При распаковке столкнулся с такой проблемой. Как и сказано в статьях для новичков, как токо выплывает СофтАйс, ставлю bpm (esp-4) и тут же весь дизассемблированный код в СофтАйсе забивается строками INVALID. Если по ходу программы ставлю бряк на память, то происходит тоже самое Не пойму в чем дело, или защита такая, или софт мой глючит, или я торможу. Подскажите люди умные в чем тут может быть дело? А распаковать я пытаюсь обычный калькулятор, запакованный оным криптером со всеми опциями, кроме API Redirect (если ее поставить, то пакованный exe'шник умирает). В аттаче, на всякий случай, прикрепляю сам блокнот (зазипленый).

6a10_30.07.2006_CRACKLAB.rU.tgz - calc.zip

| Сообщение посчитали полезным:

Sawamura
Типа из контекста процесса выкидывает??

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Иногда да - перебрасывает на WinLogon (?!), иногда - просто все в окне кода забивается INVALID и нормализуется только после выполнения следующей команды. Невозможно просмотреть память командой d (например, d esp), невозможно поставить бряк bpm Вообще СофтАйс себя ведет непойми как. Попробовал тутже ковырнуть другую прогу - там все нормально. Сейчас начал потихоньку Ida'й его вручную распакововыть - в начале не видно ни малейших признаков, из-за которых мог бы так капризничать SoftIce (может я слепой). Все даже слишком просто для новичка Как в учебнике. Хм, может этот ExeStealth что-то в PE заголовке нагадил? Хотя при чем тут тогда СофтАйс... Это дизассемблер по логике должен был бы шарахаться. А у меня все наоборот

| Сообщение посчитали полезным:

Sawamura
У меня тоже редко,но бывают,такие симптомы на некоторых программах(распаковка).
Мне обычно помогает следующее -- во время исследования этой программы в отладчике я пытаюсь установить данный контекст командой ADDR, отладчик при этом начинает обычно ругаться на какой-нибудь символьный файл.Тогда я временно удаляю этот символьный файл (просто удаляю запись в настройках,чтобы эти символы не загружались).После этого отладчик,как правило,начинает нормально работать,и выбросы из контекста прекращаются.По большому счёту эти символьные файлы не так уж и необходимы.
Когда с этой программой расправлюсь,то можно опять вернуть символы на место.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Sawamura
В конце статьи про ExeStealth :
http://www.exelab.ru/art/?action=view&id=206

| Сообщение посчитали полезным:

DillerInc
Спасибо за совет с символами. Действительно, стоило их отключить - СофтАйс тут же перестал капризничать. Интересно, а почему из-за символов он вываливается в другой процесс?.. Там ведь вроде просто имена функций и все. Кстати, а нельзя как-нить подключать/отключать символы в SoftIce, не перезагружаясь?

tundra37
Пасиб за ссылку, статью я эту уже читал Написана для новичка очень хорошо, но вот описания своей проблемы я там не встретил Впрочем, с помощью DillerInc я уже разобрался в чем было дело.

| Сообщение посчитали полезным:

Sawamura пишет:
статью я эту уже читал
В ExeStealth выход на OEP делается через SEH. На олли я это место "в лоб" не смог пройти. Я думал может и софтайс из-за этого же глючит.

| Сообщение посчитали полезным:

tundra37 пишет:
В ExeStealth выход на OEP делается через SEH. На олли я это место "в лоб" не смог пройти. Я думал может и софтайс из-за этого же глючит.
Да нет, тут дело совсем в другом было. СофтАйс начинал глючить (при загруженных символьных файлах библиотек) сразу же при старте на первой инструкции! Там SEH еще и не пахло. Стоит безобидный jmp address (адрес существующий, никаких исключений не вызывает). Пробуешь набрать, к примеру, d esp - тут же СофтАйс выкидывает в другой процесс (меня в WinLogon кидал) и все. Стоило только отключить *.nms файлы, как глюк этот тут же убрался. Странно, но раньше я с таким не сталкивался ни разу (хотя поломать я успел пока немного софтин/крякми). Может, это тоже какая защита от СофтАйса своеобразная

| Сообщение посчитали полезным: