Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› Aspr 2.1 SKE VM
Посл.ответ Сообщение

Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 23 ноября 2005 21:52 · Поправил: Styx
· Личное сообщение · #1

Борюсь с этой дурью

Мне в общем интересно узнать как удобнее её победить.

Я вот начал сначала просто по ВМ шататься и 8 ф-ций востановил.

Потом из-за того, что зачастили Error 115, выписал там адресок один на который можно стать без еррора и близко уже к возврату в прогу. И начал просто все обращения к ВМ записывать (у меня адрес был 1390000). Заметил, что при повторном вызове тех же функций ВМ не вызывается, посмотрел внутри и понял, что после 1-го выполнения получить имя функции будет намного проще.

Ето я так извращался, а как вы поступаете в таком случае? Ведь функций дофигиЩа!!! Не лабать же по всей проге! Как бы ето дело автоматизировать? можно ли вм дурить, т.е. передавать ей что-нить или вызывать с определённого адреса чтоб она преобразования сделала? В общем делитесь экспой (:

-----
Crack your mind, save the planet




Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 24 ноября 2005 05:47
· Личное сообщение · #2

Я со скриптом экспериментирую. И прежде, чем разбирать прогу, сначала собираю общую информацию. В каких заалоченных областях находятся вызовы ВМ, сколько их и сколько таких областей? Ну и так далее.



Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 24 ноября 2005 18:19
· Личное сообщение · #3

А как потом этот импорт пришить к дампу? Я как заметил, то вроде, функция вызывается только в одном месте, т.е. может быть 2 вызова 1-й апи, но они будут поразному с эмулированы, так ли это или я у меня уже глюки от недосыпания?

-----
Crack your mind, save the planet





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 ноября 2005 23:06
· Личное сообщение · #4

а почему топик про VM, а говорят в нём про импорт ? =)

Styx пишет:
Я как заметил, то вроде, функция вызывается только в одном месте, т.е. может быть 2 вызова 1-й апи

все вызовы идут в одну процедуру, которая в зависимости от переданных параметров (адрес возврата и т.п.) выбирает апи.

PS импорт уже обсуждался неоднократно... и вм кста тоже )



Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 25 ноября 2005 18:04
· Личное сообщение · #5

Mario555
Сплю мало, мысли мешаются (: я потом понял да поздно было править, название темы то не сменишь...

-----
Crack your mind, save the planet




Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

Создано: 25 ноября 2005 18:17
· Личное сообщение · #6

Mario555
а параметром для этой ф-ции является только место вызова или ещё что-то? Я ведь не могу всю прогу искликать, что бы вызывать неизвестные апи? И как собрать все вызовы 1390000, IDA в этом деле помогла не до конца и олли ведь тоже не всегда интерпретирует команды как хотелось бы...

-----
Crack your mind, save the planet




Ранг: 62.9 (постоянный)
Активность: 0.020
Статус: Участник

Создано: 25 ноября 2005 19:32
· Личное сообщение · #7

Styx
А ты не пробовал просто потрассировать процесс ресолвения импорта? Проследи как аспр это делает, и ты увидишь кучу возможностей получить импорт не "искликивая" программу.



Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 26 ноября 2005 11:10
· Личное сообщение · #8

Styx пишет:
А как потом этот импорт пришить к дампу?

Так вопрос по импорту? Так ведь этот вопрос уже обсуждался на форуме. Есть скрипт, немного его подправляешь и вперед. Примерно 90% адресов АПИ-функций он вытаскивает и пишет их в пустое место. Потом дампишь прогу и импреком восстанавливаешь импорт. Я так делал. Остальной импорт восстанавливал руками.


 [email protected] —› Протекторы —› Aspr 2.1 SKE VM
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати