 |
eXeL@B —› Вопросы новичков —› Украденые байты и их нахождение |
| Посл.ответ | Сообщение |
|
|
Создано: 15 октября 2011 14:57 · Поправил: tiranosaur · Личное сообщение · #1 Дамы и господа, дайте пжл ссылки по теме. желательно на русском -англ. посылать во введение в кракинг с олей не нужно. читал. понял мало  |
|
|
Создано: 15 октября 2011 15:35 · Личное сообщение · #2 следующий кто напишет будет модератор))) тут не форум телепатов. |
|
|
Создано: 15 октября 2011 15:37 · Личное сообщение · #3 tiranosaur все протекторы по-разному тырят байты. универсального мануала нет. читайте статьи под каждый прот отдельно статьи ищите их на tuts4you |
|
|
Создано: 15 октября 2011 15:54 · Личное сообщение · #4 tiranosaur А более коректно поставить вопрос можно и желательно с примером. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 15 октября 2011 19:03 · Личное сообщение · #5 PeLock в введении в оли. меня интересует механизм. а то я чёй то не врубился. откуда рикардо знает что в трассировку ставить нужно push ebp popad? ведь оер может начинатся по другому. и трассировка у меня не пашет почему то. хотя делаю по инструкции. после введения параметров на последнем исключении сразу запускает прогу. |
|
|
Создано: 15 октября 2011 23:03 · Личное сообщение · #6 Сразу оговорюсь - пишу под шафэ, но не смог пройти пройти мимо. tiranosaur пишет: aur все протекторы по-разному тырят байты. Ха, тырят по-разному, но много не стырят - до первого call максимум - дальше у них руки коротки. меня интересует механизм Да какой там механизм? Взяли и пару первых инструкций переместили в выделенную память - что тут нужен за механизм? откуда рикардо знает что в трассировку ставить нужно push ebp popad Да уж, елементарно, Ватсон)) Просто дебажил рикардо этот пакер, и увидел, что именно popad извлекает из стека значение, которое push ebp заталкивает. А вам для скорости распаковки описал. и трассировка у меня не пашет почему то Как это "не пашет"? Куда она, собака, денется? ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 16 октября 2011 01:55 · Личное сообщение · #7 ARCHANGEL пишет: Ха, тырят по-разному, но много не стырят - до первого call максимум - дальше у них руки коротки. Слабенькие - да, до первого call. Но я встречал когда стерт весь старт CRT. И таблица инициализации статических объектов запрятана в протектор. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 16 октября 2011 05:09 · Личное сообщение · #8 Hexxx, что-нибудь самописное? |
|
|
Создано: 16 октября 2011 05:27 · Личное сообщение · #9 |
|
|
Создано: 16 октября 2011 10:35 · Личное сообщение · #10 Вы так пишите как будто протекторы ни разу не распаковывали, тот же ASProtect можут упереть весь OEP crt, включая вызываемые в нем функции до третьего уровня. ----- Yann Tiersen best and do not fuck | Сообщение посчитали полезным: Hexxx |
|
|
Создано: 16 октября 2011 15:09 · Личное сообщение · #11 PeLock перемещает таблицу инициализации в дельфях ,есть галка |
|
|
Создано: 18 декабря 2011 02:59 · Поправил: tdaliviu · Личное сообщение · #12 Хай Олл! Не хотелось бы трогать старье, да приходится. Такая проблема - есть софт, запротекченный PELock-ом. Задача - распаковать. Делаю все 'по книге' - дохожу до последнего прерывания, оттуда пытаюсь трассировать до 'REP STOS BYTE PTR ES:[EDI]', как писал кто-то из гуру. В результате получаю десятки тысяч строк трассы, в которых 'по книге' ищю стыренные инструкции. Нахожу замусоренные PUSH OEP и RET, а высше - PUSH 0. Туториал говорит что 'PUSH 0' - это и есть стыренные инструкции. При попытке ее прикрутить перед OEP и поменять OEP, прога вылетает. Может поможете разобраться? Прога написанна на C++ Builder-е. Если надо - попозже кину саму прогу (пишу с планшета). Заранее благодарен. |
|
|
Создано: 18 декабря 2011 17:06 · Поправил: tdaliviu · Личное сообщение · #13 Вот линк на инсталлер hxxp://dl.dropbox.com/u/51132095/MarelliCdc_Setup.exe. Одна беда - без адаптера софт не запускается, но думаю это происходит после распаковки. |
|
|
Создано: 19 декабря 2011 00:08 · Личное сообщение · #14 hххххххххххххp://w w w.multiupload.com/PWSUNIF4IL |
|
|
Создано: 19 декабря 2011 01:05 · Личное сообщение · #15 BoOMBoX, и в ХП, и в 7 вылетает на 0009335e. |
|
|
Создано: 19 декабря 2011 01:07 · Личное сообщение · #16 tdaliviu пробуй мой вариант, хз как проверить, прога оригинальная у меня тоже не запускалась http://rghost.ru/35472011 | Сообщение посчитали полезным: tdaliviu |
|
|
Создано: 19 декабря 2011 01:41 · Личное сообщение · #17 SReg, вроде работает. По крайней мере на ХП и на 7. Спасибо большое. А не расскажешь откуда и как такой красивый stolen code надыбал, а то честное слово - неделю *%ался... |
|
|
Создано: 19 декабря 2011 02:36 · Личное сообщение · #18 сдампил регион памяти, куда вели прыжки из секции кода. прикрутил к дампу. |
|
|
Создано: 19 декабря 2011 07:14 · Личное сообщение · #19 |
|
|
Создано: 19 декабря 2011 09:02 · Личное сообщение · #20 Спасибо, ClockMan. Вижу я что мои знания по анпакингу далеко не полны. Будем читать... Думаю вопрос исчерпан. |
|
|
Создано: 19 декабря 2011 20:51 · Личное сообщение · #21 tdaliviu пишет: BoOMBoX, и в ХП, и в 7 вылетает на 0009335e. мда, поспешил, есть косяк, не заметил, что прот распаковывает код в котором некоторые инструкции заменены на левые, и вставляет туда после распаковки редиректы (JMP) на правильные инструкции в выделенной области. |
|
|
Создано: 20 декабря 2011 01:07 · Поправил: tdaliviu · Личное сообщение · #22 Кстати, ClockMan, выдает на 40D2DD 'Read of address FFFFFFFF'. После этого запускается, но хардвара не видет. Прочитал на работе, хардвара при себе небыло... |
|
eXeL@B —› Вопросы новичков —› Украденые байты и их нахождение |
Для печати