Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    оффтоп

    :) Иногда следует быть внимательней
     
  2. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Скачал поставил эту прогу (См. Сюда) Мало того что не могу ни Олю запустить не файлмона, ни регмона, Когда откраваю сайт по ссылке на модификации Оли, так эта гадость ещё и Оперу закрывает. Пейд говорит Dtlphi, RDG tEllok v. 098 (Special build) В google не одной ссылки на этот прот не нашёл. :(

    И вопрос: Можно ли обновлять сигнатуры PEID, RDG Packer Detector, scanit, exeinfope и как это сделать? Может есть какое Online обновление?
     
  3. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Обновленные данные
    Откуда взялся tElock не совсем понятно, так как его там отродясь не было. Программа написана на Delphi, для заshitы автором был использован компонент IceLicense
    Обратить внимание на адреса
    Code:
    46EA94 ; Функция с результатом Boolean, алгоритм должен быть понятен без разъяснений
    46EB10 ; заменить вход в функцию на ret
    4742CC ; условный переход (перед поиском утилит мониторинга)
    4EB22D mov     [ebx+320h], al ; al=trial days
    4310A0 ; extctrls::UpdateTimer
    
    Для начала думаю достаточно.
     
    #203 neprovad, 15 Sep 2008
    Last edited: 15 Sep 2008
  4. Грот

    Грот Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    110
    Likes Received:
    36
    Reputations:
    0
    вот попробуй вот эту порогу
    http://slil.ru/26145361 сносит tELock
     
  5. O.mnenie

    O.mnenie Banned

    Joined:
    18 Aug 2008
    Messages:
    6
    Likes Received:
    124
    Reputations:
    0
    норма +
     
    1 person likes this.
  6. UnPazz

    UnPazz Elder - Старейшина

    Joined:
    30 Aug 2008
    Messages:
    95
    Likes Received:
    43
    Reputations:
    6
    есть скомпиленный из си файл *.exe, но исходного кода нет.
    подскажите, какой программой могу получить исходный код на ассемблере ?
    plz
     
  7. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    ida pro
     
    2 people like this.
  8. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Спасибо! Но прога не помогла!

    neprovad был прав:
    Это не tEllok v. 098 (Special build).

    RDG -- Наврал :( .

    Вопрос:

    Можно ли обновлять сигнатуры PEID, RDG Packer Detector, scanit, exeinfope и как это сделать?

    Может есть какое Online обновление?
     
    #208 tekton, 18 Sep 2008
    Last edited: 18 Sep 2008
  9. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    на cracklab.ru люди вылаживали свои собранные сигны, а вообще гугль
     
  10. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Насчет сигнатур. Могу ошибаться, но вроде на unpack.cn было что-то подобное (ориентироваться тяжело с непривычки), а вообще, действительно, google в помощь.
    p.s: не в сигнатурах счастье
     
  11. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    вот тут найдешь актуальные сборки анализаторов и просто тюненые сигны, например актуальная - от флая:
    _http://cracklab.ru/f/index.php?action=vthread&forum=1&topic=11893
     
  12. tekton

    tekton Elder - Старейшина

    Joined:
    2 Jun 2008
    Messages:
    73
    Likes Received:
    3
    Reputations:
    0
    Я вот думаю иногда: "В министерстве образования (Имеются в виду вузы, колледжи, гимназии, школы...) есть учебная программа, план, систематизация... Почему бы не сделать какую нибудь учебную программу для начинающих, ну скажем по асму на нашем форуме?" Вы наверное сейчас сидите, читаете этот бред новичка и думаете как самураи : "У каждого свой Дао". :D (В смысле: каждый учился по разному, по разным книгам...)! Но если собраться всем местным гуру, вспомнить с чего они начали свой путь и выработать оптимальный общий план. Радости новичков не было бы предела. :) А то сижу, читаю всё подряд (книги, статьи, форумы), а результат очень небольшой из за отсутствия системы. :(

    Сам учился в ВУЗЕ, так очники которые учились на стационаре имели знания процентов на 50-60 больше чем заочники. Как Вам моя идея?
    Так что вот такая просьбочка!
    Спасибо.
     
  13. 0x0c0de

    0x0c0de Elder - Старейшина

    Joined:
    25 May 2007
    Messages:
    441
    Likes Received:
    396
    Reputations:
    297
    2tekton. Попытки систематизации предпринимались и успешные. существует неск серий по тому же асму, лежащие на васме. то же и по реверсу. только читай. если пройти по ссылкам в

    https://forum.antichat.ru/thread69997.html

    то тут систематизация систематизаций. много чего на en но это не проблема. вы видать не там искали или плохо искали
     
    1 person likes this.
  14. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Идея неплохая, однако не видно большого наплыва желающих поучиться (видимо все они сидят в болталке) Так вот:
    - Cледует определиться, для чего нужен asm лично вам?
    Писать ПО или уверенно отлаживать код сторонних приложений? В зависимости от этого и сайты надо посещать соответствующие, чтоб не тратить зря время на знания, которые могут и не пригодиться.
    - Купить книгу по тематике. Вот я начинал с В.Юров, С.Хорошенко - Assembler. Учебный курс И не просто купить, а прочесть раза так на три-четыре, чтобы в итоге могли вы сами рассказывать другим о асме.
    - Для того чтобы такое начинание не стало похоже на зубрежку, выбрать себе shareware программу для опытов или задумать о написании своего калькулятора :)
    - Не бросать всё на половине. Если что-то непонятно, отложить, затем снова вернуться.
     
    1 person likes this.
  15. buzulukland

    buzulukland Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    40
    Likes Received:
    4
    Reputations:
    0
    Вопрос заключается в следующем: сейчас разбираю файл пожатый ASProtect 1.2. Нашел OEP, далее из тех статей что я прочитал, программу необходимо зациклить, порядок действий полностью расписан для SoftICE, но возможно ли что нибудь подобное сделать в Olly?
     
  16. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Циклить в сайсе надо для того чтоб подопытная программа не продолжила работу и можно было переключиться на любой дампер и т.п.
    А с olly достаточно свернуть всё окно отладчика. И никаких eb,fe писать не надо :)
     
    1 person likes this.
  17. buzulukland

    buzulukland Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    40
    Likes Received:
    4
    Reputations:
    0
    т.е. если я стою на OEP, то к примеру просто запускаю ImpRec и снимаю дамп той программы, которая в данный момент загружена в Olly?
     
    #217 buzulukland, 27 Sep 2008
    Last edited: 27 Sep 2008
  18. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    да, т.к. программа в этот момент стоит на паузе и никуда не убежит.
     
    1 person likes this.
  19. buzulukland

    buzulukland Elder - Старейшина

    Joined:
    24 Jan 2008
    Messages:
    40
    Likes Received:
    4
    Reputations:
    0
    Восстановление по паролю

    Вопрос заключается в следующем:
    Допустим есть некая программа, требующая ввода пароля, причем пароль давольно "нормальной длины".
    Программа не упакована.
    Также в ней есть кусок данных который не определяется отладчиком, а пишется просто что-то такое:
    DB 82
    DB B5
    DB 9A
    DB DF
    DB E8
    DB 4E
    DB 28
    DB 91
    DB 31
    DB 30
    DB 30
    DB 30

    Далее при вводе обнаруживается забавная вешь, если пароль был введен правильно, то эти строки начинаю "востанавливаться" относительно введенного пароля и вместо них, например мы получим строку
    0F84 68010000 JE 004021B4
    817D 0C 01020 CMP DWORD PTR SS:[EBP+C],201
    0F84 41010000 JE 0040219A
    E9 63010000 JMP 004021C1

    Ведь зачастую может оказаться, что в этих строчках будет запрятана функция с которой начинаются все "девайсы" данной программы.и это единственное место появления данной функции.Давольно забавный учебный пример как такое может быть прикладываю
    _http://www.woork.ru/exam.rar
    Очевидно, что тут можно подгадать нужный результат изменяя нужные нам строки для MessageBox'а и трюком из раздела типа New origin here(для Olly)(тупой трюк).но в реальной жизни такое может просто не прокатить. Тогда как можно обойти такую защиту в общем случае?
     
    #219 buzulukland, 3 Oct 2008
    Last edited: 3 Oct 2008
  20. 0verbreaK

    0verbreaK Elder - Старейшина

    Joined:
    30 Apr 2008
    Messages:
    318
    Likes Received:
    42
    Reputations:
    -3
    Code:
    DB 82
    DB B5
    DB 9A
    DB DF
    DB E8
    DB 4E 
    DB 28
    DB 91
    DB 31 
    DB 30 
    DB 30
    DB 30
    
    Ctrl + A попробуй нажать, это походу полиморф