В запросах на взлом на краклабе неоднократно появлялась вот эта штука: http://gamehatsker.net/dwarbot.exe,и почему-то всеми участниками игнорировалась.Я скачал,решил посмотреть.При запуске,даже не под отладчиком появляется мессаджбокс с надписью "шо смотришь урод?" и все..(как он понимает,что не просто так его запускают?)Оллидебагер дохнет,даже не грузит,если поставить окно с дизасм >10-15 строк,т.е. есть некоторый кусок кода,при попытке отображения которого олли слетает,ну а при запуске под олли,при включенном оллиадвансед,пишет, что под отладчиком..И еще: если во время появления мессаджбокса приаттачиться то после нажатия ок и возврата в главный модуль в стеке видна строка "procmon",котрый у меня стоит,но во время запуска дварбота он не запущен.К сожалению все версии софтайса со всеми патчами и способами настройки которые я смог найти вызывали bsod при запуске, может,софтайс сказал бы чего-нибудь более содержательного =).Может кто-нибудь знает,как реализовывается защита от чтения куска кода, при компиляции; ну и вообще может интересно будет посмотреть как и что в нем работает,а потом поделиться мыслями..
А, сорри, забыл сказать, что сам файл покриптован/упакован, видимо вручную,peid молчит, расшифровывает прямо перед исполнением т.е. прямо на глазах код меняется, я трассировал сколько хватило терпения, а потом, появилась длинная цепочка исключений, еще до расшифровки всего кода(там "мусора" много еще остается)которую "добить" не смог(так что видимо IDA не помощник, или я не до конца представляю возможности Великого_И_Всемогущего_Дизассемблера ? ),если просто под отладчиком запускать,то до появления сообщения об "отлаживании" только одно исключение возникает,тут видимо какя-то основная фишка,но опыта/знаний видимо пока не хватает,чтобы разобраться что там, да как.Может кто нибудь подскажет, что там происходит,или ссылочку кинет, что можно прочитать,чтобы самому разобраться,заранее сенкс =)Ну а еще интересно,как эта штука с запретом на чтение(?) может реализовываться.
Vlhrt Ну там либо Аспр, либо Арма, либо, что ещё хуже Фемида. Скачай PeTools by NEOx с ExtremeDumper, запусти это бот (просто дабл клик) и сделай дамп, потом попробуй что-нибудь посмотреть в дампе IDA'ом.
Скачал, дампил с ExtremeDumper'ом и без, а в дампе тока РЕ-заголовок, а остальное -- нули. А еще там(в смысле вообще) небольшая секция без имени,и видимо секция с кодом,с неблагозвучным названием Otsosi. Может руки у меня кривые?
ну если уж участниками-профи игнорируется, может не стоит братся? в крайнем случае если там навешана антиотладка и антидамп, то лучше сядь за анализ алгоритма раскриптовки/расапковки.
Это .NET прога под TheMida, olly и IDA тут не помогут Тут нужно разбираться в .NET Framework, JIT, тулзы писать и проч. Дешевле купить лицензию (вроде 25$)
Сенкс, прога-то мне не нужна, я хотел с защитой разобраться, peid мой молчал, подумал вручную закриптована, и не предлагает ничего, даже при обычном запуске, потому что как-то детектит установленные тулзы.Ну а если это .NET-прога,то неинтересно(читай: вообще никогда в них не ковырялся и не знаю что там и как работает =)А может тогда кто-нибудь подскажет или ссылку даст,как themida делает, что отладчик вылетает, если пытаться им просматривать определенный кусок адресного пространства процесса? Причем, если смотреть в дампе,то все ОК, но как только в дампе же ставишь не аcsii, а disassemble, олли молча дохнет..
