| Сейчас на форуме: Lohmaty (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› как найти CUSTOM RESОURCE в дампе exe vb6 vmprotect QuickUnpack |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 10 ноября 2018 22:26 · Личное сообщение · #1 привет кто знает при компиляции vb6 программы, куда и по какому смещению (как найти) компилятор складывает resource files? Есть нерабочий дамп vb6 программы упакованой vmprotect3.0 и сдампленый QuickUnpack. Как найти в дампе ресурсы? Или QuickUnpack не дампит их? Поиск с Hiew ничего недал. Кто знает, спасибо всем  |
|
|
Создано: 17 ноября 2018 22:16 · Поправил: difexacaw · Личное сообщение · #2 Jupiter Понятия не имею, апп не моё, в нём куча ресурсов. Я выбрал рандомом, тупо вбив 0x10 как идентификатор ресурса. В любом случае он никак не может отслеживать доступ к рц - апи не изменны, секция ресурсов доступна(RW). Возможно в какой то другой версии это работает, но я тестил то что есть. ----- vx |
|
|
Создано: 17 ноября 2018 23:35 · Личное сообщение · #3 difexacaw с 30-й стр. и до конца https://www.sendspace.com/file/3vct62 |
|
|
Создано: 17 ноября 2018 23:52 · Личное сообщение · #4 SReg Похоже, да. Но там какие-то адовые ручные манипуляции. ----- EnJoy! |
|
|
Создано: 18 ноября 2018 17:41 · Поправил: difexacaw · Личное сообщение · #5 SReg Речь шла про уже запущенное апп, те распакованное в памяти. Мол ресурса нет в памяти, а реализован анклав, через хукнутые апи работы с ресурсами, это не так. Вы же привели пример ручной распаковки, это дичайшее задротство. Хотя учитывая дату публикации дока это вполне нормально. Если вам интересно как оно настраивает образ, то это всё подробно можно мониторить. Но я смысла не вижу, будет куча выборок толку от которых никакого. Прот запускается, настраивает образ и его запускает. Фаза настройки интереса не представляет, это локальная для протектора работа и уникальная. Имеет значение лишь настроенный образ и событие запуска(EP). ----- vx |
|
|
Создано: 20 ноября 2018 01:29 · Личное сообщение · #6 difexacaw У меня ощущение, что ты смотришь примеры, в которых ресурсы просто не потырены. ----- EnJoy! | Сообщение посчитали полезным: difexacaw |
|
|
Создано: 20 ноября 2018 18:30 · Поправил: difexacaw · Личное сообщение · #7 Jupiter Кстате да, это скорее всего. Я даже и не подумал про это, хотя это первое что следовало сделать. Это увлечение мелкими" деталями, теряется общий смысл. Возможно при упаковке не были указаны нужные опции. Посмотрим, спасибо! Последнее время какая то диссоциация и ошибки, притупленность, я нивчём не уверен. ----- vx |
|
|
Создано: 20 ноября 2018 22:06 · Личное сообщение · #8 И ещё: ты когда проверяешь, были ли потырены ресурсы, проверяй хук на пользовательской функции загрузки ресурсов и строк (а не LdrFindResource_U/LdrAccessResource) ----- EnJoy! |
|
|
Создано: 21 ноября 2018 19:52 · Личное сообщение · #9 Jupiter Тогда получается это никакой не анклав, а тупо шифровка указателя через фильтр апи. Ресурс в памяти не изменен(исходный), но перемещён, так как нет прямой адресации. Ссылка получается из апи на основе входных данных. А если апи фильтруется, то должен быть реализован механизм подтверждения, к примеру какой то массив допустимых адресов, из которых референсная апи может вызываться, те из доверенных мест фильтр вернёт поинтер. Это только аналитическое следствие из вашего описания. По делу же нужно это всё проанализить логгерами. Идеальный подход как в крипторах не пригоден к протекторам. ----- vx |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› как найти CUSTOM RESОURCE в дампе exe vb6 vmprotect QuickUnpack |
Для печати