Сейчас на форуме: _MBK_, Adler (+5 невидимых)

 eXeL@B —› Вопросы новичков —› Ошибка дампа
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 23 апреля 2011 17:35
· Личное сообщение · #1

Стою под олей на OEP одной DLLки, таблица импорта полностью восстановлена, запускаю ImpREC 1.7e, выбераю олю, далее пикаю длл, устанавливаю OEP, начало и размер ITA, получаю импорт (там везде YES), правая кнопка - Advanced command - Select Code Section - галочка на первом чекбоксе - Full Dump И ВОТ ТУТ
Dump Error - Can't dump the process, что это можеть быть? дампал через PE Tolls но там размер дампа в 4 раза больше оригинала, вообщем советуйте =(



Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 31 мая 2011 18:01
· Личное сообщение · #2

Что мешает открыть дизасм и посмотреть что же там внутри ? Чем дампишь и какая версия фимки ? Для адекватного ее дампа на тутсах скрипты валяются.



Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 31 мая 2011 18:27
· Личное сообщение · #3

Так я с теми скриптами и немогу сдампить.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 31 мая 2011 21:39
· Личное сообщение · #4

Потому что есть понятия как физический размер секции и виртуальный, можно сделать так, чтобы при загрузке секция мапила 100 мегабайт памяти и при дампе оно так и будет, надо провести демапинг, или ребилд по крякерски чтобы вернуть всё назад.

-----
Yann Tiersen best and do not fuck




Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 31 мая 2011 22:01
· Личное сообщение · #5

Фиг бы с размером, у меня нули дампятся.




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 01 июня 2011 10:47
· Личное сообщение · #6

Skino

Может, хуки стоят на ZwReadVirtualMemory?

-----
Stuck to the plan, always think that we would stand up, never ran.




Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 01 июня 2011 14:40
· Личное сообщение · #7

МБ и стоят В фантоме, стронгОД, и оли адвансед не нашёл как их убить.




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 01 июня 2011 14:52
· Личное сообщение · #8

Skino

Не там ищете. Запустите Pe Tools, потом RKU, и ищите хуки в процессе Pe Tools

-----
Stuck to the plan, always think that we would stand up, never ran.




Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 02 июня 2011 01:57
· Личное сообщение · #9

Посмотрел, хуков нету вообще =\




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 02 июня 2011 10:54
· Личное сообщение · #10

А если делаете дамп каким-нибудь плагином из Олли, то тоже нули появляются?

-----
Stuck to the plan, always think that we would stand up, never ran.





Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 02 июня 2011 12:15
· Личное сообщение · #11

ARCHANGEL
Да снимается там дамп нормаль...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 02 июня 2011 13:14
· Личное сообщение · #12

ClockMan

Понятно

-----
Stuck to the plan, always think that we would stand up, never ran.





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 02 июня 2011 13:34
· Личное сообщение · #13

Это поди плагин оли кроет процесс и не дает читать с него.

-----
Yann Tiersen best and do not fuck




Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 02 июня 2011 14:12
· Личное сообщение · #14

ClockMan, На твоей оле может и нормально снимается, у меня же почему что неработает, ис плагов стоит только фантом и олистронг, я вообще непонимаю в чём дело.



Ранг: 20.4 (новичок), 1thx
Активность: 0.030
Статус: Участник

Создано: 02 июня 2011 14:57
· Личное сообщение · #15

Так немного разобравшись получилось кое-что сдампить, но всё равно почему неработет, дамп весит в 3 раза больше:
http://rghost.ru/9051851
кто сможет - посмотрите что там не так =(


<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› Ошибка дампа
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати