 |
eXeL@B —› Вопросы новичков —› bot[VA]bot, не могу отладить |
| Посл.ответ | Сообщение |
|
|
Создано: 14 сентября 2009 23:25 · Личное сообщение · #1 проблема такова, имеется программа, упакована, как говорит PEiD - "UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]". Распаковал upxshell'ом, при запуске файла появляется главное окошко и тут же умирает. В Ольге нашел проверку на дебагер по адресу 0040E961, когда иду дальше не могу разобраться и отловить ту самую проверку на вшивость, подскажите что упускаю, зарание спасибо. вот ссылка: _http://rapidshare.com/files/280105262/bot_VA_bot.zip.html размер: ~600 кб  |
|
|
Создано: 15 сентября 2009 00:10 · Поправил: SER[G]ANT · Личное сообщение · #2 Code:
Тут ни при чем. там идет проверка на распакованность. Отлавливай ExitProcess, PostQuitMessage, TerminateProcess, etc и смотри почему закрывается программа. Но, если не сообразишь, то программу можна распаковать upxом, пропатчить что нужно в отладчике, а затем снова запаковать upxом и прожка запуститься. |
|
|
Создано: 15 сентября 2009 18:45 · Личное сообщение · #3 Спасибо SER[G]ANT, хороший совет! Разбирался-разбирался, так ничего и не нашел... попробовал запаковать обратно - работает, затем изменил параметры сжатия при упаковке - снова не работает, из чего я делаю вывод что где-то есть проверка на размер ехе-шника, искал в Оле константы размера файла, ничего не нашел, в чем же загвоздка, наставьте на путь истинный знающие... |
|
|
Создано: 15 сентября 2009 21:07 · Личное сообщение · #4 Прога написана на AutoIt ищи декомпилятор и переделывай прогу как твоей душеньке угодно. |
|
|
Создано: 15 сентября 2009 22:37 · Личное сообщение · #5 нашел здесь myauttoexe.angelfire.com/index2.html программу myAutToExe2_07_AutoIt3_Decompiler_opensource, не сильно понял как этот декомпиллер работает, может кто знает нужный инструмент? и еще вопрос, сломать без декомпилятора можно? |
|
|
Создано: 16 сентября 2009 02:51 · Личное сообщение · #6 Vovan666 пишет: Прога написана на AutoIt ищи декомпилятор и переделывай прогу как твоей душеньке угодно. Декомпилятор Exe2Aut поможет только в том случае, если использован AutoIT компилятор ранних версий. Если не изменяет память, то проги созданные AutoIT компилятором версии выше 3.х декомпилятор не берет. |
|
|
Создано: 17 сентября 2009 20:37 · Поправил: hlmadip · Личное сообщение · #7 окно появляется на 0040B416(IDA), тока там потом DestroyWindow практически сразу, но там все зациклено - я пока не понял wasmkv + |
|
|
Создано: 23 сентября 2009 19:30 · Личное сообщение · #8 hlmadip пишет: окно появляется на 0040B416(IDA), тока там потом DestroyWindow практически сразу, но там все зациклено - я пока не понял тоже нашел это место по адресу 0040B426 идет проверка, а за ней три процедуры, вторая убивает окно. Так и не понял что в ней происходит, если процедуру пропустить окно остается + дальше проследить выполнение то окно оставлял, но оно переставало шевелиться, не реагировало, просто пустое висело. Где сама проверка на наличие запакованости - так и не могу найти, подскажите знающие! |
|
|
Создано: 23 сентября 2009 22:21 · Поправил: VaD · Личное сообщение · #9 Копайте глубже, всё просто))Лень было отвлекаться от своего таска, просто смотрю ваша тема поднялась)) 12 NOPов(6 после IsDebuggerPresent, и 6 после.....! ) весь патч) Правда окошко не закрывается теперь обычным способом...Потому что сделал по-быстрому. Наврал, там всё немного сложнее... |
|
|
Создано: 24 сентября 2009 12:11 · Личное сообщение · #10 Да... декомпилер не берёт его, матерится на версию. А кроме myauttoexe.angelfire.com никаких больше не существует в природе под последнюю версию? Или может известны способы вынимания скрипта из тела? Он там вроде в оверлее прикручен. ----- AutoIt |
|
eXeL@B —› Вопросы новичков —› bot[VA]bot, не могу отладить |
Для печати