Здравствуйте, ув. знатоки! Решил потренироваться в ручной распаковке старой версии .Nеt Reactor'а. Cracme и мануал по распаковке взяты с форума tuts4you.

Ссылка на страницу форума:
--> Link <--

Ссылка на крэкми:
--> Link <--

Дак вот, при запуске программы в OllyDbg'е выбрасывает на определенный участок кода и дальше ничего не происходит. Понятно, что в программе используется антиотладочные механизмы. Использование плагинов для скрытия отладчика OllyDbg ничего не дали. Были протестированы следующие плагины ScallaHide v.1.4 и патч OllyDbg Hide Tools v.1.2

Вопросы следующие:
1. посоветуйте, пожалуйста, плагины для обхода антиотладочных методов в конкретном случае, желательно для OllyDbg v.2.01
2. озвучьте, пожалуйста, какие именно приемы антиотладки использует .Net Reactor v.4.9

| Сообщение посчитали полезным:

rukop84

Эти ваши ссылки ведут вникуда. Залейте что бы можно было скачать.

-----
vx

| Сообщение посчитали полезным:

Спасибо, что откликнулись. Вот прикрепленный файл крэкми:

da3f_02.11.2018_EXELAB.rU.tgz - Cra'ckMe.zip

| Сообщение посчитали полезным:

rukop84

Я собрался использовать спец инструменты, что бы посмотреть что же оно там интересного делает по сервисам для антидебага, но получился полный облом - оно запускается под олли(1.10) без каких либо плагинов

Перед использованием чего либо следует ознакомиться с инструкцией. Тоесть вы не добавили в отладчике исключение в список пропускаемых и даже не смотрите на сообщения отладчика, чётко же сказано что нужно SH+F9 жать что бы дальше продолжить работу, просто ппц.

Вам по мойму незачем с таким подходом вообще всем этим заниматься. Полная не способность к самостоятельной работе, да даже не способность жать кнопки в инструменте. Крякми для того и делают что бы их решать, а не бежать на форумы за помощью по ним, это же не соревнование.

-----
vx

| Сообщение посчитали полезным:

о-о-о, все гораздо проще, чем я думал. Спасибо, что наставили на путь истинный.

По поводу того, что я упустил из вида маленький нюанс - не злитесь, тут новички

| Сообщение посчитали полезным:

Здравствуйте хотел узнать у профессионалов, вопрос по поводу программы:
когда я открываю программу GSM пеленгатор в Ollydbg не работают клавиши f7 f8, как это исправить или какими еще клавишами заменить, чтобы одна только исполняла код последовательно по строчно не входя внутрь, а другая клавиша именно входила внутрь функции, то есть это все нужно для того чтобы найти функцию которая выводит окно с просьбой ввести ключ активации, я новичок в этом деле ничего не понимаю просьба, если мой вопрос понятен, объяснить по подробней.

| Сообщение посчитали полезным:

gjkyu пишет:
в этом деле ничего не понимаю

ну так может нужно изучить основы, а не браться жать клавиши?
Тут же есть раздел --> "Новичку", <--вот и начните с него. многие вопросы отпадут.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

За ссылку спасибо, но я уже начал изучать и я больше понимаю на практике, а так слишком много теории не люблю, но вот возник у меня другой вопрос, после отключения того, что оля распознает диссемблировский код как данные, в строке появляются ??? вопроса, как бы неизвестная команда, что с ними делать, как убрать, подскажите пожалуйста, на форуме не нашел в яндексе тоже ничего..

| Сообщение посчитали полезным:

gjkyu

Правой кнопкой мышки нажми и выбери что бы данный отображались как код. Или это из меню делается, я точно не помню, разберёшься.

-----
vx

| Сообщение посчитали полезным:

Я писал, я специально выбрал правой кнопкой мыши, анализ-удалить (чтобы в диссасемблированном коде программа не распознавали программные строки как данные), вот и появились красные ???, если я опять правой кнопкой мыши сделаю, чтобы обратно отображался как код, то он снова начнет анализировать как данные.

| Сообщение посчитали полезным:

gjkyu пишет:
если я опять правой кнопкой мыши сделаю, чтобы обратно отображался как код, то он снова начнет анализировать как данные
При дизассемблировании по значениям байт определяется формат инструкции, подразумевающий в том числе ее длину, затем дизассемблируются данные по следующему адресу за этой длиной. Нет способа определить попал ли ты в первый байт инструкции или в середину или вообще в данные, ольга этого не определит. Так что ничего с этим не делай, достоверно только то, что по eip находится и то не всегда.

-----
2 оттенка серого

| Сообщение посчитали полезным:

При дизассемблировании по значениям байт определяется формат инструкции, подразумевающий в том числе ее длину, затем дизассемблируются данные по следующему адресу за этой длиной. Нет способа определить попал ли ты в первый байт инструкции или в середину или вообще в данные


а вы не могли бы эту часть сообщения объяснить по подробней, честно говоря ничего не понял
и что такое iep? буду благодарен за объяснения простыми словами

| Сообщение посчитали полезным:

каждый opcode состоит из набора "полей":
• Prefix,
• 0F 0F Prefix
• po Primary Opcode
• so Secondary Opcode
• flds Opcode Fields
• o Register/Opcode Field
• proc Introduced with Processor
• st Documentation Status
• m Mode of Operation
• rl Ring Level

и так далее. Каждое поле имеет свою длину и значение.
Подробнее --> тут <--


--> A Beginners’ Guide to x86-64 Instruction Encoding<--

--> Opcode structure<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

gjkyu пишет:
что такое eip? Extended Instruction Pointer. Регистр, содержащий адрес текущей инструкции. Простыми словами - ольга просто дизассемблирует что дают, каких-то убер-сложных техник анализа не использует. Возможности выделить в коде отдельные инструкции нету, поэтому она это делает "на глаз". Скорей всего ты роешься в пакере/протекторе, где намеренно код выстроен так, чтобы он плохо читался. Насколько я знаю, в ольге с этим ничего сделать нельзя.

-----
2 оттенка серого

| Сообщение посчитали полезным:

gjkyu пишет:
а вы не могли бы эту часть сообщения объяснить по подробней, честно говоря ничего не понял
и что такое iep? буду благодарен за объяснения простыми словами
EIP это 32-битный регистр который указывает на текущую инструкцию
Вообще самая подробная информация об архитектуре есть только у вендоров, это мануалы интела и амд
Но не налегайте на них сразу, во первых они на английском, во вторых они очень объемные и подробные
Таким образом, если вы не собираетесь копать очень глубоко, то они вам и не нужны
Стоит сказать, что есть куча всякий сайтов, которые тем или иным образом парсят мануалы, кто-то пытался даже переводить, затея бестолковая, тем не менее по старым инструкциям можно найти на русском
Таким образом любая информация в интернете изначально взята из мануалов, она просто реструктурирована
Сейчас есть огромное количество расширений для архитектуры и их число будет только расти, для базового уровня вам нужно знать общего назначения, fpu, mmx, sse, возможно avx, более новые инструкции пока что очень редкие в таргетах, но со временем они конечно будут появляться
Если хотите подробные таблицы, то неплохие есть на sandpile.org
Если нужен подробный список, то ref.x86asm.net
Если хотите увидеть прямо псевдокод инструкции, то только в мануалах
Попробуйте вначале почитать статьи на русском, например club155.ru

-----
В облачке многоточия

| Сообщение посчитали полезным: morgot

здравствуйте, а не мог ли бы мне объяснить кто нибудь, что такое полиморфизм, много уже прочитал в яндексе, примеров не так много, напишите пожалуйста на примере небольшого кода, только я пока синтаксиса не знаю, если можно каждую строку с понятным, простым комментарием (Delphi)

| Сообщение посчитали полезным:

gjkyu пишет:
а не мог ли бы мне объяснить кто нибудь, что такое полиморфизм


Как говорил т.Швондер: "Это какой-то позор!"

Взял из твоего же сообщения фразу "что такое полиморфизм", поместил в google search engine, и на тебе!

About 133,000 results (0.41 seconds) Кто бы мог подумать!

Да вот хотя бы: https://habr.com/ru/post/37576/ все --> разжевано<--, и что дорого - на русском языке!

Так что если лениво или тупо самому искать, то скорее всего reverse engineering (RE), это не ваше.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Да вот хотя бы: https://habr.com/ru/post/37576/ все --> разжевано<--,

там на php написано, ну в принципе одно и тоже имя метода можно применять к объектам порожденных классов, от базового класса

| Сообщение посчитали полезным: