wholetomato.com/downloads/VA_X_Setup1293.exe ]http://www.wholetomato.com/downloads/VA_X_Setup1293.exe [/url] Пытаюсь распаковать: VA_X.dll Заранее спасибо, с ув. sne |
|
Создано: 12 января 2005 09:59 · Личное сообщение · #2 sne пишет: стоп, на этом месте поподробней, плз мне бы о редиректе на стр. кода об этом в том туторе есть ;) просто у тебя с импортом попроще будет - иат не перемешивается, но это не значит, что не нужно от переходников избавлятся... А на релоки можно наверно забить, если собираешься только на своём компе запускать... хотя может и тут длл захочет по другому адресу загрузится... |
|
Создано: 12 января 2005 10:20 · Личное сообщение · #3 |
|
Создано: 29 января 2005 11:30 · Личное сообщение · #4 1EE4D367 FF15 B8C4EB1E CALL NEAR DWORD PTR DS:[1EEBC4B8] 1EE4D36D A3 E815F31E MOV DWORD PTR DS:[1EF315E8],EAX 1EE4D372 E8 D8880000 CALL DUMP_S_I.1EE55C4F 1EE4D377 A3 A80AF31E MOV DWORD PTR DS:[1EF30AA8],EAX 1EE4D37C E8 63740000 CALL DUMP_S_I.1EE547E4 1EE4D381 E8 7C860000 CALL DUMP_S_I.1EE55A02 1EE4D386 E8 BE850000 CALL DUMP_S_I.1EE55949 1EE4D38B E8 DAFDFFFF CALL DUMP_S_I.1EE4D16A Всё вроде нормально, но что это за колы я ну никак не пойму. Мож кто-нить подскажет... Плиз ----- Недостаточно только получить знания:надо найти им приложение |
|
Создано: 29 января 2005 12:33 · Личное сообщение · #5 |
|
Создано: 30 января 2005 10:32 · Личное сообщение · #6 |
|
Создано: 30 января 2005 10:40 · Личное сообщение · #7 |
|
Создано: 30 января 2005 12:00 · Личное сообщение · #8 Rascal пишет: просто на них происходит обращение к 0000000 ты импорт криво восстановил наверно... Rascal пишет: А ты уже что, распаковал????? даже не дампил... у меня нету MS Visual Studio =) ничего сложного в арме на этой dll нету, единственное, с чем у меня могли бы быть трудности это релоки, т.к. я никогда их не восстанавливал (не потому, что сложно, а потому, что как-то не было надобности их восстанавливать нигде). Про релоки статья infern0 на xtin есть. |
|
Создано: 31 января 2005 10:31 · Личное сообщение · #9 Вобщем долго я парился, пытаясь найти, куда переходники ведут... В конце концов я нашёл то место, где арма нормальные адреса переходниками подменяет . Теперь импорт точно нормальный. Но щас там анти-дампы всплыли... Кстати, теперь этот адон в студии весь серый Интересно, это защита или из-за ошибки на антидампах. ----- Недостаточно только получить знания:надо найти им приложение |
|
Создано: 31 января 2005 13:18 · Личное сообщение · #10 |
|
Создано: 01 февраля 2005 10:23 · Личное сообщение · #11 Итак, остался последний штрих - припаять куда-нибудь FFBF байт антидампов Пробовал в секцию BSS добавлять - библа грузилась, материлась, что нет рег данных, но после небольших изменений всё работало, текст раскрашивала, правда стоило клацнуть мышом в редакторе C++ - и студия закрывалась. Как выяснилось, антидамп частично затёрся. Отсюда следует вопрос - как добавить секцию, да так, чтоб арма не ругалась, потому как FFBF свободных байтов в программе нету. Хотя я ещё попробую перенарпавить прыги на антидампы в секцию кода армы, а сами антидампы оставить по другим адресам, чтоб при проверке целостности арма не упала, а потом скопировать и вставить, но что-то не верится мне в эту возможность ----- Недостаточно только получить знания:надо найти им приложение |
|
Создано: 01 февраля 2005 13:29 · Личное сообщение · #12 |
|
Создано: 02 февраля 2005 11:18 · Личное сообщение · #13 Mario555 Сенкс, попробую. Секцию не добавить - просекает арма все изменеия и неправильно распаковывается. Ещё одна идейка почти воплотилась в жизнь, но пока ещё почти. Кстати, арма любит вырубаться, если кусок кода выполняется больше 3 секунд, так вот чтобы это исправить изменяйте GetTickCount, чтоб всегда возвращал одно и то же число, благо арма использует не строгое сравнение ----- Недостаточно только получить знания:надо найти им приложение |
|
Создано: 02 февраля 2005 11:46 · Личное сообщение · #14 Mario555 Не катит этот способ, всё нулями забито, лишь изредка прыги в никуда. Буду добивать свой способ. И ещё вопрос - у армы нет ещё одного треда, который проверяет основной???? А то как-то странно иногда происходит - стоит где-то поменять байты, выполнить кусок кода, который точно без проверок, вернуть всё, как было, запустить дальше и будет ошибка ( ----- Недостаточно только получить знания:надо найти им приложение |
|
Создано: 02 февраля 2005 13:10 · Личное сообщение · #15 Rascal пишет: всё нулями забито, лишь изредка прыги в никуда это ты вообще о чём ? %) Rascal пишет: Не катит этот способ у меня всегда катил, на exe по крайней мере... с этой dll хз, я её распаковал но проверить работоспособность не могу, но выглядит нормально, никаких прыжков в никуда нет. А с релоками там непонятно как-то... вроде есть оригинал секции reloc (по крайней мере то что арма туда записывает и потом обрабатывает очень похоже на оригинал), но почему-то с такими релоками dll не грузится по другой imagebase, а вот если восстановить релоки с помощью Relox то всё будет прально грузится... |
|
Создано: 03 февраля 2005 11:41 · Личное сообщение · #16 |
<< . 1 . 2 . |
eXeL@B —› Крэки, обсуждения —› Как бы распаковать DLL библиотеку упакованную Arma |