А если программа не "32-х битная", что делать?

Сейчас на форуме: _MBK_, vsv1 (+5 невидимых)

Посл.ответ	Сообщение
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 15 июня 2007 12:43 · Личное сообщение · #1 Здравствуйте! Пытаюсь загрузить некую прогу под OLLY, которая сразу пишет "File C\:......exe is probably not a 32-bit Portable Executable. Try to load? " Соглашаюсь, программа запускается, но в окнах отладчика ничего не появляется. Прога старинная, но надо обойти аппаратный ключ (ЛПТ) для запуска на ноутбуке. Как расковырять её, с чего начать и как загнать в отладчик, помогите, пожалуйста.

Chingachguk Ранг: 113.0 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 15 июня 2007 13:16 · Личное сообщение · #2 SoftIce (bpio 0x378), IDA (в простом случае достаточно поискать cmp bh,32h в IDA и даже SoftIce не нужен). ----- The one derivative you manage is the one I abhore (c) Slipknot
Virgo Ранг: 41.2 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 15 июня 2007 13:18 · Поправил: Virgo · Личное сообщение · #3 олька не поможет. попробуй посмотреть в этих прогах CodeView, IDA, w32dasm. хотя для того чтоб апаратный ключ обойти наверно думаю нужен айс. и опыта много. посмотри в нете ссылки на соболя он в свое время этим занимался. имхо...мало информации дал... зы. опередили...
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 15 июня 2007 14:11 · Личное сообщение · #4 Chingachguk пишет: cmp bh,32h Сейчас открыл файл .ехе в IDA, не дизассемит .... В окне IDA View-A всё в таком виде: cseg25:2911 db 50h ; P cseg25:2912 db 50h ; P cseg25:2913 db 10h cseg25:2914 db 9 cseg25:2915 db 7 cseg25:2916 db 1 cseg25:2917 db 0 cseg25:2918 db 62h ; b cseg25:2919 db 4Fh ; O cseg25:291A db 0C3h ; + cseg25:291B db 72h ; r В окне HEX View-A выглядит вот так: cseg65:1C30 01 00 2B 00 C3 74 6A 39-4D 0D 3E 1C 5E 1C 9A 38 ".+.+tj9M >^Ъ8" cseg65:1C40 06 00 44 1C 01 00 2D 00-C3 74 6A 39 4D 0D 52 1C ".D.-.+tj9M R" cseg65:1C50 5E 1C 50 2B 62 01 6A 39-4D 0D 64 1C 5E 1C 35 49 "^P+bj9M d^5I" cseg65:1C60 3E 1F CC 1C 9A 38 06 00-6A 1C 01 00 65 00 C3 74 ">¦Ъ8.j.e.+t" cseg65:1C70 6A 39 4D 0D 78 1C B4 1C-9A 38 06 00 7E 1C 01 00 "j9M x+Ъ8.~." cseg65:1C80 45 00 C3 74 6A 39 4D 0D-8C 1C B4 1C 9A 38 06 00 "E.+tj9M М+Ъ8." Как и где искать "cmp bh,32h" ? Может я не так дизассемблирую? В 32dasm что-то подобное, неделю назад подход делал. Спасибо за ответы.
Icelot Ранг: 85.4 (постоянный) Активность: 0.08↘0 Статус: Участник	Создано: 15 июня 2007 14:17 · Личное сообщение · #5 msp65 PeID'ом для начала. А уж потом в отладчик. ----- radio uno in ibisa ...
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 15 июня 2007 14:26 · Личное сообщение · #6 Icelot пишет: msp65 PeID'ом для начала. А уж потом в отладчик. PeID вот что пишет: "Not a valid PE file"
Virgo Ранг: 41.2 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 15 июня 2007 14:44 · Личное сообщение · #7 а файло можно в студию?
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 15 июня 2007 14:52 · Личное сообщение · #8 Virgo пишет: а файло можно в студию? Да, приаттачиваю. Будьте добры, посмотрите. fab8_15.06.2007_CRACKLAB.rU.tgz - BK7677.rar
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 15 июня 2007 15:12 · Личное сообщение · #9 Если я вдруг пропаду на выходные, не теряйте меня В понедельник объявлюсь точно.
Rush Ранг: 75.0 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 15 июня 2007 16:07 · Личное сообщение · #10 msp65 С чего ты взял, что ИДА не дизасмит? Ида сразу определяет NE файл -> все нормально дизасмится, просто прога написана на Вижуал Васике 3 версии и скомпилена в P-код, а на ОЕП имеется немножко кода: `cseg01:0010 public start cseg01:0010 start proc near cseg01:0010 call THUNRTMAIN <<< Вызов васиковского интерпретатора cseg01:0015 add al, [bx+si] cseg01:0017 add ax, [bx+si] cseg01:0019 dec byte ptr [bx] cseg01:0019 start endp cseg01:0019 cseg01:0019 cseg01 ends`
Chingachguk Ранг: 113.0 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 15 июня 2007 16:26 · Личное сообщение · #11 Ага, верна ;) Хотел еще добавить тока: 0006BB80: 57 4C 53 C3 28 00 08 68 ¦ 61 73 70 2E 64 6C 6C 20 WLS+( hasp.dll Так что нужна смотреть что из нее вызываецца... ----- The one derivative you manage is the one I abhore (c) Slipknot
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июня 2007 07:47 · Личное сообщение · #12 Здравствуйте! Rush пишет: С чего ты взял, что ИДА не дизасмит? Ида сразу определяет NE файл -> все нормально дизасмится, просто прога написана на Вижуал Васике 3 версии и скомпилена в P-код, а на ОЕП имеется немножко кода: cseg01:0010 public start cseg01:0010 start proc near cseg01:0010 call THUNRTMAIN <<< Вызов васиковского интерпретатора cseg01:0015 add al, [bx+si] cseg01:0017 add ax, [bx+si] cseg01:0019 dec byte ptr [bx] cseg01:0019 start endp cseg01:0019 cseg01:0019 cseg01 ends Ага, теперь увидел. И как теперь действовать, в смысле что дальше делать? Chingachguk пишет: Хотел еще добавить тока: 0006BB80: 57 4C 53 C3 28 00 08 68 ¦ 61 73 70 2E 64 6C 6C 20 WLS+( hasp.dll Так что нужна смотреть что из нее вызываецца... А вот этого не увидел ни Идой ни Дасмом Чем это смотрелось?
Chingachguk Ранг: 113.0 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 18 июня 2007 09:24 · Личное сообщение · #13 Программой FAR ;) - F4. hint: просто посмотри что эта DLL экспортирует/она вообще рядом есть? ----- The one derivative you manage is the one I abhore (c) Slipknot
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июня 2007 10:03 · Личное сообщение · #14 Chingachguk пишет: hint: просто посмотри что эта DLL экспортирует/она вообще рядом есть? Нет, её рядом нет, и как посмотреть не знаю Подскажите, что дальше делать?
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 18 июня 2007 10:16 · Личное сообщение · #15 Так, на оригинальном диске нашлась hasp.dl_ сейчас попробую переименовать в .dll и подсунуть екзешнику.
Chingachguk Ранг: 113.0 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 18 июня 2007 15:50 · Личное сообщение · #16 ++ Вероятнее всего проверить ее использование - мониторинг LoadLibrary. ----- The one derivative you manage is the one I abhore (c) Slipknot
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июня 2007 10:16 · Поправил: msp65 · Личное сообщение · #17 Извините за задержку с ответом. Chingachguk пишет: проверить ее использование - мониторинг LoadLibrary А как мониторить, чем? И в случае использования этой библиотеки, как и чем её посмотреть? На всякий случай приаттачу дллку, посмотрите.
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июня 2007 10:19 · Личное сообщение · #18 В предыдущее не получилось добавить. 4754_20.06.2007_CRACKLAB.rU.tgz - HASP.DLL
Chingachguk Ранг: 113.0 (ветеран) Активность: 0.05↘0 Статус: Участник	Создано: 20 июня 2007 14:38 · Личное сообщение · #19 Мониторить в SoftIce; наверное можно и другим дебаггером. bpx LoadLibraryA перед выполнением программы. DLL можно открыть в IDA; по крайней мере там должно быть видно что она экспортирует. С большой вероятностью там одна главная функция. Даже если сама DLL obfuscated, то начало функции должно быть видно нормально; в крайнем случае в ее начало можно вбить типа mov eax,ds:[0] - программа должна "слететь" при первом же вызове - это будет доказательство что на верном пути. Если вышеописанное удалось, то можно написать собственный маленький логгер к этой DLL (если есть ключ и есть что смотреть в ответах) или (если нет ключа) написать свою маленькую DLL с теми же экспортами; добавть логгирование передаваемых в нее параметров. Дальше уже надо будет анализировать что именно спрашивают и зачем. ----- The one derivative you manage is the one I abhore (c) Slipknot
msp65 Ранг: 1.1 (гость) Активность: 0=0 Статус: Участник	Создано: 20 июня 2007 15:04 · Личное сообщение · #20 Chingachguk пишет: Мониторить в SoftIce; наверное можно и другим дебаггером. bpx LoadLibraryA перед выполнением программы. Спасибо за ответ, всё предложенное попробую и отпишусь.

Для печати