привет, продолжаю копать iPhoneRingToneMaker...как определить криптор или что-то другое на проге, а то по F9 не запускается(постоянно исключение выбрасывает и не идет дальше никак) прогнал на крипто сингнатуры так вот такое вот выдало ...скрин (http://i010.radikal.ru/0803/0b/8920ccc7f613.jpg)
что из так много и как бороться с этим??? есть какие инструменты по определению крипторов

Вирус тотал =)
Там при проверке файла он пишет чем он упакован =)
Атак прога называется Peid (вроде так)

>> есть какие инструменты по определению крипторов

На проге нет криптора, судя по ep
Или же, на будущее PeId, Protection ID можно скачать тут
http://cracklab.ru/download.php?action=list&n=MzU=

RDG Packer Detector
http://reversengineering.wordpress.com/2007/10/30/rdg-packer-detector-v065-beta/
А криптосигнатуры (если ты имел ввиду их ) можно определить плагином kanal (peid) или как ты делал плагом к ollydbg

Вирус тотал =)
Там при проверке файла он пишет чем он упакован =)
Атак прога называется Peid (вроде так)

имеешь ввиду virustotal.com??? интересный сервис вот отчет (http://www.virustotal.com/ru/analisis/ce38ccf8fa13e4575bfa9fdeaba3d126) ...ничего интересного как по мне...
PEiD на сколько я помню версию пакера определяет, а не криптора...

>> есть какие инструменты по определению крипторов

На проге нет криптора, судя по ep
Или же, на будущее PeId, Protection ID можно скачать тут
http://cracklab.ru/download.php?action=list&n=MzU=

RDG Packer Detector
http://reversengineering.wordpress.com/2007/10/30/rdg-packer-detector-v065-beta/
А криптосигнатуры (если ты имел ввиду их ) можно определить плагином kanal (peid) или как ты делал плагом к ollydbg

да, плагинином к оле плаг (http://www.woodmann.com/collaborative/tools/index.php/SnD_Crypto_Scanner_%28Olly/Immunity_Plugin%29)
меня интерисует другой вопрос почему так так много разных сигнатур плагин определил, запаковывал салькулятор упх-ом смотрел плагином - ни одной сигнатуры и в запакованном и в распакованном виде...здесь в распакованном их чтото очень много
вот хомпага проги (http://www.efksoft.com/products/iphoneringtonemaker/index.htm)
закиньте кто поопытней в олю...подскажите в какую сторону копать...решения готового не нужно, я сам найду..просто подскажите куда двигаться...

ну и? не кажется ли тебе логи4ным, 4то раз в калькуляторе плагин не нашел сигнатур криптоалгоритмов, то логи4но предположить, 4то функционала, их использующего в самом коде файл НЕТ! а в твоем софте, есть, 4то уда4но и показал плагин, мд5 и так далее...для каких целей(контроль целосности, хеширование регистрационных данных или подписи файлов в комплекте софта) - это уже другой вопрос...

постоянно исключение выбрасывает и не идет дальше никак
и что за исключения? вот у меня ни разу ничего не было в плане исключений. приводи примеры, адреса исключений. хотя я более чем уверен что это все из-за кривого дампа. upx -d и проверяй нормально.
ЗЫ: криворукие кодеры. софтина на 1280 на 1024 с 120% шрифтами выглядит жутко убого

1. ок предположим, что крипторов и прочей навесной защиты в файле нет, тоесть все крипто сигнатуры это проделки девелоперов проги...
вот карта памяти (http://i021.radikal.ru/0803/6e/5468fd8888de.jpg) распакованной проги, откуда там упх-ные секции...они при распаковке должны красиво улитучиться...странные другие секции...?????????
2. почему при выполнении в оле зависает на исключении и дальше никак нельзя продолжить работу(шифт ф7-8-9 не помагают вообще..не реагирует отладчик ни на что...и помоему на этом этапе она запускает какойто левый тред..и вот он то думаю и не пускает дальше..может какой антидебажный фокус, хотя олю напичкал от антидебага) ....

2neprovad:
дамп кривой это мало вероятно распаковывал вручую в импреке все функции в таблице импорта распознаны..все путем..ну я разпаковал через -d и щас с ним работаю
может и криворукие..мне нет дела до прямоты их рук...программа интересней

исключение такое вот - Exeption 0EEDFADE Use shiftблаблабла

LAME_ENC это енкодера mp3 а не iphoneringtonemaker.exe модуль, находящий в списке чуть "ниже", после Normalize библиотеки. Секции upx относятся соответственно к dll
upd: скажи последовательность действий чтобы вызвать exception. или же он вызывается сам по себе при загрузке? у меня ни одного exception'а не было. и адреса скажи точные где вызывались exception'ы

откуда там упх-ные секции...они при распаковке должны красиво улитучиться...странные другие секции...?????????

если распаковывал руками, то секции имена секций так и останутся, и вообще изу4ай формат PE, название секции может быть произвольной, секция упх в файле - это только следствие 4то он может быть\был пакован сабжем, но никак не единственновозможный вариант, 4то то4но пакован и то4но упхом


2. почему при выполнении в оле зависает на исключении и дальше никак нельзя продолжить работу
ALt+O -> Exceptions -> ставишь все гало4ки

если распаковывал руками, то секции имена секций так и останутся, и вообще изу4ай формат PE, название секции может быть произвольной, секция упх в файле - это только следствие 4то он может быть\был пакован сабжем, но никак не единственновозможный вариант, 4то то4но пакован и то4но упхом

ALt+O -> Exceptions -> ставишь все гало4ки

устанавливал и раньше...и так и без галочек..не помагает

это понятно..с PE форматом знаком..вот я вообще этот пост и создал чем можно так программу потормошить что понять чем криптована(с упаковкой все понятно)...я так понял опыт со временем подскажет


LAME_ENC это енкодера mp3 а не iphoneringtonemaker.exe модуль, находящий в списке чуть "ниже", после Normalize библиотеки. Секции upx относятся соответственно к dll
upd: скажи последовательность действий чтобы вызвать exception. или же он вызывается сам по себе при загрузке? у меня ни одного exception'а не было. и адреса скажи точные где вызывались exception'ы

процесс такой..гружу в олю разпакованый...сразу ругается на секции что за секцие кода..фиг с ним..дальше стою на EP и нажимаю ф9 и валимся в исключение..вот (http://i011.radikal.ru/0803/e9/5bfe761a87d0.jpg)
нарисовал немного что где и как..думаю понятно будет...не Давинчи правда :D

s0lar

Убери если стоит Always on top [F5] в ollydbg
Заверши диспетчером задач процесс iPhone…..exe
// идет проверка количества запушенных процессов
Убери его из Автозагрузки если прописался.
// завершить процесс iPhone…..exe можно только диспетчером задач
Открывай iPhone…..exe в ollydbg.
Проверка отладчика, судя по импорту идет, но на запуск не влияет.
Отлично запускается и отлаживается.

Проверка ключа через интернет .

s0lar

Убери если стоит Always on top [F5] в ollydbg
Заверши диспетчером задач процесс iPhone…..exe
// идет проверка количества запушенных процессов
Убери его из Автозагрузки если прописался.
// завершить процесс iPhone…..exe можно только диспетчером задач
Открывай iPhone…..exe в ollydbg.
Проверка отладчика, судя по импорту идет, но на запуск не влияет.
Отлично запускается и отлаживается.

Проверка ключа через интернет .

что даст этот олвейс он топ???ну окно наширяется на полную или нет...
по какой апишке в импорте заметил что антидебаг???
все процессы убил проги..загружаю в олю появляется процесс, через таск манагер не получается его грохнуть...грохаю а он в ответ молчит, запускаю потом в оле..все треды присуспенжены типа трай хоть один запустить мож...нажимаю ок..все терминатед...бред какой-то.чото мне думается что-то с машиной не то...у меня..по поводу инет фунций я видел в импорте ..шлет get на сервачок

Always on top - оля будет поверх всех окон.
Если без отладчика iPhone запускается значит у тебя оля глюная.
Попробуй удалить все плагины.
Также попробуй другую версию ollydbg.

чем можно так программу потормошить что понять чем криптована
как ты не можешь понять что программа не криптована?!
она написана на Delphi 7 и просто содержит кое-какие модули реализующие функциональность blowfish, crc и прочее. у тебя проблемы либо с системой либо с olly. попробуй тоже самое сделать все на vmware либо на другом пк.
про "дальше пошел лес" - зачем ты трэйсишь библиотечные вызовы Delphi7? у тебя много времени? эти места прекрасно обходятся по F8 00549D27 call Sysinit@@InitExe$qqrpv
зы: надеюсь больше не будет вопросов про "чем криптовано?"

Always on top - оля будет поверх всех окон.
Если без отладчика iPhone запускается значит у тебя оля глюная.
Попробуй удалить все плагины.
Также попробуй другую версию ollydbg.

ооооо..удалил все плагины, все заработало как по маслу(никаких исключений)...где-то в плагине каком-то партак..проверим..спасибо тебе

2neprovad:
спасибо Друг как всегда помог, уже понял немного что криптовка, а что алго с внутренней реализацией функционала....

копаем дальше....

парни всем спасибо..готово (http://i020.radikal.ru/0803/34/c6283219c9ed.jpg)
трейсить в реальном режиме времени не смог...какая то вроде антидебажная хрень есть в ней..на ощуп можно сказать били :D ...всем ещё раз огромное спасибо за помощь
тему можно закрыть

Closed