Добрый день. Пытаюсь исследовать программу, распаковал pklite, загружаю в IDA. IDA видит, что программа написана с оверлеем, просит указать путь к нему. Указываю, все открывается. Но в папке с программой есть ещё один файл - с расширением RES. Вроде как ресурсы. Но его заголовок совпадает с файлом оверлея. Без него программа не запускается. Как мне добавить его в IDA? Или же это не требуется и его нужно как-то отдельно распаковать? Файлы в аттаче..

з.ы. Совсем начинающий. Очень интересно разобрать самому. Ну, или по крайней мере, попробовать.

eaa5_26.05.2019_EXELAB.rU.tgz - FMS_Work.rar

| Сообщение посчитали полезным:

SaTaN5076 пишет:
Как мне добавить его в IDA? Или же это не требуется и его нужно как-то отдельно распаковать?

из того, что ты написал, очень трудно понять в чем проблема.
уточни, в чем именно вопрос и чего ты пытаешься добиться, какая цель?
Ты же говоришь, что "все открывается".

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

открывается exe файл и файл оверлея. Но в папке с программой есть ещё один файл. При просмотре его текстовым редактором, в нем видны текстовые строки, которые используются в программе. Значит его тоже нужно как-то "подключить" к IDA..Цель - понять, как функционирует программа. Уже выяснил, что она построена на базе досового реалтаймового ядра RTKernel-16. И нужно отучить её от lpt-ключа...ключ fidus guardant. программа полностью ДОСовая.

| Сообщение посчитали полезным:

SaTaN5076 пишет:
нужно отучить её от lpt-ключа...ключ fidus guardant. программа полностью ДОСовая.
вот с этого и надо было начинать.

SaTaN5076 пишет:
Совсем начинающий
если и правда, "совсем начинающий", то одной простой подсказкой тут никак не обойдешься.
Может кто-то возьмется копаться в это за "спасибо" - но это мало вероятно.
Так что тебе лучше всего идти прямо в раздел--> "Запросы на взлом" <--.
а если и правда хочешь разобраться сам - начни --> здесь <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Спасибо за ответ. Но. Я не прошу что-то взломать, мне просто нужно понять, что это за файл. Оверлей, или ресурсы. Если ресурсы, то как их извлечь из файла.

По ссылке я был, там несколько не то. Дамп ключа снять не проблема, ключи в наличии, программы работают. Более того, PrivateRD от моей прогрраммы там тоже есть. Проблема в чистом ДОСе..

| Сообщение посчитали полезным:

SaTaN5076 пишет:
Если ресурсы, то как их извлечь из файла.
RES-файл - файл с ресурсами (текстовые строки, рисунки и пр.) в борландовском формате. Помнится, в турбопаскале был специальный функционал для работы с такими файлами. Структура файлов простая, извлечь ресурсы несложно, подробности ищите в интернете.

В ИДА файл грузить не нужно, в отучении от донгла не поможет.

| Сообщение посчитали полезным:

Prober пишет:
RES-файл - файл с ресурсами (текстовые строки, рисунки и пр.) в борландовском формате. Помнится, в турбопаскале был специальный функционал для работы с такими файлами. Структура файлов простая, извлечь ресурсы несложно, подробности ищите в интернете.

Вот! Огромное спасибо за указание направления! Программа как раз на борланд паскале написана..

Prober пишет:
В ИДА файл грузить не нужно, в отучении от донгла не поможет.

Почему?

Программа, кстати, работает и без ключа, но при этом блокирована как минимум одна, но очень важная возможность - читать и сохранять файл конфига.

| Сообщение посчитали полезным:

Можно по сигнатуре FBPR" сгуглить:



--> Link <--

Ида находит две строки .res" и далее соотвествующее прерывание Int21(3D) - открывает файл.



Хорошая обучалка, хоть и дос. В строках всё есть, eg:



-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Ида находит две строки .res" и далее соотвествующее прерывание Int21(3D) - открывает файл.

mov di, offset aRes ; ".RES" увидел. Но вот вызова прерывания дальше не вижу...


Как у вас быстро получилось строки увидеть..У меня IDA просто как DB определяет, приходится сначала кодовую страницу добавлять, потом делать Undefine, потом вручную отыскивать читаемые строки и превращать в текст...

У вас при открытии IDA не ругалась на невозможность перенести сегмент?

| Сообщение посчитали полезным:

SaTaN5076

> Но вот вызова прерывания дальше не вижу...

Дальше в процедурах есть.

> Как у вас быстро получилось строки увидеть..
> У вас при открытии IDA не ругалась на невозможность перенести сегмент?

У тебя видимо версия не такая, я 5-ю использовал.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
У тебя видимо версия не такая, я 5-ю использовал.

Да, у меня 7я...

| Сообщение посчитали полезным:

SaTaN5076

Обычно вначале декомпилер ищут, затем только если его нет в дизасме разбирают, потому что это долго и не удобно.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Обычно вначале декомпилер ищут, затем только если его нет в дизасме разбирают, потому что это долго и не удобно.


Разве существует декомпилятор паскаля?

| Сообщение посчитали полезным:

SaTaN5076

Понятия не имею, может и существует, это искать нужно.

-----
vx

| Сообщение посчитали полезным:

Я бы на твоем месте пробовал запустить в dosbox'е с каким-нибудь watcom debugger. Отладка всегда лучше анализа.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Я бы на твоем месте пробовал запустить в dosbox'е с каким-нибудь watcom debugger. Отладка всегда лучше анализа.


В досбоксе бессмысленно - используется аппаратный lpt-ключ, который в досбоксе не виден. Плюс в программе переназначение прерываний..

Несколько дней ковырялся, дело потихоньку движется. Только с одним сегментом каша какая-то...

| Сообщение посчитали полезным: