| Сейчас на форуме: Rio, johnniewalker, vsv1 (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Конверт Guardant Sign Net (Stealth III) |
| Посл.ответ | Сообщение |
|
|
Создано: 07 мая 2011 10:20 · Поправил: Rustem · Личное сообщение · #1 Приветствую Есть комплект прог покрытых конвертом в сабже, сами проги написаны на дельфи. Ключ есть Сам конверт снимается легко. (детекта отладчика нет (может аффтар забыл поставить), импорт тоже вроде как норм) ОЕП нашелся быстро ( по первому вызову апи GetModuleHandle(0) из тела ехе, находится апилоггером) но вот в чем проблема - прога начинает запускаться и падает после запуска (походу в инициализации самого кода дельфи) Может что то забыл, сделать подправить TLS, или еще чего? Куда копать?  |
|
|
Создано: 07 мая 2011 10:37 · Личное сообщение · #2 Rustem у мну такая же проблема была когда аспр снимал. если ТЛС кривой то падает на цикле в самом начале проги ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 07 мая 2011 10:48 · Личное сообщение · #3 VodoleY да очень похоже на кривую инициализацию. как исправил? |
|
|
Создано: 07 мая 2011 10:58 · Личное сообщение · #4 а ты перед тем как снимать конверт посмотри как выглядит ТЛС ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 07 мая 2011 11:53 · Личное сообщение · #5 Не обязательно TLS. Цикл в самом начале - инициализация статиков всяких. Проще всего посмотреть на какой функции падает. ----- старый пень |
|
|
Создано: 07 мая 2011 12:39 · Личное сообщение · #6 да не тлс. импорт все таки частично перенаправлен и поэтому восстановлен не полностью, поэтому падает на инициализации. как раз на таблице инициализации (джамп на мусор итп) Никто не знает как восстановить. есть способ, описанный в статье про сейфдиск - прогнать вызов по каждой функции в таблице и получить адрес но он полуручной получается |
|
|
Создано: 07 мая 2011 14:56 · Личное сообщение · #7 Rustem ну не всеж автоматами делать. иногда, знаете ли, и ручками поработать можно. ----- старый пень |
|
|
Создано: 07 мая 2011 16:25 · Поправил: Rustem · Личное сообщение · #8 r_e разобрался. куски кода апи вырваны и перемещены в свой код, идет прыжок в середину, но восстанавливается легко |
|
|
Создано: 07 мая 2011 19:47 · Личное сообщение · #9 Rustem пишет: Что это за функция из кернел32 ? winxpsp3 64:A1 18000000 mov eax, dword ptr fs:[18] 8B80 C4000000 mov eax, dword ptr ds:[eax+C4] GetStartupInfoA? |
|
|
Создано: 07 мая 2011 22:27 · Личное сообщение · #10 inffo GetThreadLocale mov eax, dword ptr fs:[18] mov eax, dword ptr ds:[eax+C4] |
|
eXeL@B —› Крэки, обсуждения —› Конверт Guardant Sign Net (Stealth III) |
Для печати