Распаковка или иследование под Ollydbg

Сейчас на форуме: cppasm, tyns777, dutyfree, asfa (+6 невидимых)

Посл.ответ	Сообщение
lenovo Ранг: 3.9 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 07 октября 2016 19:16 · Личное сообщение · #1 Всем привет. Столкнулся сегодня с одним крекми который по всем признакам упакован,но Die показал обратное. Но суть не в этом, я поверил что всё не паковано и решил по изучать, первым делом отключил проверку keyfile.bin 00401A5C /EB 21 JMP SHORT CryptoME.00401A7F далее решил сохранить изменения в ольге,запустил и получил крэш. Попробывал найти через 010 editor опкоды сигнатурным методом чтобы выйти на адрес 0401A5C и поменять 75 на EB не нашёл. Далее я всё проделал снова отключал проверки но всё равно вылазило окно с текстом Keyfile found.. Keyfile NOT verifyed NOT REGISTERED И не активной кнопкой Play Game. В Show References есть какие то константы думаю это могут быть части из Keyfile Внизу сам файл. Вопросы: 1.Чем пакована и нужно ли распаковывать или можно ковырять сразу в ollydbg? 2.Как выйти на формирование кейфайла? 0f7b_07.10.2016_EXELAB.rU.tgz - CryptoME.exe

unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 07 октября 2016 20:16 · Поправил: unknownproject · Личное сообщение · #2 Отвечаю: - Файл упакован простым пакером по типу UPX. - Часть алгоритма проверки начинается чуть выше первого мессаджбокса. - Константы являются частями файла.Что там хидер - нетрудно догадаться. - Для деталей стоит посмотреть содержимое секции .data. Файл должен быть = 400 байт по размеру. Code: 00401509 \|> \6A 00 PUSH 0 ; /pFileSizeHigh = NULL 0040150B \|. 56 PUSH ESi ; \|hFile 0040150C \|. FF15 94704F00 CALL NEAR DWORD PTR DS:[<&kernel32.GetFi>; \GetFileSize 00401512 \|. 3D 90010000 CMP EAX,190 Его хидер Code: 00401AC8 \|. 68 A0334500 PUSH cryptome.004533A0 ; ASCII ">Keygenme6 Key<" 17ый байт после хидера => FFh Дальше сами. Ps.Основные проверки будут вызываться из этой процедуры: Code: 00401ACF \|. E8 ACF5FFFF CALL cryptome.00401080 Могу сказать сразу, что патчи бесполезны.Ключевой файл там играет далеко не последнюю роль. ----- TEST YOUR MIGHT
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 09 октября 2016 03:23 · Личное сообщение · #3 lenovo У пакеров есть одна критическая бага, в самой идеи защиты. Дело в том, что после депака - запуска анпакера в памяти формируется оригинальное тело, фактически слой пакера отделён от самого защищаемого кода. Это позволяет элементарно вручную или же автоматикой пройти сам процесс депака. Почти всегда достаточно снять лог по системным вызовам, в этом случае аналогично - вызывается аллокатор и загрузчик; это стандартная инициализация, после чего на иной апи слой пакера оказывается снят - GetStringType() в данном случае, а это не загрузочная апи. ----- vx

Для печати