Сейчас на форуме: (+9 невидимых)

 eXeL@B —› Крэки, обсуждения —› Как бы распаковать DLL библиотеку упакованную Arma
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

Создано: 09 января 2005 04:19 · Поправил: sne
· Личное сообщение · #1

Доброго времени суток, не могли бы вы мне подсказать, помочь советом, ткуть носом в распаковщик, если таковой существует, как распаковать DLL библиотеку упакованную Armadillo...

И не надо, плз, говорить что так же как и exe'шник, таких советов я уже в поиске нагляделся )
Мне бы что-нить по существу, т.е. поразжевать бы )

P.S.
То что оно паковано Armadillo, меня уверил PEiD...

То что хочу распаковать, тут:
URL: [url=http://www.wholetomato.com/downloads/VA_X_Setup1293.exe
]http://www.wholetomato.com/downloads/VA_X_Setup1293.exe
[/url]

Пытаюсь распаковать: VA_X.dll

Заранее спасибо, с ув. sne




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 12 января 2005 09:59
· Личное сообщение · #2

sne пишет:
стоп, на этом месте поподробней, плз
мне бы о редиректе на стр. кода

об этом в том туторе есть ;) просто у тебя с импортом попроще будет - иат не перемешивается, но это не значит, что не нужно от переходников избавлятся...
А на релоки можно наверно забить, если собираешься только на своём компе запускать... хотя может и тут длл захочет по другому адресу загрузится...



Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

Создано: 12 января 2005 10:20
· Личное сообщение · #3

Мдя, ясно что ничего не ячно, но да спасибо...




Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 29 января 2005 11:30
· Личное сообщение · #4

1EE4D367 FF15 B8C4EB1E CALL NEAR DWORD PTR DS:[1EEBC4B8]
1EE4D36D A3 E815F31E MOV DWORD PTR DS:[1EF315E8],EAX
1EE4D372 E8 D8880000 CALL DUMP_S_I.1EE55C4F
1EE4D377 A3 A80AF31E MOV DWORD PTR DS:[1EF30AA8],EAX
1EE4D37C E8 63740000 CALL DUMP_S_I.1EE547E4
1EE4D381 E8 7C860000 CALL DUMP_S_I.1EE55A02
1EE4D386 E8 BE850000 CALL DUMP_S_I.1EE55949
1EE4D38B E8 DAFDFFFF CALL DUMP_S_I.1EE4D16A

Всё вроде нормально, но что это за колы я ну никак не пойму. Мож кто-нить подскажет... Плиз

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 29 января 2005 12:33
· Личное сообщение · #5

Rascal а зачем тебе эти call`ы ? %) это же уже внутри проги... и к арме отношения они не имеют... а по адресу 1EE4D367 - это вызов апи
1EE4D367  CALL DWORD PTR [1EEBC4B8]  ; kernel32.GetCommandLineA





Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 30 января 2005 10:32
· Личное сообщение · #6

просто на них происходит обращение к 0000000, а в арме там что-то оченьактивно делается. Главное - что после запуска именно на них библа и падает

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 30 января 2005 10:40
· Личное сообщение · #7

Mario555
А ты уже что, распаковал?????

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 30 января 2005 12:00
· Личное сообщение · #8

Rascal пишет:
просто на них происходит обращение к 0000000

ты импорт криво восстановил наверно...

Rascal пишет:
А ты уже что, распаковал?????

даже не дампил... у меня нету MS Visual Studio =)
ничего сложного в арме на этой dll нету, единственное, с чем у меня могли бы быть трудности это релоки, т.к. я никогда их не восстанавливал (не потому, что сложно, а потому, что как-то не было надобности их восстанавливать нигде). Про релоки статья infern0 на xtin есть.




Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 31 января 2005 10:31
· Личное сообщение · #9

Вобщем долго я парился, пытаясь найти, куда переходники ведут... В конце концов я нашёл то место, где арма нормальные адреса переходниками подменяет . Теперь импорт точно нормальный. Но щас там анти-дампы всплыли...

Кстати, теперь этот адон в студии весь серый Интересно, это защита или из-за ошибки на антидампах.

-----
Недостаточно только получить знания:надо найти им приложение




Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

Создано: 31 января 2005 13:18
· Личное сообщение · #10

Это из-за ошибки загрузки библиотек...




Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 01 февраля 2005 10:23
· Личное сообщение · #11

Итак, остался последний штрих - припаять куда-нибудь FFBF байт антидампов Пробовал в секцию BSS добавлять - библа грузилась, материлась, что нет рег данных, но после небольших изменений всё работало, текст раскрашивала, правда стоило клацнуть мышом в редакторе C++ - и студия закрывалась. Как выяснилось, антидамп частично затёрся. Отсюда следует вопрос - как добавить секцию, да так, чтоб арма не ругалась, потому как FFBF свободных байтов в программе нету. Хотя я ещё попробую перенарпавить прыги на антидампы в секцию кода армы, а сами антидампы оставить по другим адресам, чтоб при проверке целостности арма не упала, а потом скопировать и вставить, но что-то не верится мне в эту возможность

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 01 февраля 2005 13:29
· Личное сообщение · #12

Rascal пишет:
Пробовал в секцию BSS

хе, нашёл куда =)
в .adata перенаправляй, правда в неё тут почему-то доступа на запись нету, но этот доступ легко ей дать (в олли в мемори мар - set access, или стандартно через VirtualProtect).




Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 02 февраля 2005 11:18
· Личное сообщение · #13

Mario555
Сенкс, попробую.

Секцию не добавить - просекает арма все изменеия и неправильно распаковывается. Ещё одна идейка почти воплотилась в жизнь, но пока ещё почти.
Кстати, арма любит вырубаться, если кусок кода выполняется больше 3 секунд, так вот чтобы это исправить изменяйте GetTickCount, чтоб всегда возвращал одно и то же число, благо арма использует не строгое сравнение

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 02 февраля 2005 11:46
· Личное сообщение · #14

Mario555
Не катит этот способ, всё нулями забито, лишь изредка прыги в никуда. Буду добивать свой способ.
И ещё вопрос - у армы нет ещё одного треда, который проверяет основной???? А то как-то странно иногда происходит - стоит где-то поменять байты, выполнить кусок кода, который точно без проверок, вернуть всё, как было, запустить дальше и будет ошибка (

-----
Недостаточно только получить знания:надо найти им приложение





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 02 февраля 2005 13:10
· Личное сообщение · #15

Rascal пишет:
всё нулями забито, лишь изредка прыги в никуда

это ты вообще о чём ? %)

Rascal пишет:
Не катит этот способ

у меня всегда катил, на exe по крайней мере... с этой dll хз, я её распаковал но проверить работоспособность не могу, но выглядит нормально, никаких прыжков в никуда нет.

А с релоками там непонятно как-то... вроде есть оригинал секции reloc (по крайней мере то что арма туда записывает и потом обрабатывает очень похоже на оригинал), но почему-то с такими релоками dll не грузится по другой imagebase, а вот если восстановить релоки с помощью Relox то всё будет прально грузится...




Ранг: 260.9 (наставник)
Активность: 0.120
Статус: Участник
John Smith

Создано: 03 февраля 2005 11:41
· Личное сообщение · #16

Я о том, что в .adata не записалось никаких антидампов. Но это уже не важно, т.к. мой способ сработал и библа уже распакована и взломана. Кстати, действительно очень удобная вещь, этот плагин.
Mario555
Спасибо за помощь

-----
Недостаточно только получить знания:надо найти им приложение



<< . 1 . 2 .
 eXeL@B —› Крэки, обсуждения —› Как бы распаковать DLL библиотеку упакованную Arma
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати