| Сейчас на форуме: vsv1, r0lka, -Sanchez-, testrev1337, johnniewalker, Kybyx (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› CFF Explorer |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 23 апреля 2009 07:35 · Личное сообщение · #1 В CFF Explorer есть ограничение на размер файлов в 40 мб Если файл больше то он спрашивает грузить его или нет Но даже если загрузить такой файл, то он неправильно работает с секциями, импортом и не показывает содержимое последних секций. Кто-нибудь сталкивался с этой проблемой? И есть ли пути обхода? (а то неудобно дампить некоторые ВМ  )
 |
|
|
Создано: 25 апреля 2009 03:45 · Личное сообщение · #2 Nightshade пишет: но почему-то на ХХХ... потому, что круче старовской вм только яйца  секьюр рядом не лежал.
|
|
|
Создано: 25 апреля 2009 07:26 · Личное сообщение · #3 Кто-нить знает что в ВМ стара за - jmp edx Крутится большое крипто алго вокруг него, а потом он выполняется. Похоже на расшифровку параметров и выбор куска который их будет обрабатывать... |
|
|
Создано: 28 апреля 2009 11:34 · Поправил: undb · Личное сообщение · #4 jmp edx это переход от одной выполненной команды к другой, вродь или jmp ebx переход а jmp edx так внутрений прыжок от одного модуля кода к другому , как и jmp eax, не помню я точно, но что то прыгает когда он смулит команду и начинает готовится к выполнению следующей. |
|
|
Создано: 28 апреля 2009 23:23 · Поправил: Nightshade · Личное сообщение · #5 Почитал доки yAtEs про ВМ Неужели ВМ не менялась с лета 2004 го... Код очень похож Придется разбирать новую ВМ... только уже на World of Goo - там кода ВМ в разы меньше +есть версия без старика -------------------------------------------------------- Позже: Посмотрел World of Goo от Акеллы Там какая-то говноВМ, которая кроме эмуляции jmp нифига не делает... Снял за пару часов с написанием скриптов 
Если задуматься - идеальная вещь для изучения старфорса теми, кто его ни разу не снимал(с простой ВМ) |
|
|
Создано: 29 апреля 2009 14:53 · Личное сообщение · #6 Неужели ВМ не менялась с лета 2004 го... Кое-какие изменения все же были, но основной код интерпретатора не изменился. Там какая-то говноВМ, которая кроме эмуляции jmp нифига не делает... А я думал что это называется "редирект"... Появился он, кажется, с 5.х версии стара и используется во всех версиях защиты от бэйсика до про. |
|
|
Создано: 29 апреля 2009 15:40 · Личное сообщение · #7 Как это называется я не знаю... Если бы я видел сам прот с опциями типа виртуализация кода, редирект прыжков, защита импорта, кража байтов я бы называл это по другому. Кстати не понял зачем вызывается код ВМ перед выполнением "редиректа" Code:
|
|
|
Создано: 29 апреля 2009 15:50 · Личное сообщение · #8 Прыжок в ВМ здесь - основа редиректа, т.к. мы (как бы ;)) не знаем куда ВМ вернет управление, а остальное так, небольшой довесок, его можно даже не восстанавливать. Довольно много таких редиректов используют лишь прыжок в ВМ. |
| << . 1 . 2 . |
|
eXeL@B —› Крэки, обсуждения —› CFF Explorer |
Для печати