такс такой вопросик короче bpm esp-24 ну это понятно оказываемся на команде pop ebp дальше куча мусора и метаморфозы (я так по крайней мере думаю) но не это важно важно то что после этого мусора мы попадаем в прогу на jmp опять в asp тама
push ebp
mov ebp,esp
mov eax,[ebp+08]
push eax
call getmodulehandlea
pop ebp
и типа ret в прогу но там далеко не начало проги а что типа этого
mov [006b3668],eax
mov eax,[00683668]
mov [006ad0cc],eax
xor eax,eax
mov [006ad0d0],eax
xor eax,eax
mov [006ad0d4],eax
call 00546db4
mov edx,006ad0c8
mov eax,eax
call 00544564
pop ebx
ret
так вот чето я такого не видел и все мои попытки востановить краденные байты увенчались провалом скорей всего я их просто не правильно востановил кстате вот как сдесь востанавливать тоесть после esp-24 идет что то вроде краденых байт а размер у этого участка кода просто огромный короче я вот не могу понять если мы востановим краденые байты из метаморфоз (потомучто в явном виде их нету) то получится что мы пропустим код приведенный выше и getmodulehandlea. Я пробовал прям из метаморфоз ret'ом перенестись на типа oep результат прога сваливалась. Я распаковывал проги с этим же asprotectom там было вообще все подругому что то типа esp-24 и метаморфозы потом идет push oep и ret в прогу а тут вообще откровенный бред может кто то сталкивался. Да и ище дамп падает при попытке обращения к участку памяти. Тоесть в дампе там ???????? а в проге память забита данными я пробовал то что советовал HEX (брать дамп сразу после создания импорта) все равно падает на этом же месте я уже пробовал обходить эти места но их там просто немерено сразу понятно что что то нетак но вот я не могу понять в чем трабл кто сталкивался с данной проблемой если решения для этого

P.S. кстате солодовников не плохо придумал с мусором в таблице импорта и importrec стал ошибочно находить IAT я конечно все в ручную нашел и востановил с IAT все нормально остается с дампом разобратся жду советов по этому поводу
P.P.S. да и еще вопрос правда к этому не отнносится блин как связатся с админами reversing.net блин уже месяц назад им отправил письмо о регистрации не ответа ни привета пробую зайти пишет мол нету такого пробую зарегать пишет что типа мыло уже в базе типа зареган пишу вспомнить пароль пишет что не знает такого блинннннн че за фигня

angel_aka_ks

По поводу администраторов реверсинга. Естественно, я их знаю. Естественно, мы в нормальных хороших отношениях. Но только беспокоить anest'a ради того, что тебе мыло сменить лень - это чересчур. Заведи себе новый нормальный ящик и зарегистрируйся на нем, всего делов!

volodya а поповоду верхнего вопроса не чего сказать неможешь сталкивался с этим ???

angel_aka_ks

Начало краденых байт в той проге что я сейчас смотрю начинается
с кода:

push ecx
push eax
call XXXXXXXX
POPAD
jmp XXXXXXXX  ;прыжок на полиморф, в котором и зарыты
              ;стыреные байты

Дальше идёт полиморф, о котором HEX писал, но в моём случае
он имеет просто громадный размер, но другого способа как только
трассировать вручную и записывать на бумажку код я не вижу,
разве что какой нить трейсер применить чтоб дизассемблированный
листинг получить, но я что-то такой тулзы не знаю.

В моём случае я наверно попробую схалтурить немного, вытащив
код из предыдущей версии этой проги, авось пронесёт :-)

Asterix :))))) ты юзал esp-24 ??? слушай вот вопрос назрел не могу некак понять почему из полиморфорного кода мы прыгаем в прогу потом опять в аспр тама юзаем getmodulehandlea потом опять в прогу пробегаемся по нелепому коду и опять в прогу только на этот раз уже туда куда надо зачем все это делается я вот не могу понять ну допустим getmodule мы юзаем для загона в eax imagebase какой смысл в этом ??? и кстате видел как IAT засрана :)))) но как бы солодовников не старался все равно все ставится на место за 5 минут :)))) а о полиморфорном коде у меня таже беда тоже размер огромный мда опять на помощь приходит ручка голова и бумажка пошел писать :))))))))

angel_aka_ks

Вот вот, пиши, у меня как я и говорил, спертые байты в точности
как в предыдущей версии проги, которая запакована предыдущей
версией АСПра и легко всё находится, но я всёж протрассировал
этот полиморф-метаморф, чтоб убедиться в правильности предположения,
как оказалось я был прав, изменился только один DWORD :-))

Насчёт захода опять в АСПр, думаю придётся дампить эти куски,
а может нопить, потом посмотрим, у меня тоже оно есть.

Asterix такс я пробежался по полиморфорному коду и что самое удивительное разобрался в том что прога делает короче почему полиморфа так много очень просто ты наверное заметил что допустим один кусок кода меняет регистры стек и т.д. а следующий кусок кода ставит все на место тоесть из-за этих приколов этого полиформа так много вот еще короче если смотреть на стек в момент когда прога проходит по этому участку кода
mov [006b3668],eax
mov eax,[00683668]
mov [006ad0cc],eax
xor eax,eax
mov [006ad0d0],eax
xor eax,eax
mov [006ad0d4],eax
call 00546db4
mov edx,006ad0c8
mov eax,eax
call 00544564
pop ebx
ret
происходит забавная вешь тоесть к примеру в стеке лежали адресса аспра в моем случае 0133xxxx а после call 00544564 появляются адресса проги тоесть к примеру 006xxxxx короче осталось посмотреть как и с чем дамп загружается и главное стек глянуть еще набратся смелости и расшифровать весь полиформ я узнал на чем прога написсана в моем случае это дельфи вот только не знаю HEX писал что типа в дельфях начало не большое типа
push ebp
mov ebp,esp
add esp,xx
mov eax,xxxxxxxx
call - иницилизация файла так вот в моем случае вообще непонятки получаются так как прога выходит к oep а там
mov eax,xxxxxxxxx
mov eax,[eax]
call - далеко не иницилизация
дальше call loadicon - мда чето нето получается не ужели аспр взял на себя иницилизацию ??? :/ если так то это плохо короче пошел копать может что то и выдет кстате на чем твоя прога написанна ????

angel_aka_ks

Я свою прогу уже распаковал, но не совсем, т.е. в любом другом
случае этого было бы достаточно, но в этой проге используется
эмуляция(целых 10(!) функций), не путать с эмуляцией в IAT.
Написана прога на Delphi.
Спёртые байты такие(листинг из HiEW):

55                           push        ebp
8BEC                         mov         ebp,esp
83C4EC                       add         esp,-014 ;"¶"
53                           push        ebx
56                           push        esi
57                           push        edi
33C0                         xor         eax,eax
8945F0                       mov         [ebp][-10],eax
8945EC                       mov         [ebp][-14],eax
B83C394A00                   mov         eax,XXXXXXXXX

Asterix да 10 это круто че думаешь делать ???
у меня короче проблема со стеком короче слишком много параметров забивается в стек в аспре а кода пускаешь дамп то само собой он невидет этих параметров черт вот щас сижу думаю че делать кстате начало в дельфи поидее одинаковое ??? и кстате что у тебя идет после mov eax,xxxxxxxx
call инит ехе ?????

[ angel_aka_ks: Asterix да 10 это круто че думаешь делать ??? ]

Думаю заломаю :-)))

[ angel_aka_ks: кстате что у тебя идет после mov eax,xxxxxxxx
call инит ехе ?????]

Да, там дальше CALL, внутри которого GetModuleHandleA, причём
не эмуляция самой GetModuleHandleA, а именно уже восстановленный
CALL GetModuleHandleA.

Asterix где же мене getmodule надыбать не лепо вписать чтоль его хмм.... блин ты кстате говорил что у тебя такая же ерунда вплане приколов аспра тоесть типа ах протектора в прогу потом в протектер потом на нелепый участок и только потом уже на OEP признавайся как победил :)))???
кстате у тя такого небыло
mov eax,[eax+000000xx]
а по одресу eax+000000xx лежит ??????? тоесть прога просто валится и все тут кстате с какого места дамп брал на OEP или после создания импорта ????

Asterix короче я нашел че куда понял че забред творился короче расказываю помнишь я говорил getmodule потом на какой то код и на OEP так вот кода я залес в дамп то заметил удевительную вещь коорче прога если с пакером то идет на команду mov eax,xxxxxxxx так вот в дампе перед этим местом подозрительный call xxxxxxx и вот в этом call все встает на свои места так как там код приблизительно следужщий
push ebp
mov ebp,esp
mov eax,[ebp+08]
push eax
call getmodulehandlea
mov [006b3668],eax
mov eax,[00683668]
mov [006ad0cc],eax
xor eax,eax
mov [006ad0d0],eax
xor eax,eax
mov [006ad0d4],eax
call 00546db4
mov edx,006ad0c8
mov eax,eax
call 00544564
pop ebx
ret
тоесть получается все вместе если этот call оставить то все на место встает кстате этот call и есть иницилизация ехе хе а я его прям обыскался значит осталось разобрать байты
P.S. спасибо тебе за советы :))))) и раскажи че про эмулировал функции или нет ???????
P.P.S. кстате в моем случае размер полиформного кода 896 байт :))))

хе хе я разобрался во всех траблах гы гы гы короче ща только стек вырорвняю и все будя ок
P.S. если интересно то могу написать че в полиформном коде творится блин все так просто блин нету слов не смотря на то чторазмер полифорного кода большой все там просто блиннннннн клево блин хитрая чтука конечно но блин ночку посидел и 896 байт расказали мне всю правду :))))))))))))
P.P.S. ты то сам как скрутил свою прогу ?????

angel_aka_ks

Пока нет, но прога ругается уже в 5(!) раз меньше :-), т.е. только
два окошка с ругательствами при старте.