Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Asprotect - kako dalje?

[es] :: Zaštita :: Asprotect - kako dalje?

[ Pregleda: 2381 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Asprotect - kako dalje?22.03.2005. u 01:19 - pre 235 meseci
Zastao sam ovde:

Program se zove "Call Corder" i link je:

http://www.voicecallcentral.co.uk/download/callcorder.exe

Pakovan sa:


ASProtect 1.23 RC4 Registered -> Alexey Solodovnikov
-----------------------------------------------------

Uradio sam sve po uputstvu, F9 pa Shift+F9. Na 27-om po redu exceptions-u, program se startuje, te sam se zaustavio na 26-om i zatim Shift+F8. Onda sam sa
trace eip <900000 dosao do:

00461DAA RETN

Ovo sigurno nije OEP, sta da radim, kako da trazim OEP? Do cega sam ovo dosao?

 
Odgovor na temu

LaFarge
LaFarge FauX

Član broj: 17845
Poruke: 316
*.dialup.neobee.net.

Sajt: lafarge.teamicu.org


Profil

icon Re: Asprotect - kako dalje?22.03.2005. u 02:20 - pre 235 meseci
Pa izvrsi RETN sa F8 i vidi gde ces da dodjes
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Re: Asprotect - kako dalje?22.03.2005. u 03:39 - pre 235 meseci
Izvrsio sam, nigde... sve sa ekrana gde su ove komande, nestane i tako stoji a dole pise "pused". Dakle, sta sad da mu radim?

[Ovu poruku je menjao VRKY dana 08.04.2005. u 07:04 GMT+1]
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Re: Asprotect - kako dalje?22.03.2005. u 03:49 - pre 235 meseci
Izvinjavam se, moram da se ispravim, dole pise PAUSED, dakle, proces je stao, pauziran, sta dalje da radim?
 
Odgovor na temu

matovicv
Sarajevo

Član broj: 16662
Poruke: 118
*.as53.sa-ap.bih.net.ba.



Profil

icon Re: Asprotect - kako dalje?22.03.2005. u 10:08 - pre 235 meseci
Idi na adresu i desni klik misa pa na Follow (Enter). Posto nekada nece F8 na XPSP2 a ni na XPSP1.
Probaj, ovo meni uspije.
 
Odgovor na temu

39145nobody

Član broj: 39145
Poruke: 327
*.dial-up.arnes.si.



Profil

icon Re: Asprotect - kako dalje?22.03.2005. u 11:21 - pre 235 meseci
Kad stisneš shift+F9 26X , daj bp na 003C2D0E C3 RETN ; onda još jednom shift+F9 .
Ali daj bp na SEH Handler (meni View -> SEH chain ) i onda Shift+F9

Primer :
Address SE handler
0012FF64 003C2CB4 <--- ovdje !
0012FFE0 kernel32.7C8399F3



[CODE]
003C2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
003C2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; 0012FFE0
003C2CDA 58 POP EAX ; 0012FFE0
003C2CDB 833D 7C6D3C00 00 CMP DWORD PTR DS:[3C6D7C],0
003C2CE2 74 14 JE SHORT 003C2CF8
003C2CE4 6A 0C PUSH 0C
003C2CE6 B9 7C6D3C00 MOV ECX,3C6D7C
003C2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
003C2CEE BA 04000000 MOV EDX,4
003C2CF3 E8 54E1FFFF CALL 003C0E4C
003C2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
003C2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
003C2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] ; unpackme.0040681E
003C2D01 8338 00 CMP DWORD PTR DS:[EAX],0
003C2D04 74 02 JE SHORT 003C2D08
003C2D06 FF30 PUSH DWORD PTR DS:[EAX]
003C2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10] ; unpackme.00400000
003C2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
003C2D0E C3 RETN
[/CODE]


Onda stavi memory bp na code sekcijo.

Inače preberi kak tutorial.
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Re: Asprotect - kako dalje?24.03.2005. u 03:54 - pre 235 meseci
Kad stisneš shift+F9 26X , daj bp na 003C2D0E C3 RETN ; onda još jednom shift+F9 .
Ali daj bp na SEH Handler (meni View -> SEH chain ) i onda Shift+F9


Inače preberi kak tutorial.[/quote]


Hvala na svim odgovorima ali nista ne uspeva. Ovo sto kazes "bp na 003C2D0E C3 RETN", ja ne vidim nigde ovu adresu, ili je to mozda ono oduzimanje od 00400000?

Ako jeste ovako, da li mozes malo vise teoretski da objasnis sta se tu radi, sta znaci onaj SEH Handler i kada se taj bp postavlja?


 
Odgovor na temu

39145nobody

Član broj: 39145
Poruke: 327
*.dial-up.arnes.si.



Profil

icon Re: Asprotect - kako dalje?25.03.2005. u 09:23 - pre 235 meseci
SEH handling

http://www.howzatt.demon.co.uk/articles/oct04.html

http://www.iespana.es/ollydbg/akira.html
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Re: Asprotect - kako dalje?27.03.2005. u 00:04 - pre 235 meseci
nikakve vajde dakle od pomoci u vezi ovoga, pa zar ne moze bar OEP da mi kazete koji je, pa bih imao dalja pitanja... zasto nestaje ekran kad se izvrsi RETN?
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.dialup.sezampro.yu.



Profil

icon Re: Asprotect - kako dalje?27.03.2005. u 03:58 - pre 235 meseci
Izvrsio sam onaj RETN sa Softice-om, i mislim da sam nasao OEP a to je 00460AD0.

Kako sad u OLLY-u da, znajuci OEP a nalazim se na 00461DAA RETN (koji nece da se izvrsi), izvedem da se program zaustavi na OEP-u, da bi mogao da dumpujem, ili ako se u Softice-u nalazim na OEP-u, kako da dumpujem iz Softice-a? Koje su komande i kako podesiti ICEDUMP?



P.S. MR. JACK gde si?
 
Odgovor na temu

39145nobody

Član broj: 39145
Poruke: 327
*.dial-up.arnes.si.



Profil

icon Re: Asprotect - kako dalje?27.03.2005. u 16:38 - pre 235 meseci
Zadnji exception (27 krat shift+F9):


00D13D03 3100 XOR DWORD PTR DS:[EAX],EAX
00D13D05 64:8F05 00000000 POP DWORD PTR FS:[0] ; 00DA6600
00D13D0C 58 POP EAX ; 00DA6600
00D13D0D 833D BC7ED100 00 CMP DWORD PTR DS:[D17EBC],0
00D13D14 74 14 JE SHORT 00D13D2A
00D13D16 6A 0C PUSH 0C
00D13D18 B9 BC7ED100 MOV ECX,0D17EBC
00D13D1D 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00D13D20 BA 04000000 MOV EDX,4
00D13D25 E8 E6D2FFFF CALL 00D11010
00D13D2A FF75 FC PUSH DWORD PTR SS:[EBP-4]
00D13D2D FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00D13D30 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] ; callcord.00540921
00D13D33 8338 00 CMP DWORD PTR DS:[EAX],0
00D13D36 74 02 JE SHORT 00D13D3A
00D13D38 FF30 PUSH DWORD PTR DS:[EAX]
00D13D3A FF75 F0 PUSH DWORD PTR SS:[EBP-10] ; callcord.00400000
00D13D3D FF75 EC PUSH DWORD PTR SS:[EBP-14]
00D13D40 C3 RETN


Meni View -> SEH chain

SEH chain of main thread
Address SE handler
0012FF64 00D13CE6 ; F2 ovdje
00DA6600 41414145

00D13CE6 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C] ; F2 ovdje , onda shift+F9
00D13CEA 8380 B8000000 02 ADD DWORD PTR DS:[EAX+B8],2
00D13CF1 C740 18 00000000 MOV DWORD PTR DS:[EAX+18],0
00D13CF8 31C0 XOR EAX,EAX
00D13CFA C3 RETN


Onda memory bp na code sekcijo:

Memory map, item 23
Address=00401000
Size=0008E000 (581632.)
Owner=callcord 00400000
Section=
Contains=code
Type=Imag 01001002
Access=R
Initial access=RWE



Meni View -> Run trace -> Desni klik -> Log to File . Onda Ctrl+F11 (trace into) .



Break ovdje:
00461DAA \. C3 RETN ;Ovo nije OEP !


Stack Window :
0012FF20 00463ACC RETURN to callcord.00463ACC from callcord.00461D70


Desni klik -> Follow in Disassembler (00461D70 )


Scroll up (samo nekoliko linija , onda Ctrl+A za analizu)


Ovo je OEP (00463AC0) :

00463AC0 00 DB 00
00463AC1 00 DB 00
00463AC2 00 DB 00
00463AC3 00 DB 00
00463AC4 00 DB 00
00463AC5 00 DB 00
00463AC6 00 DB 00
00463AC7 . E8 A4E2FFFF CALL callcord.00461D70
00463ACC . BF 94000000 MOV EDI,94


Imamo 7 stolen bytes -> tako da se radi o MS visual C++ v6 ili v7 programu.

Ukradeno bajti su nešto kao ovako (calc.exe na win xp):
01012475 > 6A 70 PUSH 70
01012477 68 E0150001 PUSH calc.010015E0


Ovo so pravi bajti (dobio sam jih iz trace log fajla "rtrace.txt" ) :
00DA7B12 Main PUSH 60 ; ESP=0012FFA0
00DA7B14 Main PUSH 4A0DA8 ; ESP=0012FF9C
Prikačeni fajlovi
 
Odgovor na temu

Dragasin

Član broj: 37979
Poruke: 51
*.vdial.verat.net.



Profil

icon Re: Asprotect - kako dalje?08.04.2005. u 01:46 - pre 234 meseci
hosiminh,


Hvala na svemu, malo cu vise trebati da poradim na ovim uputstvima sto si mi dao, ali nemoj da obrises jos program, imam jos nesto drugo da te pitam, nemam sad vremena, pa cu sutra.
 
Odgovor na temu

[es] :: Zaštita :: Asprotect - kako dalje?

[ Pregleda: 2381 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.