 |
eXeL@B —› Вопросы новичков —› ошибка с OllyDbg |
| Посл.ответ | Сообщение |
|
|
Создано: 26 февраля 2007 04:03 · Личное сообщение · #1 Поиск к сожалению не дал ответа. Вообщем скачал ольку с оф. сайта, распаковал. Нужно поковырять IMCaster E-Marketer. Ну как обычно нажимаю F3, выбираю exe файл, нажимаю open. Выскакивает предупржедние, потом ошибка, еще одно предупреждение и прога вместо того чтобы тормознуть на точке входа, запускается. Приложил скрины для более подробного описания (идут по порядку). Кто знает в чем проблема, откликнитесь пожалуйста  3f5b_26.02.2007_CRACKLAB.rU.tgz - error.rar
 |
|
|
Создано: 26 февраля 2007 07:59 · Поправил: sniperZ · Личное сообщение · #2 хех, скидывается бряка на еп. 
М0жет эт0 EXECryptor с0 св0им TLS CallBack, а м0ж баг ольки как0й-нибудь. 
Скачай OllyAdvanced п0пр0буй, или OllyDBG EXECryptor Edition. 
В люб0м случае для н0вичка эт0 сл0жн0. 
|
|
|
Создано: 26 февраля 2007 08:14 · Личное сообщение · #3 По 2-му сообщению видно, что, скорее всего это Ольга неправильно посчитала адрес ЕР и попыталась поставить бряк куда-то в космос. Надо либо самому пропатчить Олю, либо скачать sniperZ пишет: OllyAdvanced Это может быть как защита прота, так и ручное изменение заголовков. Так что для большей информации лучше выложи сам ехе. |
|
|
Создано: 26 февраля 2007 15:51 · Личное сообщение · #4 вот ссылка с оф. сайта. Оттуда и качал www.imcaster.com/Downloads/IMCastSetupEnt.exe |
|
|
Создано: 26 февраля 2007 23:50 · Личное сообщение · #5 cyber На прогу навешен MoleBox. Оч. легко заинлайнить Перед тем как работать, Olly нуна настроить сними галку в Debugging options > Securety > Warn when breakpoint is outside code section, поковыряйся в др. настройках, или скачай как тебе советуют сборку OllyDBG EXECryptor Edition или OllyShadow OEP==0048659F |
|
|
Создано: 27 февраля 2007 00:16 · Личное сообщение · #6 crc1 пишет: На прогу навешен MoleBox. Оч. легко заинлайнить Да что ты говоришь? Молю распаковать быстрей в десять раз чем инлайнить!
Я давненько ломал эту фигню вот адреса остались зайнлайнь ;) 00415CBF |. FF15 E8BF5F00 CALL DWORD PTR DS:[<&msvcrt._mbscmp>] ; \_mbscmp 00415CC5 |. 83C4 08 ADD ESP,8 00415CC8 |. 85C0 TEST EAX,EAX 00415CCA |. 74 1B JE SHORT imcast.00415CE7 00415CCC |> 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10] 00415CD0 |. C78424 BC0000>MOV DWORD PTR SS:[ESP+BC],-1 00415CDB |. E8 DAFE0600 CALL <JMP.&mfc42.#800> 00415CE0 |> B8 FEFFFFFF MOV EAX,-2 ---------------------------------------------------------------------- ------- 00415AB7 FF15 E85F5600 CALL DWORD PTR DS:[565FE8] ; msvcrt._mbscmp 00415ABD 83C4 08 ADD ESP,8 00415AC0 85C0 TEST EAX,EAX 00415AC2 74 17 JE SHORT imcast.00415ADB 00415AC4 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10] 00415AC8 889C24 C0000000 MOV BYTE PTR SS:[ESP+C0],BL 00415ACF E8 E6000700 CALL imcast.00485BBA ; JMP to MFC42.#800 00415AD4 BE FEFFFFFF MOV ESI,-2 00415AD9 EB 4A JMP SHORT imcast.00415B25 00415ADB 53 PUSH EBX 00415ADC FF15 2C605600 CALL DWORD PTR DS:[56602C] ; msvcrt.time 00415AE2 8B7C24 18 MOV EDI,DWORD PTR SS:[ESP+18] 00415AE6 83C4 04 ADD ESP,4 ---------------------------------------------------------------------- ---------- 00406483 /74 65 JE SHORT imcast.004064EA 00406485 |8B95 58010000 MOV EDX,DWORD PTR SS:[EBP+158] 0040648B |BE 01000000 MOV ESI,1 00406490 |3BD1 CMP EDX,ECX 00406492 |89B5 54010000 MOV DWORD PTR SS:[EBP+154],ESI 00406498 |76 06 JBE SHORT imcast.004064A0 0040649A |898D 58010000 MOV DWORD PTR SS:[EBP+158],ECX 004064A0 |83F8 FD CMP EAX,-3 004064A3 |C787 C8000000 6>MOV DWORD PTR DS:[EDI+C8],64 004064AD |C787 CC000000 3>MOV DWORD PTR DS:[EDI+CC],32 004064B7 |75 07 JNZ SHORT imcast.004064C0 004064B9 |68 042A5900 PUSH imcast.00592A04 ; ASCII "License Expired." 004064BE |EB 05 JMP SHORT imcast.004064C5 004064C0 |68 EC295900 PUSH imcast.005929EC ; ASCII "Unregistered Shareware." 004064C5 |E8 46BCFFFF CALL imcast.00402110 004064CA |83C4 04 ADD ESP,4 004064CD |68 98295900 PUSH imcast.00592998 ; ASCII "Limit to 1 search thread, 2 send thread Max Search Result 100 Max Send To 50 Msgs" 004064D2 |E8 39BCFFFF CALL imcast.00402110 004064D7 |83C4 04 ADD ESP,4 004064DA |6A 00 PUSH 0 004064DC |6A 00 PUSH 0 004064DE |68 40285900 PUSH imcast.00592840 ; ASCII "This Unregistered Shareware Limits To 1 search thread and 2 send thread. You can search for maximum 100 users and send 50 messages with it. Registered Pro Version can use 5 search threads and 15 send threads and has NO LIMITS. Upgrade t"... 004064E3 |E8 A6F80700 CALL imcast.00485D8E ; JMP to MFC42.#1200 004064E8 |EB 19 JMP SHORT imcast.00406503 004064EA 68 1C285900 PUSH imcast.0059281C ; ASCII "Fully Licensed Standard Version." |
|
|
Создано: 27 февраля 2007 03:08 · Личное сообщение · #7 я скачал все что вы мне говорили. Записал видео, мне почему то кажется что проблема в модуле ntdll.dll (тот что в папке Windows). Почему то именно на нем вылетает ошибка. То что это молебокс я давно понял, собственно эту прогу я хотел открыть только чтобы попробовать покопаться в молебоксе. Проблема не в самом молебоксе, а именно в каком то модуле который не хочет открывать Olly. Вот ссылка на видео, в нем я открываю прогу 3 версиями Olly и все равно вместо того чтобы тормознуть на точке входа olly запускает программу. Посмотрите пожалуйста видео, может быть оно внесет ясность. Выкладываю ссылки т.к. максимальный размер атача 500 кб, а видео у меня получилось 700 кб сжатое rapidshare.com/files/18515825/video.rar ifolder.ru/1228686 |
|
|
Создано: 27 февраля 2007 10:01 · Личное сообщение · #8 на виртуальной машине все нормально работает 
|
|
|
Создано: 27 февраля 2007 22:25 · Поправил: crc1 · Личное сообщение · #9 pavka пишет: Да что ты говоришь? Молю распаковать быстрей в десять раз чем инлайнить! Полчаса на исследования, пять минут инлайн [url=http://rapidshare.com/files/18657686/imcast.rar.html ]http://rapidshare.com/files/18657686/imcast.rar.html [/url] Не вижу смысла в распаковке cyber Из твоего виде особо ничего не видно. Похоже дело в системе, сноси нах  или
Попробуй на EP 005E861C >60 PUSHAD, в HEX-редакторе поставить int3 (0CCh), и сними в опциях Оли галки на исключения. Должна прога тормознутся, потом поменяешь на 60h А как Оля ведет себя на других прогах, крипторах, протах? |
|
|
Создано: 28 февраля 2007 01:00 · Личное сообщение · #10 crc1 пишет: Полчаса на исследования, пять минут инлайн ;) пара минут распаковка в 15 раз получается чуть ошибся
|
|
|
Создано: 28 февраля 2007 03:14 · Личное сообщение · #11 Павка, ты мне растолкуй тупому, нахрена распаковывать
|
|
|
Создано: 28 февраля 2007 04:18 · Личное сообщение · #12 оля выскакивает точно так же с этой же ошибкой "Unable to set breakpoint" почти везде и соответственно проги вместо торможения на точке входа запускаются |
|
|
Создано: 28 февраля 2007 05:54 · Личное сообщение · #13 cyber пишет: вместо торможения на точке входа запускаются Че, когда на EP int3 записал??? У тебя прога упасть должна. Нипанятно
|
|
|
Создано: 28 февраля 2007 17:27 · Личное сообщение · #14 crc1 пишет: ты мне растолкуй тупому, нахрена распаковывать Это быстрей ;) это во первых, так же если защита будет не в основномом модуле а в пакованой dll или к примеру как в самом молебоксе тебе нужно просто потереть блеклист, инлайн может быть делом очень нетривиальным ;) Да и всегда полезней посмотреть все файлы в боксе ... |
|
|
Создано: 28 февраля 2007 21:29 · Личное сообщение · #15 pavka В общем случае согласен стобой, но в данном нет. Три байта для патча находятся без распаковки, целостность кода не проверяется т.ч. даже 30 сек на распаковку это лишние телодвижения З.Ы. Я думаю мы поняли друг друга. Афтар топика молчит, думаю тему мона прикрывать |
|
|
Создано: 01 марта 2007 04:51 · Личное сообщение · #16 я не молчку, просто ничего не помогает >>Че, когда на EP int3 записал??? У тебя прога упасть должна. Нипанятно не падает а так же запускается с той же ошибкой |
|
|
Создано: 03 марта 2007 03:43 · Личное сообщение · #17 cyber Ты пиз..шь. Если ты в EP прописал int3 - у тебя прога не запустится(если ты не волшебник) |
|
eXeL@B —› Вопросы новичков —› ошибка с OllyDbg |
Для печати