| Сейчас на форуме: Magister Yoda, vasilevradislav (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› первые шаги в иследовании |
| << . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 22 сентября 2015 17:58 · Личное сообщение · #1 нашел старенькую програмку, можно ее не выкладывать? пробую дебажить через олю. есть два поля, похожих на TEdit и кнопка. хочу при чтении с TEdit что бы срабатывал бряк. ставлю на GetWindowsTextA и GetDlgltemTextA не срабатывают. как еще можно пробовать ловить чтение текста? как можно попробовать поймать нажатие кнопки? спасибо.  |
|
|
Создано: 24 сентября 2015 16:47 · Поправил: exec85 · Личное сообщение · #2 так а что: https://cracklab.ru/download.php?action=get&n=OTYw |
|
|
Создано: 24 сентября 2015 17:50 · Личное сообщение · #3 Armadillo 6.04 |
|
|
Создано: 25 сентября 2015 11:13 · Поправил: exec85 · Личное сообщение · #4 нахожу куда читается пароль, ставлю бряку на доступ к памяти, вывариваюсь, смотрю, проверка первый пробел. далее какая то неопределенность. сначало вываливался в бряк при конвертации utf8 в ascii. но потом не стал до этого места доходить. виснем, оля пишет: Debug string: LDR: LdrLoadDll - failing because LdrpLoadDll(ArmAccess.DLL) returned status c0000005 по коду вижу странное место: 004017A9 . FF15 9C827500 CALL NEAR DS:[<&kernel32.LoadLibraryA>] ; \LoadLibraryA пытается загрузить (ASCII "ArmAccess.DLL") но такой библиотеки нету... направте в нужную сторону, или подскажите в какую сторону смотреть.. Добавлено спустя 18 минут кстати после раскодирования исходного файла, окно неправильный ключ перестал появляться. есть подозрение что он что то портит... |
|
|
Создано: 25 сентября 2015 11:43 · Личное сообщение · #5 Это внутренняя библиотека защиты армадилло для операций с активацией.Брутьте sym с помощью armadillo key tool и сможете себе сделать валидную лицензию.Анпакеры все равно не распакуют программу грамотно. ----- TEST YOUR MIGHT |
|
|
Создано: 25 сентября 2015 12:20 · Личное сообщение · #6 трассировкой заниматься без полезняк? у меня нет задачи подобрать... моя цель иследование кода... чусь отлаживать... или мой кролик мне не позубам? слишком сложен? надо брать что то по проше? |
|
|
Создано: 25 сентября 2015 13:48 · Личное сообщение · #7 exec85 пишет: или мой кролик мне не позубам? По армадаллио есть хорошие туторы на тутсях. Там идет сложность по нарастающей, разберитесь там со всеми трюками армы в тех туторах про копимем, деблокер, наномиты) Потом уже вам будет проще снимать этот прот, изучив все его трюки. Кстати там туторы для разных версий, изучайте с начальных версий. |
|
|
Создано: 25 сентября 2015 14:55 · Личное сообщение · #8 что такое "тутсях" ? дайте ссылку плз. попутно вопрос: ставлю бряк на память отпускаю прогу, прога слетает. ну понятно, без бряка работает... как отловить причину???? |
|
|
Создано: 25 сентября 2015 15:01 · Личное сообщение · #9 exec85, https://tuts4you.com/download.php?list.11 exec85 пишет: ставлю бряк на память отпускаю прогу, прога слетает. Прога может палить бряк и портить вам все) Вы тут опишите конкретнее на что там ставили, что вообще прога делает. Если валится на бряк memory, попробуйте hard бряк. |
|
|
Создано: 25 сентября 2015 15:52 · Поправил: exec85 · Личное сообщение · #10 00FC7948 ставлю F2 бряк, когда вываливаюсь в EAX адрес строки 0012DBDC дниной 64h ставлю на первый байт бряк по обращению к памяти... отпускаю, ну и все... качнул Armadillo 6.xx (Hardware Fingerprint) посмотрел.. ничего не понял... сейчас почитаю про жлезячные токи останова, и попробу... Добавлено спустя 16 минут хард бряк тоже не помог, ошибка, винда предлагает отправить отчет... |
|
|
Создано: 25 сентября 2015 16:21 · Личное сообщение · #11 Не стоит браться за протектор,не прочитав статьи\не посмотрев туториалы. Сходу,не получиться ничего. 
|
|
|
Создано: 25 сентября 2015 16:32 · Поправил: mazaxak · Личное сообщение · #12 exec85 пишет: качнул Armadillo 6.xx (Hardware Fingerprint) посмотрел.. ничего не понял... Ну я особо не удивлен, этот протектор трудноват будет, лучше распаковке учиться с более простых к сложным. Это ты вроде скачал статью про то, как имея валидную пару для другой машины, снять на своей прот. Качай самые первые версии его, а это специфичный случай, когда разрабы выбрали криптование кода проги. |
|
|
Создано: 25 сентября 2015 17:12 · Личное сообщение · #13 ProstoAndreyX "Не стоит браться за протектор" да, как сказать... так получилось... Вы имее ввиду браться за программу защищенную протектором? или разбирать сам протектор? подскажите что посмотреть... готов.. mazaxak "лучше распаковке учиться с более простых к сложным." ну у меня вот такой кролик попался... кто ж знал что он с зубами... я сейчас даже не смогу определить кто проще, кто сложней... поэтому трудно последовать Вашему совету. мне бы хотелось бы добить этого зверя... Добавлено спустя 2 минуты все равно механизмы надо разбирать.. по отдельности или сразу в куче.. |
|
|
Создано: 25 сентября 2015 17:31 · Личное сообщение · #14 exec85 пишет: я сейчас даже не смогу определить кто проще, кто сложней... Посмотри сначала туторы "Введение в крекинг с нуля в ollydbg" там учат распаковке с самых простых пакеров, переходя на протекторы. А после освоения этого можно тогда и на тутсях смотреть. |
|
|
Создано: 25 сентября 2015 17:35 · Поправил: exec85 · Личное сообщение · #15 читал, смотрел, начальный уровень. все как в учебнике поставил бряк, осмотрелся вот оно кодовое слово! ура куча поздравлений. сейчас читаю: https://forum.reverse4you.org/archive/index.php/t-1690.html?s=49c3bbb6b3d7dc57e058cac27b266ec2 http://ru.und3rgr0und.org/wiki/Armadillo Добавлено спустя 6 часов 4 минуты Кто нибудь может объяснить что такое мутекс и зачем он нужен? Пример функции: OpenMutexA В гугле был, только что от туда. Пока ничего не понял. | Сообщение посчитали полезным: ProstoAndreyX |
|
|
Создано: 26 сентября 2015 13:28 · Личное сообщение · #16 exec85 ну как бы вдумчиво читаем: https://ru.wikipedia.org/wiki/Мьютекс ----- [nice coder and reverser] |
|
|
Создано: 26 сентября 2015 14:46 · Личное сообщение · #17 |
|
|
Создано: 26 сентября 2015 20:40 · Личное сообщение · #18 Почему после армагедона образуются два файла? Один из них с подчеркиванием. И запускается только один. |
|
|
Создано: 26 сентября 2015 22:33 · Личное сообщение · #19 exec85, там вроде один дамп без пофиксинного импорта, а с _ пофиксенный. |
|
|
Создано: 26 сентября 2015 23:02 · Личное сообщение · #20 У меня два, один как то работает (правда без окошка инвалид) а второй не запускается. Я тут начитался всего про потоки и отладку дочернего, прям и не знаю что думать. Кстати, тот что запускается файл, я по дебажил и вроде как он хочет отрыть dll-ку ArmAccess.dll если не ошибаюсь. Зачем? У меня ее нету нигде такой. |
|
|
Создано: 27 сентября 2015 00:09 · Личное сообщение · #21 exec85 пишет: вроде как он хочет отрыть dll-ку ArmAccess.dll. Зачем? У меня ее нету нигде такой. Для справки В виндовых компонентах, например, в банальном блокноте, также есть попытка загрузки некоторой dll. Так проверяется, доступны ли дополнительные возможности. ----- IZ.RU |
|
|
Создано: 27 сентября 2015 00:24 · Личное сообщение · #22 так работает защита армадиллы, цепляются функи с ArmAccess.dll, а потом эта длл пакуется протектором в сам екзешник короче она вшита была в ваш екзе, когда его распаковали, длл скипнули |
|
|
Создано: 27 сентября 2015 12:59 · Личное сообщение · #23 reversecode фейковую же можно в папку положить с распакованным софтом и возможно все будет пахать без ограничений? 
----- [nice coder and reverser] |
|
|
Создано: 27 сентября 2015 13:05 · Личное сообщение · #24 ну смотря по уму или от балды была зацеплена там арма, если по уму то подсунуть фейковую будет мало |
|
|
Создано: 27 сентября 2015 20:30 · Личное сообщение · #25 Хм, интересненько.. Ну а резюме? на нее не обращать внимание? Или где то ее искать? |
|
|
Создано: 27 сентября 2015 20:41 · Личное сообщение · #26 резюме или ее докидывать, или докидывать заглушку с таким же експортом, и дальше уже реверсить приложение которое ее использует |
|
|
Создано: 27 сентября 2015 21:49 · Личное сообщение · #27 Мда, теперь бы кто на человечиский перевел бы совет от reversecode ... |
|
|
Создано: 27 сентября 2015 21:52 · Личное сообщение · #28 вам не кажется что делать первые шаги засчет других учасников это несколько напряжно для всех ? почитайте какую то литерадурку, что бы понимать смысл слов, тогда уже беритесь за основы исследования |
|
|
Создано: 27 сентября 2015 22:39 · Поправил: exec85 · Личное сообщение · #29 Так я этим и занимаюсь, не дадите ссылочку, на стоющую внимания статейку? По крайной мере я чесно могу сказать что я первокласник в этой теме. Я разбираюсь, на сколько могу. Подсказать мне некому. Пока тока насмешки и напряги от старшекласников. ;) |
|
|
Создано: 27 сентября 2015 23:00 · Личное сообщение · #30 exec85 вот даже поискал, читаем: тут ссылки есть в топике: https://exelab.ru/f/action=vthread&forum=13&topic=21363 ну а тут кучу примеров на англ, но с картинками https://tuts4you.com/download.php?50.list.11.50.download_name.ASC ----- [nice coder and reverser] | Сообщение посчитали полезным: exec85 |
|
|
Создано: 14 октября 2015 17:54 · Личное сообщение · #31 оля, ->Search for->Name(label) in current module вываливается простыня разных функция. есть какой то поиск по этой простыне? или надо глазами листать, в поиске нужных функций... |
| << . 1 . 2 . 3 . >> |
|
eXeL@B —› Крэки, обсуждения —› первые шаги в иследовании |
Для печати