 |
eXeL@B —› Вопросы новичков —› Исследование Java2Source |
| Посл.ответ | Сообщение |
|
|
Создано: 24 сентября 2012 01:53 · Личное сообщение · #1 Доброго времени суток! Я начинающий "исследователь", столкнулся с данной программой (http://www.armenian-dictionary.com/other/java_converter.html). Исследую при помощи Олли, программа при запуске в Олли, определяет, что запущенна под отладчиком, пробовал запускать под Syser, так же определяет что находиться под отладчиком. В Олли установлены плагины скрытия отладчика Hide Debbuger и Hide OD, Но это не помогает! Изучаю Олли по статьям (http://www.wasm.ru/print.php?article=ollydbg24). В инете есть кейгены и т.д., но это не интересно. У самого понять защиту пока не получается, натолкните на путь истинный. Заранее спасибо.  |
|
|
Создано: 24 сентября 2012 02:05 · Поправил: mysterio · Личное сообщение · #2 tb Наталкиваем - юзай Раз палит дебагер значит на проге что-то висит - муха, 3 гвоздя и протектор. ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 24 сентября 2012 02:22 · Личное сообщение · #3 или попробуй плагин strongOD |
|
|
Создано: 24 сентября 2012 19:59 · Личное сообщение · #4 Спасибо, посмотрел, пробовал оба плагина, но ничего не выходит. Программа все равно узнает о присутствии деббагера. Вот скрины. (1) При попытки включить Hide from PEB появляется такое сообщение (2).  281d_24.09.2012_EXELAB.rU.tgz - cap.jpg
|
|
|
Создано: 24 сентября 2012 20:11 · Личное сообщение · #5 http://exelab.ru/f/action=vthread&forum=13&topic=16798 нна пачетайко |
|
|
Создано: 24 сентября 2012 22:06 · Личное сообщение · #6 Написал. |
|
|
Создано: 24 сентября 2012 22:22 · Личное сообщение · #7 Тебе сказали, почитай, а не напиши. Не надо одно и то же раскидывать по разным топикам. |
|
|
Создано: 24 сентября 2012 22:23 · Поправил: Модератор · Личное сообщение · #8 там две страницы прочетатъ естъ как дебаг настроитъ и па анпаку инфа извинительное за текст гыыыы От модератора: за слова неприличные на сутки 
|
|
|
Создано: 24 сентября 2012 22:56 · Личное сообщение · #9 Johnny Mnemonic, быстро прочитай "нна пачетайко" Тяжеловато читать, саабщения каторыи ни провильно напесаны. Па паэтаму таг вотъ палучаитсо. |
|
|
Создано: 26 сентября 2012 10:47 · Поправил: sivorog · Личное сообщение · #10 tb там действительно Темида для новичка очень тяжело будет. лучше возьмите другую жертву, попроще. если очень сильно хочется снять защиту - то, после прочтения базовых статей, можно попробовать по тьюторам, например от LCF-AT (см. tuts4you.com), однако повторюсь - для новичка это сизифов труд.  если просто поисследовать, как работает защищенная программа - тогда настройте Олли как описано в "Olly Hide Setup & RISC Unpack", например. | Сообщение посчитали полезным: tb |
|
|
Создано: 26 сентября 2012 21:56 · Личное сообщение · #11 sivorog большое спасибо за информацию. Надеюсь, я с ней разберусь....через пару лет 
|
|
|
Создано: 15 декабря 2012 15:57 · Поправил: sivorog · Личное сообщение · #12 ... вообще говоря, не так уж и сложно анпакать, если строго следовать инструкциям LCF-AT.  NikolayD мне как-то подсказал, как восстанавливать ОЕП в защищенных прогах, написанных на VBasic: берем работоспособный дамп с восстановленным импортом, грузим его в Олли. Видим, что VM OEP - ну, то есть PUSH xxxxxxxx JMP xxxxxxxx в секции Фимы. далее break-on-access на секцию кода, стартуем. брякнулись, в стеке появился новый адрес, ну скажем Code:
(это из др. проги той же фирмы) а в окне дизассемблера имеем Code:
- это мы щас тут стоим, а выше 5-7 байт фигни, а еще выше собственно VB-шный импорт. ну, я и вписал прямо перед call'ом "push 0040B784", сохранил, вправил ОЕП в CFF Explorer'e (ну мне он нравится), отсобачил 3 секции прота - имею рабочий, чисто VB-шный exe-шник. далее можно кейгенить, ну а так как я лентяй, то посниффал серийник при помощи vbastrcmp 
|
|
eXeL@B —› Вопросы новичков —› Исследование Java2Source |
Для печати