ollyscript (tracer 0.1 alfa)

| Сообщение посчитали полезным:

Во блин скока топиков накалякал. Вспомнил Пачи садятся воосновном на оригинальную олю а на shadow пишут бед црц так что вероятно у вас будет пропаченная оля но не пропаченная shadow. Уф голова болит кто какое нибудь лекарство знает опохмелку не предлагать я на работе.

| Сообщение посчитали полезным:

Все пацаны баг попался на старом добром PE Compact`e

Tracer 0.3.alfa

rapidshare.de/files/29333502/tracer.osc.html

Присылать ничего не надо.

| Сообщение посчитали полезным:

Если трасер еще кого нибудь интересует выкладываю новую уже не альфа версию. (0.4)
Whats new:
- переработан алгоритм
- теперь в случае ухода исполнения кода в системные библиотеки трасер пытается записать в лог название вызванной апи
- у лога появился заголовок включающий в себя информацию об отлаживаемом процессе
- добавлены длинные call
В комплект также по просьбе телезрителей включена не сама модифицированная shadow а только патч так что всего комплекта опустился до 70 кб.

В принципе такой вариант скрипта меня вполне устраивает и я заканчиваю работу над скриптом (естественно найденные баги будут устранятся).


7f90_15.08.2006_CRACKLAB.rU.tgz - tracer.RAR

| Сообщение посчитали полезным:

Medsft
прошу помещать в архив с каким либо приблудом файл readme с описанием, какой файл как запускать и для чего нужен, а также не большой гуидми.

С уважением Противоречие

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Ну второй раз приаттачивать файло я не буду. Расскажу так
В архиве лежит
1.Патч для исправления ошибки "set memory breakpoint on page to accsess" для версии shadow. Теперь при установке ВРМ на секцию (режим to accsess) прога останавливается только если в этой секции начинается исполнение кода а не например чтение из нее. (оч удобная штука ну например если мы хотим распаковать aspack то просто ставим бряк на секцию сode, хотя ep находится в секции aspack жмем F9 и вываливаемся сразу на OEP.
2. shadow.ini - файлик настройки shadow
3. odbgscript.dll - основной двигатель (его надо положить в папку plugin)
4. Ну и сам скрипт tracer.osc (его надо положить в папку script)

Теперь о работе скрипта
В интересующем нас месте проги ( т.е. любом eip) идем в меню plugin->odbgscript->run->tracer.osc
Начинается исполнение скрипта при этом в каталоге где размещена исследуемая программа начинает формироваться файл trace .txt (который по структуре напоминает обычный текстовый файл где в строчках указывается как шло выполнение кода.
Скрипт в любое время можно остановить из меню odbgscript.
есть маленький не страшный баг когда shadow ругается о выходе области установки ВРМ за пределы секции решается нажатием кнопки OK.
В дальнейшем вы переименовываете полученный файл trace.txt ну например в traceold.txt
Проводите необходимые манипуляции в исследуемой проге и запускаете скрипт повторно.
В случае наличия таких проверок как chksumm, проверки модификации кода естественно трасса программы будет на каком то этапе различаться ну а дальше зная где находится недобитый jmp можно все подправить правда уже ручками и об этом я уже писать не буду.

Уф все.

| Сообщение посчитали полезным:

Исправлен баг с loopd short


7f12_28.08.2006_CRACKLAB.rU.tgz - tracer.RAR

| Сообщение посчитали полезным:

Medsft
didierstevens.wordpress.com/programs/ollystepnsearch
можете скооперироваться

| Сообщение посчитали полезным:

У меня скрипт стабильно обламывается на строке 443: wrta file,text. OllyScript версии 1.48. Где туплю?

| Сообщение посчитали полезным:

YDS пишет:
У меня скрипт стабильно обламывается на строке 443: wrta file,text. OllyScript версии 1.48. Где туплю?
+1 Точно такая же трабла! Токо версия 1.47. Причём на каких только сборках я не пробовал.

| Сообщение посчитали полезным:

Блин пришлите мне любую прогу на которой происходит облом исправлю за 10 минут.

| Сообщение посчитали полезным:

ВНИМАНИЕ! Блягодаря добрым людям наконец то отловлен последний баг (очень надеюсь) который возникал при редиректе импорта.

5ed6_08.09.2006_CRACKLAB.rU.tgz - tracer.RAR

| Сообщение посчитали полезным:

Medsft пишет:
Блин пришлите мне любую прогу на которой происходит облом исправлю за 10 минут.

C:\Windows\Notepad.exe - скрин в аттаче На любой вылетает

648c_08.09.2006_CRACKLAB.rU.tgz - Err_tracer.rar

| Сообщение посчитали полезным:

решил попробовать и те же глюки - 443: wrta file,text
пока не поменял ollyscript на версию 1.51
здесь слегка искаженный моей русификацией вариант
со Step - может даже ошибся

| Сообщение посчитали полезным:

здесь


f904_08.09.2006_CRACKLAB.rU.tgz - ODbgScript.zip

| Сообщение посчитали полезным:

r99, большое спасибо за помощь. Теперь всё работает как надо. А я парился...

| Сообщение посчитали полезным:

.

| Сообщение посчитали полезным:

Автор скажи, пожалуйста, что за ошибка и как с ней бороться ?
и как поменять кракозябры на текст (как я понял русский)
в аттаче скриншот
0f8d_31.10.2006_CRACKLAB.rU.tgz - error-tracer.osc.JPG

| Сообщение посчитали полезным:

ребята, выручайте!
автора нет, а разные ошибки и даже зависания оли при использовании этолго скрипта лезут....

Как сделать чтобы трэйсировка не лезла в другие модули кроме основного ?

| Сообщение посчитали полезным:

Новая версия с описанием

bed8_01.11.2006_CRACKLAB.rU.tgz - tracer.RAR

| Сообщение посчитали полезным:

Про кракозябы ничего сказать не могу смотри настройки либо переставь

| Сообщение посчитали полезным:

Спасибо за твои старанья!

но ошибки остались....
в связи с чем предложение добавить функционал

такую весчь как:
исключать отдельные адреса из трэсировки ? (на которых оля с работающим скриптом намертво виснет)
исключать как явно так и автоматически циклы ? (из-за того, что они очень длинные и инфа по мин не нужна)

| Сообщение посчитали полезным:

Если я тебя dantist научу возьмешься?

| Сообщение посчитали полезным:

быстрее и проще тебе самому...

А вообще существуют подобные средства записи трэсировки ?

мне сейчас край как надо сделать вот что:
есть прога работающая на 1 компе
нужно запустить ее на другом без знания уникального серийника

| Сообщение посчитали полезным:

Так разберем проблему на части

Да циклы отнимают значительную часть времени но ведь это только время запускаешь и уходишь спать
другое дело dantist пишет:
исключать отдельные адреса из трэсировки ? (на которых оля с работающим скриптом намертво виснет)
вот это уже вопрос скидывай что ты имеешь в виду в личку посмотрю и отвечу возможна ли реализация

| Сообщение посчитали полезным:

"Да циклы отнимают значительную часть времени но ведь это только время запускаешь и уходишь спать "
с удовольствием бы так сделал, но скрипт либо зависнет либо вылетит с ошибкой и остановится...

"исключать отдельные адреса из трэсировки ? (на которых оля с работающим скриптом намертво виснет)"
это значит предусмотреть возможность указать адрес на котором скрипт бы не отрабатывал, пропускал его и дальше опять включался....

| Сообщение посчитали полезным:

Вникнем скрипт не имеет своих механизмов защиты от обнаружения и хорош тем что для этой цели использует всю мощь оли. Далее скрипт использует для отладки и трассировки так называемые hard and memory breakpoint т.е. если исследуемая программа использует такие специфические методы защиты как перезапись,отслеживание состояния dr-регистров или скажем состояние guard-страниц то естественно такие места в проге нужно проходить ручками. Я делаю это так:
Запускаю с самого начала скрипт-- пью кофе
при зависании и любом обломе смотрю содержание trace.txt а именно где же все остановилось
смотрю что именно происходило в этом диапазоне адресов и если могу прохожу это ручками (обычно это и есть места защиты) ну а потом заново запускаю скрипт и все.

И вообще я его делал не для того чтобы автоматически что-то распаковывать а для сравнения работы уже распакованной программы т.е. рекомендую до OEP идти ручками а уж потом запускать скрипт а еще лучше запускать его в те моменты проги когда по твоему мнению обрабатывается ввод или проход серийник.

| Сообщение посчитали полезным:

Кстати готово улучшение скрипта в районе 14-15 часов выложу. Там будут учтены некоторые твои замечания.

| Сообщение посчитали полезным:

запускаю я его с ОЕП
прога не пакована
написана на делфи

14-15 часов это в каком часовом поясе ?

| Сообщение посчитали полезным:

dantist дождался

Новая версия 0.7r (русская редакция)

Исправлено
- некоторые баги
- оптимизирован код
- появилась защита от дурака (это в смысле для тех кто пытается запускать скрипт из под обычного обработчика скриптов ollyscript а не из под odbgscript меню
- теперь самостоятельно можно поменять адрес начиная с которого скрипт будет считать что обрабатываются dll-ки
- по просьбе дантиста теперь можно выкинуть блок из обработки (при этом нужно учесть следующее что точка останова ставится на конец блока и если прога туда не вернется то скрипт не будет обрабатывать события. Второе выделяя блок не надо отмечать его начиная и кончая вызовом процедур т.е. ставьте начало такого блока на несколько инструкции раньше там где находятся более простые комманды ну например mov,xor,inc и т.д. такое же условие необходимо для корректного выхода
- теперь в trace.txt можно дописывать или начинать новый
- и последнее конечно перед Вами совершенный продукт но всеже не надо пытаться вбивать в всплывающие окна имя любимой я просто не знаю как отреагирует скрипт

4cbb_03.11.2006_CRACKLAB.rU.tgz - tracer.RAR

| Сообщение посчитали полезным:

И правда то, что нужно было!
но видимо новые баги появились, т.к. вылетает скрипт....
в аттаче скриншот ошибки


a43a_07.11.2006_CRACKLAB.rU.tgz - tracer.osc_error.JPG

| Сообщение посчитали полезным: