| Сейчас на форуме: asfa, bartolomeo (+6 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Исследование Vit Registry Fix 12.3 |
| Посл.ответ | Сообщение |
|
|
Создано: 06 августа 2012 02:19 · Поправил: Flasher-11 · Личное сообщение · #1 Начал исследовать Vit Registry Fix 12.3, упакован UPX'ом и написан на VB. Распаковал, запустил, а программа не показывает мне окошко программы, а в процессах висит. Очевидно проверка размера файла, попробовал пофиксить CRC, не помогло.Возможно просто стоит проверка размера файла, а может еще что. Закинул в ольгу, попробовал запустить. Code:
Далее идет мусор, думаю файл покриптован,только вот чем? Сканил DiE - прога нативная Программа начинает стартовать только CALL <JMP.&MSVBVM60.#100> и все больше ничего, запустилась и висит, смысла я не видел трассировать вбэшную библиотеку хоть и пробовал. Кто мне сможет дать вспомогательный пендль на путь к финишу? На всякий - http://www.vitsoft.org.ua/Download/Vit%20Registry%20Fix%20Professional%20Setup.exe NikolayD,ZaZa, спасибо, буду разбираться. Статьи я читал, но видать невнимательно, буду перечитывать  |
|
|
Создано: 06 августа 2012 04:58 · Личное сообщение · #2 Статьи Рикардо прочитаны видимо не были, тогда шуруй читать ))) Кроме Ольги есть ещё программы всякие, но ты это потом узнаешь ) Учись пользоваться поиском, например введи в ключ поиска Fit-->Искать в темах-->В течение последних 9999 дней. По идее кейген нужен, потому что патчить придёться все программы которые входят в комплект. |
|
|
Создано: 06 августа 2012 06:04 · Поправил: ZaZa · Личное сообщение · #3 Flasher-11 MSVBVM60 (MicroSoft Visual Basic Virtual Machine v6.0) Перевести сможешь? Нет? Тогда помогу... Это библиотека от компании MicroSoft для/от среды программирования Visual Basic, а точнее виртуальная машина, на которой происходит разбор всех написанных тобой команд, версии 6.0... Flasher-11 пишет: CALL <JMP.&MSVBVM60.#100> Это есть не что иное, как вход в ядро этой виртуальной машины... С него и надо начинать, если ты разбираешь программу, написанную на VB в отладчике. А обычно используют связку: отладчик/VB декомпилятор (VB Decompiler, VBReformer и т.д.) - так проще! Дерзай! И удачи в твоих начинаниях... ----- One death is a tragedy, one million is a statistic. | Сообщение посчитали полезным: Flasher-11 |
|
|
Создано: 07 августа 2012 15:30 · Поправил: Flasher-11 · Личное сообщение · #4 Пока на работе было свободное время, чуток разобрал. Поставил бряк на GetFileSize. Code:
В EAX находится размер распакованного файла. Думаю я в верном направлении  Maximus пишет: Не открываться может из-за неправильной распаковки, либо из-за того что ты мог прибить оверлей. Запакован он Upx'ом, мне кажется маленькая вероятность что распакован неправильно. Открываться-то открывается, только окошко не показывает, а в процессе висит. Оверлей вроде в порядке. |
|
|
Создано: 07 августа 2012 16:40 · Личное сообщение · #5 Flasher-11 имхо зря ты с ВБ начал.. не самый это удачный выбор для начала... говна много и без базовых навыков будет тяжко. поищи в интернете технологию dll wraping, глядишь как нибуть полегчает. ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 07 августа 2012 18:39 · Личное сообщение · #6 VodoleY почему зря то, чем проги на VB сложнее других? Flasher-11 открываешь прогу в VBDecompiler, идешь в раздел Code, ищешь главную форму и ставишь бряк на Form_Load и начинаешь трейсить. Не открываться может из-за неправильной распаковки, либо из-за того что ты мог прибить оверлей. ----- StarForce и Themida ацтой! | Сообщение посчитали полезным: igorca, Flasher-11 |
|
|
Создано: 08 августа 2012 11:16 · Поправил: Flasher-11 · Личное сообщение · #7 Интересная картина, распаковывал с помощью UPX, распаковалась, запускается но без окна, а процесс висит. Потом попробовал снять упаковщик руками, снял дамп и запустил, попросил нормальную таблицу, восстановил с помощью ImportRec. Запустил, а она мне аварийное завершение программы. Может руками IAT восстановить и из-за чего такое может быть? Еще программа сверяет размер файла с плавающей точкой с еще каким-то. Пытался подменить распакованный размер который хранится в EAX на запакованный. Но тут он мне пишет INVALID_HANDLE и умирает. И вот еще что, программа показывает окошко если упакована, причем любой степенью сжатия. |
|
|
Создано: 08 августа 2012 13:52 · Поправил: Maximus · Личное сообщение · #8 Flasher-11 Code:
И прога отлично запускается. Находится элементарно через бряк CreateFileA / GetFileSize ----- StarForce и Themida ацтой! |
|
|
Создано: 08 августа 2012 14:34 · Личное сообщение · #9 Maximus пишет: И прога отлично запускается. Находится элементарно через бряк CreateFileA / GetFileSize Как я понимаю MOV EAX,100000 надо воткнуть? |
|
|
Создано: 09 августа 2012 22:58 · Поправил: Flasher-11 · Личное сообщение · #10 Шляпа какая-то! Втыкаю MOV EAX,100000, затем опять INVALID_HANDLE  и с подменом размера тоже самое.Maximus, спасибо Исправленный файл-то у меня запускается, а вот в ольге нет  Из-за чего такое может быть? |
|
|
Создано: 10 августа 2012 10:19 · Поправил: Maximus · Личное сообщение · #11 Нда... предлагаю топ закрыть, а стартопа отправить в запросы на взлом. >Исправленный файл-то у меня запускается, а вот в ольге нет Очевидно надо обойти антиотладку ----- StarForce и Themida ацтой! | Сообщение посчитали полезным: Flasher-11 |
|
eXeL@B —› Вопросы новичков —› Исследование Vit Registry Fix 12.3 |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати