помогите отладить прогу (terminal.exe)

Dimkawshm · Сообщение **Dimkawshm** » 06 май 2014, 12:20

Доброго дня!! Спасибо! Я на вид не вижу конечно упакован файл или нет. Я же не спец. Очень может быть, я в огромном массиве программы не могу отыскать нужные места- ведь в дизассемблере видно одно, а в хекс редакторе попробуй найти!!!

Я открыл прогу в PEiD v0.95 вот

По моему это ровно ничего не значит, PEiD v0.95 не смог что-либо опридилить вообще! Либо я кнопки на нем нажать не смог, либо непонятно.. Я в нем попробавал открыть прогу ASMbrutecoud_1.2.exe
тот же самый результат!!! Эта прога банальная скомпиленые семь строк ассемблера..

Как ее открывать, если укупорена? Как опридилить?

zykov · Сообщение **zykov** » 06 май 2014, 21:09

Dimkawshm писал(а):Source of the post Я на вид не вижу конечно упакован файл или нет. Я же не спец...

Зачем тогда вообще тратить на это время? Всё равно ничего не получится.

folk · Сообщение **folk** » 06 май 2014, 21:36

Dimkawshm писал(а):Source of the post
По моему это ровно ничего не значит, PEiD v0.95 не смог что-либо опридилить вообще! Либо я кнопки на нем нажать не смог, либо непонятно.. Я в нем попробавал открыть прогу ASMbrutecoud_1.2.exe
тот же самый результат!!! Эта прога банальная скомпиленые семь строк ассемблера..

Как ее открывать, если укупорена? Как опридилить?

Мне сии отладчики не известны. Я пользуюсь gdb. Если укупорена профессиональным антихакерским софтом то открыть можно титаническим трудом. Перебором всех идей и вариантов. Но как правило в этом нет необходимости - запускают под VM с отладчиком VM (например тот же bochs но я этим путем не ходил) и ждут когда она самораспакуется - исправить такую программу в exe файле сложно. Есть шанс исправить используемую ей библиотеку или ядро операционки - но прикиньте количество усилий.
Как определить - нет универсальных советов. Инуитивно - дизассемблер показывает программу как кучу данных и почти нет кодов. При старте мало вызывается системных функций и много вычислений производится. Специфически выглядят таблицы relocation - очень неравномерно. Ругается на отладчик.

Dimkawshm · Сообщение **Dimkawshm** » 08 май 2014, 18:43

Примеры опкодов, сообщений и проблем. Я все же разобрался как находить соответствующие места, в HxD.

1)

2)

3)

4)

folk · Сообщение **folk** » 08 май 2014, 19:14

А у вас отладчик реально попадает в это место? Можно скинуть пару десятков инструкций пройденных пошагово перед этим invalid opcode?

Просто инструкции перед ним не выглядят тоже шибко осмысленно. И просьба скидывать не столько скрины сколько логи пошагового выполнения и состояние регистров вначале вконце - это текставая информация - всем будет удобней.

И это.. А на какую гору камень то катим?

Dimkawshm · Сообщение **Dimkawshm** » 08 май 2014, 20:42

Спасибо, уважаемый folk! А я сам не могу пошагово идти. Я просто еще не разобрался с возможностями программ- иследователей и отладчиков.

Dimkawshm · Сообщение **Dimkawshm** » 09 июн 2014, 18:57

Доброго вечера!! С наступившим летом всех. Очень очень хочется вернуться к теме. Экзамены, я отставлял ее. В общем как мне определить, запакован файл или нет? Какие методы? Вот эта прога в IDA -это почти неразобранные данные. Я сейчас же скрин вставлю. И саму программу попробую где то выложить.

[url=http://images.vfl.ru/ii/1402336794/3f38af76/5385347.bmp]http://images.vfl.ru/ii/1402336794/3f38af76/5385347.bmp[/url]

Вот на этом ресурсе лежит программа. [url=http://gfile.ru/aa5uc]http://gfile.ru/aa5uc[/url]

folk · Сообщение **folk** » 09 июн 2014, 19:05

попробуйте сравнить сегменты в EXE и в памяти. Есть ли в exe секция данных - есть ли в ней осмысленные слова - строковые константы.

Dimkawshm · Сообщение **Dimkawshm** » 09 июн 2014, 19:22

СПАСИБО!!

Dimkawshm · Сообщение **Dimkawshm** » 07 авг 2014, 19:20

Доброго вечира!! Вернусь к теме
Хочу распаковать программу запакованую VMProtect. Программа [url=http://webfile.ru/08f06ff4274f699e3d863ad25ae3047e]http://webfile.ru/08f06ff4274f699e3d863ad25ae3047e[/url]
Дальше я скачиваю и читаю [url=http://webfile.ru/d7006031b798063b4371890321f2fdc3]http://webfile.ru/d7006031b798063b4371890321f2fdc3[/url] .
Вот не помню, откуда скачал- видемо откуда то с exelab. К стати
офигено понравилось как написано!!
И вот, делаю.Ищу OEP (стр 21) .
Скрин [url=http://webfile.ru/d091ba9c619edbc5c49beb52d3d6d0bf]http://webfile.ru/d091ba9c619edbc5c49beb52d3d6d0bf[/url] и [url=http://webfile.ru/00f7273d8ae2336ba5e8df0d004d906d]http://webfile.ru/00f7273d8ae2336ba5e8df0d004d906d[/url] . Вопрос- Наверное ерунда какая то вышла.Или нет?
Я программу запускаю сначала т.е открываю ее в OlliDbg и пытаюсь чирез
Go пoйти туда, куда указал скрипт- на 5FD63D.
Cvjnhbnt!!!!Я никуда не прихожу! Я тиряюсь- а что же это и что же я делаю..
Ну просто не знаю, что это, насколько я баран и где!

1FD63D

Register at OEP stop:
----------------------------------
EAX 00000030
ECX 005fd625
EDX 7ffd9000
EBX a64a33f0
ESP 0012fed0
EBP 0012ffc0
ESI 00a34d63
EDI 0012fed0
----------------------------------

ESP Stack at OEP stop:
----------------------------------
$ ==> 0012fed0 | cfdad4d6 $

+00000004 0012fed4 | 7c910208
$+00000008 0012fed8 | 00000000 $

+0000000c 0012fedc | 0012fff0
$+00000010 0012fee0 | 7c90e4f4 $

+00000014 0012fee4 | 0012ffb8
$+00000018 0012fee8 | 0018b528 $

+0000001c 0012feec | 00a3122b
$+00000020 0012fef0 | 00000206

yourdomain.com