 |
eXeL@B —› Вопросы новичков —› Пару вопросов armadillo |
| Посл.ответ | Сообщение |
|
|
Создано: 26 февраля 2012 11:47 · Личное сообщение · #1 Здравствуйте Появилось пару вопросов по снятия сабжа: Пробую анпакнуть программку - PEid выдал - armadillo 3.78-4.xxx Натравил на нее armageddon 1.9 - программа запустилась, в логе вижу строчку - debug blocker detected Причем попались уже 2-3 программы с таким поведением. Может кто подскажет как с этим бороться? Ладно распаковываю программу qunpack 2.2 -при запуске появляется сообщение Cannot locate protected program data - подскажите что можно сделать в данной ситуации. Заранее спасибо  |
|
|
Создано: 26 февраля 2012 12:11 · Поправил: verdizela · Личное сообщение · #2 dimka_new пишет: Причем попались уже 2-3 программы с таким поведением. Может кто подскажет как с этим бороться? Для начала почитать туторы по снятию Армадило... dimka_new пишет: А ссылку можно для начинающих. и ----- We do what we want because we can. |
|
|
Создано: 26 февраля 2012 12:17 · Личное сообщение · #3 verdizela пишет: Для начала почитать туторы по снятию Армадило... А ссылку можно для начинающих. И еще вопрос - начинать с данной версии распаковывать armadillo или взять пониже версию ? |
|
|
Создано: 26 февраля 2012 19:58 · Личное сообщение · #4 dimka_new пишет: начинать с данной версии распаковывать armadillo или взять пониже версию Особой разницы нет. Читай и пробуй всё что найдёшь. Вот ещё по арме и не только | Сообщение посчитали полезным: dimka_new |
|
|
Создано: 09 января 2013 14:13 · Поправил: Siarogka1 · Личное сообщение · #5 вопрос по распаковке Armadillo x64 суть вопроса в следующем, для того, чтобы не херился импорт в 32 разрядной версии находится функция и в начале у нее ставится ret. Подходит ли такое решение и для x64? и если получилось сдампить Security64.dll для чего ее можно дальше применить? |
|
|
Создано: 10 января 2013 10:00 · Личное сообщение · #6 Siarogka1, м.б. чем поможет http://web.archive.org/web/20110830080807/http://quequero.org/Armadillo5_x64_Unpacking - iat elimination через magic-jump правится, не помню про ret - security.dll нужен для манипуляций с хвидом, больше не помню зачем туторы от x86, вполне приличненько подходят для x64 |
|
|
Создано: 10 января 2013 12:12 · Личное сообщение · #7 этот тутор хороший, но там много чего пропущено, лан пришлось самому покапаться, в итоге нашел место в котором, просто дампится Security64.dll, метод с ret все также работает, только немного надо адаптироваться к 64 битной платформе, чтобы найти место где патчить, распаковал прогу накрытую armadillo 9.02, восстановил импорт, прога стартует. спасибо за то, что откликнулся. |
|
|
Создано: 10 января 2013 13:30 · Личное сообщение · #8 с релоками не было проблем? |
|
|
Создано: 10 января 2013 14:08 · Личное сообщение · #9 поясни с чем именно? не очень разбираюсь, в таких названиях и что они означают |
|
|
Создано: 10 января 2013 14:24 · Личное сообщение · #10 Siarogka1 Почитай для начала http://en.wikipedia.org/wiki/Relocation_(computer_science) ----- minimaL_patсh на руборде |
|
|
Создано: 10 января 2013 14:37 · Поправил: VodoleY · Личное сообщение · #11 http://www.reteam.org/papers/e72.pdf ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 10 января 2013 15:06 · Личное сообщение · #12 ребят, конечно извините, но спрашивал не вас, да и ответа по существу, приминительно к своей программе от вас я не получил |
|
|
Создано: 10 января 2013 15:19 · Поправил: dimka_new · Личное сообщение · #13 Siarogka1 Извините конечно, но что-то Вот это: Siarogka1 пишет: этот тутор хороший, но там много чего пропущено, лан пришлось самому покапаться, в итоге нашел место в котором, просто дампится Security64.dll, метод с ret все также работает, только немного надо адаптироваться к 64 битной платформе, чтобы найти место где патчить, распаковал прогу накрытую armadillo 9.02, восстановил импорт, прога стартует. спасибо за то, что откликнулся. и Siarogka1 пишет: поясни с чем именно? не очень разбираюсь, в таких названиях и что они означают и Siarogka1 пишет: ребят, конечно извините, но спрашивал не вас, да и ответа по существу, приминительно к своей программе от вас я не получил плохо стыкуется - матчасти мое мнение мало не бывает, прогу вы распаковали, запустили, а что такое релоки не вкурсе ? Add Siarogka1 Ключевое слово матчасти - ну в данном случае не потребовалось, но бывает по разному И я как бэ не наезжаю - не могу себя назвать спецом по распаковке armadillo 
|
|
|
Создано: 10 января 2013 15:30 · Личное сообщение · #14 я лишь спросил, что человек имеет ввиду, если имелось ввиду то, что при распаковке армадилло заменяет адреса в таблице импорта на свои, то тут проблемы не было, так как, как я написал выше метод с ret работает. |
|
|
Создано: 14 января 2013 14:28 · Личное сообщение · #15 то, о чем вы говорите (замена адресов в импорте) в терминологии armadillo называется IAT Elimination, про релоки http://www.asmcommunity.net/board/topic=28027.0 я их имел в виду при дампе dll, если у вас таргет exe, то они нафиг не нужны |
|
|
Создано: 14 января 2013 16:04 · Личное сообщение · #16 как я понимаю, этот вопрос становится актуальным, когда длл загружается в память? дело в том, что я дампил длл, до того как она была загружена в память, то есть армадилло подготовил распаковал длл, а в этот момент я ее сдампил, поэтому с релоками дело и не пришлось иметь, ну это если я все рпавильно понял). |
|
|
Создано: 14 января 2013 16:30 · Личное сообщение · #17 Релоки везде актуальны начиная с висты. Это на вашей допотопной XP exe не релоцируются. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 14 января 2013 16:40 · Поправил: Siarogka1 · Личное сообщение · #18 ну дамп длл я делал на windows 7x64, для теста я дампил Security64.dll и Security.dll, при этом больше никаких манипуляций с длл я не производил, и она без каких либо проблем загружалась распакованной программой. если есть интерес(думаю, скорее всего у новичков как я), то могу выложить порядок действий со скриншотами |
|
|
Создано: 15 января 2013 11:14 · Личное сообщение · #19 это называется везение. ASLR рано или поздно даст о себе знать. ----- Реверсивная инженерия - написание кода идентичного натуральному |
|
|
Создано: 15 января 2013 11:45 · Личное сообщение · #20 Ну, вообще говоря, в х64 файле релоков вполне может и не быть, в том числе и в длл, и всё кошерно будет работать и с релокацией в том числе, что связано с тем, что адресация в х64 и так в основном RIP-зависимая. Что же касается ехе, никто не мешает и там срубить релоки, выставив флажки, что RELOCATION_STRIPPED и NO_RELOCATABLE или какие-то такие. И всё будет работать, не ругаясь с аслр и без везения. |
|
|
Создано: 15 января 2013 12:08 · Личное сообщение · #21 ради теста я скачал файл запакованный Armadillo 7.0 x32, проделав прежние манимуляции сдампил Security.dll, в открывается и анализируется без проблем. Наверно, я всетаки опишу порядок действий, вы попробуете и скажете надо там после этого, что либо восстанавливать или нет. |
|
|
Создано: 15 января 2013 12:28 · Личное сообщение · #22 Siarogka1 Наверное имелась ввиду распаковка dll накрытой армой, а не Security.dll. В первом случае релоки восстанавливать обязательно Во втором нет, т.к. dll изначально не запакована(zlib не в счет) и дампится она чистенькая и красивенькая. |
|
|
Создано: 15 января 2013 12:43 · Личное сообщение · #23 ну мне сложно судить, кто и чего имел ввиду, просто я нигде не писал, что я распаковывал какуюто длл, я указывал, что дампил именно Security64.dll и Security.dll. Лично я, после прочтения http://web.archive.org/web/20110830080807/http://quequero.org/Armadillo5_x64_Unpacking , не особо понял, как и когда необходимо дампить длл. Я в аттаче приложу файлик, может какому-нибудь новичку как я, он окажется полезным.  e0e6_15.01.2013_EXELAB.rU.tgz - dumpsec.pdf
|
|
eXeL@B —› Вопросы новичков —› Пару вопросов armadillo |
Для печати