| Сейчас на форуме: site-pro, Rio, johnniewalker, vsv1 (+5 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Ошибка при выполнении дампа |
| Посл.ответ | Сообщение |
|
|
Создано: 29 октября 2012 00:15 · Личное сообщение · #1 Всем привет. Пытаюсь распаковать прогу, с висящим на ней Crypkey. Код расшифровал, таблицу импорта получил, но почему-то не получается снять дамп экзешника. LordPE и OllyDump ругаются, что не могут прочитать области памяти. Некоторые дамперы отрабатывают нормально, но дамп получается нерабочий. Скорее всего, не антидамп, так как прогу, стоящую на EP, сдампить так же не получается. В чем может быть причина? прога тут: ввв.spectraplus.com  |
|
|
Создано: 29 октября 2012 01:57 · Личное сообщение · #2 петулзом пробовал дамп снимать? |
|
|
Создано: 29 октября 2012 04:08 · Поправил: Konstantin · Личное сообщение · #3 [X-Ray] пишет: Некоторые дамперы отрабатывают нормально, но дамп получается нерабочий. В чём "нерабочесть" проявляется? В олю не грузится? Плаг ollydbg pe dumper нормально дампит, ставишь - Fix Raw Size, Make header size 0x1000. Правда если потом дамп PE Tools просматривать/править, то в настройках петулза нужно предварительно отключить autofix sizeofimage, а то он его подправит неправильно. |
|
|
Создано: 29 октября 2012 05:28 · Поправил: [X-Ray] · Личное сообщение · #4 schokk_m4ks1k пишет: петулзом пробовал дамп снимать? абы шось ляпнуть.  Я каких только дамперов не перепробовалKonstantin пишет: В чём "нерабочесть" проявляется получается Not a valid Win32 PE. Ни винда, ни оля файл принимать отказываются Какая у вас ось? Konstantin пишет: Плаг ollydbg pe dumper нормально дампит вся "фишка" в том, что после распаковки секции кода к процессу НЕЛЬЗЯ приаттачиться отладчиком и сдампить его (там защита запускает экзешник в режиме отладки, а у процесса, как известно, может быть только один отладчик)  А внешние дамперы создают одинаково кривой дамп независимо от настроек. Ладно, сейчас на работе попробую не под виртуалкой |
|
|
Создано: 29 октября 2012 10:25 · Личное сообщение · #5 [X-Ray] пишет: защита запускает экзешник в режиме отладки арма также делает можно попробовать вызвать DebugActiveProcessStop |
|
|
Создано: 29 октября 2012 10:47 · Личное сообщение · #6 [X-Ray] пишет: spectraplus протектор Crypkey в папке temp cоздаётся файл который потом контролирует Specplus.exe,дамп снимай WinHex c галочкой Include free regions ,после снятия не забуть поправить хидер . ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным: [X-Ray] |
|
|
Создано: 29 октября 2012 13:25 · Личное сообщение · #7 [X-Ray] пишет: А внешние дамперы создают одинаково кривой дамп независимо от настроек. Тупо запустил прогу, сделал дамп PE Tools. Обнулил RVA импорта. В олю грузится. С дампом всё нормально. Настройки Pe Tools. 
| Сообщение посчитали полезным: [X-Ray] |
|
|
Создано: 29 октября 2012 13:57 · Поправил: blacksea · Личное сообщение · #8 Интересно, какой смысл в снятии crypkey, если он лицензируется за пару минут. UserKey в прогах spectraplus.com лежит в открытом виде |
|
|
Создано: 29 октября 2012 14:23 · Личное сообщение · #9 Konstantin, с дампом, может быть, и всё нормально. Но если к нему таблицу импорта прикрутить, то он "сломается" - прога откажется запускаться, ссылаясь на невалидное приложение Win32 ClockMan, спасибо, как работает крипкей я знаю  если к дампу, полученному твоим методом, прикручивать таблицу импорта, получится такая же фигня (см выше) blacksea, сняв защиту, прогу можно сделать портативной |
|
|
Создано: 29 октября 2012 14:45 · Личное сообщение · #10 [X-Ray] пишет: если к дампу, полученному твоим методом, прикручивать таблицу импорта, получится такая же фигня (см выше) Файл скомпелирован с Section Alignment равной 00010000 за место стандартной 00001000, в импереке нет такой проверки, поэтому за основу берётся 1000, ну и соответсвенно файл становится не рабочим. Кстате там примененна технология на подобии CopyMem II как в армадильчеке ;) ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 29 октября 2012 14:56 · Личное сообщение · #11 корректно распакованый _http://rghost.ru/41227622 |
|
|
Создано: 29 октября 2012 15:06 · Личное сообщение · #12 ClockMan, ураааа! Спасибо огромное, про выравнивание секций я как-то не подумал.... Прикрутил новую секцию и туда импреком записал импорт. Работает! 2nd, спасибо за труды, но мне нужен был свой собственный дамп ;) |
|
|
Создано: 29 октября 2012 17:26 · Личное сообщение · #13 [X-Ray] пишет: Спасибо огромное, про выравнивание секций я как-то не подумал.... А Paste Header from disk на что + Validate Pe потом? А подход в этом деле простой - открываете в Hex редакторе и смотрите, те ли байты, что и в дебаггере видны, попали в дамп. Если те, то что-то с заголовком не то, смотрим отличия, в Pe tools и опция для сравнения есть. А уже потом начинаем делать какие-то выводы. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 29 октября 2012 19:54 · Личное сообщение · #14 blacksea пишет: crypkey, если он лицензируется за пару минут с версии 7.6+ crypkey изменил константы и теперь ckinfo идёт лесом. ----- ...или ты работаешь хорошо, или ты работаешь много... |
|
|
Создано: 29 октября 2012 21:01 · Поправил: [X-Ray] · Личное сообщение · #15 ARCHANGEL пишет: А Paste Header from disk на что + Validate Pe потом? ну всё, не бейте сильно, я не ахти как в распаковке шарю BfoX пишет: с версии 7.6+ без понятия, какой номер версии... В общем, всем спасибо, прогу я сломал (надеюсь  )
|
|
|
Создано: 29 октября 2012 21:28 · Личное сообщение · #16 [X-Ray] вылож если не жалко crp32002.ngn от софты ----- ...или ты работаешь хорошо, или ты работаешь много... |
|
|
Создано: 29 октября 2012 21:57 · Личное сообщение · #17 |
|
eXeL@B —› Крэки, обсуждения —› Ошибка при выполнении дампа |
Для печати