Исследование защищенного DLL

Сейчас на форуме: _MBK_ (+6 невидимых)

Посл.ответ	Сообщение
Icic Ранг: 0.3 (гость) Активность: 0=0 Статус: Участник	Создано: 09 апреля 2011 18:49 · Личное сообщение · #1 Всем доброго времени суток! Вопрос мой касается исследования DLL библиотеки, используемой фирмой разработчиком 1С конфигураций для проверки ключа защиты. Загрузился через OllyDbg однако не получается отловить выскакивающую форму в DLL библиотеке о том что, ключ не найден. Недавно занялся исследованием, поэтому прошу подсказать как исследуются подобного рода DLL файлы?

tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 09 апреля 2011 18:57 · Поправил: tihiy_grom · Личное сообщение · #2 не совсем понятно что за библиотеку вы имеете ввиду. может вы не про 1С, а про 1С-РАРУС ? если да, то там они обычно накрыты ASProtect'ом так что для начала надо избавиться от протектора, а потом уже что-то там исследовать
Icic Ранг: 0.3 (гость) Активность: 0=0 Статус: Участник	Создано: 09 апреля 2011 20:18 · Личное сообщение · #3 Да это РАРУС, конф Автозапчасти+Автошины, ред. 3. Какой Unpacker можно использовать или если не подойдет какие шаги должны быть? Заранее спасибо за помощь.
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 09 апреля 2011 21:25 · Поправил: Talula · Личное сообщение · #4 Icic, stripper или скрипт от VolX (v1.15) для ольки... хотя скорре всего не поможет ни то, ни другое и придётся ручками анпакать... ----- Do Not Get Mad Get Money! ;)
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 10 апреля 2011 01:00 · Личное сообщение · #5 Загляни --> сюда <-- Или выложи dll.
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 10 апреля 2011 10:21 · Личное сообщение · #6 в peid сначала глянь запакована dll на самом деле или нет, а потом dll грузи в dede и исследуй на здоровье
Icic Ранг: 0.3 (гость) Активность: 0=0 Статус: Участник	Создано: 10 апреля 2011 11:44 · Поправил: Icic · Личное сообщение · #7 Хорошо как понять из PE, что она библиотека запакована и чем? Пока могу судить только по косвенному признаку, при загрузке в OllyDbg ругается на то, что точка входа в файл находится за пределами кода (следует из заголовка) d778_10.04.2011_EXELAB.rU.tgz - AutoZap.dll
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 10 апреля 2011 11:54 · Поправил: tundra37 · Личное сообщение · #8 Icic пишет: Хорошо как понять из PE, что она библиотека запакована и чем? Сходить на сайте в секцию утилиты и Новичку PeID говорит что там аспак 2.1 DLL не жмется архиваторами - тоже верный признак упаковки.
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 10 апреля 2011 12:38 · Личное сообщение · #9 oep 337d64 rva 3491a0 если защита катран и задаются такие вопрос, то тема скорее для запросов, основной обмен данными в дровах, обработка виртуальная и создается через CreateFileExA
_ruzmaz_ Ранг: 114.8 (ветеран), 41thx Активность: 0.1↘0 Статус: Участник	Создано: 10 апреля 2011 12:44 · Личное сообщение · #10 Icic пишет: как понять из PE, что она библиотека запакована в том же PEiD на главном окне в правом нижнем углу есть кнопка с двумя кавычками, по ее нажатию открывается окно "Extra Information", в нем жмешь на кнопку напротив строки "Entropy" \| Сообщение посчитали полезным: YellowKlen
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 10 апреля 2011 13:05 · Личное сообщение · #11 анпуцкед http://rghost.ru/5150673

Для печати