привет, продолжаю копать iPhoneRingToneMaker...как определить криптор или что-то другое на проге, а то по F9 не запускается(постоянно исключение выбрасывает и не идет дальше никак) прогнал на крипто сингнатуры так вот такое вот выдало ...скрин что из так много и как бороться с этим??? есть какие инструменты по определению крипторов
Вирус тотал =) Там при проверке файла он пишет чем он упакован =) Атак прога называется Peid (вроде так)
>> есть какие инструменты по определению крипторов На проге нет криптора, судя по ep Или же, на будущее PeId, Protection ID можно скачать тут http://cracklab.ru/download.php?action=list&n=MzU= RDG Packer Detector http://reversengineering.wordpress.com/2007/10/30/rdg-packer-detector-v065-beta/ А криптосигнатуры (если ты имел ввиду их ) можно определить плагином kanal (peid) или как ты делал плагом к ollydbg
имеешь ввиду virustotal.com??? интересный сервис вот отчет ...ничего интересного как по мне... PEiD на сколько я помню версию пакера определяет, а не криптора... да, плагинином к оле плаг меня интерисует другой вопрос почему так так много разных сигнатур плагин определил, запаковывал салькулятор упх-ом смотрел плагином - ни одной сигнатуры и в запакованном и в распакованном виде...здесь в распакованном их чтото очень много вот хомпага проги закиньте кто поопытней в олю...подскажите в какую сторону копать...решения готового не нужно, я сам найду..просто подскажите куда двигаться...
ну и? не кажется ли тебе логи4ным, 4то раз в калькуляторе плагин не нашел сигнатур криптоалгоритмов, то логи4но предположить, 4то функционала, их использующего в самом коде файл НЕТ! а в твоем софте, есть, 4то уда4но и показал плагин, мд5 и так далее...для каких целей(контроль целосности, хеширование регистрационных данных или подписи файлов в комплекте софта) - это уже другой вопрос...
и что за исключения? вот у меня ни разу ничего не было в плане исключений. приводи примеры, адреса исключений. хотя я более чем уверен что это все из-за кривого дампа. upx -d и проверяй нормально. ЗЫ: криворукие кодеры. софтина на 1280 на 1024 с 120% шрифтами выглядит жутко убого
1. ок предположим, что крипторов и прочей навесной защиты в файле нет, тоесть все крипто сигнатуры это проделки девелоперов проги... вот карта памяти распакованной проги, откуда там упх-ные секции...они при распаковке должны красиво улитучиться...странные другие секции...????????? 2. почему при выполнении в оле зависает на исключении и дальше никак нельзя продолжить работу(шифт ф7-8-9 не помагают вообще..не реагирует отладчик ни на что...и помоему на этом этапе она запускает какойто левый тред..и вот он то думаю и не пускает дальше..может какой антидебажный фокус, хотя олю напичкал от антидебага) .... 2neprovad: дамп кривой это мало вероятно распаковывал вручую в импреке все функции в таблице импорта распознаны..все путем..ну я разпаковал через -d и щас с ним работаю может и криворукие..мне нет дела до прямоты их рук...программа интересней исключение такое вот - Exeption 0EEDFADE Use shiftблаблабла
LAME_ENC это енкодера mp3 а не iphoneringtonemaker.exe модуль, находящий в списке чуть "ниже", после Normalize библиотеки. Секции upx относятся соответственно к dll upd: скажи последовательность действий чтобы вызвать exception. или же он вызывается сам по себе при загрузке? у меня ни одного exception'а не было. и адреса скажи точные где вызывались exception'ы
если распаковывал руками, то секции имена секций так и останутся, и вообще изу4ай формат PE, название секции может быть произвольной, секция упх в файле - это только следствие 4то он может быть\был пакован сабжем, но никак не единственновозможный вариант, 4то то4но пакован и то4но упхом ALt+O -> Exceptions -> ставишь все гало4ки
устанавливал и раньше...и так и без галочек..не помагает это понятно..с PE форматом знаком..вот я вообще этот пост и создал чем можно так программу потормошить что понять чем криптована(с упаковкой все понятно)...я так понял опыт со временем подскажет процесс такой..гружу в олю разпакованый...сразу ругается на секции что за секцие кода..фиг с ним..дальше стою на EP и нажимаю ф9 и валимся в исключение..вот нарисовал немного что где и как..думаю понятно будет...не Давинчи правда
s0lar Убери если стоит Always on top [F5] в ollydbg Заверши диспетчером задач процесс iPhone…..exe // идет проверка количества запушенных процессов Убери его из Автозагрузки если прописался. // завершить процесс iPhone…..exe можно только диспетчером задач Открывай iPhone…..exe в ollydbg. Проверка отладчика, судя по импорту идет, но на запуск не влияет. Отлично запускается и отлаживается. Проверка ключа через интернет .
что даст этот олвейс он топ???ну окно наширяется на полную или нет... по какой апишке в импорте заметил что антидебаг??? все процессы убил проги..загружаю в олю появляется процесс, через таск манагер не получается его грохнуть...грохаю а он в ответ молчит, запускаю потом в оле..все треды присуспенжены типа трай хоть один запустить мож...нажимаю ок..все терминатед...бред какой-то.чото мне думается что-то с машиной не то...у меня..по поводу инет фунций я видел в импорте ..шлет get на сервачок
Always on top - оля будет поверх всех окон. Если без отладчика iPhone запускается значит у тебя оля глюная. Попробуй удалить все плагины. Также попробуй другую версию ollydbg.
как ты не можешь понять что программа не криптована?! она написана на Delphi 7 и просто содержит кое-какие модули реализующие функциональность blowfish, crc и прочее. у тебя проблемы либо с системой либо с olly. попробуй тоже самое сделать все на vmware либо на другом пк. про "дальше пошел лес" - зачем ты трэйсишь библиотечные вызовы Delphi7? у тебя много времени? эти места прекрасно обходятся по F8 Code: 00549D27 call Sysinit@@InitExe$qqrpv зы: надеюсь больше не будет вопросов про "чем криптовано?"
ооооо..удалил все плагины, все заработало как по маслу(никаких исключений)...где-то в плагине каком-то партак..проверим..спасибо тебе 2neprovad: спасибо Друг как всегда помог, уже понял немного что криптовка, а что алго с внутренней реализацией функционала.... копаем дальше....
парни всем спасибо..готово трейсить в реальном режиме времени не смог...какая то вроде антидебажная хрень есть в ней..на ощуп можно сказать били ...всем ещё раз огромное спасибо за помощь тему можно закрыть
