السلام عليكم
لقد قمت بفك المكتبة المشفرة ، ولكن ظهرت عندي مشكلة غريبة، وهي ان المكتبة حتوي قسميين يوجد بهما كود .text و .text1 ، جميع النداءات في القسم الثاني صحيحة ومعالجة وتؤشر الى جدول IAT ولكن النداءات في القسم الاول لم تعالج عند التحميل وبقيت تنادي العناوين الاصلية وبالتالي لا تؤشر الى جدول IAT في الذاكرة كما في القسم الثاني ؟!
البرنامج : Syncios 6.7 ultimate
المكتبة : synciosultdrm.dll
الرابط :
https://www.syncios.com/setup_syncios.exe
النداء الصحيح في الصورة التالية GetVersion
وعند تحميل المكتبة من داخل البرنامج تظهر كما يلي :
طبعا حاولت تصحيح الجدول باستخدام Universal Imports Fixer 1.2 دون جدوى !
عند تحميل المكتبة المفكوكة بالمنقح مباشرة يظهر كل شي تمام، بسبب استخدام نفس العناوين الاصلية، ولكن عند التحميل من داخل البرنامج وبسبب تغيير مواقع الذاكرة تظهر المشكلة.
قمت بفك المكتبة بعدة طرق وجميعها لها نفس النتيجة
اين تكمن المشكلة ؟
مع الشكر سلفا ...
إذا كنت تريد فقط كسر البرنامج عن طريق المكتبة بفكها فهناك طرق أخرى تغنيك عن ذلك. أحدها استبدال المكتبة بأخرى تحتوي على الإجراءات المهمة فقط واستبدال إجراءات التسجيل بأخرى تجعل البرنامج مسجلا.
اخي الكريم ايش المشكلة بالضبط هل تقصد بعد الفك لايعمل البرنامج بمعنى يتعطل بسبب المكتبة المفكوكة او ماذا يحدث بالضبط
اعتقد والله اعلم انك فككت المكتبة بالخطاء لان من الصورة نقطة الانطلاق اعتقد انها خطاء او قد تكون مشكلة relocation الامر الاخر انت قلت عندما استدعي الملف من البرنامج لايعمل ارجو التوضيح بالضبط كيف تقوم باستدعاءه لان عند اقلاع البرنامج لاتظهر المكتبة في قائمة الملفات التى تم استدعائها من البرنامج
ياريت توضح اكثر
على العموم جرب الملف المفكوك واخبرني بالضبط ايش المشكلة
ولو متاكد فك الضغط تبع ابو البراء شغال 100%
لكن انا ايضا حاولت معاه وفكيت الضغط ..
وارفقتلك الملف مفكوك ...
وللافادة :-
اقتباس من شروحات ابو البراء للوصول الى نقطة الوصول نستعمل هذا النمط :
FF 15 ?? ?? ?? ?? 89 45 FC 83 7D FC 00 75 ??
الملف يتم جلبه عند تسجيل يعني يكون بنداء قبل القفزة الي تذهب الى رسالة تسجيل الخطاء
+
في المرة القادمة ضع استفسارك بقسم الاستفسارات
اولا، انا سعدت جدا بمشاركتكم ومساعدتكم. بارك الله فيكم وحفظكم اخواني الكرام
الفك الذي تفضل به الاخ ابو البراء تماما كما الذي وصلت اليه، وحتى وصلت اليه بخطوتين فقط بعمل نقطة توقف على تنفيذ بلوك الذاكرة لان الحماية لايوجد بها IAT Ellimination او CodeSplicing
وبها نفس المشكلة التي عندي، فزاد فضولي لمعرفة ما السبب! لذا عملت فيديو توضيحي لبيان المشكلة بالتفصيل، لعلنا نستفيد منها، خاصة انه من الواضح في هذا الموقع خبرات حقيقية امثال الاستاذ ابو البراء والزملاء الاخرين الذين ارى مشاركاتهم القيمة. جزاهم الله خير الجزاء.
ردا على ملاحظاتكم:
- انا لا اسعى لفك البرنامج فقط، فهو لدي مفكوك بطريقة باتش ولكن وددت ان امارس مهاراتي في Armadillo التي تركتها منذ زمن، فاصطدمت بهذه الظاهرة
- الصورة التي استخدمتها لا تشير الى نقطة البداية، والفك لدي صحيح، امل ان الفيديو يوضح ذلك
- طبعا انا اعرف ان الملف يستدعى فقط عند الحاجة، تتبعته ووضعت نقطة توقف عند استدعاءه وتنفيذه
- شكرا على التذكير، ساقوم ان شاء الله وضع المشاركة في المكان المناسب
- اخي the9am3 الملف لا يمكن تنزيله
هذا هو الفيديو التوضيحي:
http://www.mediafire.com/file/ye4xaos93q...s.rar/file
تفضل اخي
https://www64.zippyshare.com/v/PIwplSWU/file.html
الملفين مفكوكين عند فك ضغط الملف synciosultdrm.dll سيكتشف البرنامج فك الضغط ويضع بداله ملف recoverydrm.dll وهو ايضا ارماديلو
وهنا
015D6773 | C785 E8FDFFFF 00000000 | mov dword ptr ss:[ebp-0x218],0x0 |
rva=266773
اذا وضعنا قيمة 2 سيصبح البرنامج ultimate
1- professional
2-ultimate
نفس المشكلة!
ايضا البداية في الملف المرسل غير صحيحة OEP راجع النسخة التي ارسلها الاخ ابو البراء
هل اطلعت على الفيديو ؟
(25-07-2020, 05:36 AM)ExCodeMaker كتب : [ -> ]من الواضح في هذا الموقع خبرات حقيقية امثال الاستاذ ابو البراء
والله يااخي نحن كلنا مبتدئين وفقط نتعلمو يوم بعد يوم مع اني تركت المجال واعتزلته فقط ادخل في بعض الاحيان للمساعدة او مشاركة شي يمكن ان يستفيد منه الاخرين
اخي الحبيب كلامك صحيح ولاغبار عليه
الفك سهل والملف به مشكلة Relocation واذا رجعت الى مشاركتي في الاعلى رقم 3 كنت قد اشرت لذلك
لكن من خبرتي المتواضعة جدا مع ارماديليو افضل الاونلاين والذي سايجنبك الكثير من المشاكل اذا تمكنت منه طبعا اذا اردت ان تحقن الملف المكتبي اما اذا اردت فقط تكسر البرنامج فاعتقد تحتاج تغير نصف بايت في الملف التنفيذي مع العلم انا الملف التفيذي نفسه يستخدم ASLR
RAV = 266773
للافادة للجميع هذه هي الاداءة الي تعمل اعادة عنونة مع الشرح :
+
اعتقد ايضا يمكن عملها بواسطة Armadillo Reducer 1.7.1 RC2
(25-07-2020, 12:59 PM)the9am3 كتب : [ -> ]للافادة للجميع هذه هي الاداءة الي تعمل اعادة عنونة مع الشرح :
اخي الحبيب هذا الاداءة تستخدم لاصلاح relocation بعد الفك وفي حالة ان الملف المفكوك لايعمل لذلك تقوم باستخدامها
اما في هذه الحالة فالملف المفكوك يعمل بدون مشاكل والغريب ان الملف المضغوط ساتجد انه لايستخدم نفس التقنية وفى كلا الحالتين انا لم اجد مبرر للتغير في الملف المكتبي لان البرنامج يكسر في الملف التنفيذي