Добрый день форумчане.
решил поковырять программку на досуге(мод для игры танки)-узнать как она работает.
С чем я столкнулся:
1.Защита от отладки-установил плагин HideOD(использовал OllyDbg)
2.Упакована PECompact-проверил Peid,в ольке нашел ОЕР,сделал дамп PE tools,починил его ImpREC(для новичка неплохо я считаю )
3.Пробую запустить-ничего,хотя Peid распознает сигнатуру нового фаила(Delphi)
Собственно вопрос:это я криво распаковал или там стоит еще какая-нибудь защита?(я подозреваю проверку хэша )
http://rghost.ru/45764050
Спасибо.

| Сообщение посчитали полезным:

buhanoid пишет:
Vostol
упс, какая щекотливая ситуация
за исходник длл буду благодарен
Дай денег отбить на продажах =)

| Сообщение посчитали полезным:

Vostol
я и не собирался выкладывать,сам для себя,только в образовательных целях.
Что-то не получается отладка,поэтому пошел другим путем-пытаюсь запустить длл в своем же процессе и там уже посмотреть что к чему.
вот типа такого http://rghost.ru/private/46155110/4a22a20b134bf6a5c6854f3d32d189cc

| Сообщение посчитали полезным:

Как предположение - может прикрутить длл к любой проге, к примеру Блокноту, с помощью функи LoadLibraryA, и дальше уже копать её после запуска Блокнота.

| Сообщение посчитали полезным:

так можно инжектором воспользоваться,все равно упадет при попытке чтения/записи памяти модуля.
я пока вижу только один реальный путь-отлаживать как я сейчас начал.

| Сообщение посчитали полезным:

Прикрутка к блокноту чревата непредсказуемыми последствиями поведения. В итоге будет AV и краш блокнота.

| Сообщение посчитали полезным:

Кто может дать последний варпак?

| Сообщение посчитали полезным:

Nightshade
http://rghost.ru/private/46314626/4046f7909a62fea9255be485718201a1

| Сообщение посчитали полезным:

Я б на твоем месте начал отладку ближе к адресу

Адреса у тебя конечно будут другие(первые цифры 4) из-за разной image base.

| Сообщение посчитали полезным:

как бы проблема в том,что при трассировке отладчик не доходит до этого места-длл завершается или танки зависают.при переносе eip-тоже краш.

| Сообщение посчитали полезным:

Здравствуйте. Ну что получилось разобраться с защитой раз тема не обновляется?

| Сообщение посчитали полезным:

http://rghost.ru/private/48072546/21ccfabf94d3fcce93de65413a15d2e5
обновленный до версии 0.8.7(может кому надо)

| Сообщение посчитали полезным: CHITA_YAS

всем привет
есть ли успехи по обходу защиты?

| Сообщение посчитали полезным:

Да нету там защиты как таковой, как было так и осталось, просто выкладывать такие вещи смысла нету, апдейты частые. Да и вообще, грешная тулза

| Сообщение посчитали полезным:

Закрыт старый топ, всё равно никакого исследования тут толком не было, всё другие сделали.
ТС хочет продолжать с новой версией, открыто.

| Сообщение посчитали полезным:

добрый день.
не знал как размять мозги, а тут такая головоломка.
новая версия dll http://rghost.ru/private/53705037/d4a74ff8aaa598b05a63b10394a7fdd0
Первым делом запустил ExeinfoPE- "PECompact 2.78 or above" - видно разработчики перешли на новую версию упаковщика.
Начнем распаковку(на этот раз решил не пользоваться приватным распаковщиком ).
Для этого нужно найти OEP, можно, конечно воспользоваться методом ESP Trick, но увидел более интересный и быстрый способ(хотя куда уж быстрее):

это начало библиотеки, переходим по адресу 00BBC5AC, листаем чуть ниже и вуаля:

переход на настоящую точку входа, ставим бряк на jmp, запускаем, нажимаем раз F8 и мы на оригинальной точке входа:

Можно дампить и восстанавливать таблицу импорта.
Вот в последнем у меня и возникла заминка
http://rghost.ru/private/53705186/c022f0e8db7dbf647a36b025da6bbb86 дерево для ImpREC

некоторые функции не распознаются и адрес у них короче, как починить?

| Сообщение посчитали полезным: metal59

PeCompact эмулирует только GetProcAddress

| Сообщение посчитали полезным: buhanoid

добавил в дерево IAT вместо неизвестных строки

дамп восстановился без ошибок, но dll не инжектится, видно добавили какую то защиту(не в релоках же дело,раньше без них нормально работало) - дальше разбираюсь.
распакованная dll http://rghost.ru/private/53706556/de48c0237482c2350041772023e4cdc2
--**--
посмотрел внимательно, действительно релоки, восстановил
http://rghost.ru/private/53707407/352d3397d9ae69ee07606365971cfee8 рабочая распакованная dll
--**--
03/04/2014
Продолжаю ковырять программу в свободное время, по совету знатока решил исследовать dll в целевом процессе.
Перед этим прогнал dll в IDR (Die указал что она написана на Delphi) - искал какие библиотеки используются для работы с сетью чтобы поставить бряк (ключ проверяется на сервере),оказалось это Indy+SSL, значит нужно искать что-то вроде GetToStream/Post.
Запустил программу, приатачился к процессу, сделал инжект библиотеки(как я понял бряки на LoadDLL бесполезно ставить), нашел ее в исполняемых модулях, поставил bp на set access memory, поискал функции работы с сетью-ничего похожего не нашел, думаю дальше.
--**--
поразбирал маленько снифером, клиент отсылает специфичную строку user agent, так как в Search all intermodular calls ничего похожего на работу с сетью не нашел(netapi вообще не используется), решил поставить бряк на эту строку(user agent) - но точка остановки не сработала. В общем думаю дальше.

| Сообщение посчитали полезным:

Текушая версия варпака 0.8.9.314 (для клиента 0.9.3):

Инсталляха:
http://rghost.ru/private/58276286/ece26e165b8407e9d9c9f89e7199b481

DLL оригинальная и распакованная (thx 2 tihiy_grom)
http://rghost.ru/private/58276317/76f0df2e17751b1efb3a3171e94a0446

| Сообщение посчитали полезным:

Это не варёзник и уж точно не гамерский варёзник, не надо это сюда постить.
Старый топик закрыт.

| Сообщение посчитали полезным: