Привет.

1. Пробую повторить урок tuts4you.com/download.php?view.1745 по распаковке армадилло. У меня выходит все по-уроку, исключая только:

a. После установки бряка на virtualprotect и запуска, не доходя до значения 8С появляются 2 окна по-порядку. Одно пустое, другое с кракозяброй. В уроке такого не наблюдаю.
b. В итоге, я получил рабочий дамп, но он запускается с кучей ошибок =(

Что я делаю не так? Может OllyDbg нужно спрятать лучше? В фантоме стоят все галочки, кроме требующих драйвер.

http://slil.ru/28847307 - урок
http://slil.ru/28847484 - получившийся у меня дамп.

И еще вопрос:
Что подразумевается в уроке:



Size 8C = 1000+ byte
Если программа более 1кб , то ищем 8C? Или тут ошибка и имеется в виду 1мб? Распишите плиз подробнее.


2. Для чего программа Armageddon? Она не справляется с распаковкой примера из урока, ни с другой программой. Просто доходит до сообщения "Process xxx detached" и молчит =)
Просто где-т на форуме встречал, что армагедон как раз сделан для быстрой распаковки и без мучений =)

| Сообщение посчитали полезным:

serkuz
любая версия армагеддона нормально анпачит файл
http://slil.ru/28848110


Здесь твой дамп падает, т.к. импорта не хватает

| Сообщение посчитали полезным:

huckfuck пишет:
любая версия армагеддона нормально анпачит файл

huckfuck, если можешь, распиши по шагам, как ты заставил армагеддон анпачить. Я пробовал кидать ArmAccess.dll в папку с жертвой и в папку армагеддона и ставить галку. Также ставил галку на DebugBlocker - ничего не распаковывается=(

huckfuck пишет:
Здесь твой дамп падает, т.к. импорта не хватает
Странно т.к. я все шаги как в уроке повторил...

Спасибо за ответ.

update:
Попробовал не ставить галки в армагеддон и действительно - распаковалось=) Странно ведь туториал назван "Armadillo 5.0 (Standard + Debug-Blocker)"...

Кто знает ответьте пожалуйста на вопросы a,b.

| Сообщение посчитали полезным:

serkuz пишет:
Также ставил галку на DebugBlocker - ничего не распаковывается=(
В армагедоне галка DebugBlocker расположена в разделе detach, т.е. он стопорился в начале второго процесса (в туторе где 2 байта меняются).
serkuz пишет:
Кто знает ответьте пожалуйста на вопросы a,b.
a. Значит какие-то левые плагины стоят или олли адвансед криво настроен.
b. Как тебе уже ответили криво импорт восстановил.
А вообще ты не очень удачный тутор выбрал для обучения, автор делает много лишних телодвижений, посмотри другие туторы для армы 4.х-6.х(разницы в распаковке нету).

| Сообщение посчитали полезным:

Vovan666 спасибо.
Про детач такие мысли были, я как раз детач и использовал. А вот почему импорт криво восстановил, мне не ясно. Проделал я ведь те-же действия, что и автор..

1. Я попробовал снять дамп с Quidam3 с помощью армагеддона - без галочки, прога просто валится - при распаковке. ArmaFind показывает, что версия армы 5.40 и используется только Debug-Blocker+компрессия. Может она валиться из-за Reminder? Просто всплывает большой диалог с картинкой, где можно купить прогу или стартануть в демо-режиме.

2. Vovan666, если в курсе, расскажи пожалуйста про эти 8C. С моим кривым англ. я понял так:
"Если приложение больше чем 1000 байт, то Size должен быть 8C, если 2000 - 16 . Если же больше 2000, то 16С и так далее".

По мне, так бред какой-то=) Где автор урока видел приложения, защищенные армой меньше хотя бы 200кб. Если предположить, что автор имел в виду 1мб,2мб, то не ясно, какое значение должно быть, если прога весит 3.5мб? 24? 24С?
Или "app" - это не application

p.s. И еще посоветуй тутор попроще. Я качал несколько, но там больно понаворочено все. Каждую функцию руками искать надо

| Сообщение посчитали полезным:

serkuz пишет:
2. Vovan666, если в курсе, расскажи пожалуйста про эти 8C. С моим кривым англ. я понял так:
"Если приложение больше чем 1000 байт, то Size должен быть 8C, если 2000 - 16 . Если же больше 2000, то 16С и так далее".
метод с 8C мне не известен (да и особо не понятен). Бряк на VirtualProtect->F9 (раз 5 будет вызов из тела проги, на 6 будет вызов из памяти(security.dll), на 6 раз выйти из VirtualProtect)->ищешь самую первую команду PUSH 100->в начале процедуры где PUSH 100 ставишь RET и никакой тебе математики с 8C
serkuz пишет:
1. Я попробовал снять дамп с Quidam3 с помощью армагеддона - без галочки, прога просто валится - при распаковке. ArmaFind показывает, что версия армы 5.40 и используется только Debug-Blocker+компрессия. Может она валиться из-за Reminder? Просто всплывает большой диалог с картинкой, где можно купить прогу или стартануть в демо-режиме.
Стартани в демо и будет чудо. Скачал демку 3.1.5 распаковывается без проблем.

| Сообщение посчитали полезным:

Vovan666, ты не поверишь, но не распаковывается она с армагеддоном. Ест-но, я бы стартовал ее в демо-режиме, если бы не ошибка.

Вот видео сделал:
http://slil.ru/28856001

Пробовал кидать ArmAccess.dll в армагеддон и в папку с quidam3 - и ставил галку - таже петрушка =(

Спасибо за ответы, видать что-то в компе мешает распаковке...

| Сообщение посчитали полезным:

Ну первое, что в мультике бросается в глаза, у тебя exe лежит не в папке с прогой, соответственно он не может найти ни ресурсы для нага, ни нужные длл.

| Сообщение посчитали полезным:

Vovan666
Все там лежит=) Она же запускается
Армагеддон там конечно не лежит. Программа установлена и работает, как и нагскрин.
Тебя наверное сбило с толку, что мало файлов. Но это просто стоит фильтр в диалоге - на *.exe and *.dll

update:

Смешно однако. Спрятал армагеддон с помощью Hidetoolz - попробовал распаковать с помощью армагеддона Quidam. Появилась другая ошибка - виновата библиотека винды mlang.dll. Перенес эту библиотеку в другую папку и запустил распаковку заново. В итоге - ошибки нет, просто пустой диалог. Закрыл диалог и пошла распаковка. Quidam полностью распаковался и запускается=)

Странно конечно все это, видно винда уже загажена - я ее уже полтора года не переставлял, чистил только вручную =)

Спасибо Vovan666 за разъяснения.

| Сообщение посчитали полезным: