Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    не знаю кому как а мне код этот напомнил base64, ибо я там увидел символ +
    дай программу саму и файл заодно, а то на словах мы будем долго еще объясняться
     
  2. Keeper-san

    Keeper-san New Member

    Joined:
    22 Jul 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    http://depositfiles.com/files/6709957 3,35 Mb
    Вот программа и тот самый файл.
     
  3. Keeper-san

    Keeper-san New Member

    Joined:
    22 Jul 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
  4. DaemonicSoul

    DaemonicSoul New Member

    Joined:
    5 Jul 2008
    Messages:
    9
    Likes Received:
    1
    Reputations:
    0
    Никто случайно не знает графический формат файлов .bbq ... reflexive arcade , есть ли какая-нить возможность вытянуть оттуда спрайты?
    http://rapidshare.com/files/132554868/tile1.bbq.html
    Заранее благодарен!
     
  5. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    повторяю еще раз - изучай сайт и программы выкладываемые разработчиками.
    http://www.allegro.cc/ - все по разработке тут!
    Там на твой вопрос быстрее и точнее ответят
     
  6. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    изучаю сейчас распаковку. Но вопрос в принципе не об этом.
    Почему в SoftIce мы ставим bpm esp-4 (bpm как я понимаю бряк на доступ к памяти), а в Олли надо использовать хардварные прерывания? Дело в реализации?
    Когда ставлю прерывания на доступ к памяти в Олли, в запакованной проге(calc.exe под UPX ^____^), вылетают исключения и прога завершается.
     
  7. 0verbreaK

    0verbreaK Elder - Старейшина

    Joined:
    30 Apr 2008
    Messages:
    318
    Likes Received:
    42
    Reputations:
    -3
    в оле нет bpm.

    Больше информации.
     
  8. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    команды такой нет, а функционал такой же - есть.
    по программе - с чего вдруг upx exception'ы стал выдавать? никогда такого не было. не проше ли также бряк на oep ставить? неужели обязательно изобретать велосипед и пользоваться бряками на память или что-то там еще??
     
  9. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    если ставить мемори бряк на 4тение байта и стоит фантом+оли_адвансед на ольке, то при 4тении конкретно у меня отлад4ик дествительно падает, если ты, izlesa, дествительно об этом, то просто снеси оба плага и все станет ок
     
  10. 0verbreaK

    0verbreaK Elder - Старейшина

    Joined:
    30 Apr 2008
    Messages:
    318
    Likes Received:
    42
    Reputations:
    -3
    Он та её еще не нашел поэтому и ставит bpm esp-4, что бы приблизится к OEP
     
  11. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    упх то я снял.
    Просто стало интересно почему так происходит.
    Олли стоит только с плагом HideDebugger, больше ничего нет.
    Изучал распаковку по тутору MozgC. Там используется SoftIce и соответственно для поиска oep ставится bpm esp-4.
    Я использую Олли. Ну и сначала поставил бряк на этот дворд в памяти (Breakpoints > Memory on access). Соответственно вылетает экзепшен после Run (Access violation, запись в секцию где располагается PE проги). Хардварный бряк ставишь на тот же дворд и всё нормально. ОЕП нашлось ).
    Вопрос в следующем:
    1. Что есть bpm (вроде же breakpoint on memory) и какой функционал ему сопоставлен в Олли?
    2. Почему прога вылетает под отладчиком Олли при установке бряка на память и всё работает при хардварных бряках?
     
  12. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    ProTeuS нада взять посл версию плага, за мемори бряки отвечает "custom handler ...", если что её можно просто оффнуть. падать ничего не будет.
     
  13. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,239
    Likes Received:
    542
    Reputations:
    445
    ТС, пакуй калькулятор упхом. доходи до ОЕП, запоминай адрес. рестартуй прогу, перед на4алом распаковки кода Ctrl+G адресс OEP и щелкай по нему правой кнопкой->Breakpoint->Memory on write. Далее F9. брякаемся в цикле распаковщика во время записи первых байт распакованого тела проги и все ок
     
  14. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    2ProTeuS
    эммм, меня видимо не так поняли. Мне интересно почему так происходит.
     
  15. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    izlesa какие ещё плагина установлены? какая сборка ольги используется?
     
  16. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    Олли 1.10 - оригинальная, не сборка )
    Плагины - CommandBar, HideDebugger.
    Больше ничего.

    ЗЫ необратил внимание раньше. Экзепшен вылетает за несколько команд до перехода на OEP.

    Соответственно в eax оказывается левый адрес, находящийся в секции заголовка PE - 0100020F

    AND BYTE PTR DS:[EAX],7F <-здесь экзепшен
    AND BYTE PTR DS:[EAX+28],7F
    POP EAX
    PUSH EAX
    PUSH ESP
    PUSH EAX
    PUSH EBX
    PUSH EDI
    CALL EBP
    POP EAX
    POPAD
    LEA EAX,DWORD PTR SS:[ESP-80]
    PUSH 0
    CMP ESP,EAX
    JNZ SHORT calc.01020E92
    SUB ESP,-80
    JMP calc.01012475 <- jmp OEP

    Если надо выложу скрин.
     
    #156 izlesa, 1 Aug 2008
    Last edited: 1 Aug 2008
  17. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    попробуй на голой ольге, без всего... что из ав/фаеров стоит?
    так на всех пакованных прогах? или только на упх-ых?
     
  18. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    2Hellsp@wn
    пробовал. Не влияет. Как и аверы с фаером.
    Вот коечто нашёл в хелпе к Олли.

    "Memory breakpoint ... To set this breakpoint,OllyDbg changes attributes of memory blocks containing selection. On 80x86-compatible processors memory is allocated and protected in chunks of 4096 bytes. If you select even single byte, OllyDbg must protect the whole block. This may cause plenty of false alarms with huge overhead. Use this kind of breakpoint with care. Some system functions (especially under Windows 95/98) cause debugged program to crash instead of generating debugging event when accessing protected memory. ..."

    Но если руководствоватся хелпом, то не понятно то что появляется в eax (см предыдущий пост) - глюк Олли или реально так происходит ...

    гым, но это ведь известная штука должна быть. Везде в статьях посвешённых распаковке с использованием Олли применяется хардварный бряк hr esp-4
    Хотя по конечным действиям можно было бы применять memory break ...

    ЗЫ и как кстати дебаггер 3 кольца может менять секьюрити аттрибуты (из хелпа, ктр привёл выше) страниц? o___0

    ЗЫЫ Чтото мне кажется, что я напрягаю ^_____^
     
  19. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    401
    Likes Received:
    153
    Reputations:
    48
    как раз таки влияет :) не у одного тебя мемори бряки тупили и в основном причины были в винде/ав/фаере. как вариант ставь виртуалку, туда хрюшу и юзай на здоровье.
    з.ы. винда какая?
     
  20. izlesa

    izlesa Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    112
    Likes Received:
    32
    Reputations:
    5
    проверял на двух машинах

    winxp SP2, AV: Nod32 v2.7, FW: None
    winxp SP3, AV: PC Tools, FW: None

    одна фигня ) в том числе при отключеных АВах.
    счас ещё аспак поковыряю, скажу как там бряки на память стековую ставить. Мне в принципе не парит использование хардварных бряках, да и чтото на эту тему у Нарвахи в его туторах было.

    Причём в других прогах бряки на стековую память работают нормально. Просто какоето непонятное стечение объстоятельств ...
    ---------

    нда, с аспаком тоже самое, access violation, теперь в edi лажа при цепочечной команде.
    А у вас бряки на доступ к стековой памяти при распаковке работают или это у мну баги(я надеюсь хотя бы не в голове ^_____^)?
     
    #160 izlesa, 1 Aug 2008
    Last edited: 1 Aug 2008