Взялся за вскрытие серии RаsтеrАrтs от СS. А именно программы RаsтеrDеsk 10. Программа запускается как примочка к AutoCADу.

Пробовал запускать под OllyDbg одну из ключевых dll - она просит еще кучу ddl.
Как их правильно подгрузить в Ольге? Они все по разным папкам и их оооочень много. Ну не скидывать же их все в одну папку.

| Сообщение посчитали полезным:

если они явно прописаны в импорте, то они либо должны лежать в рабочем каталоге, либо в system32.

| Сообщение посчитали полезным:

Глянь здесь: http://www.ollydbg.de/Loaddll.htm

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Если под примочкой подразумевается плагин, то самый верный вариант это отлаживать через сам акад.
Грузишь автокад в ольку и запускаешь, жмешь Alt+E и ищешь там нужную длл.

| Сообщение посчитали полезным: ClockMan, plutos

Плюс к этому нужно поставить Make first pause on System breakpoint, и далее уже искать в адресном пространстве акада нужную бибилотеку. Это позволит отлаживать её DllMain. Просто находим библиотеку в АП процесса, ставим бряк на ЕР - и жмём F9. Когда сработает - отлаживаем. Но это если либа статически прилинкована к ехе-файлу самого акада, в чём я сомневаюсь, т.к. это плагин.

А раз плагин, то запускаем под отладчиком акад, а потом ждём, когда он подгрузит нужный плагин через всякие LoadLibrary/Ex. Если и тут нужно отлаживать код DllMain, то я обычно нахожу вызов этого CALLBACK'а в ntdll простой раскруткой стека, находясь на любой DllMain статически подгружаемой библиотеки, ставлю там брейкпоинт, и жду, когда будет вызван нужный мне CALLBACK.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: plutos

Вообще примочка грузится от одного из exe, но с кучей параметров в командной. Если грузить без параметров естественно грузится будет другая задача.
Тогда вопрос, а как загрузить нужный экзэшник с параметрами в ольге? Он же и запускает акад вместе с примочкой.

Предыдущие кряки программы патчились одной dllкой - причем всегда одной и тойже (ее я и решил посмотреть). Но вот последние версиии чегото никто давно не лечит. Решил сам для себя в первую очередь подлечить.

| Сообщение посчитали полезным:

как загрузить нужный экзэшник с параметрами в ольге
Debug -> Arguments ?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: SaNTa76

SaNTa76, пишешь на фасме загрузчик с одним вызовом LoadLibrary(), цепляешься к нему и потом ловишь момент загрузки DLL

| Сообщение посчитали полезным:

SaNTa76

--> Link <--

Вот туда и вписывайте свои аргументы командной строки.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Архангел!
Там, между прочим, по вашей ссылке полуголая женщина!
Надо предупреждать!!!

PS
проверил ссылку - нету никого полуголого
Сбежала, стерва...


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
Странно, проверил ссылку - нету никого полуголого. Чесслово. В аттаче продублировал картинку.

Ну да, видимо, сбежала.

cad8_19.11.2012_EXELAB.rU.tgz - 11111.jpg

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Впринципе через подгрузку библиотек в акаде запустил и посмотрел библиотеку. Загрузил и через экзэшку с параметрами. Но вот не могу сообразить как в Ольге отловить первое обращение с момента загрузки библиотеки. Т.е. библиотеки в модулях естественно еще нет и нужно отловить как только ее подгрузят и обратятся.

| Сообщение посчитали полезным:

постав бряк на секцию кода библиотеки

| Сообщение посчитали полезным:

Элементарно. Ставим бряки функции LoadLibrary... После подгрузки библиотеки ставим бряк на интересующей нас в ней функции. Если не известна конкретная функция, можно ещё в окне Memory -> Set break-on-access.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

Фух... поборол Крякнул. Но только 32х
А вот 64х у меня не получается. Может подскажете пусть не отладчик, так хоть декомпилятор х64?
WinDBG отказался ставиться на двух компах. Что еще можно попробовать?

| Сообщение посчитали полезным:

SaNTa76
Идой (Ida Pro) попробуй, а байты правь в Hex Editor Neo, там встроенный дизассемблер, x64 в том числе!

| Сообщение посчитали полезным:

schokk_m4ks1k так и знал что к иде пошлют Боюсь я иды... говорят мега дебагео для киборгов... я вон только учусь крякать простые примочки.

| Сообщение посчитали полезным:

SaNTa76 пишет:
я вон только учусь крякать простые примочки.
тогда не лезь пока в x64!

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
тогда не лезь пока в x64!
нужно очень крякнуть одну из подобных прог... а никто не хочет браться. Год лежит уже прога, народ просит хлеба, и хоть бы кто помог... Вот решил взяться.
Хоть 32 крякнул и то радость!
Буду качать иду и бояться Надо же когданибудь начинать...

| Сообщение посчитали полезным:

SaNTa76 пишет:
Буду качать иду и бояться Надо же когданибудь начинать...
тоже правильно!!! только знай ида это тебе не олька, там совсем по другому, править байты или в той проге что я написал или в hiew! дерзай

| Сообщение посчитали полезным:

Попробовал открыть в иде файлец. Ну я в шоке Кроме пару инструкций ничего знакомого. В тырнете про иду вообще проблема что-то на русском найти. А сейчас тему создам "Научите отлаживать в Ida Pro 64х" так заклюют...
Ну и что вот делать?

| Сообщение посчитали полезным:

SaNTa76
в журнале Хакер в каком то номере ломали прогу x64 Ида+хекс редактор! называется прога вроде Puran Defrag!
поищи в гугле думаю найдешь! журнал Хакер декабрь 2009 год!

| Сообщение посчитали полезным: SaNTa76