 |
|
21.07.2009, 10:11
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
2 Neprovad
просто я думал что от этого и прога зависает.А как найти эти vm переходы ?
|
|
|
21.07.2009, 10:14
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
2 Neprovad
а как эти переходы находить ???
|
|
|
|
21.07.2009, 10:21
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами:
9769287
Репутация:
711
|
|
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе
Последний раз редактировалось neprovad; 21.07.2009 в 10:28..
|
|
|
|
21.07.2009, 10:32
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
Neprovad
Ставил бряки на секцию с Themida
срабативает на 00E9B003 50 PUSH EAX
|
|
|
|
21.07.2009, 10:35
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
и вообще по адресу 0x0439347 у меня F4
|
|
|
|
21.07.2009, 10:46
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
Neprovad
нашел.
CALL FAR FFB2:5DE94DD2
DEC DWORD PTR DS:[EDI+5C680037]
А откуда копировать ???
|
|
|
|
21.07.2009, 10:58
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами:
9769287
Репутация:
711
|
|
Сообщение от cryptX
и вообще по адресу 0x0439347 у меня F4
это потому что запустил ПАКОВАННУЮ версию программы
когда распаковка у themida заканчивается то по этому адресу будет переход как я и говорил
p.s.
не пиши по несколько сообщений подряд, модераторы это не любят  если есть что дополнить исправь предыдущее сообщение
Последний раз редактировалось neprovad; 21.07.2009 в 11:00..
|
|
|
|
21.07.2009, 11:09
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
Сообщение от neprovad
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе У меня ключик уже есть,только не могу разобратся с vm. 
Neprovad а именно сколько байтов копировать ???
Последний раз редактировалось cryptX; 21.07.2009 в 11:14..
|
|
|
|
21.07.2009, 11:53
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
С нами:
9769287
Репутация:
711
|
|
потрассируешь и поймешь чего не хватает, одна часть вмки уже была мной прикреплена
|
|
|
|
21.07.2009, 14:12
|
|
Познающий
Регистрация: 02.09.2008
Сообщений: 38
С нами:
9309584
Репутация:
0
|
|
Neprovad
что то у меня не получается...
Сколько байтов с 0x0439347 копировать ???
И как узнать где заканчивается секция ?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
