Трассировка громоздкого CALL - как найти последнюю команду перед RET? - eXeL@B

Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2012 17:53 · Личное сообщение · #1 В дебаггере есть полезный регистр EIP - показывает следующую команду,но мне понадобилось наоборот узнать предыдущую. Имеется ооочень большая процедура в виде CALL хххххххх, которая по команде F8 проходится за секунду. Но вот оттрассировать её как выяснилось хз как. Внутри код упаковщика,прыгающий туда-сюда между 5-6 разными блоками памяти. По F8 гнал минут 5,запутался. CTRL+F8 гнало минут 5,тоже самое - не видно ни конца ни края. Журнал трассировки переполняется на 65535 команде. Т.е. я точно знаю что у нее есть выход,но не могу на него выйти.

Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 17 июля 2012 21:08 · Поправил: Lumpy · Личное сообщение · #2 yagello пишет: Возможно, просто криво распаковали/восстановили неправильно импорт. И всё. Когда неправильно восстановлен импорт (например ошибка в деморфированной API-шке) то валится эксепшен,а в стеке как правило название неправильной функции. Я уже делал так) У нас New Thread ID бла бла Created ,процесс запущен - при неправильном импорте такое практически невозможно. Единственное,что мне непонятно:
yagello Ранг: 72.1 (постоянный), 30thx Активность: 0.05↘0 Статус: Участник	Создано: 17 июля 2012 21:26 · Поправил: yagello · Личное сообщение · #3 Кусочек из давних наблюдений Code: Win98 SE USER32.dll 139 .BFC059A1 DestroyCursor 140 .BFC059A1 DestroyIcon KERNEL32.dll 486 .BFF748B4 GlobalAlloc 560 .BFF748B4 LocalAlloc WinXP SP2 USER32.dll 150 .77D4E8CE DestroyCursor 151 .77D4E8CE DestroyIcon KERNEL32.dll 491 .7C80FF2D GlobalAlloc 584 .7C8099BD LocalAlloc вот хотя бы так. Где оригинальный файл, зачем нам распакованные? Мельком посмотрел распакованное. Был старфорс, ха-ха. Наверняка остались еще какие-то проверки, хотя бы на размер файла. И с TLS лажа какая-то, и указатель на цифровую подпись болтается неприкаянный.
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 17 июля 2012 21:39 · Личное сообщение · #4 Ребята бросьте вы это дело. Это хрю-хрю старфорсу сломлю... Балаболка
Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 17 июля 2012 21:47 · Поправил: Lumpy · Личное сообщение · #5 tundra37 пишет: Ребята бросьте вы это дело. Это хрю-хрю старфорсу сломлю... Балаболка Почему балаболка,работает же.. Я уже 9 штук поломал,осталось 2 экземпляра с SFFS и 1 с запакованной либой. Старфорс реально лажовая защита,если даже я с нулевым профитом смог его снять Скоро буду пробовать снимать что-нибудь более сложное,например SolidShield
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 18 июля 2012 07:04 · Поправил: ZaZa · Личное сообщение · #6 Lumpy пишет: Скоро буду пробовать снимать что-нибудь более сложное,например SolidShield Да ну нах.... Это ж сколько еще топиков наплодится? А имен то новых сколько будет? Ну да ладно, будем делать как всегда: терпеть, ругаться, игнорировать, банить, прощать, ждать, закрывать, открывать, наталкивать, ПОМОГАТЬ... И повторится все как встарь: Пустая банка вазелина, Аптека. Улица. Фонарь! ----- One death is a tragedy, one million is a statistic.
Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 18 июля 2012 19:38 · Личное сообщение · #7 ZaZa пишет: Да ну нах.... Это ж сколько еще топиков наплодится? Ну это не ко мне претензии. Был топик по распаковке Стара 4.70, он подвергся атаке троллей и его закрыли. А вопросов ещё уйма.Мы так и не узнали как пофиксить привязку к CPUID (мне ща приходится делать 4 разных дампа для всех компов,а когда куплю ноут ещё 5-й надо будет клепать :s16. Мы не узнали,как сделать либу для оптимизации и обрезки виртуальной памяти Стара. Какой-то товарищ с форума полгода назад пытался её написать,но ничего у него не получилось. Но это всё впереди. Мы не узнали,чем отлаживать 3-й Старфорс, который не пашет в 3-кольце. И 4.0 на его базе. Ну и наконец выделенную память стара я тоже не понял как найти с помощью VirtualAlloc, поэтому тупо смотрю на кучу идущих друг за другом секций Private RWE и дамплю всё в один блок. Может быть это дурной тон,но рабочий дамп 10-15 МБ имею легко.
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 18 июля 2012 20:35 · Личное сообщение · #8 Солид без патча привязок дампился намного проще стара. Думаю будет меньше идиотских вопросов.
Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 18 июля 2012 20:46 · Личное сообщение · #9 Тогда Obsidium буду ломать. Там тоже импорт погажен, спертый код, ВМ с шифрованием. Жертвы тут: http://www.bolidesoft.com/rus/products.html ПеИд правда пишет SysPack v0.1 [Overlay] *
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 18 июля 2012 21:39 · Поправил: VodoleY · Личное сообщение · #10 Obsidium хорошая весч.. правда сам не щупал. но ваши обильные каллы.. это видимо либо вызовы примитивов, либо обфусцированный вызовы апи. скорее второе ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 18 июля 2012 21:43 · Поправил: -=AkaBOSS=- · Личное сообщение · #11 Lumpy пишет: ПеИд правда пишет SysPack v0.1 [Overlay] * бугага. глянь СЮДА и узнаешь, почему /ADD Lumpy пишет: Но другие анализаторы не лучше и какой из этого вывод? походу, ProtectionId таки рулит..
Lumpy Ранг: 0.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 18 июля 2012 21:57 · Личное сообщение · #12 -=AkaBOSS=- Я читал это, бугага то что ПеИдом рекомендуют пользоваться чайникам в запросах на взлом. Странно,не правда ли? Но другие анализаторы не лучше: А хваленый ExeInfo даже Старфорс не знает :
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 21 июля 2012 13:23 · Личное сообщение · #13 Собственно, Nuff said.

<< . 1 . 2 .

Для печати

Для печати