 |
eXeL@B —› Вопросы новичков —› Нужна помощь в распаковке dll |
| Посл.ответ | Сообщение |
|
|
Создано: 16 февраля 2013 16:47 · Личное сообщение · #1 Нужна помощь в распаковке dll  |
|
|
Создано: 16 февраля 2013 16:52 · Личное сообщение · #2 и чего дальше? 
----- [nice coder and reverser] |
|
|
Создано: 16 февраля 2013 16:53 · Личное сообщение · #3 PEidD пишет что yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *, но я почему то сомневаюсь, не получается распаковать при попытке отладить вылетает окно "a debugger has been found in your system..." Кому не сложно можете посмотреть? и желательно кинуть мануал как распаковывать длл... [url=http://depositfiles.com/files/zohh5isvf ]--> Link <--[/url]- сама длл |
|
|
Создано: 16 февраля 2013 16:55 · Личное сообщение · #4 deadly так не пойдет или сам чего-то делай, или тема закрыта будет. ----- [nice coder and reverser] |
|
|
Создано: 16 февраля 2013 16:59 · Личное сообщение · #5 Я бы не написал сюда) там вообще засада сдампить из программы не получается( после дампа он не считает ее дллкой) дойти до EP тоже(выдает окно что отладчик найден) и тут засада короче((( |
|
|
Создано: 16 февраля 2013 17:00 · Личное сообщение · #6 хотя бы ссылку киньте где про дллки можно почитать, тк там другой алгоритм не как в exe файлах |
|
|
Создано: 16 февраля 2013 17:23 · Личное сообщение · #7 А да еще сообщение о том что дебагер найден вылетает полсле подгрузки некой библиотеки sbiedll.dll |
|
|
Создано: 16 февраля 2013 17:31 · Личное сообщение · #8 http://g.zeos.in/?q=vmprotect%20unpacking |
|
|
Создано: 16 февраля 2013 18:40 · Личное сообщение · #9 deadly пишет: после дампа он не считает ее дллкой а чем? и кто он? | Сообщение посчитали полезным: Jaa |
|
|
Создано: 17 февраля 2013 08:36 · Личное сообщение · #10 дело в том что дамп делается с работающей программы, а не с OEP дллки, в результате при попытке открыть этот дамп вылетает окно о том что не является подходящим файлом, а с оеп нету возможности сделать дамп тк в процессе распакови вылетает сообщение что был замечен дебагер и досвидос |
|
|
Создано: 17 февраля 2013 08:45 · Личное сообщение · #11 Заметил что использует функцию IsDebaggerPersent но явным образом она негде не вызывается, и не помогают не какие плагины на анти отладку((( 
|
|
|
Создано: 17 февраля 2013 09:36 · Личное сообщение · #12 Я же тебе написал, что там за прот, читай про его антиоладку. Code:
| Сообщение посчитали полезным: deadly |
|
|
Создано: 17 февраля 2013 09:38 · Поправил: Alchemistry · Личное сообщение · #13 Файл не качал, но сдается мне что это dll от клиента л2 рпг-клуб? Сужу по детекту сандбокси (sbiedll.dll) Если так, то там будет дюжина разнообразных проверок на дебагер (IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess(ProcessDebugObjectHandle), NtQueryInformationProcess(ProcessDebugFlags), NtSetInformationProcess(ThreadHideFromDebugger), UnhandledExceptionFilter, NtClose(invalidhandle), int 3 итд), очень много, словно их специально копи-пастили со всего интернета. Плюс детект Syser/SoftIce, sandboxie, и виртуалок по cpuid. Все это выполняется в динамически выделенном буфере, с неявной передачей управления. Ты сам вряд ли сломаешь, запросы на взлом
|
|
|
Создано: 17 февраля 2013 10:09 · Личное сообщение · #14 тоесть не стоит пробовать даже?) вот примерно что я смог у кого есть идеи на что похоже)? устанавливает права записи на какойто участок памяти > выделяет память(наверно в этом участке > создает файл, что то пишет в него, берет его размер> дальше идет CreateFileMappingW, дальше идет естественно MapViewofFile(), дальше UnmapViewOfFile(отменяет обображение), дальше getmodulehandle, а дальше IsDebbagerPersent > дальше CheckRemoteDebuggerPresen> unhandledexceptionfilter(пошло видимо разрушение кода)> дальше ntqueryinformationProcess, ntdll.NtSetInformationThread, ntdll.ZwQuerySystemInformation> подгрузка sbieDll.dll(что это?)> снова IsDebbagerPersent> Роковое сообщение в стеке a debugger has been found running in your system |
|
|
Создано: 17 февраля 2013 10:18 · Личное сообщение · #15 но если там используются только примитивные такие методы почему плагины не помагают(? |
|
|
Создано: 17 февраля 2013 10:43 · Личное сообщение · #16 deadly пишет: http://depositfiles.com/files/zohh5isvf Vmprot ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 17 февраля 2013 10:51 · Личное сообщение · #17 deadly пишет: sbieDll.dll(что это?) Это детект Sandboxie http://www.sandboxie.com/, да вмпрот не для новичков. deadly пишет: но если там используются только примитивные такие методы почему плагины не помагают(? потому что афтар вмпрот активно их мониторит и фиксит свое поделие когда клиенты возбухают
|
|
|
Создано: 17 февраля 2013 12:39 · Личное сообщение · #18 10081870 8BFF MOV EDI,EDI 10081872 55 PUSH EBP 10081873 8BEC MOV EBP,ESP 10081875 837D 0C 01 CMP DWORD PTR SS:[EBP+0xC],0x1 10081879 75 05 JNZ SHORT 10081880 1008187B E8 0C410000 CALL 1008598C 10081880 FF75 08 PUSH DWORD PTR SS:[EBP+0x8] ..... еще один OEP |
|
|
Создано: 17 февраля 2013 12:44 · Личное сообщение · #19 deadly пишет: но если там используются только примитивные такие методы почему плагины не помагают(? патамучто сэвэн |
|
|
Создано: 18 февраля 2013 08:50 · Личное сообщение · #20 Аха ха поставил на отдельном компьютере винХП после долгих мучений и анализа кода, смог добиться что бы вылетало окно "Sorry, the aplication cannot rub undo virtual machine", есть идеи как это сделать. |
|
|
Создано: 18 февраля 2013 14:53 · Личное сообщение · #21 deadly |
|
|
Создано: 18 февраля 2013 17:48 · Личное сообщение · #22 я запускаю не на виртуалке... |
|
eXeL@B —› Вопросы новичков —› Нужна помощь в распаковке dll |
Для печати