Dwarbot-что за зверь?

Тема в разделе "WASM.RESEARCH", создана пользователем Vlhrt, 2 окт 2007.

  1. Vlhrt

    Vlhrt New Member

    Публикаций:
    0
    Регистрация:
    2 окт 2007
    Сообщения:
    19
    В запросах на взлом на краклабе неоднократно появлялась вот эта штука: http://gamehatsker.net/dwarbot.exe,и почему-то всеми участниками игнорировалась.Я скачал,решил посмотреть.При запуске,даже не под отладчиком появляется мессаджбокс с надписью "шо смотришь урод?" и все..(как он понимает,что не просто так его запускают?)Оллидебагер дохнет,даже не грузит,если поставить окно с дизасм >10-15 строк,т.е. есть некоторый кусок кода,при попытке отображения которого олли слетает,ну а при запуске под олли,при включенном оллиадвансед,пишет, что под отладчиком..И еще: если во время появления мессаджбокса приаттачиться то после нажатия ок и возврата в главный модуль в стеке видна строка "procmon",котрый у меня стоит,но во время запуска дварбота он не запущен.К сожалению все версии софтайса со всеми патчами и способами настройки которые я смог найти вызывали bsod при запуске, может,софтайс сказал бы чего-нибудь более содержательного =).Может кто-нибудь знает,как реализовывается защита от чтения куска кода, при компиляции; ну и вообще может интересно будет посмотреть как и что в нем работает,а потом поделиться мыслями..
     
  2. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    IDA в зубы и вперед. В чем проблема?
     
  3. Vlhrt

    Vlhrt New Member

    Публикаций:
    0
    Регистрация:
    2 окт 2007
    Сообщения:
    19
    А, сорри, забыл сказать, что сам файл покриптован/упакован, видимо вручную,peid молчит, расшифровывает прямо перед исполнением т.е. прямо на глазах код меняется, я трассировал сколько хватило терпения, а потом, появилась длинная цепочка исключений, еще до расшифровки всего кода(там "мусора" много еще остается)которую "добить" не смог(так что видимо IDA не помощник, или я не до конца представляю возможности Великого_И_Всемогущего_Дизассемблера ? ),если просто под отладчиком запускать,то до появления сообщения об "отлаживании" только одно исключение возникает,тут видимо какя-то основная фишка,но опыта/знаний видимо пока не хватает,чтобы разобраться что там, да как.Может кто нибудь подскажет, что там происходит,или ссылочку кинет, что можно прочитать,чтобы самому разобраться,заранее сенкс =)Ну а еще интересно,как эта штука с запретом на чтение(?) может реализовываться.
     
  4. twgt

    twgt New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2007
    Сообщения:
    1.494
    Vlhrt
    Ну там либо Аспр, либо Арма, либо, что ещё хуже Фемида.
    Скачай PeTools by NEOx с ExtremeDumper, запусти это бот (просто дабл клик) и сделай дамп, потом попробуй что-нибудь посмотреть в дампе IDA'ом.
     
  5. Vlhrt

    Vlhrt New Member

    Публикаций:
    0
    Регистрация:
    2 окт 2007
    Сообщения:
    19
    Скачал, дампил с ExtremeDumper'ом и без, а в дампе тока РЕ-заголовок, а остальное -- нули. А еще там(в смысле вообще) небольшая секция без имени,и видимо секция с кодом,с неблагозвучным названием Otsosi. Может руки у меня кривые?
     
  6. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    ну если уж участниками-профи игнорируется, может не стоит братся?
    в крайнем случае если там навешана антиотладка и антидамп, то лучше сядь за анализ алгоритма раскриптовки/расапковки.
     
  7. DeGlucker

    DeGlucker New Member

    Публикаций:
    0
    Регистрация:
    19 сен 2002
    Сообщения:
    28
    PEID 0.94 пишет: Themida 1.8.x.x -> Oreans Technologies
     
  8. twgt

    twgt New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2007
    Сообщения:
    1.494
    Да ими что-то, в последнее время, всё игнорируется :/
     
  9. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    twgt
    наверное играются в какую-нибудь игрушку :)
    ИМХО cracklab для таких целей
     
  10. twgt

    twgt New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2007
    Сообщения:
    1.494
    t00x
    Vlhrt
    это так и есть
     
  11. Anonymous

    Anonymous New Member

    Публикаций:
    0
    Регистрация:
    7 сен 2006
    Сообщения:
    24
    Это .NET прога под TheMida, olly и IDA тут не помогут
    Тут нужно разбираться в .NET Framework, JIT, тулзы писать и проч.
    Дешевле купить лицензию (вроде 25$)
     
  12. Vlhrt

    Vlhrt New Member

    Публикаций:
    0
    Регистрация:
    2 окт 2007
    Сообщения:
    19
    Сенкс, прога-то мне не нужна, я хотел с защитой разобраться, peid мой молчал, подумал вручную закриптована, и не предлагает ничего, даже при обычном запуске, потому что как-то детектит установленные тулзы.Ну а если это .NET-прога,то неинтересно(читай: вообще никогда в них не ковырялся и не знаю что там и как работает =)А может тогда кто-нибудь подскажет или ссылку даст,как themida делает, что отладчик вылетает, если пытаться им просматривать определенный кусок адресного пространства процесса? Причем, если смотреть в дампе,то все ОК, но как только в дампе же ставишь не аcsii, а disassemble, олли молча дохнет..
     
  13. Bugg

    Bugg New Member

    Публикаций:
    0
    Регистрация:
    7 окт 2007
    Сообщения:
    1
    Получится, пиши )