Сдампил программу в Олли, с помощью Импрека восстановил ресурсы, они были без "инвалида". Программа запускается, при нажатии кнопки открывается вспомогательное окно. Но при нажатии в этом окне кнопки тест, с подключенным диагностическим кабелем, вылетает ошибка :

Подскажите пожалуйста, в каком направлении вести поиск ошибки?

2080_04.02.2013_EXELAB.rU.tgz - Runtime Error past depack.JPG

| Сообщение посчитали полезным:

Kuzya69
--> Это <-- читал ?

-----
ds

| Сообщение посчитали полезным: Kuzya69, Flint, alexpol

Kuzya69
Если не поможет то что дали выше: что распаковывал, чем было накрыто, выложи оригинал и распакованный файл ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

DimitarSerg
Даже не знаю, помогло или нет, но теперь выскакивает другая ошибка.

mysterio
Выложить-то не проблема, но как проверять будете? Эта ошибка появляется только при подключенном кабеле.
Выложу чуть позже.

0bd6_04.02.2013_EXELAB.rU.tgz - 2_VisualStudJustTimDebug.JPG

| Сообщение посчитали полезным:

импреком даже арчер не востановит ресурсы


| Сообщение посчитали полезным: ClockMan, -Sanchez-, daFix

Была такая же проблема с R6002, поправил, под ХР запускается, а под семеркой ни в какую.
Под семеркой еще не дебажил, не было времени, может кто сталкивался с такой проблемой и есть решение?

| Сообщение посчитали полезным:

Johnny Mnemonic пишет:
импреком даже арчер не востановит ресурсы
поржал

по теме: там же просто надо выставить атрибуты у одной секции

| Сообщение посчитали полезным:

Парни, спасибо. Разобрался сам. Не без вашей помощи. Стал копать в зоне этого патча, что во втором сообщении указали. И заметил, что та фукция вызывается только в распакованной программе, а в запакованной нет. Вот и нашел этот злосчастный условный джамп. Это была защита от распаковки видимо. Но теперь запускается и работает, но только на том ноуте на котором распаковываешь. На "чужом" ноуте завешивает намертво систему. Что это может значить, куда копать?

| Сообщение посчитали полезным:

дык вм нужна разбиратъ

| Сообщение посчитали полезным:

Johnny Mnemonic
Там внутри 4 реализации ВМ и 75 вызовов. 46 вызовов я уже декомпильнул из известных. Не могу еще с 5-ю вызовами справится, но это вопрос времени и знаний. А вот остальные вызовы вообще не учавствуют в программе, вернее они может и учавствуют, но на другом кабеле.
Я не думаю, что тут ВМ виновата, ведь прогу распаковывают, для перевода, и без снятия ВМ вообще.
Может какие косяки с ресурсами, хотя Импрек вообще все без проблем сделал.
Ах да, забыл.
http://zalil.ru/34232961
Там 3.2 метра, если интересно поглядите. Внутри и оригинальный и сдампленный и нужный для работы программы бин-файл.

| Сообщение посчитали полезным:

Да проверки на анпак там, ищи и выправляй.

| Сообщение посчитали полезным:

Archer
Тоесть с ресурсами не заморачиваться? Просто уж как-то легко они восстановились, на младших версиях как минимум одна, но была инвалидная функция.
А вообще примерный метод поиска защиты от анпака не подскажите? Кроме как трейсить километровые коды. Может на какие апи-функции обратить особое внимание?

| Сообщение посчитали полезным:

Kuzya69
Ресурсы - это иконки, курсоры, картинки и т.д. Импорт (импортируемые функции) - это функции, код которых расположен за пределами исполняемого файла и импортируется ехе-шником. Т.е. для вызова передаётся управление на адреса, лежащие за пределами ехе. А то уже не смешно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Пардон, действительно оговорился, я имел ввиду импорт. Просто всю ночь посвятил отлавливанию бага с R6002. И чего-то видимо "замкнуло".

| Сообщение посчитали полезным:

ниче не трейсить километраме
просто апи проверяет цифроподписъ
опыта у тебя маловато
сделатъ дамп и запустить плагин
особого ума не нада!

| Сообщение посчитали полезным:

Вероятно с вашей проблемой поможет вот это

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Johnny Mnemonic
Вот и пытаюсь научиться. Я примерно так и думал, что что-то с импортом не так.
OKOB
Эта проблема уже решена. Теперь встала проблема непереносимости распакованной программы на другой комп.

| Сообщение посчитали полезным:

с импартом нормулъ
исчо раз топег перечитай штоле

| Сообщение посчитали полезным:

Johnny Mnemonic
просто апи проверяет цифроподписъ
опыта у тебя маловато
Подскажите пожалуйста, на какую апи обратить внимание? Про опыт не спорю, действительно маловато. Поэтому и пишу в раздел новичков.

| Сообщение посчитали полезным:

-Sanchez- пишет:
по теме: там же просто надо выставить атрибуты у одной секции

Kuzya69, я файл-то не смотрел, но подобная ошибка появляется после распаковки. Прога проверяет атрибуты секции и если не совпадает с константой, тогда рантайм не инициализируется

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Я так понимаю, что все отвечают на первый вопрос. Но он уже решен. Наверно надо новую тему создавать. Или атрибуты секции тоже могут влиять на переносимость программы с одного компа на другой?



Все, разобрался со второй проблемой. Спасибо, добрые люди помогли. Оказалось, действительно косяки с импортом. А у меня, в настройках импрека не стояла галка "создать новую секцию". Вот импрек и пытался восстановить старые таблицы. А они по размеру даже были меньше новой секции.

| Сообщение посчитали полезным:

R6002 floating point support not loaded - после распаковки // для гугла

Тема довольно актуальная, столкнулся с этой ошибкой после снятия армы, решил провести небольшой реверс и вот что вышло. Метод указанный Manhunter не совсем корректен и вот почему:

- мы патчим уже результат проверки, но никак не причину
- на данный момент, я знаю софт, в котором патч fptrap > RET убивает поддержку вещественных чисел.
- патчить нужно или атрибуты секций (что не всегда реально, если это секция data) либо искать причину.

загружаем софт, ставим мемори бряк на заголовок файла, прерываемся трейсим и ставим, повторяем до тех пор пока не окажемся здесь:

поднимаемся к месту вызова по RET:


после CALL dump_SCY.005FDA30 в EAX указатель на секцию .rdata (в моем случае)
дальше берём аттрибуты секции и проверяем:

в битовом представлении C0000040 = 11000000000000000000000001000000
в битовом представлении 40000040 = 01000000000000000000000001000000

собственно понятно, что делать? процедура должно возвращать в EAX 1, патч:

вот так правильнее и красивее

-----
[nice coder and reverser]

| Сообщение посчитали полезным: alexpol, daFix

--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: alexpol

ClockMan оу, гуглом не отдавалась та темка решил подробненько написать, может теперь поиском будет находиться норм.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Лучше по разбору вм писали что-то

| Сообщение посчитали полезным:

matrix а чего про них писать? инструменты есть, статьи тоже, разбирайтесь

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Просто про всякую хрень в этом топике написали уже раз десять
Другое дело что вм разберет не каждый
Статьи есть но качества сомнительного

| Сообщение посчитали полезным:

HellspawnClockMan
Спасибо Вам большое, не поддающаяся до этого прога сдалась.

| Сообщение посчитали полезным:

ClockMan
Именно так, как по ссылке, эта программа и защищалась. Переписывала адреса коссвенных обращений к другим функциям, если атрибуты верны. Если-же атрибуты неверны, то адреса все вели на выдачу этого сообщения. И патчить пришлось именно результат проверки секций. Но все равно совет, патчить "fptrap > RET", помог попасть в эту проверку атрибутов секции. Потому-как бряк на этом патче, в распакованной проге, срабатывал. А в оригинальной не срабатывал. Дальше было дело за трассером, отследить место развилки.

| Сообщение посчитали полезным: