 |
eXeL@B —› Вопросы новичков —› Распаковка защиты EZIRIZ.NET Reactor |
| Посл.ответ | Сообщение |
|
|
Создано: 19 июля 2007 19:20 · Личное сообщение · #1 Как распаковать? Ничего толком не нашел по этому поводу. 2. Когда запускаю на отладку приложения в Olly, некоторые из них вываливаются с ошибкой ще до старта, что делать?  |
|
|
Создано: 19 июля 2007 19:37 · Поправил: HoBleen · Личное сообщение · #2 Выложи набор необходимых для запуска файлов. Disasm90 пишет: некоторые из них вываливаются с ошибкой ще до старта Либо функции инициализации юзаемых либ, либо ТЛС. |
|
|
Создано: 19 июля 2007 19:46 · Поправил: Disasm90 · Личное сообщение · #3 1. Выкладываю http://disasm.info/files/mb.zip http://disasm.info/files/mb.zip [24-06-2008] восстановил файл, возможно не та версия что была когда-то 2. Подобные вылеты происходят и с моими программами, которые написаны на MASM, причем не со всеми. В этих программах никаких извращений нет, обыкновенные приложения... Вот и думаю, что это Olly глючит. |
|
|
Создано: 19 июля 2007 19:48 · Поправил: El_Diablo · Личное сообщение · #4 [url=http://www.eziriz.com/ ]http://www.eziriz.com/ [/url] Это какой-то странный прот судя по описанию There is no tool which is able to decompile .NET Reactor protected assemblies. Тулзой может нет,но восполенный ум может.. 
|
|
|
Создано: 19 июля 2007 20:03 · Поправил: HoBleen · Личное сообщение · #5 1)*Видимо ошибся* 2)Ну значит у тебя что-то с системой =) |
|
|
Создано: 19 июля 2007 20:05 · Личное сообщение · #6 Это просто у них нет тулзы для распаковки
А по поводу распаковки руками.. Я обычно распаковываю с помощью Olly, но с данную прогу он не запускает  Софтайс у меня не перехватывает функции пользовательского API, так что с ним проблемно распаковывать что-то. Вот и жду, пока кто-то предложит нормальное решение хотя бы одной из двух проблем.
|
|
|
Создано: 19 июля 2007 20:14 · Личное сообщение · #7 У меня OllyDiablo нормально открыл прогу,но она вылетает с exception без Оли тоже вылетает с этой ошибкой... З.Ы.:для нее какой фреймворк нужен? |
|
|
Создано: 19 июля 2007 20:15 · Поправил: Disasm90 · Личное сообщение · #8 У меня 1.0, 1.1, 2.0, запускается нормально. |
|
|
Создано: 19 июля 2007 20:28 · Личное сообщение · #9 OEP 0041E000 . 55 PUSH EBP Вот тут,вроде сдампил все пофиксил,но терь вылетает с ошибкой типа AppName: dumped_.exe AppVer: 1.0.2421.34354 ModName: unknown ModVer: 0.0.0.0 Offset: 00000000 |
|
|
Создано: 19 июля 2007 20:37 · Поправил: El_Diablo · Личное сообщение · #10 В процессе запуска проги под отладчиком появляется такая тема: 0044C10F - E9 EC1EFDFF JMP 0041E000 0044C114 - E9 EC4E4B7C JMP ntdll.RtlEnterCriticalSection 0044C119 - E9 F6D93B7C JMP kernel32.VirtualFree 0044C11E - E9 58D63B7C JMP kernel32.InterlockedIncrement 0044C123 - E9 B8053C7C JMP kernel32.lstrlenA 0044C128 - E9 E4413C7C JMP kernel32.lstrcpynA 0044C12D - E9 25F23B7C JMP kernel32.GetModuleFileNameA 0044C132 - E9 2FE93B7C JMP kernel32.FreeLibrary 0044C137 - E9 6D6B3C7C JMP kernel32.GetStdHandle 0044C13C - E9 42B79877 JMP advapi32.RegQueryValueExA 0044C141 - E9 AAAA9877 JMP advapi32.RegCloseKey 0044C146 - E9 DEF33B7C JMP kernel32.GetModuleHandleA 0044C14B - E9 B8F79977 JMP advapi32.RegFlushKey 0044C150 - E9 F50D9A77 JMP advapi32.RegEnumValueA 0044C155 - E9 FFF63B7C JMP kernel32.VirtualQuery 0044C15A - E9 C9DA3B7C JMP kernel32.SetEvent 0044C15F - E9 894F4B7C JMP ntdll.RtlLeaveCriticalSection 0044C164 - E9 B03F3C7C JMP kernel32.GlobalLock 0044C169 - E9 BF3D3C7C JMP kernel32.GlobalAlloc 0044C16E - E9 0B133C7C JMP kernel32.GetLocaleInfoA 0044C173 - E9 F2863C7C JMP kernel32.GetEnvironmentVariableA 0044C178 - E9 F6B13D7C JMP kernel32.GetDiskFreeSpaceA 0044C17D - E9 E09D3D7C JMP kernel32.FormatMessageA 0044C182 - E9 7E4E4B7C JMP ntdll.RtlEnterCriticalSection 0044C187 - E9 E9CD8F77 JMP user32.GetSystemMetrics 0044C18C - E9 3C03D076 JMP oleaut32.SafeArrayPutElement 0044C191 - E9 7A8ECD76 JMP oleaut32.SafeArrayAccessData 0044C196 - E9 8587CD76 JMP oleaut32.VariantInit 0044C19B - E9 B086CD76 JMP oleaut32.SysFreeString 0044C1A0 - E9 66439377 JMP user32.MessageBoxA Если я не ошибаюсь,то самый верхний джамп есть не что иное как джамп на ОЕП Далее я поставил Haraware BreakPoint On Execution Прога остновилась на этом адресе,я сдампил и восстановил импорт импреком... З.Ы.:если это OEP, то это самый тупой метод нахождения OEP
|
|
|
Создано: 19 июля 2007 22:43 · Личное сообщение · #11 Спасибо, я еще поковыряю, может поможет. Залез под висту, там Olly великолепно работает... И обнаружил такую гадость: во время работы программы нигде в коде нет обращения к _CorExeMain, зато есть куча других имен процедур, которые ни одна .NET прога в чистом виде не вызывает. Да и меня бы насторожила такая простота, ведь авторы за прогу $130 баксов (вроде бы) хотят. Кроме того IDA показывает что точка входа в нормальную прогу выглядит так: start proc near jmp ds:_CorExeMain start endp Во-вторых как у нуба у меня вопрос такой: прога устанавливает в SEH обработчик исключения, потом где-то обращается к памяти 0x00400000, в результате исключение. Как заставить Olly это проигнорить и перейти на адрес обработчика? |
|
|
Создано: 19 июля 2007 22:49 · Поправил: El_Diablo · Личное сообщение · #12 Да и меня бы насторожила такая простота, ведь авторы за прогу $130 баксов (вроде бы) хотят. Поверь мне,есть проги и за 300$ с защитой,которая снимается по тутору. Цена тут не главное. Для примера посмотри в топ RSI про EXECryptor, в одном посте увидишь на скока $ там проги взломаны
Как заставить Olly это проигнорить и перейти на адрес обработчика? Options->Debugging options->exceptions |
|
|
Создано: 20 июля 2007 03:27 · Поправил: El_Diablo · Личное сообщение · #13 В атаче UnPacked версия...импорт полностью восстановлен AutoTrce'ом
Проверь,может воркает,я проверить не могу,так как у меня даже оригинальная прога вылетает с ошибкой <img src="img/attach.gif"> <SCRIPT type=text/javascript>dfl("files/","411a_19.07.2007_CRACKLAB.rU.tgz");< /SCRIPT> - check_it_.exe |
|
eXeL@B —› Вопросы новичков —› Распаковка защиты EZIRIZ.NET Reactor |
Для печати