Собственно незнаю еще терминологии, поэтому объясню на пальцах:
Всю ночь возился с програмкой наконец нашел в ней CALL на процедуру которая шифрует буффер данных по замутному алгоритму, использует для шифрования две таблици данных, которые еще и изменяет по ходу дела...
Повторить такой алгоритм большая проблема, очень много времени уйдёт, поэтому вопрос у меня такой:
Возможно ли выдрать эту функцию из проги и использовать затем в своей программе? Может уже есть инструментарий для этого? А если нет, то как быть в такой ситуации?

| Сообщение посчитали полезным:

Можно и выдрать, для Ольки есть плагин, CodeRipper зовёццо, что ли. Мона отдельную прожку заюзать типа TMG Ripper Studio. ИДА в асм сгонять умеет, только ссылки на данные не парсит не фига.

| Сообщение посчитали полезным:

TMG Ripper Studio - штука хорошая но видимо не для моего случая =( В этой процедуре все переходы вычисляются непосредственно по ходу работы, если бы в TMG Ripper Studio можно было задать начально значение регистров....
А CodeRipper найти немогу...)

ЗЫ. А можно сделать "экспорт" процедуры, или что-то вроде, чтобы ничего не выдерая использовать её прямо из программы!?

| Сообщение посчитали полезным:

WiseFalcon если бы она была в длл, то можно было. А так, разбирайся в коде

-----
invoke OpenFire

| Сообщение посчитали полезным:

WiseFalcon, как написал archer - проработай код в Иде. Посмотри что твоя функция вызывает, от чего зависит. Дай названия ф-циям, переходам и переменным. После этого ты поймёшь можно ли это выдрать или проще переписать самому. Кста, в случае переписывания hex-rays сильно упростит задачу перевода асма в С.

| Сообщение посчитали полезным:

Вот блин.. весь яндекс измучил в поисках hex-rays, а он оказывается уже здесь есть в архиве с Идой 5.2 Спасибо

Вопрос такой: Я снял протект с программы (Темидой упакована была), но при открытии в Олли выскакивает придупреждение о том что "Точка входа вне сегмента code". Это нормально для проги без протекта? а то у меня мысли, что это влияет и на мою процедурку шифрации...

Пытался сделать так: Нахожу OEP ставлю бряк на неё, прогоняю до бряка, снимаю фулл дамп из PE Tools
, затем IpmRec'ом из памяти считываю таблицу импорта (считывается ровно, без битых) и патчу получившийся дамп. Итог: Программа запускается но нипискнув сразу завершается. И "сразу" это мягко сказано, кликаешь по exe'шнику, а такое ощущение что мимо кликнул, вообще без имоций (пробывал пересобирать Ребилдиром в PE Tools, непомогло)...

| Сообщение посчитали полезным:

WiseFalcon
А ты правильно нашёл OEP, у Фемиды вроде весь первый код на OEP в ВМ.

| Сообщение посчитали полезным:

VaZeR, "у Фемиды вроде весь первый код на OEP в ВМ" - что такое BM? Я еще незнаток понятий )

Я OEP получил плагином из PEiD. мне кажется он верный. Так как тотже PEiD определяет тип упаковки в просто распакованном файле как "Nothing found *", а в полученном дампе сразу определяет компилятор "Microsoft Visual C++ 6.0".

| Сообщение посчитали полезным:

WiseFalcon
Протектор модифицирует исходный код программы, где участки кода защищаемого файла переводятся в байткод, выполняемые на виртуальной машине (ВМ). Проще говоря протектор ворует часть кода и эмулирует его выполнение в своей защищенной области.

| Сообщение посчитали полезным:

Т.е. когда программа работает некоторые её части выполняются через ВМ... вот блин... А я думаю чё эт у меня процедурка по всей памяти разбросана.. это она в ВМ прыгает за очередным кусочком кода
И как с этим бороться?

| Сообщение посчитали полезным:

WiseFalcon
Тебе нужно работоспособное приложение? Ты же вроде хочешь выдрать функцию из проги. Так это можно сделать и так без снятия Фемиды, если конечно твоя функция не в ВМ, тогда все значительно усложняется .
А так чтобы получить работоспособную программу нужно сдампливать необходимые регионы и прикручивать их к файлу. Но я что то очень сомневаюсь что тебе это под силу.

| Сообщение посчитали полезным:

VaZeR
Посмотрел в процедуре у неё в самом начале идёт тройка PUSH и затем она прыгает джампом в область памяти Фемиды (секция называется Themida, а содержание написанно SFX) Значит полюбому ВМ. От неё можно какнибудь избавиться или как вообще быть в такой ситуации?
А насчёт "Но я что то очень сомневаюсь что тебе это под силу." - это вопрос времени и устремлённости.

| Сообщение посчитали полезным:

WiseFalcon
Ну значит тут только один выход это декомпильнуть ВМ. Но для это очень волокитно, но тем немение возможно. По мне в Фемиде легче всего это сделать логер. Ну это уже твой выбор писать транслятор байт кода или логер дизамп.

| Сообщение посчитали полезным:

VaZeR
Во, классно! Сделать скрипт для Оли который будет от входа в процедуру до выхода из неё логить все выполняемые инструкци... ой нет.. несканает. туда и ВМ попадёт...
Что это за логер тогда?? В чем его принцип действия?

| Сообщение посчитали полезным:

WiseFalcon
Так логер должен собирать только нужную инфу, а не весь мусор. Для этого надо разобрать ВМ. И найти в ней контрольные точки. Чтобы когда остановится на ней можно было точно сказать что это за выполнимая команда. Здесь есть неколько проблем. Первая с которой сталкиваешься это то что весь код состоит из переходов (JMP JE JNZ ...), но это не сложно побороть. т.е. получить код ВМ без переходов. Фемида в этом отношении очень лояльна.
Следующая проблема это условные переходы которые были в первоначальном коде. ВМ Фемиды их тоже эмулирует. Но это тоже можно обойти просто запуская два раза ВМ с изменением условия.
Есть ещё одна проблема это то что не которые команды могут давать исключения, типа обращения к несуществующий области. Но это тоже можно обойти просто не выполня команд т.е. дойти до команды эмуляции и пропустить её.
Вот в принципе и все. Но если конечно у тебя такая реализация эмуляции. Лучше всего выложи прогу и скажи где тебе нужно выдрать ВМ. Тогда уже точно можно сказать, что там у тебя.

| Сообщение посчитали полезным:

сразу скажу что это L2Walker 10.7.4, пожалуйста без камней..
Вызов процедуры происходит здесь .00433438 CALL [edx+18] (00433B30)
вот тут уже распакованная версия лежит (5,3 Мб): TouchMe http://87.225.71.131/other/dump/

| Сообщение посчитали полезным:

WiseFalcon
Да там как раз такая эмуляция как я описал. Первый вызов эмулирует примерно вот этот код:
add ebp,4
mov edi, [esp+18]
push edi
mov eax, [esi+217C]
push eax
mov ebx, [esp+20]
mov eax, ebx
call 488430

Примерно, потому что в этой версии фемиды очень сильно изгажены некторые структуры, слишком много пустых вызовов и смешений. Поэтому я мог где то и ошибится.

Вызов ВМ стандартный:
PUSH ключ
jmp на основную ветку ВМ

| Сообщение посчитали полезным:

Спасибо, буду ковырять...

| Сообщение посчитали полезным:

У меня тут мысли возникли: А можно выдрать Фемидовскую ВМ и прикрутить её к свое проге. и функцию шифровки тогда использовать как она есть, вместе с фемидовским байт кодом?

| Сообщение посчитали полезным:

WiseFalcon год назад примерно это было сделать как два пальца, текущюю версию не смотрел, но как развивается гавномида думаю, что ничего не изменилось.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

WiseFalcon
Да это можно сделать, но тоже есть кое какие проблемы. Во первых размер будет большой. Я бы в такой ситуации сделал бы трейсер который бы обработал несколько вызовов ВМ у тебя насколько я понял их всего три. Причем первый я тебе уже декомпильнул. Плюс этого метода в том что размер ВМ очень сильно уменьшится. Там будет лишь то что необходимо, вместо всей ВМ, можно ещё к трейсеру прикрутить фильтрацию наиболее характерного мусора.
Во вторых это то что ВМ уже настроена на адреса. Я честно не когда не пытался переносить код ВМ в другое приложение, но думаю что ВМ все равно нужно будет пофиксить. Покрайней мере нужно будет указать адреса для структур ВМ.
По мне легче всего это опять же получить оригинальный код нежели возится с переносом ВМ.

| Сообщение посчитали полезным: