Подскажите как обойти зашиту? Не могу запустить эту прогу под отладчиком олли-дебагер. Попробовал все опции в стронге. Не помогло. Чем еще можно обойти защиту? Распаковывать мне пока не надо, научите если не сложно, как открыть ее в дебагере?
http://www.sendspace.com/file/ox804r
Надеюсь на помошь...

| Сообщение посчитали полезным:

Программа может использовать множество анти-отладочных приемов от простейшего IsDebuggerPresent() до весьма и весьма замысловатых.
В каждом конкретном случае нужно разбираться с программой, а не тыкать наугад в настройки разных plugin'ov.
На вашем месте я бы начал с теории, с тех же туториалов Рикардо Нарвахи.
Он, в числе прочего, хорошо описывает эти самые анти-отладочные приемы, по крайней мере, основные и простейшие.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

VMprotect там.

andrey_brest пишет:
как открыть ее в дебагере
File->Open. Ну а что? )))

| Сообщение посчитали полезным:

Уже кучу сборок олли перепробовал (под Темиду в частности), все равно дебагер детектится. Подскажите пожалуйста настройки для олли, если сами открыли.
plutos - спасибо за наводку, появится время - ещё раз перечитаю...
NikolayD, чем вы детектировали VMprotect?

| Сообщение посчитали полезным:

спасибо за наводку, появится время - ещё раз перечитаю...
Вот, блин, нет слов!
Т.е. ТС все туториалы Нарвахи уже раз проштудировал, просто времени нет перечитать.
Что-то не похоже, судя по вопросам - в глаза не видел!

чем вы детектировали VMprotect?
Ишь чего захотел! это военная тайна хакеров...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

andrey_brest пишет:
NikolayD, чем вы детектировали VMprotect?
Вот к примеру рез-т ExeInfo:
Generic check : VMProtect v.2.07 - X.X 2003-2012 VMProtect Software - www.vmpsoft.com

И с отладчика у меня норм стартануло
StrongOD достаточно настроить.

-----
ds

| Сообщение посчитали полезным: TLN

andrey_brest
пробуй такие настройки стронга на WinXP или Se7eN


NikolayD пишет:
VMprotect там.
но по ходу с чем то ещё!

| Сообщение посчитали полезным:

да походу он на х64 просто сидит.

| Сообщение посчитали полезным:

andrey_brest, забудь на ближайший год про эту программу, а то и два.. Если совсем не втерпёж VMSweeper в помощь.

schokk_m4ks1k пишет:
но по ходу с чем то ещё
с маслом? )

| Сообщение посчитали полезным:

schokk_m4ks1k
Ты когда натыкал везде галок, ты хоть думал для чего каждый флажок нужен? Кстати, несмотря на то что ты для надёжности
натыкал всего, ты всё равно умудрился упустить главную фишку - убрать бряк с EP

-----
Research For Food

| Сообщение посчитали полезным: SReg, TLN, plutos

оеп такой нашел
01AD8ADB 68 86A7AD01 PUSH vd_11_11.01ADA786
01AD8AE0 ^ E9 9B63FDFF JMP vd_11_11.01AAEE80
и в импорте несколько функций из кернел потырено походу, подскажите спецы как распаковывать.

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
но по ходу с чем то ещё!
+ ещё одна популярная вм.


andrey_brest
matrix
оеп и импорт вам ничего не дадут ведь) всё, что нужно под вм.
P.S.:не хорошо в чужих кряках ковыряться, но если всё же, в конечном итоге отломаете - отпишите в лс

| Сообщение посчитали полезным:

MasterSoft пишет:
не хорошо в чужих кряках
это о чем - не понял?

| Сообщение посчитали полезным:

Рип распространяемый за денежку xD

| Сообщение посчитали полезным:

Привет всем! Не могу открыть тему - видать лошара еще. Решил попробовать себя на почве реверса. Получилось у меня разобраться с одной программкой на днях. Но она была не запакована, не закриптована, вообщем красота! Сразу взялся за другую - оказалось, моих познаний в области нахождения OEP шиш да маленько ). Надыбал статью - http://exelab.ru/art/?action=view&id=435. С грехом пополам нашел eXPressor 1.5.0.1, Phantom нашел версию 1.54, Olly advanced 1.26 - как в статье. Галки выставил, запускаю пациента - фик там! Ошибка, да?:



Ошибка появляется, если хук на RDTSC в фантоме ставить. Без него пациент палит отладчик в любых вариантах. (Еще пробовал на phantom`е другой версии, кажись 0.57 - та же беда. Версию - 0.60 не нашел)

Все делаю на виртуалке (XP SP3). Пробовал на чистой ольке и на не чистой )). Брал с этого же сайта.

Еще в комплекте с phantom`ом шел файлик - extremehide.sys. Куда его пристроить не знаю (может поэтому ошибка всплывает).

Как говориться поможите, чем сможИте! Пинок в нужную сторону приветствуется )

Насчет создания темы - разобрался. )

| Сообщение посчитали полезным:

1. Удалить плагин Olly advanced 1.26.
2. Скачать и установить плагин StrongOD.
3. Понаустанавливать галок в настройках последнего.
4. Радоваться.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: sapog93

sapog93 пишет:
Ошибка появляется, если хук на RDTSC в фантоме ставить. Без него пациент палит отладчик в любых вариантах. (Еще пробовал на phantom`е другой версии, кажись 0.57 - та же беда. Версию - 0.60 не нашел)
RDTSC - команда чтения счётчика тактов от времени запуска системы. Принцип фантома - он запрещает в юзер-мод использовать эту команду, при её использовании генерируется исключение, которое перехватывается фантомом... Так, Archer? но дальше, по-моему, подсовывается чуть ли не случайное число, а программе требуется жёсткая привязка к тактам - по ним она так вычисляет либо адрес переменной, либо адрес функции.

Пробуйте либо подсчитать кол-во тактов продвинутым дизасмом (возможно +- такты на работу системы, если жёсткая обфускация), либо после rdtsc вставить программный хук )

-----
IZ.RU

| Сообщение посчитали полезным:

ARCHANGEL Вот же ж говорю лошара! Он у меня уже установлен был ) Спасибо, помогло )

| Сообщение посчитали полезным:

DenCoder я так понял, пациент считает время выполнения своих команд и таким образом выходит на нужную функцию? А если открывать его в ольге естественно время ломается и программа выходит непонять на что и это считает функцией (ну или чем-то там еще) и вылетает ашипка? )

| Сообщение посчитали полезным:

sapog93 пишет:
считает время выполнения своих команд
не время, а такты! А для каждого x86-совместимого процессора число тактов на команду разное, по-разному улучшены конвееры...

sapog93 пишет:
А если открывать его в ольге естественно время ломается и программа выходит непонять на что и это считает функцией (ну или чем-то там еще) и вылетает ашипка? )
В общем примерно так. 7 лет назад столкнулся с тяжело обфускированным кодом, который считал разницу тактов между двумя точками и эта разница учавствовала в вычислении адреса функции. Так и не сломал тогда.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder Походу нарвался на .net чудеса ) Reflector шлет подальше. Где то вычитал у чувака схожий трабл, но там ему гуру помог - распаковал или что он там сделал, не помню.. и добавил, что "C# - обфускация - контейнер С++ - упаковщик", порядок вроде такой был.. Может есть альтернатива Reflector`у? Или все равно надо OEP искать?

PS А такты фиг подменишь, правильно понял? Ну, типа, они фигачат на уровне проца, а ему по барабану кто какие команды выполняет..

| Сообщение посчитали полезным:

sapog93 пишет:
DenCoder Походу нарвался на .net чудеса )
Да вовсе нет, это была БД, обычный asm-код, скомпилированный, как щас помню, борландовским компилером (очень похоже, да и в те времена с БД было удобней работать на Дельфи), только замусорен очень - на 1 полезную инструкцию 20-30 бесполезных... Дальше предположений и идей на той БД тогда не ушёл, до сих пор иногда вспоминаю... Сейчас одну-две пары rdtsc точно обошёл бы, но просто занят, да и не в перспективе...

-----
IZ.RU

| Сообщение посчитали полезным:

Писал я года 3 назад про эмуляцию rdtsc

Вкратце - вот:

http://www.xakep.ru/howto/53523/Kak-emulirovat-rezultat-vypolnenija-RDTSC-%28assemblernaja-instrukcija-schetchik-taktov%29-dlja-obhoda-nekotoryh-programmnyh-zacshit.htm

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
Выложи драйверок, пожалуйста, а то там я его чего-то не нашел.

| Сообщение посчитали полезным: