Сейчас на форуме: ut2004, vsv1 (+8 невидимых)

 eXeL@B —› Вопросы новичков —› Проблема с SoftIce'ом при распаковке ExeStealth v2.75a
Посл.ответ Сообщение

Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 30 июля 2006 19:20
· Личное сообщение · #1

При распаковке столкнулся с такой проблемой. Как и сказано в статьях для новичков, как токо выплывает СофтАйс, ставлю bpm (esp-4) и тут же весь дизассемблированный код в СофтАйсе забивается строками INVALID. Если по ходу программы ставлю бряк на память, то происходит тоже самое Не пойму в чем дело, или защита такая, или софт мой глючит, или я торможу. Подскажите люди умные в чем тут может быть дело? А распаковать я пытаюсь обычный калькулятор, запакованный оным криптером со всеми опциями, кроме API Redirect (если ее поставить, то пакованный exe'шник умирает). В аттаче, на всякий случай, прикрепляю сам блокнот (зазипленый).

6a10_30.07.2006_CRACKLAB.rU.tgz - calc.zip




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 30 июля 2006 20:53
· Личное сообщение · #2

Sawamura
Типа из контекста процесса выкидывает??

-----
the Power of Reversing team




Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 30 июля 2006 23:03 · Поправил: Sawamura
· Личное сообщение · #3

Иногда да - перебрасывает на WinLogon (?!), иногда - просто все в окне кода забивается INVALID и нормализуется только после выполнения следующей команды. Невозможно просмотреть память командой d (например, d esp), невозможно поставить бряк bpm Вообще СофтАйс себя ведет непойми как. Попробовал тутже ковырнуть другую прогу - там все нормально. Сейчас начал потихоньку Ida'й его вручную распакововыть - в начале не видно ни малейших признаков, из-за которых мог бы так капризничать SoftIce (может я слепой). Все даже слишком просто для новичка Как в учебнике. Хм, может этот ExeStealth что-то в PE заголовке нагадил? Хотя при чем тут тогда СофтАйс... Это дизассемблер по логике должен был бы шарахаться. А у меня все наоборот




Ранг: 283.6 (наставник), 56thx
Активность: 0.130
Статус: Участник
Author of GeTaOEP

Создано: 30 июля 2006 23:40 · Поправил: DillerInc
· Личное сообщение · #4

Sawamura
У меня тоже редко,но бывают,такие симптомы на некоторых программах(распаковка).
Мне обычно помогает следующее -- во время исследования этой программы в отладчике я пытаюсь установить данный контекст командой ADDR, отладчик при этом начинает обычно ругаться на какой-нибудь символьный файл.Тогда я временно удаляю этот символьный файл (просто удаляю запись в настройках,чтобы эти символы не загружались).После этого отладчик,как правило,начинает нормально работать,и выбросы из контекста прекращаются.По большому счёту эти символьные файлы не так уж и необходимы.
Когда с этой программой расправлюсь,то можно опять вернуть символы на место.

-----
the Power of Reversing team




Ранг: 310.8 (мудрец), 29thx
Активность: 0.430
Статус: Участник

Создано: 31 июля 2006 09:48
· Личное сообщение · #5

Sawamura
В конце статьи про ExeStealth :
http://www.exelab.ru/art/?action=view&id=206



Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 31 июля 2006 10:54
· Личное сообщение · #6

DillerInc
Спасибо за совет с символами. Действительно, стоило их отключить - СофтАйс тут же перестал капризничать. Интересно, а почему из-за символов он вываливается в другой процесс?.. Там ведь вроде просто имена функций и все. Кстати, а нельзя как-нить подключать/отключать символы в SoftIce, не перезагружаясь?

tundra37
Пасиб за ссылку, статью я эту уже читал Написана для новичка очень хорошо, но вот описания своей проблемы я там не встретил Впрочем, с помощью DillerInc я уже разобрался в чем было дело.



Ранг: 310.8 (мудрец), 29thx
Активность: 0.430
Статус: Участник

Создано: 31 июля 2006 12:16
· Личное сообщение · #7

Sawamura пишет:
статью я эту уже читал

В ExeStealth выход на OEP делается через SEH. На олли я это место "в лоб" не смог пройти. Я думал может и софтайс из-за этого же глючит.



Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 31 июля 2006 12:30 · Поправил: Sawamura
· Личное сообщение · #8

tundra37 пишет:
В ExeStealth выход на OEP делается через SEH. На олли я это место "в лоб" не смог пройти. Я думал может и софтайс из-за этого же глючит.

Да нет, тут дело совсем в другом было. СофтАйс начинал глючить (при загруженных символьных файлах библиотек) сразу же при старте на первой инструкции! Там SEH еще и не пахло. Стоит безобидный jmp address (адрес существующий, никаких исключений не вызывает). Пробуешь набрать, к примеру, d esp - тут же СофтАйс выкидывает в другой процесс (меня в WinLogon кидал) и все. Стоило только отключить *.nms файлы, как глюк этот тут же убрался. Странно, но раньше я с таким не сталкивался ни разу (хотя поломать я успел пока немного софтин/крякми). Может, это тоже какая защита от СофтАйса своеобразная


 eXeL@B —› Вопросы новичков —› Проблема с SoftIce'ом при распаковке ExeStealth v2.75a
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати