Средства отладки в Microsoft eMbedded Visual C++ 4.0 "чуток" уступают ollydbg, поэтому хотел бы спросить - как с сплошном коде выловить требуемую функцию. Останов делается только на бряке, а куда ставить эти бряки в сплошном коде очень даже неясно.
Если нажимать паузу (Break Execution) во время работы проги, выдается мессага: "All threads are in system calls. It is not possible to break into the debuggee at this time".
Хорошо бы также знать соответствие адресов функций их названиям, может есть у кого соответствующий мануал?
Да и вообще хотелось бы пообщаться с людьми которые занимаются исследованием прог под покет, ибо инет на такой матерьял очень скуп. Хорошо хоть что WASM.RU есть c замечательными статьями от Broken Sword.

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

[0utC4St] пишет:
zhuchella, вот этот ваш файл упакованhttp://rghost.ru/4469301процентов на 90-95 могу заявить что это upx
Теперь б хотелось узнать, как его распаковать ?

| Сообщение посчитали полезным:

[0utC4St] пишет:
процентов на 90-95 могу заявить что это upx
Так и Есть ! Это, на 95%, PPC-PROTECT с подменными секциями.
Распаковывать нужно ручками, но это очень нудно !

| Сообщение посчитали полезным:

TyraTyra пишет:
Так и Есть ! Это, на 95%, PPC-PROTECT с подменными секциями.Распаковывать нужно ручками, но это очень нудно !
А можете подсобить ? В долгу не останусь ;)

| Сообщение посчитали полезным:

zhuchella пишет:
А можете подсобить ? В долгу не останусь ;)
Не ! я врядли ! Вам нужен Getorix или St@rix.

| Сообщение посчитали полезным:

Tyra пишет:
zhuchella пишет:А можете подсобить ? В долгу не останусь ;) Не ! я врядли ! Вам нужен Getorix или St@rix.
Как к ним достучаться ? Первому направил письмо, а второго пользователя уже не существует

| Сообщение посчитали полезным:

Tyra пишет:
Вам нужен Getorix или St@rix.

или ALe}{ =)

| Сообщение посчитали полезным:

Ara пишет:
или ALe}{ =)
К нему тоже доступа нет

| Сообщение посчитали полезным:

http://exelab.ru/f/action=userinfo&user=220

| Сообщение посчитали полезным:

Итак,
Ara получает плюшку за зачетную шутку
zhuchella это не PPC-PROTECT, к сожалению, а UPX, причем с ним видимо поработали, в том смысле что весь хедер на месте, но чексум сжатых данных не совпадает (соответственно -d не работает , эх было время).
Метод упаковки - M_NRV2E_8 (декомпрессор ucl_nrv2e_decompress_asm_safe_8).
Однако даже если насрать на чексум, то этот декомпрессор возвращает UPX_E_LOOKBEHIND_OVERRUN (UCL_E_LOOKBEHIND_OVERRUN).
Остается либо искать где что попортили, либо дампить и восстанавливать вручную, но для WinCE на паблике нету ни нормального дампера, ни импрека, так что это занятие для совсем скучающих
Такие дела.

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Getorix пишет:
UCL_E_LOOKBEHIND_OVERRUN
Где то попортили размер буфера ИМХО

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

GetorixPE_KillGetorix пишет:
Остается либо искать где что попортили, либо дампить и восстанавливать вручную, но для WinCE на паблике нету ни нормального дампера, ни импрека, так что это занятие для совсем скучающих Такие дела
PE_Kill пишет:
Где то попортили размер буфера ИМХО
А можете помочь в распаковке, за мной не заржавеет ;)

| Сообщение посчитали полезным:

Кстати, тут один товарищ нашёл смещение в этом зашифрованном файле, по которому проверяется параметр реестра, который, в свою очередь, отсчитывает дни до окончания триала. Это может помочь в расшифровке файла ?

| Сообщение посчитали полезным:

zhuchella пишет:
А можете помочь в распаковке, за мной не заржавеет ;)
Извини бро, на подобные развлечения у меня нет ни времени ни желания.
zhuchella пишет:
Кстати, тут один товарищ нашёл смещение в этом зашифрованном файле, по которому проверяется параметр реестра, который, в свою очередь, отсчитывает дни до окончания триала. Это может помочь в расшифровке файла ?
Это как так "смещение в зашифрованом файле"? Зашифрованый код не может быть исполнен процессором А если он нашел этот оффсет в памяти после UPX распаковки то пусть напишет инлайн патч (только осторожнее с передачей управления в стабе UPXа, там чередуются ARM/THUMB переходы). Ну и наконец если все дело в записи реестра, то че не написать утилитку TrialReset?

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Getorix пишет:
Ну и наконец если все дело в записи реестра, то че не написать утилитку TrialReset?
Да это не сложно. Просто очень достает вотермак TRIAL в некоторых местах проги. Хотелось б его почистиь

Так можеет кто-то подсказать, хотябы, где можно прочитать про распаковку так запакованых файлов ?

| Сообщение посчитали полезным:

Ну для данного конкретного случая можно начать с изучения исходников UPX

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Getorix пишет:
Ну для данного конкретного случая можно начать с изучения исходников UPX
Раз надо, так надо.

Хотел бы посоветоваться: есть ли возможность прийти к регистрации проги с другой стороны ? У меня есть незапакованный екзешник предыдущего билда программы. Регданные подходят от старых билдов к новым на протяжении года. Рег данные: емейл, ИД устройства и сам код, который, я подозреваю, формируется на основе двух первых полей.
Может стоит посмотреть, как проверяется регкод и на основе этого написать алгоритм формирования регданных ?
Загрузив в ИДА этот файл я нашёл в нем функцию xmages.net/show.php/2500468_phone-jpg.html А что дальше делать ?
Сам непакованный файл - rghost.ru/4500114

| Сообщение посчитали полезным:

zhuchella, может стоит в запросы на взлом сунуть?

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St] пишет:
zhuchella, может стоит в запросы на взлом сунуть?
Меня оттуда к вам послали

| Сообщение посчитали полезным:

Закругляйся имхо. Дали же ясно понять, что никто за тебя делать не будет. Тут топик для обсуждений, а не для нытья просьб.

| Сообщение посчитали полезным:

Цитата:Да это не сложно
Угу.Что же ты ещё не написал?
Цитата:Загрузив в ИДА этот файл я нашёл в нем функцию
А она тут причём?

| Сообщение посчитали полезным:

zhuchella, купи программу и не мучайся

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

Есть мгра Stolen in 60 Seconds скачана с офф. сайта _ _ w.smart.herocraft.com, вопрос в следующем, запускаю на навигаторе(СЕ5), игра (мои измышления) думает, что это смартфон??? (т. е. с клавиатурой) и не выводит кнопки управления на экран (game.dat - 7z архив, gui.png), на эмуляторе WM 6.0 все в порядке (есть кнопки), понимаю что можно поправить, но не знаю как... В дизасемблированном листинге нашел фунцию SystemParameterX (думаю с помощью ее все организуется), но дальше ни как... Доп. инфо в игре после запуска в меню выводится окно справки: на эмуляторе с указанием кнопок на экране, на навигаторе с указанием клавиш (1,2,3 и т.д.). Помогите, кто чем может...

| Сообщение посчитали полезным:

По адресу sub_10E724 начинается функция которая читает размеры экрана и ориентирование экрана.
Так же стоит глянуть sub_3D26C, там проверяется тип устройства с словом SmartPhone и потом проверяет версию винды (5) и названия устройств из списка.
Если смартфон, то он там выставляет 1, есть смысл попробовать поправить на 0 или занопить. Только предполагаю там есть защита от патча.

Есть еще место где сравнивает имя с PocketPC и проверяя тач устройство или нет выставляя 1 в byte_1C6971 если не не удовлетворяет условиям, и 0 если это все таки тач устройство.

Так же игру можно запускать с параметрами
/nofullscreen, /resoultion ***x***, /width, /height

Советую сравнить Log_PHAL.txt на CE и WM

Слишком много проверок по коду. Надо патчить по одному и проверять на железке. У меня такой возможности нет - смарт на вм сдох по не осторожности.

| Сообщение посчитали полезным:

Veliant пишет:
По адресу sub_10E724 начинается
Спасибо, разобрался, нужно править два перехода BNE loc_18C78, BNE loc_18C30. Пробовал в отладчике менять флаги, для нужных переходов, все работает.

| Сообщение посчитали полезным:

Еще вопросик, а существует ли методика снятия пакера UPX c ARM ехе файла? Во многих статьях описывается способы основаные на снятии дампа, но все программы работают с ББ. Поиском ничего не нашел, может плохо искал ? Есть у кого реальный опыт? Программы для автоматического снятия пакеров(Quick.Unpack.v2.1 и тому подобные) не работают. Самим UPX не снимается (не та версия, или модификация).

| Сообщение посчитали полезным:

Самим UPX неснимается (не та версия, или модификация).
Как это не снимается?Можно ссылку на прогу?

| Сообщение посчитали полезным:

Продолжу чужой топик
Как обычно реализуется защита от патча в РРС приложениях??
где искать ??
Я пропатчил прогу - на эмуляторе работает все норм, при запуске на реальном устройстве выпадает в винду
спасибо

| Сообщение посчитали полезным:

hawk69
99% что нужно просто удалить сертификат Гуглите ImageRemCert.exe
Или с помощью хекс редактора поправить секцию Security и оверлей
Если не прокатит-выкладывайте файл

| Сообщение посчитали полезным:

.

| Сообщение посчитали полезным:

Спасибо почитал, проверил подписи нет, контрольная сумма нули
конец файла то-же нулями забит




| Сообщение посчитали полезным: