После некоторых действий прога джампится на кусок кода который можно посмотреть в аттаче, но там ьред какой-то =)
Мне нужно понять что там происходит... Но я не понимаю как в этом бреде можно разобратся))
Как в таких случаях следует поступать и т.д.
Help plz =)

c4e2_02.02.2007_CRACKLAB.rU.tgz - Code.jpg

| Сообщение посчитали полезным:

читай туторы по снятию xпрота и картинки учись сжимать.

| Сообщение посчитали полезным:

gegter пишет:
картинки учись сжимать.
Ага! А еще с подобными вопросами в "новички" - нечего им на основном подфоруме делать...

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

gegter пишет:
читай туторы по снятию xпрота.
Почему ты решил что это какой-то протектор?
Сам волкер я уже давно распаковал.
То что ты видишь на скрине приходит от сервера и причем каждый раз приходит разный код)
Или ты имеешь ввиду что хпрот как-то аналогично действует?

| Сообщение посчитали полезным:

KilUSlf пишет:
Сам волкер я уже давно распаковал.
То что ты видишь на скрине приходит от сервера и причем каждый раз приходит разный код)
От сервера приходит исполняемый код - не смеши. Скорее всего ты что-то неправильно распаковал.
1000хххх - это адрес в DLL. Раз код разный - значит код на входе ее неправильно распаковывает и берет мусор откуда-то. Причем здесь сервер ?! Конечно бывает, что апдейтят, но явно, а не через

| Сообщение посчитали полезным:

писали, что на валкере висит termida, я проверить не могу, т.к. надо качать 13 метров. по скрину мало, что скажешь. одно ясно - ты в dll.

| Сообщение посчитали полезным:

tundra37 пишет:
От сервера приходит исполняемый код - не смеши. Скорее всего ты что-то неправильно распаковал.
1000хххх - это адрес в DLL. Раз код разный - значит код на входе ее неправильно распаковывает и берет мусор откуда-то. Причем здесь сервер ?! Конечно бывает, что апдейтят, но явно, а не через
Это модифицированный волкер. Я писал свой снифер, смотрел в нем пакеты, то что на скрине в прямом виде соответствует тому что приходит от сервера =) И еще я нашел функцию которая данные с сервера в память записывает) Еще я знаю что прежде чем с сервера приходит этот кусок кода ему отпраявлется смещение в памяти где это кусок кода будет (что бы сервер сгенерировал правельный код)

gegter пишет:
писали, что на валкере висит termida, я проверить не могу, т.к. надо качать 13 метров. по скрину мало, что скажешь. одно ясно - ты в dll.
Да нету там никакой крутой защиты, после запуска волкера по нему можно спакойно трейсится =) Облом только после того как на этот кусок кода попадаешь.

| Сообщение посчитали полезным:

gegter пишет:
писали, что на валкере висит termida
В старых версиях PEArmor, в какойто 10.7.* themida а в остальных Aspotect

| Сообщение посчитали полезным:

2 Veliant:
Не заморачивайтесь на то что там =)

Давайте будем считать, что утверждение "KilUSlf правельно распаковал волкера" верно.

| Сообщение посчитали полезным:

Ага, а давайте будем считать, что утверждение "KilUSlf решил свою проблему и с благодарностями откланялся" верно

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

2 Gambit:

Если вашему форуму будет так угодно, то пожалуйста.

| Сообщение посчитали полезным:

KilUSlf пишет:
Если вашему форуму будет так угодно,
Нашему форуму - ты тоже его часть и вообще: или уточняй проблему или закрывай тему, флуд развел тут

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Gambit, не стоит устраивать перебранку... И кстати, флуда в этой теме больше всего от тебя ;).

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

KilUSlf пишет:
Облом только после того как на этот кусок кода попадаешь.
Вариантов все равно куча :
1) версия клиента и сервера не совпадает и они не понимают друг друга.
2) защита в шифровании кода и нужно знать "ключ"
3) ты попался на хитрый антиотладочный прием - тогда без отладчика должно работать.
4) распаковал все-таки неправильно и данные попадают на место команд. Это легко проверить, если кусок кода до затирания был "разумным".
Версия, что клиент расшифровывает код на лету сомнительна с чисто практической точки зрения - замедление работы. Если же расшифровка производится до "игры", тогда все возможно.
Без сравнения с правильно работающей версией боюсь тебе не справиться.

| Сообщение посчитали полезным:

2 tundra37:
Без отладчика все работает, если пытаешься с отладчиком пройти то выкидывает в ntdll с эксепшеном и там зависает.
Тоесть это вариант номер три... Что посоветуете?

Кстате волкер тут вообще не причем =) Могу на самом ла2 клиенте вам тоже самое показать.
Только я джамп в клиенте на этот код найти не могу... Но могу найти возврат из call'a на этот кусок кода, после этого там можно отладчиком гулять.

| Сообщение посчитали полезным:

KilUSlf пишет:
Тоесть это вариант номер три... Что посоветуете?
Прежде всего приатачится и не ставить int3 бряки (железные попробовать).
Если поможет, то возможно CRC кода участвует в формировании...
Приатач пожалуйста PNG сохранённый в PhotoShop'e через Save for Web (цветов как можно меньше, типа 4 =).
Тогда многие глянут на этот странный мусор (и я в том числе).

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

KilUSlf пишет:
Что посоветуете?
1) Сделать attach и посмотреть это кусок(адрес) до перехода в него из клиента.
2) Вроде говорили, что в 10.8 apsr Вчера прочел, что плаг IsDebugPresent ->Hide помогает против аспра - попробуй. И почитай про антиотладку в аспре.
3) Это аксиома для меня : ставить железные бряки, если дурить начинает и как последнее - бряк на память по выполнению. Последнее помогает, когда не срабатывает железный. Почему не знаю, но помогало.

| Сообщение посчитали полезным:

2 tundra37, Bitfry:
Ага, спс =) int3 бряки не рулят....
А железные бряки это как?) Всегда думал что железный бряк это и есть на память на выполнение =)

Прошу модераторов тему удалить)

| Сообщение посчитали полезным:

tundra37 пишет:
не срабатывает железный.
Отлаживаемая прога имеет доступ к Hardware регистрам на момент обработки исключения. Большинство протов просто обнуляют их, некоторые используют их для создания своих исключений.

Бряк на память - вызов VirtualProtectEx(NO_ACCESS) на страницу с данным блоком памяти. При обращении к этой странице возникает исключение, которое обрабатывается отладчиком. Обход - вызов в самой проге VirtualProtect.

KilUSlf пишет:
Всегда думал что железный бряк это и есть на память на выполнение =)
Даже с практической точки зрения - hardware можно установить только 4 штуки и размером только 1, 2, 4 байта. Бряк на память же ставится с любым размером и в любом количестве. При этом с такими бряками прога начинает ОЩУТИМО тормозить.

| Сообщение посчитали полезным:

Еще один вопрос =) Можно что бы Олька исполнила код с полным логом всех инструкций? Скорость не критична.
Мб плагин специальный есть или еще чего-нибудь...

| Сообщение посчитали полезным:

оля сама это умеет делать - трэйсить называется, щас выпустил кто-то не помню кто TraceExpand - почитай последние темы форума и найдешь. он записывает регистры и etc

а чтоб тебя не палили юзай HideToolz - тож в последних темах - и скрывай олю

| Сообщение посчитали полезным:

Плагин пребывает в стадии разработки:
http://exelab.ru/f/action=vthread&forum=7&topic=7355

| Сообщение посчитали полезным:

KilUSlf пишет:
А железные бряки это как?)
Hardware on execution

| Сообщение посчитали полезным: