![]() |
eXeL@B —› Вопросы новичков —› Проблема с SoftIce'ом при распаковке ExeStealth v2.75a |
Посл.ответ | Сообщение |
|
Создано: 30 июля 2006 19:20 · Личное сообщение · #1 При распаковке столкнулся с такой проблемой. Как и сказано в статьях для новичков, как токо выплывает СофтАйс, ставлю bpm (esp-4) и тут же весь дизассемблированный код в СофтАйсе забивается строками INVALID. Если по ходу программы ставлю бряк на память, то происходит тоже самое ![]() ![]() ![]() |
|
Создано: 30 июля 2006 20:53 · Личное сообщение · #2 |
|
Создано: 30 июля 2006 23:03 · Поправил: Sawamura · Личное сообщение · #3 Иногда да - перебрасывает на WinLogon (?!), иногда - просто все в окне кода забивается INVALID и нормализуется только после выполнения следующей команды. Невозможно просмотреть память командой d (например, d esp), невозможно поставить бряк bpm ![]() ![]() ![]() ![]() |
|
Создано: 30 июля 2006 23:40 · Поправил: DillerInc · Личное сообщение · #4 Sawamura У меня тоже редко,но бывают,такие симптомы на некоторых программах(распаковка). Мне обычно помогает следующее -- во время исследования этой программы в отладчике я пытаюсь установить данный контекст командой ADDR, отладчик при этом начинает обычно ругаться на какой-нибудь символьный файл.Тогда я временно удаляю этот символьный файл (просто удаляю запись в настройках,чтобы эти символы не загружались).После этого отладчик,как правило,начинает нормально работать,и выбросы из контекста прекращаются.По большому счёту эти символьные файлы не так уж и необходимы. Когда с этой программой расправлюсь,то можно опять вернуть символы на место. ----- the Power of Reversing team ![]() |
|
Создано: 31 июля 2006 09:48 · Личное сообщение · #5 |
|
Создано: 31 июля 2006 10:54 · Личное сообщение · #6 DillerInc Спасибо за совет с символами. Действительно, стоило их отключить - СофтАйс тут же перестал капризничать. Интересно, а почему из-за символов он вываливается в другой процесс?.. Там ведь вроде просто имена функций и все. Кстати, а нельзя как-нить подключать/отключать символы в SoftIce, не перезагружаясь? tundra37 Пасиб за ссылку, статью я эту уже читал ![]() ![]() ![]() |
|
Создано: 31 июля 2006 12:16 · Личное сообщение · #7 |
|
Создано: 31 июля 2006 12:30 · Поправил: Sawamura · Личное сообщение · #8 tundra37 пишет: В ExeStealth выход на OEP делается через SEH. На олли я это место "в лоб" не смог пройти. Я думал может и софтайс из-за этого же глючит. Да нет, тут дело совсем в другом было. СофтАйс начинал глючить (при загруженных символьных файлах библиотек) сразу же при старте на первой инструкции! Там SEH еще и не пахло. Стоит безобидный jmp address (адрес существующий, никаких исключений не вызывает). Пробуешь набрать, к примеру, d esp - тут же СофтАйс выкидывает в другой процесс (меня в WinLogon кидал) и все. Стоило только отключить *.nms файлы, как глюк этот тут же убрался. Странно, но раньше я с таким не сталкивался ни разу (хотя поломать я успел пока немного софтин/крякми). Может, это тоже какая защита от СофтАйса своеобразная ![]() ![]() |
![]() |
eXeL@B —› Вопросы новичков —› Проблема с SoftIce'ом при распаковке ExeStealth v2.75a |