Встроеный share армы

Сейчас на форуме: _MBK_, ut2004, vsv1 (+6 невидимых)

Посл.ответ	Сообщение
Freecod Ранг: 108.7 (ветеран) Активность: 0.04↘0 Статус: Участник	Создано: 28 января 2007 17:09 · Личное сообщение · #1 Есть у кого-нибудь инфа о стандартной shareware замуте armadillo? Конкретно - Sothink SWF Decompiler 3.4, нашёл место проверки, но там вроде как вызов ф. из "ArmAccess.DLL" LoadLibrary не грузит её, но она есть в сегменте 10000000 (тоесть как я понимаю всё же её подгрузили). Потом файла этого на диске нет! После снятия дампа с такой программы получается что по вызовам функций из dll пусто. PS Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 28 января 2007 23:44 · Личное сообщение · #2 Freecod DilloDie автоматом все правильно распаковывает. Фишка в том, что дамп надо снимать со второго процесса и там DLL не нужна и ее нет. Если конечно мой склероз меня не подвел.
Freecod Ранг: 108.7 (ветеран) Активность: 0.04↘0 Статус: Участник	Создано: 29 января 2007 01:43 · Личное сообщение · #3 Им и снимал. При call на функции VertifyKey и InstallKey падаем, тк там мусор.
Freecod Ранг: 108.7 (ветеран) Активность: 0.04↘0 Статус: Участник	Создано: 29 января 2007 02:04 · Личное сообщение · #4 004C3A38 55 PUSH EBP 004C3A39 57 PUSH EDI 004C3A3A 68 70F55700 PUSH SWFDecom.0057F570 ; ASCII "ArmAccess.DLL" 004C3A3F 8BF9 MOV EDI,ECX 004C3A41 C74424 1C 00000000 MOV DWORD PTR SS:[ESP+1C],0 004C3A49 FF15 541A1E01 CALL DWORD PTR DS:[11E1A54] ; код с LoadLibrary (в оригинале) тоже мусор в распакованной. 004C3A4F 8BE8 MOV EBP,EAX 004C3A51 85ED TEST EBP,EBP 004C3A53 0F84 78020000 JE SWFDecom.004C3CD1 004C3A59 53 PUSH EBX 004C3A5A 8B1D 54181E01 MOV EBX,DWORD PTR DS:[11E1854] 004C3A60 56 PUSH ESI 004C3A61 68 F8385600 PUSH SWFDecom.005638F8 ; ASCII "VerifyKey" 004C3A66 55 PUSH EBP 004C3A67 FFD3 CALL EBX ; Проверка кода - 11E1854h - здесь мусор 004C3A69 8BF0 MOV ESI,EAX 004C3A6B 85F6 TEST ESI,ESI 004C3A6D 0F84 3B010000 JE SWFDecom.004C3BAE 004C3A73 E8 65CE0400 CALL SWFDecom.005108DD
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 29 января 2007 02:29 · Личное сообщение · #5 Freecod пишет: Им и снимал. Мало что могу подсказать. У меня все сразу работало. По поводу DLL могу сказать только следующее - по адресу 10000000 она не всегда грузится и поэтому дамп получается привязанный к определенной загрузке - но это только мои измышления. Я делал дамп области DLL(без всяких привязок) и не смог даже нормально дизассемблировать - адреса в главной не совпадали - там просто надо дельту везде одну и ту же отнимать. Адреса в районе 790000-7d0000 получались - в олли это хорошо видно.

Для печати