 |
eXeL@B —› Вопросы новичков —› Несколько нитей в программе и проблема... |
| Посл.ответ | Сообщение |
|
|
Создано: 24 ноября 2009 01:11 · Личное сообщение · #1 Имеется большой EXE. Защита снята частично, что позволяет программе работать с достаточной функциональностью. Проблема: периодически появляются нежелательные инфо-окна. Попытки решения: при исследовании под Ольгой программа заезжает в секцию всяких проверок, т.е. не запускается. Проверки по таймеру я вырубил, но похоже, она чувствует отладчик  Вопросы: 1. Возможно ли с помощью ХУКОВ локализовать в самом EXE место вызова нежелательного окна?(Давно ищу повод освоить работу с хуками) 2. Как в отладчике отследить передачу управления между нитями?(у меня при пошаговом выполнении запускается кусок программы и функционирует сам по себе, точки останова по случайным адресам не помогают) 3. Есть ли шанс поймать выведение "мерзких" окон поставив точки останова на вызов функций из системных DLL и если да - каких именно?  |
|
|
Создано: 24 ноября 2009 02:04 · Личное сообщение · #2 для начала отдизасми файл в IDA, посмотри что где вызывается в отладчике лови CreateThread ставь бряки не на самое начало ф-ций ----- EnJoy! |
|
|
Создано: 24 ноября 2009 02:27 · Личное сообщение · #3 Jupiter пишет: посмотри что где вызывается Спасибо за отклик. Что именно смотреть после ИДЫ? CreateThread я вижу, но не могу понять, бестолковый, кудя ляпнуть бряк, чтобы этот самый, вновь созданный Thread тормознуть. Не нахожу, какая часть в тексте EXE-шника соответствует новому потоку! И еще по первому вопросу. В принципе возможно ли, отловив создание окна хуком, локализовать место в EXE-шнике, где это инициировалось? |
|
|
Создано: 24 ноября 2009 09:32 · Личное сообщение · #4 hotpiper2 пишет: CreateThread я вижу, но не могу понять, бестолковый, кудя ляпнуть бряк, чтобы этот самый, вновь созданный Thread тормознуть. vsokovikov.narod.ru/New_MSDN_API/Process_thread/create_thread.htm ThreadFunc, - ищешь в стеке или прямо в дизассемблере этот адрес(кстати олли должна подсказывать) и ставишь бряк. |
|
|
Создано: 26 ноября 2009 18:33 · Личное сообщение · #5 Да, найти-то нашел, но ребята постарались на славу. У них, как я понимаю, два потока через мутексы работают на общем поле, и, если один тормознуть, все перекашивается. При этом вот какая странность. Ольга стопорится по DIV BY ZERO. Оператор IDIV ECX. По предшествуюшему коду там может быть только ноль или 1. Подправляю, чтобы всегда был 1. Выскакивает ошибка о ненахождении некоего левого файла, которого и не было-то никогда, да и быть не должно! Это как понимать? При обычной работе есть свой обработчик исключений, а под отладкой я в него не попадаю? Ведь без отладчика программа все равно сюда приходит и на 0 делит! Чо-то я не догоню 
|
|
|
Создано: 26 ноября 2009 18:53 · Личное сообщение · #6 hotpiper2 пишет: Чо-то я не догоню Ну так выложил бы виновника торжества 
|
|
|
Создано: 27 ноября 2009 17:12 · Личное сообщение · #7 hotpiper2 пишет: Подправляю, чтобы всегда был 1 Ну это может быть и простая антиотладка. Ольга же позволяет перейти в обработчик прерываний самой проги - не помню точно сочетание клавиш... Попробуй, возможно все проще. |
|
|
Создано: 27 ноября 2009 21:29 · Личное сообщение · #8 tundra37 пишет: Ольга же позволяет перейти в обработчик прерываний самой проги - не помню точно сочетание клавиш... SHIFT + F9 ----- Research For Food |
|
|
Создано: 03 декабря 2009 00:10 · Личное сообщение · #9 To MasterSoft Выложить не могу по ряду причин: технических, юридических и моральных. Основная - надо поковырять очень интимно, чтобы не попалить работавших до меня. To tundra37 и daFix Слава Богу, справился со всеми этими антиотладочными фокусами. Есть в Ольге на вкладочке Exceptions настроек боксы для всяких милых галочек. Я там нашел и Int3, и Div by 0! Просто не сразу Также SHIFT + F7, F8, F9 начал использовать. А вот автору Олли от А до Я мое громкое ФЕ! Стал читать с конкретной целью получить ответ на мои вопросы, а там перечисление (да не полное и почти без описания) Ольгиных меню. 80% описанного я обнаружил еще при первом беглом просмотре не рассифицированной версии отладчика. А вот узнать, как поставить бряк на открытие файла, не смог, и до сих пор не знаю возможно ли это хоть с плагинами, хоть без! А ведь с файлами работает масса не самых примитивных защит. И вот я, как гвардейский пластун, проход за проходом приближаюсь к этому секретному месту внутри матрешки из сорока-пятидесяти вложенных подпрограмм, вместо того, чтобы брякнуться в момент создания хендла файла  Тоскливо-с, Господа!Ну не будем о грустном. Дело, хвала Создателю, потихоньку продвигается.  Есть, правда и вопросыы. У проги имеется отдельная утилита, ее тоже выложить не могу по озвученным причинам. Но она ведет себя как Д.Бонд. Ольга, при попытке загрузить, вылетает напрочь со стандартным окном "Настучать ли автору?" IDA, PE не могут распознать упаковщик (есть большое подозрение, что самодельный). Вопрсы : 1. Не поможет ли Сэр Айс, все-таки он живет в 0-м кольце? 2. Где прочитать внятненько о снятии дампа распакованной в памяти программы? 3. Ну и всякие советы приветствуются А то в вакууме как-то не работается...Всем привет и наилучшие пожелания |
|
|
Создано: 03 декабря 2009 01:24 · Поправил: coolangel · Личное сообщение · #10 hotpiper2 пишет: 1. Не поможет ли Сэр Айс, все-таки он живет в 0-м кольце? Пока он совершенно не нужен, да и далее,скорее всего не понадобится hotpiper2 пишет: 2. Где прочитать внятненько о снятии дампа распакованной в памяти программы? В статьях на этом сайте hotpiper2 пишет: 3. Ну и всякие советы приветствуются А то в вакууме как-то не работается... Запакуй calc.exe upx'ом и распакуй вручную сам(почитав статьи) |
|
|
Создано: 03 декабря 2009 16:00 · Личное сообщение · #11 coolangel: В статьях на этом сайте Читаем потихоньку, без этого куда ж? Смущает одна вещь. Все, что я прочитал или просмотрел, имеет датировку либо последние комментарии между 2003 и 2006 годами. Как-то сомнительно, чтобы с тех пор в методах защиты не появилось новых идей. Мои "клиенты" откомпилированы 2008 и 2009 годом. Запакуй calc.exe upx'ом и распакуй вручную сам(почитав статьи) Очень популярная идея и думаю не менее полезная. Не знаю, насколько трудоемкая, но в списке задач стоит под номером 1! Спасибо. |
|
|
Создано: 04 декабря 2009 16:27 · Личное сообщение · #12 hotpiper2 пишет: Читаем потихоньку, без этого куда ж?Смущает одна вещь. Все, что я прочитал или просмотрел, имеет датировку либо последние комментарии между 2003 и 2006 годами. Как-то сомнительно, чтобы с тех пор в методах защиты не появилось новых идей. Мои "клиенты" откомпилированы 2008 и 2009 годом. Тут вот какое дело : в статьях фактически тебе дают навыки и они годятся для взлома любых защит. А вот по поводу взлома новомодных защит - ты ж пойми для некоторых людей здесь это хлеб насущный и тоже по понятным причинам никто ПУБЛИЧНО делится им не станет. Ну и пара "подсказок" - если крутил насройки Ольги, то мог что-то скрутить. Попробуй переставить и включить только полезные опции - сам на это не раз нарывался. Дамп можно Ольгой снимать, важно остановиться в правильном месте. Ну и есть пара утилит, которые это дело автоматизируют. Читай похожие топики и найдешь название утилит и советы по использованию. Ну и в разделе скачать поищи. |
|
|
Создано: 04 декабря 2009 18:26 · Личное сообщение · #13 tundra37: если крутил насройки Ольги, то мог что-то скрутить. Нет, ничего не попортил - остальные "жертвы" ведут себя смирненько и Ольга рулит. Я сейчас нагреб туеву хучу анализаторов и буду примерять. Осознаю, что шансы не велики, ну так хоть ознакомлюсь, как оно работает. Обнадеживает, что в описании одного распаковщика мелькнула фраза о том, что он распаковывает и НЕЗНАКОМЫЕ форматы. Теоретически не запрещено, и если это правда, то у меня тоже есть шансы. Про навыки. Они, конечно, полезные, особливо навык поиска незашифрованных строк Про хлеб. Нешто мы крокодилы, не понимаем, что ли? Я бы в знак благодарности тут пару идей озвучил, да не знаю, ведь, с которой стороны оне кушают. Или сразу с обеих?  Персональная благодарность для tundra37 за внимание к дилетанту
|
|
|
Создано: 06 декабря 2009 12:25 · Личное сообщение · #14 hotpiper2 пишет: Нет, ничего не попортил - остальные "жертвы" ведут себя смирненько и Ольга рулит. Так простым защитам по фигу все выверты. Я тоже обнаружил не сразу 
|
|
|
Создано: 18 декабря 2009 22:15 · Личное сообщение · #15 Приношу извинения за паузу, но мне пришлось с головой нырнуть в Нарваху, Рихтера, Касперски, TSL и прочая...  Утилитка моя оказалась под Themid'ой, плюс еще ручные хитрости. Моей квалификации на это не хватило, НО! Самое парадоксальное в другом. Я ведь параллельно с этим исследованием шел, если можно так выразиться, с другой стороны. В результате была найдена несложная трехходовая комбинация из штатных утилит, которая позволила ПОЛНОСТЬЮ решить мою проблему. Не понятно, на хрена тогда было городить все защиты?Еще раз всем спасибо. До новых встреч!
|
|
|
Создано: 20 декабря 2009 10:35 · Личное сообщение · #16 hotpiper2 пишет: Не понятно, на хрена тогда было городить все защиты? Потому что не все новички одинаковы. Большинство даже после бана не уходит читать, а пытается получить "советы". Удачи !!! |
|
eXeL@B —› Вопросы новичков —› Несколько нитей в программе и проблема... |
Для печати