Проблема после снятия конветра Guardant

Тема в разделе "WASM.RESEARCH", создана пользователем GroundHog, 7 апр 2010.

  1. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    Снял конверт с Guardant Stealth II, в общем-то при наличии ключа всё тривиально: дамп, восстановление импорта и запуск. Судя по логу, обращение к ключу происходит только при старте, проверяется его наличие.

    Однако в процессе вызова одной нужной функции из сдампленного exe получаю такое исключение: Stack [0012EB14]=77C114BC (msvcrt.77C114BC), ASCII "Access violation - no RTTI data!" ESI=0012EBA8

    Которое ловится стандартным сишным обработчиком программы и пользователю выводится левый MsgBox "Нет места на диске!".

    Подскажите, что я делаю не так и отчего может возникать эта ошибка? msvcrt в испорте, естесственно есть и все функции из неё зарезолвлены.
     
  2. seniour_juggler

    seniour_juggler Member

    Публикаций:
    0
    Регистрация:
    27 дек 2009
    Сообщения:
    35
    Конверт какой конкретно? Версия?
     
  3. assasincore

    assasincore New Member

    Публикаций:
    0
    Регистрация:
    7 апр 2010
    Сообщения:
    55
    Вот и пропатчь в отладчике без распаковки, то и есть на оригинальном(разумеется тот который от разработчиков)...
    Если работает, значит распаковал не удачно... Может лучше онлайн патчинг?
    А может и правда нету места?
     
  4. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    seniour_juggler
    Novex envelope killer 1.41 от infern0 говорит, что 4.46

    assasincore
    А что там патчить? Ф-ю InitPropApp из novex32.dll или написать лоадер, который перехватывает DeviceIOControl?
    Места на диске есть, оригинальный exe с ключем работает к тому же.
     
  5. seniour_juggler

    seniour_juggler Member

    Публикаций:
    0
    Регистрация:
    27 дек 2009
    Сообщения:
    35
    Скорее всего в этом проблема - конверт тот снимается несложно.

    Патчить в конверте ничего не надо, а вот в оригинальном exe может и придется. А вообще, это гадание на кофейной гуще. Приложение в студию.
     
  6. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    Снимал конверт так, как описано здесь: http://www.hackersrussia.org/forum/showthread.php?t=39
    С виду всё нормально было и работало, пока не наступил на грабли, описанные выше. Где ещё можно почитать, как грамотно снять конверт? Например, руками с помощью OllyDbg.

    Пока решил проблему так, может кому-то пригодится:
    При старте программы она 4 раза обращается к ключу с помощью _lopen('\\.\NVKEYNT', ...), _hread(...)
    3 раза возвращаются одинаковые данные, а один раз разные, потому что перед чтением идёт вызов GetLocalTime. Сдампил все возвращаемые значения, написал лоадер с перехватом вышеописанных функций и подсовываю одни и теже валидные значения.

    Недостаток только в том, что на машину придётся всё равно ставить хасповские драйвера и прога стартует не так быстро, как без конверта.
     
  7. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    М-да... понял свою ошибку, технология с дампом будет работать только на одной машине, чтобы работало на другой нужно дампить ответы и там.

    seniour_juggler
    Написал PM с линком на прогу.
     
  8. AlexLain

    AlexLain New Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    3
    Имею проблему описанную GroundHog. Конверт снимал ручками через OllyDbg и PETools. Софтина запускается (без ключа) работает все кроме функций ради которых она собсна и нужна. Так же как и у GroundHog пишет, что не хватает места на диске.
    Подскажите как найти и пропатчить.
     
  9. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    AlexLain

    Вот цитата переписки с человеком, который помог:
    Функция можно легко найти по кроссрефу на GetDiskFreeSpaceExA
     
  10. AlexLain

    AlexLain New Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    3
    Огромное спасибо, все заработало
     
  11. olegkov

    olegkov New Member

    Публикаций:
    0
    Регистрация:
    2 фев 2011
    Сообщения:
    1
    AlexLainAlexLain!не сбросишишь екзешник winпос который ты взломал?очень надо!box2442 собака rambler.ru
     
  12. seniour_juggler

    seniour_juggler Member

    Публикаций:
    0
    Регистрация:
    27 дек 2009
    Сообщения:
    35
    GetDiskFreeSpaceExA не отрабатывает, потому что конверт снят уже. Столько постов по поводу конверта 10-и летней давности и одного вызова в последнюю секцию из пользовательского кода :)
     
  13. AlexLain

    AlexLain New Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    3
    что Вы хотели этим сказать
     
  14. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    Ему просто поговорить не с кем, помощи никакой, одна болтовня и надувание щёк.
     
  15. seniour_juggler

    seniour_juggler Member

    Публикаций:
    0
    Регистрация:
    27 дек 2009
    Сообщения:
    35
    Хотел сказать, что задача очень несложная - достаточно было поставить точку останова на последнюю секцию и посмотреть что там происходит.
    Мы с коллегами очень мило поглумились над всем этим делом, когда увидели что ты прислал :) Сделав соответствующие выводы, мы связались с НПП "Мера", предложив им полноценно использовать возможности Gurdant-овского донгла. Еще требуются какие-нибудь объяснения, почему тебе не стали патчить приложение люди, которые работали и дружили с теми, кто этот конверт 10 лет назад создавал?
     
  16. GroundHog

    GroundHog New Member

    Публикаций:
    0
    Регистрация:
    9 фев 2005
    Сообщения:
    35
    Это отлично Вас характеризует, что скажешь - сначала предложить помощь, а потом искать свою выгоду. Ну, и конечно, да - в интернете все смелые и глумливые :)
    Можете не отвечать, диалог с Вами больше не интересен.

    P.S. Ну и для чистоплюеев, WinPos у меня купленный, по закону что хочу с конвертом, то и делаю, для "обеспечения совместимости с собственным ПО".