Сейчас на форуме: igorcauret, Rio (+6 невидимых)

 eXeL@B —› Вопросы новичков —› что-то с олькой не так или я туплю?
Посл.ответ Сообщение

Ранг: 7.0 (гость)
Активность: 0.020
Статус: Участник

 Создано: 06 июня 2014 12:40
· Личное сообщение · #1

написал прогу в Code::Blocks на чистых сях. запаковал AsPack'ом, загнал по ольку, а она выдает мне что-то непонятное.
Code:
  1. CPU Disasm
  2. Address       Hex dump          Command                                  Comments
  3. 00401390     8C                    DB 8C                                    ; TLS callback function
  4. 00401391   . 0D 058D7A88    OR EAX,887A8D05
  5. 00401396   . BB A71EB9F8    MOV EBX,F8B91EA7
  6. 0040139B   > 3A20               CMP AH,BYTE PTR DS:[EAX]
  7. 0040139D     31                    DB 31                                    ; CHAR '1'
  8. 0040139E     A0                     DB A0
  9. 0040139F     18                    DB 18
  10. 004013A0     70                     DB 70                                    ; CHAR 'p'
  11. 004013A1     18                     DB 18
  12. 004013A2     68                     DB 68                                    ; CHAR 'h'
  13. 004013A3     18                      DB 18
  14. 004013A4     5A             DB 5A                                    ; CHAR 'Z'
  15. 004013A5     18             DB 18
  16. 004013A6     6B             DB 6B                                    ; CHAR 'k'
  17. 004013A7     98             DB 98
  18. 004013A8     FB             DB FB
  19. 004013A9     DD             DB DD
  20. 004013AA     4D             DB 4D                                    ; CHAR 'M'
  21. 004013AB     83             DB 83
  22. 004013AC     C2             DB C2
  23. 004013AD     C4             DB C4
  24. 004013AE     51             DB 51                                    ; CHAR 'Q'
  25. 004013AF     AC             DB AC
  26. 004013B0     8E             DB 8E
  27. 004013B1     60             DB 60                                    ; CHAR '`'
  28. 004013B2     34             DB 34                                    ; CHAR '4'
  29. 004013B3   . C6C5 68        MOV CH,68
  30. 004013B6   > 6F             OUTSD                                    ; I/O command
  31. 004013B7   . 3C 43          CMP AL,43
  32. 004013B9   .67:36:E0 DE    LOOPWNZ SHORT hello_world.0040139B       ; Superfluous segment override prefix
  33. 004013BD   . BD 0A17A10D    MOV EBP,0DA1170A
  34. 004013C2   . D7             XLAT BYTE PTR DS:[EBX+AL]
  35. 004013C3   . 3AC3           CMP AL,BL
  36. 004013C5   . 4B             DEC EBX
  37. 004013C6   .78 6B          JS SHORT hello_world.00401433
  38. 004013C8   . 6D             INSD                                     ; I/O command
  39. 004013C9   .7A 82          JPE SHORT hello_world.0040134D

и где обещанный расшифровывальщик? http://rghost.ru/56204858



Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

 Создано: 06 июня 2014 12:44
· Личное сообщение · #2

Ctrl+A и сразу пробел



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 06 июня 2014 12:47 · Поправил: Vovan666
· Личное сообщение · #3

Понаставят всяких плагинов натыкают в них галочек без разбору, а потом на ольку гонят.
Написано же ; TLS callback function, как ой-то плаг стопорится там.
Code:
  1. 00409001 h> $  60                                  PUSHAD
  2. 00409002    .  E8 03000000                         CALL hello_wo.0040900A
  3. 00409007       E9                                  DB E9
  4. 00409008       EB                                  DB EB
  5. 00409009       04                                  DB 04
  6. 0040900A   /$  5D                                  POP EBP                                                    ; kernel32.7C816037
  7. 0040900B   |.  45                                  INC EBP
  8. 0040900C   |.  55                                  PUSH EBP
  9. 0040900D   \.  C3                                  RETN
  10.  

Ранг: 7.0 (гость)
Активность: 0.020
Статус: Участник

 Создано: 06 июня 2014 12:51
· Личное сообщение · #4

ок, понял. спасибо

Добавлено спустя 4 минуты
скачал чистую ольку http://www.cracklab.ru/download.php?action=get&n=OTY1 результат тот же О_О




Ранг: 110.8 (ветеран), 104thx
Активность: 0.090.01
Статус: Участник

 Создано: 06 июня 2014 13:16
· Личное сообщение · #5

motoroller пишет:
скачал чистую ольку http://www.cracklab.ru/download.php?action=get&n=OTY1 результат тот же О_О

1. Выделяешь все эти кракозябры
2. Правой кнопкой по выделенному -> Analysis -> During next analysis, treat selection as -> Command
3. CTRL + A

| Сообщение посчитали полезным: _FUCKER_

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 06 июня 2014 13:16
· Личное сообщение · #6

тогда либо обнули TLS в хидере, либо контрол+ф9.

| Сообщение посчитали полезным: _FUCKER_

Ранг: 7.0 (гость)
Активность: 0.020
Статус: Участник

 Создано: 06 июня 2014 19:49
· Личное сообщение · #7

Vovan666 пишет:
тогда либо обнули TLS в хидере
где это?
вобщем проблема такая: оля падает на любом упакованном файле, а на нормальных без падений работает.




Ранг: 110.8 (ветеран), 104thx
Активность: 0.090.01
Статус: Участник

 Создано: 06 июня 2014 20:02
· Личное сообщение · #8

motoroller пишет:
вобщем проблема такая: оля падает на любом упакованном файле, а на нормальных без падений работает.

Экстрасенсов нету. Если хочешь, что бы тебе помогли - сними видео падения. Не надо наговаривать на Олю. Она не говнокодерами писана.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 06 июня 2014 20:33 · Поправил: plutos
· Личное сообщение · #9

motoroller пишет:
где это?

Optional Header => _IMAGE_DATA_DIRECTORY_TLS

Code:
  1. typedef struct _IMAGE_TLS_DIRECTORY {
  2.      UINT32 StartAddressOfRawData;
  3.      UINT32 EndAddressOfRawData;
  4.      PUINT32 AddressOfIndex;
  5.      PIMAGE_TLS_CALLBACK *AddressOfCallBacks;
  6.      UINT32 SizeOfZeroFill;
  7.      UINT32 Characteristics;
  8.  } IMAGE_TLS_DIRECTORY, *PIMAGE_TLS_DIRECTORY;


http://www.microsoft.com/msj/0999/hood/hood0999.aspx

http://blog.dkbza.org/2007/03/pe-trick-thread-local-storage.html

-----
Give me a HANDLE and I will move the Earth.

Ранг: 12.0 (новичок)
Активность: 0.020
Статус: Участник

 Создано: 29 мая 2015 08:56 · Поправил: shiroko
· Личное сообщение · #10

будьте добры объясните какого олька выделывается при перезапуске некоторых прог и пишет типа don`t know how to bypass... бла бла бла.... терпение кончается закрывать это сообщение... приходится постоянно перезапускать... причем я понимаю если подобное появляется при использовании плагинов с безпорядно натыканными галочками типа "адвансед" или фантом .. из плагинов стоит только дамп, счетчик исключений и очиститель удд, который, ввиду предотвращения следующего вопроса, почистил ни один раз, даже вручную. что за...
P.S. протекторы начиная с AS под категорию проблемы не подходят... речь о не защищенных или же еле защищенных крякмисах




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

 Создано: 29 мая 2015 12:46 · Поправил: -=AkaBOSS=-
· Личное сообщение · #11

<тупанул, правлю>

Приведи полный текст сообщения.
И попробуй просмотри список игнорируемых исключений.

Don't know how to bypass command at address %08X. Try to change EIP or pass exception to program
Don't know how to bypass breakpoint at address %08X. Try to delete breakpoint, change EIP or pass exception to program.

В обоих случаях поможет игнор исключений... Если только это не следствие перехода по невалидному указателю.



Ранг: 10.9 (новичок), 5thx
Активность: 0.060
Статус: Участник

 Создано: 29 мая 2015 12:54
· Личное сообщение · #12

Лол.Это патчится.


 eXeL@B —› Вопросы новичков —› что-то с олькой не так или я туплю?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати