Подскажите пожалуйста! peid говорит, что "yoda cryptor 1.x / modified" Имеется секция rcep.
вес 62кб.

| Сообщение посчитали полезным:

ValdiS пишет:
Как определили размер и RVA IAT?

А ты попробу распаковать как я тут расказывал.
После выхода из гетпрокадреса, смотри куда заносится имя апишки.

00521130 890439 MOV DWORD PTR DS:[ECX+EDI],EAX ; MSVBVM60.rtcMidCharVar

На этом месте фалоу ин дамп - мемори адрес

и в дампе увидеш таблицу.

| Сообщение посчитали полезным:

NIKOLA пишет:
А ты попробу распаковать как я тут расказывал.
После выхода из гетпрокадреса, смотри куда заносится имя апишки.
Попробую.
А ларчик просто открывался! Хотя пока дамп не заработает, говорить рано.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
А остальные библы, кроме msvbvm60.dll.

Все вызовы идут через msvbvm60.dll.

| Сообщение посчитали полезным:

ValdiS пишет:
Хотя пока дамп не заработает, говорить рано

А уменя он и не работает. Там похоже гдето проверка на присутствие криптора.
Прога то китайская. Что там китайцы намудрили х.з. Вобщем

Единственную статью про P-Code, которую я читал можеш почитать здесь:

bioworm.ahteam.org/reversing/pcode.htm

| Сообщение посчитали полезным:

NIKOLA пишет:
А уменя он и не работает.
У-у-у... Так не интересно...
Надо попробовать оживить, зарегистрить, сделать инлайн или лоадер... Прога-то маленькая, чем не крякми. Хотя в хоз-ве не пригодится, я думаю, ни разу.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

NIKOLA пишет:
Единственную статью про P-Code, которую я читал можеш почитать здесь:

bioworm.ahteam.org/reversing/pcode.htm
За статью благодарствую, почитаю и постараюсь осмыслить. Необходимо постоянно развиваться, остановился - и ты уже "прошлое". А вот это уже !!!

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Bit-hack, ты ломаешь ту же программу? Если да, то объясни пожалуйста
Bit-hack пишет:
00405F2D - OEP
Import(целый):
RVA: 00007000
Size: 000005F8
У тебя дамп запускается? Скинь в аттач свой список импорта из Imprec.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

NIKOLA пишет:
А уменя он и не работает
А у меня работает, я не пропатчил не байта руками, IAT у тебя не правильный!

039b_IAT.txt

| Сообщение посчитали полезным:

Bit-hack пишет:
IAT у тебя не правильный

ValdiS пишет:
ты ломаешь ту же программу?

| Сообщение посчитали полезным:

Bit-hack, ты ломаешь DirectX Happy Uninstall 3.4? Судя по твоей таблице IAT, нет. Если же я ошибаюсь, то попробуй чуть подробнее объяснить весь процесс получения РАБОТАЮЩЕГО дампа.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Всем
Поделитесь опытом в распаковке yoda cryptor 1.x / modified. Эта штуковина просто задела за живое...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS

Bit-hack распаковывал совсем другую прогу см. атач стр.1 топик 2.

| Сообщение посчитали полезным:

И ещё

Bit-hack пишет:
бряк на вторую секцию, после срабатывания на первую - ОЕР, импорт - целый

| Сообщение посчитали полезным:

Bit-hack пишет:
бряк на вторую секцию, после срабатывания на первую - ОЕР, импорт - целый
Не помогает...
NIKOLA
Вариант, как у тебя,(т.е. после восстановления дампа он не запускается, прога просто закрывается), я получил почти сразу. Но... Проблема: или я не восстановил правильно дамп (и он не работает), то ли антиотладочная защита. Поэтому ValdiS пишет: Так не интересно...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Не помогает...

Потому, что билды криптера разные.

ValdiS пишет:
то ли антиотладочная защита

Я тоже, так же думаю.

| Сообщение посчитали полезным:

NIKOLA пишет:
Я тоже, так же думаю.
Зря.
ValdiS
Я распаковал - не запускается, запаковал - запускается. Ща надо найти проверку на размер файла, в принципе снимается эллементарно.

| Сообщение посчитали полезным:

Bit-hack пишет:
Я распаковал - не запускается, запаковал - запускается. Ща надо найти проверку на размер файла, в принципе снимается эллементарно.
Опередил
Я тоже восстановил импорт, решил PECompact пройтись запустился... По поводу размера вроде бы в импорте либы Getfilesize - нет. Странно...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Bit-hack пишет:
NIKOLA пишет:
Я тоже, так же думаю.
Зря.
А что проверка на размер файла к антиотладке не относится?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
А что проверка на размер файла к антиотладке не относится?
Нет, это проверка на распаковку. Кажись юзается так: вызывается функция определения конца файла - вот и получается размер файла, после чего идёт проверка на размер.

| Сообщение посчитали полезным:

Bit-hack пишет:
Нет, это проверка на распаковку.
А что разве прогм распаковывают просто так из интереса, а не чтобы их "поисследовать".
Ладно, это все изыски писателей...

Bit-hack пишет:
Кажись юзается так: вызывается функция определения конца файла - вот и получается размер файла, после чего идёт проверка на размер.
А вот это интересней... Можно чуть более развернуто: что это за апи и с чем ее едят?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

КАЖИСЬ, там апи из msvbvm, для определения оффсета конца файла, но я не уверен!

| Сообщение посчитали полезным:

Проще сделать in-line, чем анпакнуть и пропатчить.
loc_50CA95: BranchF(1C) loc_50CBE1 - BranchT(1D)
регится на любое имя, но толку 0! Я в вб почти 0, может попозже досмотрю.

| Сообщение посчитали полезным:

Bit-hack пишет:
КАЖИСЬ, там апи из msvbvm, для определения оффсета конца файла
Точно, слона мы сразу и не заметили.
В распакованном файле выше точки входа есть небольшая кучка джампов!!!
Среди них:
...
004011C2 JMP DWORD PTR DS:[660E4ADC] ; msvbvm60.rtcFileLength
...
004011FE JMP DWORD PTR DS:[660D5D72] ; msvbvm60.rtcFileLen
...
Интересные названия, а не поставить ли на них бряки. Сказано - сделано! В Ольке F9.
Сработал бряк по адресу 004011FE. <F7>

660D5D72 r> 55 PUSH EBP
660D5D73 8BEC MOV EBP,ESP
660D5D75 81EC 40010000 SUB ESP,140
660D5D7B 8D85 C0FEFFFF LEA EAX,DWORD PTR SS:[EBP-140]
660D5D81 50 PUSH EAX
660D5D82 FF75 08 PUSH DWORD PTR SS:[EBP+8]
660D5D85 E8 E9000000 CALL msvbvm60.660D5E73
660D5D8A 85C0 TEST EAX,EAX
660D5D8C 74 06 JE SHORT msvbvm60.660D5D94
660D5D8E 50 PUSH EAX
660D5D8F E8 1F80FFFF CALL msvbvm60.660CDDB3
660D5D94 8B85 E0FEFFFF MOV EAX,DWORD PTR SS:[EBP-120] ; EAX:= 00126000h
660D5D9A C9 LEAVE
660D5D9B C2 0400 RETN 4

Интересно-интересно, учитывая, что 00126000h = 1204224 байт - размер моего полученного дампа.
Двигаемся по F7 далее... Опа...

660FD252 8B06 MOV EAX,DWORD PTR DS:[0050a7b4]; EAX:= 00055730h

Вот 00055730h = 350000 байт, а размер исходного файла 331 259 байт. Совпадение? Кстати, оба значения (00126000h и 00055730h) пишутся в стек. Подправим 00055730h на 00145730h. Двигаемся по F7 далее...

66103582 5A POP EDX
66103583 59 POP ECX
66103584 3BCA CMP ECX,EDX
66103586 ^EB E3 JMP SHORT msvbvm60.6610356B
...
6610356B B8 00000000 MOV EAX,0
66103570 0F9FC0 SETG AL
66103573 F7D8 NEG EAX
66103575 50 PUSH EAX ; Если исполняемый файл < 350000 байт, то в стек сохраняется 0,
; если нет, то сохраняется -1 (0FFFFFFFFh). ;)
Вроде все, сохраняем в дампе изменения, т.е. DS:[0050a7b4] := 00145730h
Запускаем исправленный дамп, прога работает... Осталось зарегистрить.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Вот 00055730h = 350000 байт, а размер исходного файла 331 259 байт. Совпадение? Кстати, оба значения (00126000h и 00055730h) пишутся в стек. Подправим 00055730h на 00145730h. Двигаемся по F7 далее...
Пацан, ты чё? Там же P-code... Ты хочешь патчить VM от VB? Надо p-code патчить, описалово (оп-коды) его есть у меня.

| Сообщение посчитали полезным:

Пацаны, не посчитайте за психа, но разобравшись в VM от VB я нашёл адрес, где что проверяется.
50A7C5: BranchF(1C) loc_50A7CA - BranchT(1D) - anti size check
50CA95: BranchF(1C) loc_50CBE1 - BranchT(1D) - reg on all names
Регистрация не допатчена, придётся продолжать исследование.

| Сообщение посчитали полезным:

Bit-hack пишет:
Надо p-code патчить, описалово (оп-коды) его есть у меня.
Выложил бы чтоли.

| Сообщение посчитали полезным:

Ara пишет:
Выложил бы чтоли

Солидарен.

| Сообщение посчитали полезным:

ValdiS

Если нужен декомпилер для P-Code, бери здесьhttp://llamellik.webzdarma.cz/forumb/index.php http://llamellik.webzdarma.cz/forumb/index.php

-+- P32Dasm 1.5 * Copyright (C) DARKER (SCF) 2oo5 -+-

| Сообщение посчитали полезным:

ValdiS

Запустил я дамп.

Bit-hack пишет:
50A7C5: BranchF(1C) loc_50A7CA - BranchT(1D) - anti size check

По адресу 10A7C5 (смещение в хекс редакторе) 1С поменял на 1Е.

| Сообщение посчитали полезным:

Заставил я её думать, что она зарегина но ещё не испытывал ёё.



9aeb_Snap2.png

| Сообщение посчитали полезным: