Самоотладка

Сейчас на форуме: _MBK_, asfa (+5 невидимых)

Посл.ответ	Сообщение
Robix Ранг: 7.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 31 мая 2009 04:16 · Личное сообщение · #1 Программа использует самоотладку, когда появляется дочерний процесс. Есть вариант открыть процесс через kernel32@OpenProcess() но как это сделать подскажите пожалуйста подробно. Я отлаживаю в OLLY.

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 31 мая 2009 08:31 · Личное сообщение · #2 Причём здесь самоотладка через 2 процесса и OpenProcess? Опиши проблему нормально и конкретно, что смотришь, пока могу отправить читать статьи по арму и крипкей, там 2 процесса.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 31 мая 2009 08:49 · Личное сообщение · #3 Robix При запуске проги вызывай OpenMitexA, если мьютекса нету, то создаём его с помощью CreateMutexA и создаём отлаживаемый процесс с Debug привелегиями и отлаживаем его ----- Research For Food
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 31 мая 2009 15:57 · Личное сообщение · #4 Строго говоря, при самоотладке есть куча вариантов помимо мьютекса, поэтому я бы лучше подождал данных от топик стартера. Мьютекс, в частности, используется в арме, но тыкать пальцем в небо обычно занятие неблагодарное.
Robix Ранг: 7.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 31 мая 2009 18:47 · Личное сообщение · #5 Короче я нашел такой туториал www.absolutelock.de/construction/files/infobase/New/arma_debugblocker/tutorial.html ------------------------------------------ Вроде бы у меня таже ситуация, но сам exe идет с dll в одной папке. И вообщем когда я дохожу до того момента где в туториале надо ставить bp на BP CreateThread (или bp SetProcessWorkingSetSize), то дальше ничего не получается. Вылазит какое-то окно, потом bp не срабатывает. Но зато после того как я вызвал DebugActiveProcessStop из главного процесса и присоединился через attach с нового окна OLLY к дочернему процесу (pid которого я посылал в функцию DebugActiveProcessStop) , то у меня сработал bp на GetWindowTextA для имени, потом еще раз для серийника, а дальше какая-то муть. Я раз десять пытался найти что-то типа сравнения, но безуспешно. И все это происходило в секции с адресами типа 00с90863 Короче с8 - с9 , хотя сама программа начинается с 00400000. Я не догоняю, может ли быть проверка кода в новых секциях или нет ? И еще, может ли этот вызов GetWindowTextA быть ложным впринципе ? ------------------ Вот сам файлик, если что dump.ru/file/2819423 (675 Кб) посмотрите. Мож он и не запакован ничем. По идее должен запускаться в таком виде.
LIZARD Ранг: 48.2 (посетитель), 49thx Активность: 0.04↘0 Статус: Участник	Создано: 31 мая 2009 19:07 · Личное сообщение · #6 Robix может для начала надо арму снять?
Robix Ранг: 7.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 01 июня 2009 14:58 · Поправил: Robix · Личное сообщение · #7 Может быть, но так как я не понимаю с чем имею дело, то сложно.
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 01 июня 2009 16:09 · Личное сообщение · #8 Robix пишет: я не понимаю с чем имею дело, то сложно можно проверить, упакована ли прога армадиллой при помощи утилиты Armadillo Find Protected Вот результат (Armadillo Find Protected v1.9) : Protected Armadillo Protection system (Professional) <Protection Options> Debug-Blocker CopyMem-II Enable Import Table Elimination Enable Strategic Code Splicing Enable Nanomites Processing Enable Memory-Patching Protections <Backup Key Options> Variable Backup Keys <Compression Options> Best/Slowest Compression Программа для запуска требует ключа. Об этом ты не сказал ни слова. Итог: либо читай про распаковку армы, либо в запросы. ----- EnJoy!
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 01 июня 2009 16:35 · Личное сообщение · #9 Если без армового ключа не запускается, а ключа валидного нет, читать без шансов. Анпакать без ключа могут немногие, это уже к ним тогда запрос.
Robix Ранг: 7.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 02 июня 2009 20:03 · Личное сообщение · #10 Ну теперь чуть более понятно. Да мне впринципе это ничего не дает, армадилло или не армадилло. Что значит без армового ключа не запускается ? Она запускается нормально. Или я что-то не понимаю ? Что значит валидного ключа нет В каком смысле. Расскажите про этот механизм поподробнее. Какую роль тут играет ключ. Если есть ссылки на что нибудь по этой теме было бы неплохо. А запрос мне смысла нет делать. Я уже купил этот продукт. Меня интересует именно сам процесс. Скоро наверное попробую в Syser Debugger'е. Ради интереса. Вот он сразу почему-то словил bp на GetWindowTextA. ---------------------- Подскажите еще все-таки может ли быть проверка ключа не в секциях самой программы ? Сталкивались ли вы с таким ? Может ли программа создать thread и там проверять код ?Потому-что когда я выполнил DebugActiveProcessStop то смог присоединиться к дочернему процессу, но после bp на GetWindowTextA оказался в новых секциях. Единственное, придется еще проследить получше за проверкой кода, она просто длинная.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 02 июня 2009 23:39 · Личное сообщение · #11 Robix Поэтому и запускается, потому что у тебя есть ключ... А без ключа трудновато запустить прогу, потому что ёе код расшифровывается по константе, получаемой из ключа. Так что распакуй армагедонном и дай людям прогу погонять. Или дай валидную пару народу(имя, HWID, ключ) ----- Research For Food
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 03 июня 2009 10:15 · Поправил: Jupiter · Личное сообщение · #12 Robix пишет: Да мне впринципе это ничего не дает, армадилло или не армадилло ты считаешь, что, знание того, каким протектором защищена программа, тебе ничего не даёт? тогда тебе в Запросы на взлом программ потому как человек, желающий разобраться, получив ответ, что программа защищена конкретным протектором, нашёл бы статьи по анализу и распаковке данного протектора, разобравшись в схеме работы Robix пишет: Что значит без армового ключа не запускается ? прочитай ещё раз, смысл вроде бы ясен, нет? Jupiter пишет: Программа для запуска требует ключа. При запуске программы появлется диалог Key Required: This program requires a security key. If you have one, select OK to enter it. After entering a valid key, you will not be prompted again. Robix пишет: Она запускается нормально. у тебя - да, запускается. у тех, кого нет ключа, не запускается Robix пишет: Или я что-то не понимаю ? очевидно, что тебе не понятна довольна простая вещь: выложив программу, ты не приложил ключ Robix пишет: Что значит валидного ключа нет это значит, что ключ (и хвид) ты не выложил Robix пишет: Расскажите про этот механизм поподробнее. механизм простой: есть ключ - программа запускается, нет ключа - не запускается Robix пишет: Какую роль тут играет ключ. см. ответ daFix Robix пишет: Если есть ссылки на что нибудь по этой теме было бы неплохо см. статьи по армадилле Robix пишет: А запрос мне смысла нет делать. Я уже купил этот продукт. тогда не ясно, чего же тебе нужно, какой именно процесс тебе интересен, если статьи по арме ты читать не хочешь имея ключ и распаковав/пропатчив программу, ты можешь запускать её на любой машине Robix пишет: Меня интересует именно сам процесс. процесс чего именно тебя интересует? напиши, что конкретно ты хочешь реализовать если хочешь разобраться, почитай несколько статей по дилле, а также посмотри сорсы распаковщиков диллы с описанием методов работы ----- EnJoy!
Robix Ранг: 7.4 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 05 июня 2009 18:52 · Личное сообщение · #13 Ну вот и нтересует как не имея ключа найти его или как-то по другому решить вопрос. Реально ли впринципе. Что такое Hardware fingerprint. Как впринципе включ связан с процессом распаковки. Сейчас я понял, что знания о том, че запаковано могут помочь найти полезное инфо. Буду искать. Спасибо. А как сдампить распакованное и восстановить импорт не интересует. А прогу вы не погоняете, это просто окно активации. Сама прога запускаеся в другом приложении которое вести несколько гигов.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 05 июня 2009 21:48 · Личное сообщение · #14 Robix Ты видимо совсем не умеешь читать то, что тебе писали выше daFix и Jupiter. Единственный вопрос, который остался без ответа - это Robix пишет: Ну вот интересует как не имея ключа найти его или как-то по другому решить вопрос Есть два варианта - или купить прогу, или спизд...ть у кого-нибудь ключ.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 08 июня 2009 01:43 · Личное сообщение · #15 tihiy_grom пишет: Есть два варианта - или купить прогу, или спизд...ть у кого-нибудь ключ. ну есть и третий способ получение ключа , я знаю что есть тулза для армы которая может дать валидные ключи ----- Лучше быть одиноким, но свободным © $me
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 08 июня 2009 19:26 · Личное сообщение · #16 Robix пишет: Ну вот и нтересует как не имея ключа найти его или как-то по другому решить вопрос в начальной формулировке вопроса об этом не было и речи! напоминаю: Robix пишет: Программа использует самоотладку, когда появляется дочерний процесс. Есть вариант открыть процесс через kernel32@OpenProcess() но как это сделать подскажите пожалуйста подробно. Я отлаживаю в OLLY. очень похоже на то, что тебе самому очень лениво разбираться, поэтому ты задаёшь вопросы, без малейшего анализа имеющегося материала Robix пишет: Реально ли впринципе. в принципе - реально Robix пишет: Что такое Hardware fingerprint. гугли hwid armadillo Robix пишет: Как впринципе включ связан с процессом распаковки. какие в принципе статьи по теме ты прочёл? ----- EnJoy!

Для печати