Здравствуйте все! Попросили тут поковырыть одну программку, а на ней yoda's Protector 1.02. Я пока лоадер сделал товарищу, но стало самому интересно как эту хреновину снять. Полазил в сети. Нашел туторы по снятию версии 1.03. Как я понял ничего сложного там особо нет. Патчим все АРI-функции, которые мешают отладке и тассировке; ставим бряк на доступ к первой секции; и в общем-то все. А вот в версии 1.02 у меня такого нет. Отладчик она не закрывает, клаву и мышь не блокирует (в оле всякие плагины, типа ollyadvanced, OllyInvisible и т.д.). Может это и не yoda's Protector, но очень похоже. EP: Код (Text): 004E4288 > $ E8 03000000 CALL ProPoste.004E4290 004E428D . EB 01 JMP SHORT ProPoste.004E4290 004E428F C2 DB C2 004E4290 $ BB 55000000 MOV EBX,55 004E4295 . E8 03000000 CALL ProPoste.004E429D 004E429A . EB 01 JMP SHORT ProPoste.004E429D 004E429C E9 DB E9 004E429D $ E8 8F000000 CALL ProPoste.004E4331 004E42A2 . E8 03000000 CALL ProPoste.004E42AA 004E42A7 . EB 01 JMP SHORT ProPoste.004E42AA А вот названия секций: Код (Text): Memory map Address Size Owner Section Contains Type Access Initial Mapped as 00010000 00001000 Priv RW RW 00400000 00001000 ProPoste PE header Imag R RWE 00401000 00081000 ProPoste code Imag R RWE 00482000 0001F000 ProPoste code,data Imag R RWE 004A1000 00008000 ProPoste code Imag R RWE 004A9000 0003B000 ProPoste .rsrc code,resourc Imag R RWE 004E4000 0004A000 ProPoste .RS code,imports Imag R RWE При запуске в отладчике прога падает с ошибной о неверном EIP. Похоже какие-то замуты с SEHом. Если кто-нибудь знает ссылки на туторы по снятию сего протектора версии 1.02, поделитесь, пожалуйста. Скрипт к Оле по нахождению ОЕР от dqtln каждый раз попадает в разные места. Lame unpacker for Yoda Protector Version 1.02 тоже пишет, что это не Йода. Оригинальную прогу можно скачать здесь (1,1 Мб)
Прошу прощения... А как? После запуска под отладчиком у меня Оля выдает сообщение об ошибке. "Don`t Know how to bypass command at address 004E43E9. Try to change EIP or pass exceptions to programm" Расскажи, пожалуйста как ты это распаковал.
Hellspawn Пробовал тоже. Прога останавливается на таком месте: 004E4420 DF26 FBLD TBYTE PTR DS:[ESI] а потом терминатится.
Вроде да... Стоит OllyInvisible, HideDebugger, IsDebuggerPresent, ollyadvanced. В комплекте с Олей шли плагины и тесты для их проверки. Все эти тесты показали, что они Ольку не видят.
дожили... не можем распаковать бодягу саму простую. Sturgeon, с вас 5 WMZ патч: 004189B3: 74 -> EB распакованый файл: http://rapidshare.com/files/10793277/Dumped_.rar.html файл обязательно в папку с программой положить, т.к. язык грузит, а регаемся на любую инфу: имя > 8 символов, сериал = 32 символа
Avoidik Э, нет, геноссе! Сломать, то я ее сломал. Правда не так как ты. Я же писал про лоадер. А вот распаковать... Причем научиться самому, а не взять готовый распакованный файл, вот это интересно. Не дружу я пока с пакерами и протами З.Ы. Я сейчас на работу ухожу, дня на четыре. Так что если я не смогу отвечать в ближайшее время, это не значит, что я бросил тему. Для меня это очень интересно.
Avoidik Нет, конечно! Смиренно прошу Или хотя бы ссылку на тутор. Неужели не существует тутора по снятию этой версии? Я, правда, не нашел Лучше всего, конечно не тутор, а, так сказать, пинок в нужном направлении, чтобы я сам все-таки попробовал додуматься. Эх... попробую сейчас на reversing.be зарегаться и там спросить.
Допер!!! Сам!!! А вот мой собственный маленький тутор. Запускаем прогу. Проходим все int3 с помощью шифт+Ф9, пока не остановимся в таком месте: Код (Text): 004E658B /EB 01 JMP SHORT ProPoste.004E658E 004E658D |C3 RETN 004E658E \0000 ADD BYTE PTR DS:[EAX],AL --- мы здесь 004E6590 0000 ADD BYTE PTR DS:[EAX],AL 004E6592 0000 ADD BYTE PTR DS:[EAX],AL 004E6594 0000 ADD BYTE PTR DS:[EAX],AL Теперь ставим мэмори бряк на секцию кода и проходим последнее иключение по шифт+Ф9. И, тиа, мы на ОЕР Дампим. Находим импорт с помощью Import REConstructor. Некоторые функции не распознались, по ним надо пройти Trace Level1(Disasm). Прикручиваем импорт к дампу. Готово!!! З.Ы. Извините за флуд, но не смог удержаться. Совершил маленький подвиг! З.З.Ы.Avoidik Так? или нет? у меня работает
я немного не так делал, во-первых мою олю нашел этот пакер через простую проверку, я её пропатчил, потом пропатчил magic-jump и получил чистый импорт и далее все... ботва да и только
А можно все-таки поподробнее. Про проверку и про magic-jump. Что-то типа мини-тутора. Я, естественно, не требую Но буду благодарен если ты не посчитаешь за труд описать свой ход распаковки. Я пока только учусь реверсить. Поэтому мне особенно интересен ход мыслей более опытных товарищей.
Интересные Подробности : при сканировании PeID показал наличие CRC и SHA,при внимательном осмотре,видм такую строку - "........test team......" хешируем SHA1 ->на выходе b3a8d61039428d4653ee25101c73349d1b90f839fcdd4552b0ade532910875b7 обрезаем до 32(20 байт) символов наша регистрация: test team серийник b3a8d61039428d4653ee25101c73349d По-моему дыра
