Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Помогите с RLPack
Посл.ответ Сообщение

Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

Создано: 10 сентября 2011 12:14
· Личное сообщение · #1

Не получается распаковать RLPack. Проблема заключается в том, что программа просто напросто не запускается под отладчиком, хотя все проверки на анти дебаг прошли успешно. Крэш идет в данном участке кода.



Если я правильно определил, то OEP находится здесь --> 556448

Но вот как обойти, чтобы не было этого исключения - не пойму.

Также я смотрел видео по распаковке RLPack на Tuts4You, там к видео прилагался файл, у автора видео спокойно под отладчиком он запустился, у меня же та же самая ошибка и на нём была. Подскажите, в чем проблема.

Сам файл: http://www.sendspace.com/file/81mkt6



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 10 сентября 2011 15:49
· Личное сообщение · #2

лучше скриншот с открытым меню plugins



Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

Создано: 10 сентября 2011 15:59
· Личное сообщение · #3






Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 10 сентября 2011 16:21
· Личное сообщение · #4

Ставь только железные бряки,обычные протектор палит.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

Создано: 10 сентября 2011 16:36
· Личное сообщение · #5

ClockMan
Я даже просто запустить не могу, никаких бряков не ставлю.



Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 10 сентября 2011 16:59
· Личное сообщение · #6

для запуска под отладчиком достаточно фантома с галкой "Protect DRx" и "NtSetContextThread"
ставим железный бряк на адрес 6784B0
Code:
  1. 006784B0    E8 D53E0000     CALL brute.0067C38A

и когда остановимся на нём, просто перепрыгиваем этот call не выполняя

OEP правильное - 556448

спёртые команды
Code:
  1. PUSH EBP
  2. MOV EBP,ESP
  3. ADD ESP,-10
  4. PUSH EBX
  5. MOV EAX,brute.00554A6C
  6. CALL brute.00408BD0
  7. MOV EBX,DWORD PTR DS:[55F238]
  8. MOV EAX,brute.005564D4
  9. CALL brute.004AAED0

бинарь - 558BEC83C4F053B86C4A5500E87727EBFF8B1D38F25500B8D4645500E8674AF5FF


но одного OEP будет мало.
файл был упакован с опцией "Advanced AntiDump protection". спёрто 512 инструкций из кода
вместо этого спёртой кода в проге будут прыжки в аллоченую секцию, типа таких
Code:
  1. 004026B9  - E9 56D97800     JMP 00B90014


саму таблицу с виртуальными инструкциями для спёртого кода можно будет найти тут
Code:
  1. 00678841    FF95 FD030000   CALL DWORD PTR SS:[EBP+3FD] - выделение секции для таблицы
  2. 00678847    8BF8            MOV EDI,EAX
  3. 00678849    50              PUSH EAX
  4. 0067884A    56              PUSH ESI
  5. 0067884B    FFD3            CALL EBX - заполнение таблицы


там не сами спёртые инструкции, а их виртуальное представление
адрес в коде без учёта ImageBase - 4 байта
тип спёртой инструкции (всего 74 типа может быть) - 4 байта
константа/адрес из спёртой инструкции без учёта ImageBase - 4 байта



Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 10 сентября 2011 18:56
· Личное сообщение · #7

оставь только фантом и пробуй



Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

Создано: 10 сентября 2011 19:33
· Личное сообщение · #8

Спасибо большое, распаковал успешно. Закройте тему.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 10 сентября 2011 20:52
· Личное сообщение · #9

Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".


 eXeL@B —› Вопросы новичков —› Помогите с RLPack
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати