logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> Windasm se plante... Newtopic | Reply
poster txt
Aldoniel
Inscrit le 27-02-2002
Posté le 25-12-2002 17:53

Salut je débute dans le cracking et j\'ai un problème:

J\'essaie sur un petit shareware av. sn (DeadAddress Pro), il était compressé avec UPX, et j\'ai extrait le fichier originel avec pdump. Par contre quand j\'essaie de l\'ouvrir avec windasm 8.93, celui-ci se ferme immédiatement. J\'imagine que DeadAddress Pro doit contenir une protection anti-windasm ou quelque chose du genre.

Ben voilà et je ne sais pas ce je peux faire pour continuer.
Merci.
_________________________
Le papier se laisse écrire
profil | mail | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 26-12-2002 12:08

Peut etre que la compression upx na pas etais supprimé correctement.
Le prog ce lance bien une fois \'deupx\' ?
Sinon wdasm c bien mais bon ca vaut pas IDA
Si tu trouve une version de IDA essay le c\'est impressionnat ca marche vraiment mieux.
profil | mail | Website | edit | quote
Aldoniel
Inscrit le 27-02-2002
Posté le 26-12-2002 18:42

Merci du conseil. Oui le prog décompressé semble fonctionnel et j\'ai hate d\'essayer IDA (que je vais découvrir).
profil | mail | edit | quote
oasis
Inscrit le 27-01-2004
Posté le 27-01-2004 20:27

Ollydebug c\'est superchouette aussi... et pis y a plus de tut sur Olly que sur IDA. Oasis.
profil | Website | edit | quote
sirius_black
Inscrit le 05-07-2003
Avatar
Posté le 27-01-2004 21:22

windasm n\'aime pas les caractères spéciaux etc. véfifie que le nom de ton prog n\'a que des lettres et pareil pour les répertoires dans lequel windasm va chercher.
profil | mail | Website | edit | quote
Silkscalp aliaas Sky
Inscrit le 12-02-2004
Posté le 12-02-2004 03:09

1) le fait que windasm8.9 ne puisse désassembler un exe peut venir de diverses causes : la section contenant l\'EP a comme caractéristique 0C000040 ce qui empeche windasm de désassembler

Solution : utilisé un editeur de PE (simple et conne : ProcDump) tu clique sur section puis tu choisit la section de l\'entrypoint tu fais edit grace a un clique droit puis tu change la caractéristique en 0E000020. Comme ca windasm desassemble. Cest chiffre correspondonte a un valeur particulière. Je l\'expliquerais + tars dans un cours sur les section et le PE header

2)LE programme est compressé (par n\'importe ou presque packeur/crypteur), ou tu utilise un progrramme automatique pour decompresser ou tu le fais à la main. VU ta question je ne pense pas que tu sois encore capable de le faire à la main.
Donc tu peux utiliser un debogueur (style pllydbg 1.09d) ne serait -ce que pour t\'abituer à son utilisation: tu en aura besoin pour faire des patch e memoire vive et bien aussi pour la troisieme possibilité, et aussi pour bien cracker aussi. N\'utiliser qu\'un désassembleur sans débogueur c\'est comme n\'avoir qu\'un peid. Ca marche pour les programme très simple ou les crak-me mais ca marche ppas pour les vrai protection

3) Tu Utilise un débogueur pour tracer le programme. En fait on peut inserer une routine qui si elle trouve le fichier ini de windasw va fermer windasm. Mais apparement

c\'est 1 des 2 cas donc 1) verifier les caractéristiques des section et 2 veifier si c\'est compressé et dans se cas si faire un DUMP
@+
Silkscalp
pour toute question: mail & msn : silkscalp1@hotmail.com
_________________________
Le Savoir est un pouvoir
profil | Website | MSN | edit | quote
Silkscalp aliaas Sky
Inscrit le 12-02-2004
Posté le 12-02-2004 03:14

PS le meilleur désassembleur c\'est quand même IDA pro (mailez moi) car IDA trouve des string data ref que ne trouve pas windasm. De plus avec IDA pro on peut avoir beaucoup + d\'info et est plus manipulable. Les SDR et les fonction d\'import sont Affichée en permanence. De plus devant un call, il suffit d\'approcher la souris pour avoir tout le code du call sans se déplacer dans le code

voilà c\'est fini pour aujourd\'hui
@+
Silkscalp
_________________________
Le Savoir est un pouvoir
profil | Website | MSN | edit | quote
Newtopic | Reply

Online : Agustinwhase, DargothPr, Mazinpn, Nafalemplot, Robertbeply et 99 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page