Отладка отладчика :)

Сейчас на форуме: Magister Yoda, vasilevradislav, tyns777, zombi-vadim (+3 невидимых)

Посл.ответ	Сообщение
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 04 июня 2008 10:30 · Личное сообщение · #1 В общем начал ваять сей шедевр и застрял - при попытке распаковки unopix'а отладчик уходит в бесконечный цикл... Чем и как можно понять причину? Не хочу проект забрасывать - будет реальный убийца UPX и скрэмблеров... 3df2_04.06.2008_CRACKLAB.rU.tgz - RealUPX.exe

El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 04 июня 2008 10:47 · Личное сообщение · #2 при попытке распаковки unopix'а Ты про UPX или проч то-то другое? Чем и как можно понять причину? Мб ты код зальешь, если не приват?
temp Ранг: 28.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 04 июня 2008 11:01 · Личное сообщение · #3 viiri пишет: реальный убийца UPX Ну сам UPX убивать не стоит отличный пакер + сам умеет распаковывать.
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 05 июня 2008 00:34 · Поправил: viiri · Личное сообщение · #4 Код пока не залью - там пока смотреть особо не на что (пока восстанавливаются только оригинальные заголовки)... Оригинальный UPX и простые скрэмблеры (в том числе когда код стаба изменён или пошифрован) он уже легко снимает, а вот с unopix возникла проблема... В общем вот файлы для тестов. b0c3_04.06.2008_CRACKLAB.rU.tgz - upx100.exe
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 05 июня 2008 00:37 · Личное сообщение · #5 Тут UPX с unopix'ом 8f2c_04.06.2008_CRACKLAB.rU.tgz - unopix.exe
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 05 июня 2008 07:09 · Личное сообщение · #6 viiri а при чем тут отладка отладчика? Смотри антиотладку после которой скрамблер уводит в цикл код. ----- Yann Tiersen best and do not fuck
tundra37 Ранг: 310.8 (мудрец), 29thx Активность: 0.43↘0 Статус: Участник	Создано: 05 июня 2008 08:07 · Личное сообщение · #7 viiri Отладчик надо отлаживать при серьезных проблемах. А тут надо аккуратно искать антиотладку и читать "классиков". Так например я прорвался через themida - кое-что поправил в настройках эксепшенов Олли и ... все ОК В других случаях потребуется пропатченная Олли.
temp Ранг: 28.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 05 июня 2008 08:37 · Личное сообщение · #8 PE_Kill пишет: а при чем тут отладка отладчика? Автор топа вроде свой анпакер/дебаггер хочет отладить, или я не так понял?
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 05 июня 2008 09:39 · Личное сообщение · #9 PE_Kill пишет: Смотри антиотладку после которой скрамблер уводит в цикл код. Знать бы куда смотреть, ибо Ольга нигде не спотыкается... tundra37 пишет: А тут надо аккуратно искать антиотладку и читать "классиков". Либо глаз замылился либо ничего подозрительного там нет... temp пишет: Автор топа вроде свой анпакер/дебаггер хочет отладить, или я не так понял? Именно свой анпакер отладить.
El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 05 июня 2008 10:00 · Личное сообщение · #10 Залей EXE на котором падает твой анпакер C:\temp>RealUPX upx.exe Real UPX Dumper by ViRUS (mailto: viiri@mail.ru) [?] ImageBase: 0x00400000 [?] SizeOfImage: 0x00048000 [!] Creating debuggee process [!] Installing hook for GetProcAddress [?] Breakpoint reached [!] Fixing ImageSectionHeaders [!] Fixing ImportTable [o] Executable successfully unpacked! [!] Terminating thread [?] EXIT_PROCESS_DEBUG_EVENT Пытался снять UPX с UPX.exe (1.25) распаковал криво. так что давай код
temp Ранг: 28.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 05 июня 2008 10:09 · Поправил: temp · Личное сообщение · #11 viiri вслепую мало, что можно сказать... твой файл не смотрел пока если у тебя используется пошаговая трассировка, то проверяй наличие команды pushfd на текущем шаге и если обнаружил, то ставь брекпоинт на следующую команду и продолжай работу дебаггера не устанавливая TF, на сработавшем бряке вновь ставишь TF и т.д.
0xy Ранг: 218.5 (наставник), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 05 июня 2008 17:33 · Поправил: 0xy · Личное сообщение · #12 viiri Попробовал сабж под Win9x--падает после [!] Installing hook for GetProcAddress PS Хотел распаковать upx.exe 1.90w PPS Лучшеб б ты расковырял -d и сделал статик
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 06 июня 2008 00:38 · Личное сообщение · #13 El_Diablo пишет: Пытался снять UPX с UPX.exe (1.25) распаковал криво. так что давай код Повторяю! Импорт и ресурсы пока не восстанавливаются! Меня пока интересует, как сделать обход антиотладки... temp пишет: если у тебя используется пошаговая трассировка Нет, не пошаговая... 0xy пишет: Попробовал сабж под Win9x--падает Он и будет падать - не люблю 9х! 0xy пишет: Лучшеб б ты расковырял -d и сделал статик Собственно его и расковыриваю. Анпакер в динамике находит в недрах UPX доп. данные используемые -d, а потом работает статически. Код восстановления импорта почти дописал, осталось ресурсы, ну и, конечно, обход антиотладки...
temp Ранг: 28.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 06 июня 2008 09:16 · Личное сообщение · #14 viiri пишет: и, конечно, обход антиотладки... А прога, на которой в бесконечный цикл бросает, в чистой ольке, как себя ведет? Если без всяких плагов запускается нормально, то это не антиотладка, а у тя просто баг где-то в твоем дебаговом движке.
viiri Ранг: 11.7 (новичок) Активность: 0=0 Статус: Участник	Создано: 07 июня 2008 01:33 · Личное сообщение · #15 temp пишет: а у тя просто баг где-то в твоем дебаговом движке. Всё может быть! Придумал интересный метод, должен работать надёжней и позволит избавиться от отладчика вобще! В общем ждите вестей с полей!

Для печати