softice

У меня такая проблема.
Я встречаюсь уже не первый раз с дисками от 7Wolf и там есть такой переход jmp 0094105C после GetDriveTypeA
и если его поменять в нескольких местах , то игра идёт без диска.
Проблема в точ , что в Soft Ice одни адреса а в редакторах (Hiew) их вообще
нет. Говорят происходит смешение в адресах. Но я ничего об этом не знаю. И при
загрузке Hiew говорит import data strgne
что
это значит.
Немогли бы Вы расказать как увидить адреса отображаемые в SoftIce в
Hiew
И как создаються такие ехе фаилы. Какую литературу и где можно скачать ,
чтобы познакомиться с этим поближе. Извените но без вас ничего найти и понять не могу.
[email=][/email]slonstudio@mail.ru[/u][u]

Для этого есть проги вроде VA2FO, RVA Converter и т.п.

А ещё, вместо виртуального адреса, проще искать по сравнительно длинной последовательности байт (5 - 10 байт) из сайса в хексвюере, т.е. "запоминаете" последовательность байт в сайсе, открываете hiew и find'ом ищете эту самую последовательность, а потом fix'ете :)

Может файл запакован\закриптован чем
и импорт попросту запорчен? :)

Файл был запауован, я распокавал. А насчет по сравнительно длинной последовательности байт, обьясните ещё . Я понял надо в сайсе запомнить последовательность байт потом в нех найти их, но хексы говорят НИЧЕГО НЕНАЙДЕНО - почему ?

Забыл!
Как пользоваться VA2FO, RVA Converter программами?
Я просто первый раз встретился с ними.
Покажите пожалуйста на примере Я буду очень РАД и ПРИЗНАТЕЛЕН ВАМ!!!

Как пользоваться VA2FO, RVA Converter программами?
VA - это виртуальный адрес (сайсовый).
FO (File Offset) - это адрес в файле (хексовый).
В сети должны быть и туториалы, где-то видел... Но данные утилиты отдыхают перед запаковаными файлами.

но хексы говорят НИЧЕГО НЕНАЙДЕНО - почему ?
Так файл ведь запакован. Кстати, запакован чем? Подход зависит от упаковщика. Некоторые примитивные пакеры распаковывают весь exe при загрузке - такие exe проще всего фиксить мемпатчером (есть такие генераторы). Иначе... всё намного сложнее. :(

Файл был запакован Protectorom я его снял.
RVA Converter В чем суть этой программы ? Что она делает?
Допустим я загрузил ехе файл и imagebase был указан адрес 40000
что я должен сделать чтобы узнать адрес который надо править в хексах
Я так понял ! я ввожу сайсовый адрес а он мне говорит адрес в хексе
правильно ли это?
Что значат поля Name Voffset Vsize RawOff RawSize Charac.
Извените что я задаю такие вопросы но я вынужден тк нет нормального хелпа , а узнать об этом хочеться побольше.
На какую тему мне надо искать туториалы? ( если есть то вышлете пожалуйста! )
Что значит распаковывает весь exe при загрузке ( какой нибудь UnPacker ) распаковывает?
Закриптован ! Что это значит?



НУ ЛАДНО НЕ ВСЕ СРАЗУ !! ИЗВЕНИТЕ ЧТО НАДОЕДАЮ НО ПРОСТО БЕЗ ВАС НИКУДА !! ПОМОГИТЕ ПОЖАЛУЙСТА!!!!

Мемпатчер что он делает?

Файл был запакован Protectorom
PE-Protector, X-Protector, SVK Protector, SEP Protector или другой?

я его снял
И бинарник после этого нормально грузится?

я ввожу сайсовый адрес а он мне говорит адрес в хексе
правильно ли это?
Сов. верно. Но это только для обычных бинарников, без упаковки / криптозащиты. Есть даже хексеры со встроенной поддержкой RVA (на пример, DeDe)

Что значит распаковывает весь exe при загрузке ( какой нибудь UnPacker ) распаковывает?
Закриптован ! Что это значит?
Всё зависет от пакера / криптора. Пакеры - это утилиты, которые призваны уменьшать размер бинарника путём элементарной компрессии ресурсов, кода и т.д., удаления ненужных данных и пр. В бинарник закладывается спец. код, который распаковывает ВЕСЬ exe в момент загрузки, ведь проц. умеет выполнять только распакованый код. В подобных случаях проще всего патчить код в памяти (после того как он САМ себя распакует). Для этого существуют мемпатчеры (раздел Модификаторы). Они запускают прогу, ждут пока она распакуется и патчат байты (которые вы вытащили из сайса) в ОЗУ, не в ПЗУ. Но с крипторами всё сложнее - они не просто сжимают файл, но и криптуют его содержимое и не распаковывают его целиком при запуске (а по частям по мере необходимости). Некоторые крипторы включают защиту против отладки, обфускацию (запутывание) кода и прочие антихакерские фичи. Мемпатчеры вам не помогут одолеть хороший криптор.

По этим темам есть туториалы... на reversing.net, uinC...

Бинарие то загрузился нормально. Появилась возможность править ! Но проблема в том что адреса имеющиеся в сайсе отличались. Может мне надо в хексе искать адрес полученный в RVA Converter от виртуального.
Х проще всего патчить код в памяти Х но я же постоянно в памяти небуду патчить! Как только я выгружу все надо будет делать заново или есть может примочка для Сайса при помощи которой можно работать напрямую с файлом(я меняю в сайсе и одновременно происходит реструктурирование ехе-шника).
Кокой на ваш взгля лучший мемпачер?
Есть ли программа для снятия криптографии, ( например как в упаковщиках есть распаковщики ).
Как узнать что файл закриптован - FileAnalise какойнибуть или есть спец. программы?
НАДЕЮСЬ НА ВАШУ ПОМОЩЬ!!!

Может мне надо в хексе искать адрес полученный в RVA Converter от виртуального.
Угу. Причём, если фыйл правильно распакован, то поиск по последовательности байт должен заработать.

Есть ли программа для снятия криптографии (...) или есть спец. программы?
Есть спец. программы (раздел Распаковщики). ProcDump - одна из самых продвинутых, но 100% результат против подлых крипторов никто не гарантирует.

но я же постоянно в памяти не буду патчить!
Так вам и не придётся этого делать. Для этого ведь и созданы мемпатчеры. Вам просто надо "научить" его править код вашей программы в момент загрузки и он радостно продолжит этот процесс при каждом запуске; только запуск будет идти не через программный exe а через патчер (возможно придётся переименовать файлы или исправить путь в шорткате).

Кокой на ваш взгля лучший мемпачер?
Patch Creation Wizard v1.2

я меняю в сайсе и одновременно происходит реструктурирование ехе-шника
Это из разряда хакерской фантастики, хотя может я и не прав... :)

СПАСИБО ЗА ПРЕДИДУЩИЕ ОТВЕТЫ ?
________________________________

когда я загружаю файл в hiew
у меня появляеться надпись IMPORT DATA STRANG
что это значит ( файл еще может быть закриптован и ещё что нибудь )

RVA 0094105C
File 1570EA <-----------------

Когда я ввожу этот адрес в hiew то мне говорят SECTION OUT FILE
может я делаю чтото неправильно? или секция недоступна из за того что файл
запакован,криптован


//Bytes 30,F2,56,FE,F2,07,A3,0B,8E,D9
//Name .DDeMCod
//VOffset 00540000
//VSize 00002000
//RawOff 00156000
//RawSize 00002000
//Charac E00000A0
+++++++++++++++++++++++++++++
Patch Creation Wizard v1.2

Обьясните пожалуйста что вводить в поля
Length <------------
OffSet <------------ (какое значение RVA или File )
Patchto <----------- Что писать? (Значение которое будет записываться по адресу который я ввел ?)
Все изменения в памяти будут приниматься по мере загрузки файла ?
Поидее это программе все равно файл запакован или нет? Вед она меняет значение непосредственно в памяти , мне только надо указать адреса найденные сайсе ------> ИЛИ Я НЕПРАВ?

Скажите какой анализатор файлов на упаковку и криптовку на Ваш взгляд лучший ? Появились ли анализаторы за 2003 год?

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
СПАСИБО ЗА ОТВЕТЫ !!! Я ОЧЕНЬ ВАМ БЛАГОДАРЕН !!!!
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++






[img][/img][img][/img][b][/b]

у меня появляеться надпись IMPORT DATA STRANG что это значит ( файл еще может быть закриптован и ещё что нибудь )
Верный признак. А что по этому поводу говорят DASM, IDA и подобные товарищи?

Когда я ввожу этот адрес в hiew то мне говорят SECTION OUT FILE
может я делаю чтото неправильно? или секция недоступна из за того что файл запакован,криптован
Так оно и есть. Я же предупреждал о возможной несовместимости всех вышеперечисленых адрес-конвертеров с паковаными / криптоваными файлами. Дело в том, что сайсовый адрес преобразуется в файловый офсет предположительно нормального (непакованого) файла, т.е. даже если вы смогли правильно распаковать файл, RVA Converter может промахнуться. Причём если файл не только пакован но и криптован (так оно, вроде, и есть), то мемпатчер - не панацея.

Я на вашем месте поступил бы изначально следующим образом:
1. Установить через SoftIce если интересующий код (GetDriveTypeA и jmp) точно находится в исполнимом файле, а не в каком-то DLL :)
2. Поискать в Hiew последовательность байт одного call GetDriveTypeA (например, FF15XXXXXXXX в зависимости от импорта) Если не найдёте, значит файл ещё запакован.
3. Установить если файл самомодифицируется в памяти. Для этого достаточно загрузить его и периодически просматривать интересующую область кода (там где GetDriveTypeA, злополучный jmp и т.д.) Надеюсь, вы сообразите как это делать в SoftIce, иначе могу объяснить отдельно. Если искомая область появляется только в момент проверки диска а потом исчезает (до закрытия приложения), то файл модифицируется и мемпатчер вам не поможет. zZZ-zzz (засыпаю)

--------------------------

ЗЫ: Откуда можно скачать эту вашу программу? Самому интересно посмотреть на предмет столь продолжительных дискуссий :)

Это всё говорит о том что файл распакован криво, т.е.
проблемы либо с импортом, либо, самое простое, неправильно
проставлены атрибуты секций, точка входа не прописана и т.д. и т.п.
Что значит бинарник грузится, причём тут бинарник, распакованный файл
*.exe работает или нет? Вообще бывают глюки и у софтайсовского
дизассемблера если прога использует антидебаговые приёмы, т.е. код
в SoftICE один, а в HIEW'е другой, чтобы это проверить можно попробовать дать айсу команду u [адрес], который надо передизассемблировать. Вообще мне это всё напоминает лечение
тяжело больного(проги) по фото и медитацию на тему: что же там всё-таки может быть.
P.S. Самый лучший анализатор файлов на упаковку криптовку голова+
небольшое количество софта.

Что значит бинарник грузится, причём тут бинарник, распакованный файл
*.exe работает или нет?
Так я об этом именно и спрашивал.

ЗЫ: Подавайтека мне этот EXE на операционный стол!