Реверсинг. Задай вопрос - получи ответ
 

0x0c0de Спс за тему, давно пора! Вот хотел спросить... Я недавно совсем начал пытаться реверсить, поэтому мало знаю инструментарий, в частности недавно для себя открыл плагин к Ольке Phantom -> очень был рад его результатам... Что есть подобного, которое улучшает и помогает при динамическом анализе программ (плагины или примочки, которые можете посоветовать) в ollyDBG или может есть и интереснее отладчики?

Я ссылку на плагины давала в теме инструменты крекера/реверсера

_http://www.woodmann.com/ollystuph/index.php

Классный плагин AdvancedOllу (там куча опций: багфиксы+скрытие отладчика+опция остановка на тлс калбаках, что помогает при снятии таких протов как экзекриптор), оч рекомендую поставить. От замусоривания кода AnalyseThis. Ну вобщем иди по ссылке и качай. OllyScript ставь ) Это самое необходимое. Ну и HideDebugger.
Ну насчет каких еще отладчиков - мне оля очень нравится, привыкла уже)

У меня программа запускаетья нормально, но если я запускаю филимон или регмон или ольку прога вылетает. А если ее открыть олькой, то олька вылетает сразу же. Что ты мне посоветуешь?

запускаешь прогу и если не будет гвард-тредов, мониторящих в динамике нали4ие "крякерского" софта, то
олька->attach to process и все ок

Или используй проги для пассивного мониторинга как альтернатива RegMon - RegSnap. Можешь еще пропатчить мониторы Regmon&Filemon Window Caption Changer и Regmon & Filemon patchers.
Все тут.

http://wasm.ru/toollist.php?list=17

Еще проскань PeID (DiE или ProtectionID) скорее всего прога чем-то накрыта.

Когда уже выйдет олли 2? :)

Ps Всем пока, я опять уехал :)

Приаттачить неполучаеться. Вылетает и оля и прога.
Пассивный мониторинг недопустим. Нужно отслеживать изменения в реалтайм.

скорей всего антиотладочная защита, посмотри в PEID наличие крипторов...+ иногда при установке ПО (например CloneCD) высвечивается предупреждение что отладчики типа ольки могут некорекктно работать..у меня обычно всё ок, но мало ли...

А протов точно не навешано? Попробуй поставить вышеперечисленные плагины для скрытия дебага (Phantom и OllyAdvanced). И пропатч олю тулзой AntiDetectOlly v2.2.4
Взять можно тут
http://guru-exe.ripgames.org/show.php?page=plugins

Ну и плагины юзай с максимальными опциями.

Ну раз не допустим (?) тогда пропатч мониторы. Ссылка выше.

Alexsize У тебя в Оли антиотладочные плагины стоят??? Которые типо скрывают наличие отладчика в системе. Попробуй плагин Phantom от Hellsp@wn подключить (http://ifolder.ru/3152799). Мне помогло в моих проблемах :)

// Почему бы модерам не подвесить тему к ВАЖНО как в других разделах :confused:

кинь в топик "На взлом" ссылку на прогу, я посмотреть хочу...
P.s. Желательно чтоб прога весила не больше 5-8 метров
P.s.p.s В тему "на взлом" ибо это уже будет касаться, как мне кажется именно того топика....

С такими плугами как OllyAdvanced, HideDebugger (вообщем те которые занимаются тупым патчем) нужно быть осторожнее, ибо палятся в два счета! Думаю обидно будет спалиться от антиотладочного плуга ;)... Примеры? RLPack , если помнишь +) На счет Phantom'ма тоже не все гладко, но он хотябы не палится...

Я уже применил все что вы описали. Прога накрыта Themidoй. Вы летает все равно и прога и отладчик. Можно ли тут что то сделать?

У мя Олька на тсчет Фемиды грит, что Entry Point находится за "кодом" или ет специфический заголовок , типа используется безопасное извлечение или модификация, тк прога точно упакована.

Кароч надо ставить бряки!!

Win32Dasm не ругается на нее)

1.Дизассемблер и отладчик разные вещи.
2.И куда же ты хочешь ставить бряки? =) А главное зачем именно?

>> Я уже применил все что вы описали. Прога накрыта Themidoй. Вы летает все равно и
>> прога и отладчик. Можно ли тут что то сделать?

там заюзан баг с переполнением, выход - пропатчить ольгу...

Как это сделать? Можно поподробнее? Плагины что советовали вверху я уже поставил. Вообще реально расправиться с темидой или мне не стоит вообще возиться?

почитай тут -> http://www.cracklab.ru/f/index.php?action=vthread&forum=6&topic=6215
можно запустить, даже последнюю...

Практикуюсь в распаковке. Распаковываю FSG2.0 и что-то не получается востановить таблицу импорта. Import REconstructor что-то одни инвалиды выдает?
получил OEP ввожу его, нажимаю автопоиск IAT и получаю адресс этой таблицы импорта и размер. AutoTrace ничего не дал :(

может дамп кривой?

http://cracklab.ru/art/?action=view&id=371

почитай тут. как раз твоя проблема рассматривается.
если не получится - зальешь файл на обменник).
хотя в этой статье все подробно до безобразия)

дамп здесь ни при чем. он про импорт говорит. с дампом у fsg вообще проблем нет)

0x0c0de, !_filin_! Респект ребята.
Оказалось адреса Import Adress Table не правильные вписывал, т.е. не я вписывал, а на прогу надеялся! Покапался в памяти распакованной проги нашел в ручную эту таблицу и просчитал размер, ну и потом собрал импорт -> Запустилось :)))

// P.S. Аказывается распаковка не так уж и сложно, CrackLab рулит!!! :)

Привет всем, посоветуйте дизассемблер.
Проблема такая я написал прогй на асме и потерял сурс.
Заранее спасибо.

А что же по памяти никак не восстановить!?Тогда Ida

Иду не каждый скачать может....если что пробуй kWdsm
//гм...если только начал значит потерял сырец от проги которая выводит месседж бокс чтоль?)))
ответ в ПМ кинь лутше...

вопрос решен, спасибо !_filin_!

Меня некоторое время интересует такой вопрос. Есть много книг по асму для начинающих. Там описаны основные инструкции + даны несложные примеры. НО. Так речь идет о дос приложениях и вообще о работе в этой ОС. Так вот. Есть ли литература по асму для вин (не создание интерфейса, о чем рассказано в замечательном туторе Iczelion'a на васме, а работа с файлами, сетевые приложения, что-то полезное для реверсера и тд)?

Справочник по winapi + wasm.
Иногда гугл.
В большинстве случаев помогает.

Есть хорошая книга Г.В. Галисеева Самоучитель. Ассемблер Ibm Pc. Линк не даю, у меня печатный вариант

2Piflit
Книги по асму.
http://forum.antichat.ru/thread31398.html

Вот ещё очень хорошая книжка:
http://bit-bait.ucoz.ru/Manuals/assembler_na_primeraxbazovyy.rar

Название: Ассемблер на примерах. Базовый курс
Автор: Рудольф Марек

Какой способ получения адреса загрузки ядра оптимальнее и актуальнее:
- через PEB.
- через SEH и последующим поиском в памяти сигнатуры "MZ".
- через снятие со стека адресса, при загрузке модуля, и поиском в памяти сигнатуры "MZ".

Может ещё есть какие-нибудь способы получения адреса загрузки ядра, без использования WinAPI (LoadLibrary)?

>>получения адреса загрузки ядра

Вы, наверное, не так выразились. вы имеете в виду определение адреса загрузки или kernel32 или ntdll. Но это никак не ядро. Ядро хранится в файле Ntoskrnl.exe.

Для наибольшей совместимости, адрес загрузки лучше получать через SEH.

Уважаемые гуру реверсинга!

ASProtect 2.1x SKE -> Alexey Solodovnikov?

Есть ли автоматические распаковщики?

Анпакер есть для версии 2.0 аспра...
http://syd.nightmail.ru/stripper.dhtml

Мануалы можно почитать здесь
http://tuts4you.com/search.php?q=Asprotect%252525202.1x%25252520Ske&r= 0&s=Search&in=&ex=&ep=&be=&t=downloads&adv=0

сенкс
 

Не хотелось вручную, но видимо придется.

Спасибо!

писдежь,, для наибольшей совместимости наод брать сигнатуру образа kernel32
с диска иискатьв памяти а через esh никакнебольш ая сивоестимость!

Такая хня с СофтАйсом: у меня под основной Виндой он не работает. Поставил ВМВаре и под ней Виндовс 2000. СофтАйс сразу нормально работал - так шустренько. А потом надоело мне расширение 640-480 вот и поставил драйвера из ВМВаре Толлз.

Сразу же СофтАйс начал жутко тормозить. Задержка между моим действием и откликом - минут 5.

Что посоветуете?

ты изобрел машину времени?)

в статейка как все праивльно и без косяков инсталлить:
http://cracklab.ru/art/?action=view&id=281
да и не юзай 4толе большие разрешения...