Подскажите пожалуйста.

Сейчас на форуме: asfa, Rio (+6 невидимых)

Посл.ответ	Сообщение
sergeyorsk56 Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 12 июля 2013 14:06 · Поправил: sergeyorsk56 · Личное сообщение · #1 Прога запакована PE Compact v2.20 - v3.02. В Olly нашел OEP 2b2108 (если не правильно, дальше можете не подсказывать). Делаю дамп, пытаюсь восстановить импорт, а дальше затык. Файл с импортом через ImpREC в авто режиме не запускается, с ручным прописыванием RVA 34dd13 тоже. Где косяк? Может там какая проверка еще есть на размер или на CRC? Разбираюсь с защитой чисто для себя, есть официальный ключ. В архиве оригинал, дамп, и с попыткой восстановить импорт. http://rghost.ru/47370313

daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 12 июля 2013 17:48 · Личное сообщение · #2 sergeyorsk56 Интересная хрень. Вроде с пекомпактом ничего такого раньше небыло. Присутствует так-же и проверка на распакованность. Вот распакованный вариант и пропатчена проверка на распакованность - ссылка--> ссылка<-- ----- Research For Food \| Сообщение посчитали полезным: sergeyorsk56
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 12 июля 2013 18:13 · Личное сообщение · #3 daFix там же плагины к нему есть ну или накодить свой можно ----- [nice coder and reverser] \| Сообщение посчитали полезным: sergeyorsk56
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 12 июля 2013 18:46 · Поправил: daFix · Личное сообщение · #4 Hellspawn Да импорт не проблема. Просто для меня остались два не очень понятных момента - 1.вроде как kernel32.IsDebuggerPresent заменяется на какую-то свою функцию, в которой напихано всяких детектов 2.GetProcAddress заменяется на свою функцию, и если в неё передавать хендл = -1 и пустое имя функции, она возвращает указатель на какую-то структуру из тела самой проги, не пакера ----- Research For Food
sergeyorsk56 Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 12 июля 2013 19:08 · Личное сообщение · #5 daFix Огромное спасибо, но Вы бы не могли подробно рассказать как Вы это сделали. Я ж написал что мне главное не взлом, а главное понять как. Еще раз спасибо.
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 12 июля 2013 22:49 · Личное сообщение · #6 sergeyorsk56 Про антиотладку рассказывать или вы с этим сами разобрались? ----- Research For Food
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 12 июля 2013 22:52 · Поправил: DenCoder · Личное сообщение · #7 daFix пишет: Про антиотладку рассказывать или вы с этим сами разобрались? Только литература! e8c0_12.07.2013_EXELAB.rU.tgz - Антиотладочные трюки.rar + трюк с селектором GS, о котором в статьях ещё на кр@клабе писал многими уважаемый Clerk ----- IZ.RU \| Сообщение посчитали полезным: sergeyorsk56, dfnsff
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 12 июля 2013 23:08 · Личное сообщение · #8 DenCoder Да там нет смысла вникать во все эти трюки. Там всё выполнено в виде отдельной функции. И легче просто всегда возвращать 1, поставив RET в начало функции)) ----- Research For Food
sergeyorsk56 Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 12 июля 2013 23:28 · Личное сообщение · #9 Все равно не понял как Вы это сделали, начинаю курить книги, как пойму отпишусь. Но через неделю, вторую, вопросы все равно будут. Ответите если спрошу то что не понимаю? Archer огромная просьба тему не закрывать, я попытаюсь разобраться.
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 12 июля 2013 23:31 · Поправил: DenCoder · Личное сообщение · #10 daFix пишет: Да там нет смысла вникать во все эти трюки Я ту книгу и сам не читал, и многие другие тоже только частями. Просто знаю, что и где находится и ищу и использую по мере надобности ) ----- IZ.RU

Для печати