Bpint 3 в Syser'e

Сейчас на форуме: _MBK_, Rio (+5 невидимых)

Посл.ответ	Сообщение
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 08 сентября 2008 17:44 · Личное сообщение · #1 Собственно хочу распаковать программу, запакованную UPX'ом. Запускаю PETools, делаю бряк`н`энтер. Пишу в Сисере bpint 3. В петулз жму ОК. Открывается сисер, но в окне кода адрес не 40хххх, который должен быть (в софтайсе все путем), а какой-то 8хххххх (Kei386EoiHelper). В Run Trace List'e есть адрес, на котором происходит прерывание, но сисер брякается именно на 8хххххх. При чем адрес меняется от запуска винды к запуску.

MaStak Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 сентября 2008 06:54 · Поправил: MaStak · Личное сообщение · #2 Может ошибаюсь но "какой-то 8хххххх " это обработчик прерывания. А "40хххх, который должен быть" в ESP на входе в обработчик.
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 12 сентября 2008 12:03 · Личное сообщение · #3 Не ошибаетесь, но нормальные отладчики останавливаются на входе в обработчик, а не внутри него.
MaStak Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 12 сентября 2008 21:00 · Поправил: MaStak · Личное сообщение · #4 Ну у сисера всё впереди. Я вот тока нипонял насчёт бряк`н`энтер. Этж я так понял для сайса придумано было, чтоб тормознуть прогу на EntryPoint. А сисер при загрузке жертвы автоматом встаёт на ЕР. Насчёт пака, вся соль в ESP-4 ! Т.е. встал на ЕР, далее жмешь F8, пока не дойдёшь до PUSHAD, потом набирай bpm esp-4, затем F5 и столько раз пока не набредёшь на POPAD, после этой команды будет переход на ОЕР. Как оказываеться всё просто да ? Сам сегодня с ASProtect 1.22 - 1.23 Beta 21 мучился пока наконец не просёк фокус с ESP, пакер обязан восстановить стек после своей работы.
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 13 сентября 2008 12:15 · Поправил: xV1RUSW0rm · Личное сообщение · #5 Блин. Я делал bpm esp-4 сразу на EP Спасибо за объяснение! Добавлено: не получилось ничего... Сразу после открытия в сисере, ставлю бряк на есп-4. Жму ф5 и программа не брякается...
MaStak Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 сентября 2008 23:10 · Личное сообщение · #6 Выложи поковыряю
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 16 сентября 2008 06:07 · Поправил: ClockMan · Личное сообщение · #7 xV1RUSW0rm Пишет:Собственно хочу распаковать программу, запакованную UPX'ом Эй братья Syser'e, чего вы тут мутите, пользуйтесь олей, темболее для расспаковки UPX её вполне хватит. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 16 сентября 2008 12:04 · Личное сообщение · #8 Я все понимаю, просто мне интересно распаковать прогу именно в сисере. =) Охота получше разобраться с ним. В оле-то уже давно распаковал =) Приложил аттач. Файл из книги "Головоломки для хакера" =) edea_16.09.2008_CRACKLAB.rU.tgz - eatme.exe
MaStak Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 16 сентября 2008 14:52 · Поправил: MaStak · Личное сообщение · #9 У меня всё нормально брякаеться Загружаю >load c:\eatme.exe Встал тут Code: 0040BE2C 0000 ADD [EAX],AL 0040BE2E 0000 ADD [EAX],AL 0040BE30 60 PUSHAD ; <--- EIP 0040BE31 BE00904000 MOV ESI,00409000 0040BE36 8DBE0080FFFF LEA EDI,[ESI+FFFF8000] 0040BE3C 57 PUSH EDI 0040BE3D 83CDFF OR EBP,-01 0040BE40 EB10 JMP 0040BE52 Пишу bpm esp-4, а он мне Set data break point at 0012FFC0! Жму F5, тут же брякаеться поскоку выполняеться PUSHAD, жму ещё раз F5. Встал тут Code: 0040BF76 EBE1 JMP 0040BF59 ; <--- EIP 0040BF78 FF96BCB00000 CALL [ESI+0000B0BC] 0040BF7E 61 POPAD 0040BF7F E94E53FFFF JMP 004012D2 0040BF84 0000 ADD [EAX],AL 0040BF86 0000 ADD [EAX],AL 0040BF88 0000 ADD [EAX],AL Это и есь переход на OEP, жму F8 Code: 004012D0 C9 LEAVE 004012D1 C3 RET 004012D2 55 PUSH EBP ; <--- EIP, OEP !!! 004012D3 8BEC MOV EBP,ESP 004012D5 6AFF PUSH -01 004012D7 68E0504000 PUSH 004050E0 004012DC 6828274000 PUSH 00402728 004012E1 64A100000000 MOV EAX,FS:[00000000] Всё, OEP твоей проги =12D2. У меня так и не получилось получить нормальный дамп сисером, наверно потому что он не правит ЕР. Поэтому пользовался сторонним дампером, а для этого надо повесить прогу >a eip jmp 4012d2 стираю бряки >bc * Выхожу Ctrl+F12 Дамплю процесс PElord`ом Ищу импорт в ImportRec, всё находит с первого раза Из неё же правлю импорт дампа. Достаю воркшоп, ввожу смещение ОЕР Нашёл свой джамп, щас буду менять на то что должно быть Заменил и сохранил Всё
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 16 сентября 2008 22:31 · Личное сообщение · #10 MaStak пишет: Пишу bpm esp-4, а он мне Set data break point at 0012FFC0! Жму F5, тут же брякаеться поскоку выполняеться PUSHAD, жму ещё раз F5. В том-то и дело, что не брякается =(
MaStak Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 17 сентября 2008 00:26 · Личное сообщение · #11 Я надеюсь мы об одном и том же говорим Syser Kernel Debugger v1.97.1900.1038 Попробовать переустановить, покрутить настройки У меня таких глюков не было
xV1RUSW0rm Ранг: 1.5 (гость) Активность: 0=0 Статус: Участник	Создано: 17 сентября 2008 08:23 · Личное сообщение · #12 Да. Дебаггер именно такой. Бряки на адрес или на прерывание работают, а вот bpm не срабатывает... Тоже пишет "Set data break point at 0012FFC0!", но не брякается =\

Для печати