 |
eXeL@B —› Вопросы новичков —› Помогите настроить OllyDbg против анти отладки EXECryptortа |
| Посл.ответ | Сообщение |
|
|
Создано: 26 сентября 2008 14:55 · Поправил: An_ton · Личное сообщение · #1 Привет всем есть программа, запакованная EXECryptor , c опцией HWID версией EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) *. Cсамая лутшея инфа, которую я нашел на русском про снятия EXECryptor : Это статья PE_Kill Распаковка EXECryptor 2.3.9 на примере Family2007. Туторы vnekrilova ExeCryptor v2.3.9 - Распаковка по vnekrilov PrevedSMS v5.1 в RAR статьях. Туторы SergSh Распаковка EXECryptor на примере InternetAccessMonitor в RAR статьях. И Видео тутор от RSI. Ну и еще кучу классных топиков на CRACKL@BE про EXECryptor которых я прочитал, прежде чем создавать эту тему . Проблема у меня в следующем, чтобы мне попасть на OEP мне надо чтобы программа запускалась в отладчике, и ставить бряк Set memory breakpoint оn access на секцию СОDA, как в Видео тутор от RSI. Та программа которая в Видео тутор RSI запускается у меня в отладчике без проблем . А вот та программа ко турою я хочу распаковать, не запускается у меня не в одной Сборки OLLYDBG которой, у меня есть. OLLYDBG Execryptor OllyDbg от Bronco SABRE-GOLD v1.0 ни в Shadow. Все те Палагины, которые нужны для работы с EXECryptor не помогают или, я не умею их настраивать, все вроде бы настраивал, как показано в статье у vnekrilova. Пробовал толка два плагина , OllyAdvanced v1.26 beta 12 и PhantOm v1.15 не запускается. Программа вроде бы запускается, а патом тормозиться, а в левам углу Оли под CommandBar такая надпись. New threadwith ID 000005E8 created. Можете плиз, кто ни будь, кто распаковывал эту версию, EXECryptor или у кого, запускается эта версия EXECryptorta в OllyDbg выложить мне сваю настойную OllyDbg . Или помочь, мне настроить Ольгу для работы с EXECryptor. P.s Остановка программы на TLS Callbacks, и удаления временного бряка, и подавления потакав , EXECryptorta на вкладку Thread мне к сожалению не помогает.  |
|
|
Создано: 26 сентября 2008 15:45 · Личное сообщение · #2 Для того,что бы кто-то мог помочь,нужно выложить саму программу. |
|
|
Создано: 26 сентября 2008 16:57 · Поправил: Модератор · Личное сообщение · #3 tempread Извеняюсь но ты навернае, не всё прочитал что я хотел написать. И за маего слабава Интернета получилась, передать на сервер толка пол темы, ты навернае прачитал толька пол темы которой я написал. tempread пишет: Для того, что бы кто-то мог помочь, нужно выложить саму программу. tempread Конечно спасибо, большое но я хочу в начале сам попробовать. русский язык выучи, чтобы такой хреновины больше не было |
|
|
Создано: 26 сентября 2008 19:44 · Личное сообщение · #4 Если ты хочешь распаковать файл, то не нужно дампить стоя на OEP — дампить надо после того как криптор распакует файл и поправит адреса call'ов (если с английским не туго, то почитай о дампе в мое блоге, там описано что и почему). Постскриптум Так и не понял, что именно тебе мешает? Запущенный процесс завершается с какой-либо ошибкой? |
|
|
Создано: 26 сентября 2008 23:17 · Поправил: tempread · Личное сообщение · #5 An_ton Конечно спасибо, большое но я хочу в начале сам попробовать. Если ты столько проработал материала,значит все стандартные настройки для борьбы с антиотладкой уже и сам перепробовал. Поэтому вслепую уже не насоветуешь. Выложи программу, и желающие, в своих "дежурных" Ольках проверят, и что нибудь отпишут. А если там что-то действительно специфическое, то может кто разберет антиотладочный прием вручную и раскажет,что же там такое хитрое есть. P.S. Последняя версия Фантома сейчас - 1.30(ищи в соответствующей теме на форуме) |
|
|
Создано: 27 сентября 2008 06:11 · Поправил: An_ton · Личное сообщение · #6 kioresk пишет: Постскриптум Так и не понял, что именно тебе мешает? Запущенный процесс завершается с какой-либо ошибкой? Kioresk Да вроде есть, вот такая, вот ошибка keep4u.ru/full/080927/dd7cf44192abccb2b8/jpg" target="_blank">jpg, хотя в Exceptions, установлен диапазон 00000001,FFFFFFFF. А то, что память не читаема я не знаю, что надо делать в этом случаи, с EXECryptort. tempread пишет: Если ты столько проработал материала,значит все стандартные настройки для борьбы с антиотладкой уже и сам перепробовал Я и, правда, уже всё перепробовал, три дня бьюсь против EXECryptor скачивал, все отладчики скрипты, который были в топиках, с похожей, темой, хотя может, я что-то делаю, и не правильно, или у меня не те опций стоят в плагинах. Вот эта программа SkyGrabber 5,29 МБ |
|
|
Создано: 27 сентября 2008 08:46 · Личное сообщение · #7 Так, у меня все нормально работает. Берешь стандартную Ольку, добавляешь Phantom 1.30. В его настройках выставляешь все галки. В Ольке ставишь все галки Options->Exceptions, в нижнем окошке "Ignore also following custom excetions or ranges" указываешь промежуток 00000000-FFFFFFFF. Выставляешь Options->Events в System Breakpoint. На всякий случай убери все остальные плагины,если есть. Загружаешь программу,зтавишь свой бряк, нажимаешь Shift-F9 и прерываешься на своем бряке. Если не сработает,пиши,еще пару уточнений напишу. |
|
|
Создано: 27 сентября 2008 12:02 · Поправил: An_ton · Личное сообщение · #8 tempread Респект... тебе))) Всё сделал, как ты написал, получилось, запустить программу, на простой OllyDbg,и с одним, Плагином Phantom 1.30.Но только, по чему-то, один раз, программа запустилась нормально в OllyDbg, а патом снова начало вылетать, MSG как, на рисунке выше. tempread а у тебя, программа всё время, нормально запускается в OllyDbg. Может еще, и Olly Аdvanced надо применить. Та программа, которая в видео туторе от RSI версией EXECryptor 2.2.4 (h1) У меня железно, запускается когда Exceptions ->00000001-FFFFFFFF Phantom 1.30-> вcе галочьки. Olly Аdvanced 1.26 beta 12 Только две, Галочьки. lgnore and skip C0000008h (lnv Hаndle). Break on TLS Cаllback. |
|
|
Создано: 27 сентября 2008 12:16 · Поправил: tempread · Личное сообщение · #9 An_ton Olly Аdvanced 1.26 beta 1 ->Break on TLS Cаllback - для твоей проги нужно только для того,что бы бряку на EP убрать. Это делается автоматически Фантомом(если стоит нужная галка),при условии,что олька останавливается на SystemBreakpoint. Так что этот плагин в даном случае для борьбы с антиотладкой не нужен. Может еще, и Olly Аdvanced надо применить. Бороться с аниотладкой нужно хоть в общих чертах понимая как она работает. И потом уже применять разные приемы с помощью плагинов.Просто ставить побольше плагинов для борьбы с антиотладкой не только бесполезно, но и вредно,так как такие плагины нередко друг другу мешают работать. Рекомендую запустить под отладчиком edd.exe(пароль:123) http://dump.ru/file/1084308 и посмотреть, найдет ли она отладчик или нет. edd.exe - это программа-детектор отладчика, поставляемой с некоторыми старыми дистрибами Фантома. |
|
|
Создано: 27 сентября 2008 12:33 · Личное сообщение · #10 An_ton попробуй закрыть олю, и потом заново запусти.должно помочь наверно. |
|
|
Создано: 27 сентября 2008 16:06 · Личное сообщение · #11 An_ton пишет: Olly Аdvanced EXECryptor палит этот плагин, удали его. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 сентября 2008 10:51 · Поправил: An_ton · Личное сообщение · #12 Спасибо вам, всем за участие, а особенно tempread'y . Я такой (кипишь), поднял и за этого EXECryptorta, а оказывается, мне всего-то, надо было, эта чистая OllyDbg, и один Палагин, Phantom 1.26, именно версий 1.26. Теперь у меня, программа, запускается всё время, как надо. Теперь я магу, спокойна пробовать распаковывать, SkyGrabber, Family 2008. Теперь даже программы, запакованные, версией, EXECryptor V2.2X -> softcomplete.com [Overlay] * запускаются, у меня, спокойно в OllyDbg. Проблема, решена тема, закрыта. |
|
eXeL@B —› Вопросы новичков —› Помогите настроить OllyDbg против анти отладки EXECryptortа |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати