 |
eXeL@B —› Вопросы новичков —› Распаковка teLock1.0 |
| Посл.ответ | Сообщение |
|
|
Создано: 01 октября 2007 18:28 · Личное сообщение · #1 Здравствуйте все. Проблема вот в чем: Прога при загрузке в олю выдает сообщение о невозможности обхода по адресу : 005518FC и не запускается никак При попытке поставить бряк на этот адрес, жалуется, что бряк за пределами кода, но запускается с ошибкой CRC. Пакована teLock1.0, QUnpack2.0 пытается помочь, но неверное(я думаю) нахождение OEP сбивает, после распаковки кажет - Delphi 6-7, но запускается с ошибкой СRC. подделка CRC не дала ничего. Вопрос вот в чем: как найти OEP? важен прицип поиска, т.к статьи по поводу не нашел. Дальше, думаю, нетрудно распаковать тем же QUnpack, но сейчас-то отладчик не в силах что-либо сделать. Интересно с такой поработать, но начать не могу. Помогите, пожалуйста, кто такое распаковывал!!! slil.ru/24922008 - прога здесь (нераспакованная), 788 Кб архив  |
|
|
Создано: 01 октября 2007 20:27 · Личное сообщение · #2 не качается г меня с этого слмл.ру залей на нормальный обменник: rapidshare.com dump.ru ----- -=истина где-то рядом=- |
|
|
Создано: 01 октября 2007 20:45 · Личное сообщение · #3 Перезалил... dump.ru/files/m/m872874739/ www.rapidshare.ru/416779 |
|
|
Создано: 01 октября 2007 20:48 · Личное сообщение · #4 Вот архив: (DUMP.RU) http://dump.ru/files/m/m202028210/ Распаковывается QU 2.0 нормально, но он естественно не убирает навесную защиту tElock'а, там в разных версиях по-разному, в этой, похоже, что-то типа stack overflow генерируется бесконечной рекурсией. |
|
|
Создано: 01 октября 2007 20:50 · Поправил: alchemister · Личное сообщение · #5 Распакованный http://dump.ru/files/m/m651936147/ У меня он просто не запускается (в смысле вылетает безо всяких сообщений). как я уже говорил, там похоже на бесконечную рекурсию; Olly пишет access violation. В более ранних версиях, кстати, был просто выход через ExitProcess. |
|
|
Создано: 01 октября 2007 21:08 · Поправил: Gerpes · Личное сообщение · #6 alchemister Такое тоже было... только причин не предполагал... а важно что-то плохое с защитой сделать, чтобы оля работала, и , главное, понимание принципа(для меня важно) Вот с ошибкой (только екзешник), кому интересно..- PEiD показывает наличие TeLock- это у него пробовал CRC подделать. dump.ru/files/m/m9219010384/ - 650 Кб архив |
|
|
Создано: 01 октября 2007 21:51 · Личное сообщение · #7 у меня Олли закрывается(при shift +f9) вместе с прогой...плагины скрытия отладчика не помогают - виснет прога (или олли) |
|
|
Создано: 01 октября 2007 22:32 · Личное сообщение · #8 Мой DefixedEdition с плагами тоже похоже себя ведет... 
Я бы сюда не обратился.. Думаю, проблема только в распаковке, а дальше- как в крякмисах, серийник вроде не длинный, может, даже кейген замучу... Знать бы , может, в HIEW можно поправить. |
|
|
Создано: 01 октября 2007 22:41 · Поправил: ReZiDenT_USSR · Личное сообщение · #9 У меня даже пакованный не запускается. " ошибка реестра!Переустановите программу!" |
|
|
Создано: 01 октября 2007 23:33 · Личное сообщение · #10 dump.ru/files/m/m0986091008/ - 1,24Мб это инсталл, если надо. |
|
|
Создано: 01 октября 2007 23:45 · Личное сообщение · #11 "Ошибка реестра!Переустановите программу!" это сама программа проверяет (не tElock), то ли в FormCreate, то ли в FormShow |
|
|
Создано: 02 октября 2007 19:45 · Личное сообщение · #12 Посмотрел прогу. Итак: -требует прав администратора для записи данных в реестр в ветку Subkey = "software\microsoft\windows\ga0607" - там кол-во запусков и регинфа; -распаковывать надобности нет, запускаем прогу, а как полностью запустится, аттачимся к ней Олли и ищем что надо. Там же в ссылках на текстовые строки находим и ключ - Text string=ASCII "7r43eQ61HDz89", имя любое и прога зарегена 
|
|
|
Создано: 02 октября 2007 23:06 · Личное сообщение · #13 распаковать пока тоже не получилось. Надо в настройках Олли убрать все галочки на исключениях и проходить их вручную, смотреть где вываливаются сообщения, менять переходы и так идти до ОЕР. Сообщения я прошел но до ОЕР времени не хватило добраться. |
|
|
Создано: 02 октября 2007 23:14 · Личное сообщение · #14 Tolkin Хм, - виснет прога, только посмотреть можно, сделать ничего не получается... А как ссылки на текстовые строки в Оле искать???? В будущем пригодится.. Огромное спасибо за помощь!!! Я развеселился даже- не защита, а хз. Башку ломали больше.. 
Слов нет нормальных... Но по распаковке вопрос все равно интересен ,мало ли какая прога попадется, кто если знает- подскажите !!! Благодарю всех! |
|
|
Создано: 02 октября 2007 23:21 · Личное сообщение · #15 по поводу трассировки посмотрю- по ходу, времени много надо. у Криса статья была, для новичка тяжело, но что-то подобное описывал, перечитаю- но Крис походу, в башке дизассемблирует. трудно за ходом мысли уследить иногда.
Еще плагин для Анпака предлагал варианты(куски листинга)- все можно попробовать посмотреть, мож, что и увижу... |
|
|
Создано: 03 октября 2007 16:12 · Поправил: ReZiDenT_USSR · Личное сообщение · #16 Попробуйте: www.rapidshare.ru/418896 oep 004A0658 |
|
|
Создано: 03 октября 2007 17:30 · Поправил: Gerpes · Личное сообщение · #17 ReZiDenT_USSR Запускается, но распаковалось возможно не полностью- при загрузке в олю виснет при втором вызове 0041AFE4 (на моей машине) , при этом ошибок не вылетает, но ничего не происходит: 0041B314 XOR EDX,EDX 0041B316 MOV EAX,DWORD PTR SS:[EBP-4] 0041B319 CALL dump_.0041AFE4 \ вызов , где происходит зависание. 0041B31E MOV EAX,DWORD PTR SS:[EBP-4] 0041B321 CALL dump_.0041A6C8 0041B326 TEST AL,AL 0041B328 JE SHORT dump_.0041B314 \ неясный мне переход 0041B32A MOV EAX,DWORD PTR SS:[EBP-4] 0041B32D CALL dump_.0041B634 0041B332 XOR EAX,EAX 0041B334 POP EDX Покопаю поглубже пока... PS чем это ты ее?? вручную ? |
|
|
Создано: 03 октября 2007 18:23 · Личное сообщение · #18 "А как ссылки на текстовые строки в Оле искать????" - в окне кода клик правой кнопкой мыши -> Search for ->All referenced text strings |
|
|
Создано: 03 октября 2007 19:25 · Личное сообщение · #19 Я использовал Shadow c Olly Advanced 1.26 b6. При использовании DeFixed появляется сообщение: "CRC error!File content has been modified..." Если использовать чистую Ollydbg, то она вообще закрывается. www.rapidshare.ru/419147 (дамп с не восстановленным импортом,IAT , плагин к IMPREC) |
|
|
Создано: 03 октября 2007 19:57 · Личное сообщение · #20 вот здесь есть ссылки на Олли для ехекриптора , под ней прога запускается http://www.exelab.ru/f/action=vthread&forum=1&topic=6273&p age=0 |
|
|
Создано: 03 октября 2007 21:04 · Личное сообщение · #21 ReZiDenT_USSR Хех...у меня тоже ОЕР = 004A0658 вот куда я вышел после распаковки... 004A0658 55 PUSH EBP 004A0659 8BEC MOV EBP,ESP 004A065B 83C4 F0 ADD ESP,-10 004A065E 53 PUSH EBX 004A065F B8 28034A00 MOV EAX, 004A0328 На делфи похоже..дамп не снимал. не проверял... |
|
|
Создано: 03 октября 2007 22:12 · Личное сообщение · #22 Распаковал, ОЕР = 004А0658 проверил, у меня работает, в аттач не влезает. Использовал обычную Олли + HideToolz, дампил Олли, импорт восстановил ImpRec |
|
|
Создано: 03 октября 2007 23:09 · Поправил: Gerpes · Личное сообщение · #23 Tolkin ПРо ссылки на строки дураком себя почувствовал(заржал даже...-везде искал- в окне дампа можно, но неудобняк.) 
Щас разбираться буду потихоньку( случились проблемы со временем) |
|
eXeL@B —› Вопросы новичков —› Распаковка teLock1.0 |
Для печати