Антиотладка? и как обойти

Сейчас на форуме: Adler, asfa, bartolomeo (+8 невидимых)

Посл.ответ	Сообщение
toxakgd Ранг: 1.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 13 июня 2012 23:24 · Личное сообщение · #1 Имеется файл, предположительно вредоносный, и очень небольшой опыт реверса (а по антиотладке практически нулевой). Файл запускается и отрабатывает нормально, без ошибок. Но при открытии в Olly не происходит останова на точке входа, Olly показывает ошибку доступа к ячейке памяти 3F3F3F3F. Права на секцию .text стоят executable, readable, writable. Пытался вручную заменить байт точки входа на 0ССh, остановки так и не произошло, похоже olly даже процесс создать не может. Как думаете, в чем проблема, может какая-то стандартная антиотладка?(что-то с секциями или импортом файла) PS файл к сожалению выложить не могу

BAHEK Ранг: 76.9 (постоянный), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 13 июня 2012 23:30 · Личное сообщение · #2 toxakgd пишет: а по антиотладке практически нулевой На васме, да и тут, вылаживали - http://rghost.ru/38649817 \| Сообщение посчитали полезным: plutos
hlmadip Ранг: 58.1 (постоянный), 42thx Активность: 0.06↘0.01 Статус: Участник	Создано: 13 июня 2012 23:50 · Поправил: hlmadip · Личное сообщение · #3 Проверь анализатором, вдруг там какой-то прот навешан. Проверь настройки olly - вкладка exception (все галки + диапазон от 00000000 до FFFFFFFF). Плагины поставь - Phant0m или StrongOD. Посмотри в PEEditor TLSCallback если там 3F3F3F3F, то обнуляй его. И файл было бы неплохо выложить.
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 13 июня 2012 23:51 · Личное сообщение · #4 Файл случайно не .net? они всегда запускаются без остановки. toxakgd пишет: Пытался вручную заменить байт точки входа на 0ССh Под олькой больше так не делай, она будет падать. Если захотелось где-то остановиться, то лучше вписать 0EBFEh и после запуска нажать "паузу".
toxakgd Ранг: 1.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 13 июня 2012 23:51 · Поправил: toxakgd · Личное сообщение · #5 Спасибо, подборку эту смотрел. Сначала показалось, что похоже на пункт 2.6.i (Точка входа заголовка), но потом понял, что не оно. Cпасибо всем, буду завтра пробовать ))
SaLvaTruCha Ранг: 30.8 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 13 июня 2012 23:57 · Личное сообщение · #6 toxakgd пользуйся вкладкой правка
toxakgd Ранг: 1.5 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 июня 2012 00:07 · Личное сообщение · #7 hlmadip пишет: Проверь анализатором, вдруг там какой-то прот навешан. Проверь настройки olly - вкладка exception (все галки + диапазон от 00000000 до FFFFFFFF). Плагины поставь - Phant0m или StrongOD. Посмотри в PEEditor TLSCallback если там 3F3F3F3F, то обнуляй его PEid выдает Visual C++ 6 Оказалось, что TLSCallback тут не причем (но зато я теперь знаю что это такое ). Ошибка возникала из-за таблицы импорта. Посмотрел файл через PE Explorer - таблица импорта совсем пустая, но в директориях ссылка на нее имеется. Обнулил Import table и Olly стала нормально загружать файл, но дальше опять какая-то . Попробую пока сам порыться

Для печати