антиотладка Nowel Netware Revisor 3.4.1

Тема в разделе "WASM.BEGINNERS", создана пользователем Piti84, 22 мар 2007.

  1. Piti84

    Piti84 New Member

    Публикаций:
    0
    Регистрация:
    22 мар 2007
    Сообщения:
    18
    Вроде нашел переход на OEP

    008CE5B2 0385 D8304400 ADD EAX,DWORD PTR SS:[EBP+4430D8]
    008CE5B8 5B POP EBX
    008CE5B9 0BDB OR EBX,EBX
    008CE5BB 8985 112F4400 MOV DWORD PTR SS:[EBP+442F11],EAX
    008CE5C1 61 POPAD
    008CE5C2 75 08 JNZ SHORT 008CE5CC
    008CE5C4 B8 01000000 MOV EAX,1
    008CE5C9 C2 0C00 RETN 0C
    008CE5CC 68 C4508C00 PUSH 8C50C4 <------ OEP
    008CE5D1 C3 RETN
    ........

    008C50C4 55 PUSH EBP ; LNetware.003A049C
    008C50C5 8BEC MOV EBP,ESP
    008C50C7 83C4 B4 ADD ESP,-4C
    008C50CA B8 A44E8C00 MOV EAX,8C4EA4
    008C50CF E8 3806FEFF CALL 008A570C
    008C50D4 E8 C3E4FDFF CALL 008A359C
    008C50D9 8D40 00 LEA EAX,DWORD PTR DS:[EAX]
    008C50DC 0000 ADD BYTE PTR DS:[EAX],AL
    008C50DE 0000 ADD BYTE PTR DS:[EAX],AL

    но при попытке сдампить, пишет что не может прочитать адреса 400000...46AFFF. сам dll грузится c адреса 3A0001, а потом я так понял создается отдельный поток по аресам 008C50DE ?. Так как узнать чего дампить.?
     
  2. _taha_

    _taha_ New Member

    Публикаций:
    0
    Регистрация:
    28 мар 2007
    Сообщения:
    9
    он обходится на раз

    лучше железячки ставь

    а инлайн патчинг не пробовал?
     
  3. _taha_

    _taha_ New Member

    Публикаций:
    0
    Регистрация:
    28 мар 2007
    Сообщения:
    9
    по поводу обхода:

    я предпочитаю PhantOm Plugin

    про inline patching

    http://www.tuts4you.com/blogs/download.php?list.12
     
  4. Piti84

    Piti84 New Member

    Публикаций:
    0
    Регистрация:
    22 мар 2007
    Сообщения:
    18
    дальнейшие исследования показали, что загруженная dll распаковывается, создает отдельный поток, затем передает управление этому потоку и в этом потоке происходит дальнейшая расшифровка. После еще одной расшифровки уже видно место проверки на дебуг. И куда теперь присабачить инлайн патч?
     
  5. HoBleen

    HoBleen New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2007
    Сообщения:
    77
    http://cracklab.ru/art/?action=view&id=288 - инлайн аспака, наверно так будет легче, если нужен еще один инлайн-уровень.
     
  6. Piti84

    Piti84 New Member

    Публикаций:
    0
    Регистрация:
    22 мар 2007
    Сообщения:
    18
    Нашел выход. На EP загруженного длл, поставил retn. И прикол, это сработало. Правда теперь нет связи с Nowell, но зато и антиотладки тоже нет. Ща можно искать, вредные места, патчить, а потом вернуть dll на место.
     
  7. Piti84

    Piti84 New Member

    Публикаций:
    0
    Регистрация:
    22 мар 2007
    Сообщения:
    18
    Теперь можно попробовать выйти перед переходом в другой поток.
     
  8. avtor

    avtor New Member

    Публикаций:
    0
    Регистрация:
    6 авг 2007
    Сообщения:
    1
    Очень интерестно!!!
    Если я правильно понял то вы лекарство делали для Ревизора? Или я ошибаюсь?
    А можно поинтересоваться вылечили?