Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



XoraX вопрос про аспротект привет усем!



XoraX вопрос про аспротект привет усем!
объясните пожалуйста принципиальную разницу между аспр 1.2 и аспр 1.2 [new strain].
почему 1.2 распаковывают унпакеры, типа каспр и stripper, а нью стрейн не могут распаковать?
Guest :: Вообще у ASProtect много модификаций , которые различаются по способу криптования.

MozgC :: [new strain] это начиная с версии 1.23 по-моему.
А 1.2 он всегда просто 1.2

1.2х не распаковывается автоматическими распаковщиками потому что там добавлены дополнительные приемы, усложняющие распаковку и делающие автоматический анализ очень сложным.

Вот отличия, которые первым делом приходят в голову:

1) Улучшенная защита от отладчика
2) Кража байт с OEP
3) Эмуляция Windows API функций, а не простая замена адресов функций адресами переходников
4) Случайная распаковка тела аспра (разные адреса) (более новые версии)
5) Разное замусоривание краденных байт в зависимости от компилятора (более новые версии)

Это наиболее яркие отличия. Еще версией отличаются =)

Может кто дополнит...

MoonShiner :: А еще, правда глубоко не копал, в некоторых аспрах - юзание в своих целях отладочных регистров, а не просто их сбрасывание.

test :: stripper 2.03 - Распаковщик аспр аспр1.2 [new strain] - в том числе.

MozgC :: новые версии нифига не распаковывает

Guest :: MozgC, красивая надпись! А новые версии точно не распаковывает!

MozgC :: Не хочу никого обидеть, но по-моему это как-то стренмо использовать автоматические распаковщики. Неужели самим не интересно распаковать? Это пойдет только на пользу, прибавит опыта.

vins :: Для MozgC: Мы и сами бы распаковывали если где нибудь, можно было бы прочитать как это делать

MozgC :: Ну например смотри статьи у Хекса на сайте, еще вроде на крэклабе ну и жди моей мегастатьи =)

vins :: Для MozgC: а долго?

MozgC :: я уже начал писать, попытаюсь разжевать просто абсолютно все, но все равно распаковка там нелегкая... А готово будет примерно через неделю или позже.

XoraX :: я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.
может ты сможешь объяснить с более понятными вещами....

MozgC :: если без апимона, то
1) остановись на EP
2) поставь бряк "bpm esp-4"
3) жми 2 раза F5
4) Там будет вроде jmp xxxxxx, вот xxxxxx - это и есть OEP. Цикли на этом jmp программу, снимай дамп и дальше по статье...

freeExec :: XoraX

цитата:
я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.


Незнаю откуда ты ее качал, но то что я выкладывал, один в один чем пользовался я.

XoraX :: 2 MozgC: отсюда вопросы:
1. Как словить EP ?
2. Я нашел OEP у проги с помощью PeInform 1.0 by FEUERRADER. Она показала 008D4C9C. почему не 004xxxxx и верна ли такая информация? Спс заранее.

XoraX :: И еще:
3. Как зациклить на OEP?

MoonShiner :: Стал на точке, в которой хочешь забабахать цикл. пишешь в айсе "a eip", затем "jmp eip". При необходимости затертые байты можешь потом вернуть на место.

MozgC :: 2XoraX
Ладно, почти все твои вопросы уже есть в FAQ’e - жди =)

XoraX :: только побыстрее, побыстрее бы.....

MoonShiner :: Скоро только кошки родятся:)




SEM Помогите Кто знает что можно сделать для того чтобы SoftAce 4.05 для Win9x



SEM Помогите Кто знает что можно сделать для того чтобы SoftAce 4.05 для Win9x Установилась в Win 2000
Зарание спасибо
RideX :: Ничего. Нужен, по крайней мере, пропатченный SoftIce 4.05 NT

SEM :: А SoftAce для XP подойдёт

Gerix :: http://reversing.kulichki.../files/debug/si405wnt.rar - цитирую: "Лучший отладчик для Windows NT (2000/XP пропатченный)" . Попробуй .Лично я установил себе DriveSuit 2.7 и никаких проблем на любой из WIN.

[RU].Ban0K! :: Gerix
Ну всё ... иду писать с магазина DS27




HamMer Добавление своей функции в EXE Не ругайтесь громко матом, я помню что



HamMer Добавление своей функции в EXE Не ругайтесь громко матом, я помню что такая тема уже была... Просто я ее не читал. Вопрос собственно в следующем. Мне нужно дописать кусок в Exe-шник длиной в 35 байтов. Места свободного нет, поэтому нужно дописать свою функцию, как это сделать. Если можно примерчик или где глянуть.
MozgC :: Цитата из FAQ’a:

Q: Мне нужно изменить работу программы для своих целей. Я хочу вставить на место инструкций, которые хочу изменить, свои инструкции. Но "не хватает места", т.е. мои инструкции занимают больше места, чем те, которые нужно заменить. Что делать?

A: В этом случае составляем нужный нам код (процедуру). В конце кода добавляем команду ret. Создаем новую
секцию (с помощью LordPE или ProcDump’a) и помещаем наш код в эту секцию. В начале инструкций, которые нам надо изменить ставим вызов добавленной процедуры (call), оставшиеся ненужные инструкции, до начала нужных, забиваем командами "nop". Все. Только нужно будет быть внимательными с адресами, их надо будет смотреть в отладчике.

Еще можно это поместить в конец последней секции, где есть обычно блок нолей, в месте выполнения также нужно вставить сall на свой блок, а в конце своего блока нужно написать ret. Если в конце файла нет нолей, можно их дописать и расширить raw и virtual size последней секции и не забыть исправить imagesize

XoraX :: MozgC
когда же фак выйдет полностью?

MoonShiner :: Как вариант, когда по каким то причинам не проходит добавление секции, можно добавить в секцию импорта свою либу с нужной функцией, ну а дальше слегка поправить заголовок, чтобы твоя функция вызывалась.

freeExec :: MoonShiner

цитата:
добавить в секцию импорта свою либу с нужной функцией


Каким софтом?

[RU].Ban0K! :: freeExec пишет:
цитата:
Каким софтом?


А в рукопашку нельзя?

HamMer :: Так как Мозг рассказал у меня получилось и я все замечательно поломал. А вот как в ручную в секцию импорта добавить... У меня прога выбрасывает сообщение после этого о недопустимой ошибке, ну а дальше знаете куда посылает...

Guest :: HamMer проверь почту

MoonShiner :: 2freeExec: Да руками хоть в HexWorkshope каком нить вбить, если имеется представление о PE-формате. А если там нет места или по каким то другим причинам не катит, я делаю извратно:) Гружу импрек и секцию импорта вставляю в конец файла, а импрек в ней оставляет много пустого места. Ну а дальше по аналогии с другими либами. Когда то я ковырял импорт в импрековском формате и добавлял прямо там, а потом приклеивал секцию. Даж приблуда хранилась где то, тока винт сдох:(




gRad2003 И опять ASProtect 1.23 ... Находясь на EP (bpm 401000 x) ставлю



gRad2003 И опять ASProtect 1.23 ... Находясь на EP (bpm 401000 x) ставлю
bpm esp-24
После второй остановки вроде должен находиться на такой конструкции:
popad
jmp eax (eax=OEP)
Но похожего не наблюдалось...
Так вышеописанное действительно только до ASProtect 1.2, или у меня проблемы с руками
DiveSlip :: Ну во-первых прерываний (остановок) должно быть не два, а больше (лично у меня от 19-25). А во-вторых будет не:
popad
jmp eax (eax=OEP)
а вот что:
pushad
pushfd
........
popfd
popad
ret, отсюда надо трассировать до тех пор пока не увидишь:
0000
0000
0000 <--- Тут будут спертые восстановленные байты
0000
0000
call lalalatopolya <--- первая процедура
tut_chto_ugodno <--- мы окажемся тут
Вот ты и рядом с ОЕР, это правда я выяснил только что с помощью некого MozgC

MozgC :: вообщем чтобы не запутаться в срабатываниях bpm esp-24
ставь бряк на bpx mapviewoffile.
При срабатывании бряка когда он будет вызван из исследуемой программы пиши bpm esp-24 где вместо esp подставляй свое значение esp, которое при старте программы.
Вообще если аспротект относительно старый, 1.2 - начальные версии 1.23, то там надо ставить бряк на esp-4 и тогда действительно прервешься на popad после чего будет либо jmp OEP, либо push OEP, ret
Если аспротект новый, то там будут спертые байты, сложность и вид спертых и замусоренных байт зависят от версии аспротекта. Ты должен (после того как прервался по bpx mapviewoffile и поставил бряк на bpm esp-24) нажимать F5 до тех пор, пока не увидишь начало спертых байт. Как узнать начало ? Это будет выглядить как странные команды, частые jmp, постоянная работа со стеком. Далее все зависит от версии аспра. Если аспр совсем новый, то мусора, в котором перемешаны спертые команды будет очень и очень много. В этом случае надо как начнутся спертые байты, идти по ним с помощью F10 до первого ret’a (ниже которого будет много нулей). Потом когда сработает команда ret ты вылетишь на

pushad
pushfd
........
popfd
popad
ret

Когда сработает и этот ret то иди еще до одного ret’а а потом еще возможно до одного. Остановись тогда, когда после выполнения ret’a ты окажешься в таком месте:

0000
0000
0000 <--- Тут будут спертые восстановленные байты
0000
0000
call lalalatopolya <--- первая процедура
tut_chto_ugodno <--- мы окажемся тут

call lalalatopolya может выглядеть не как call а как левые команды, если отладчик не правильно распознает эти байты. Тогда ориентируйся по нулям выше этого места. Первый или второй (если первый относится к предыдщей команде) и будет OEP.

Это справедливо для последней версии аспра.

В чуть более старых версиях мусора поменьше, и прыжок на OEP там будет либо как jmp OEP либо как
push OEP
ret

В этом случае мусора будет максимум на 2 экрана софтайса.

Не думаю, что мое писалово тебе чем-то поможет. Так как это надо самому пробовать пробовать и пробовать, а лучше прочитать полную статью. Когда-нибудь я ее допишу =)))

gRad2003 :: >> esp, которое при старте программы
Т.е. надо запомнить значение esp находясь на 401000, или в некотором другом месте?

MozgC :: Вот вопрос из ФАКа:

Q: Читал статьи по распаковке программ, в частности по распаковке AsProtect и там почему-то пишут, что надо ставить breakpoint на esp-4 или esp-24 для нахождения OEP. Почему?
A: Привожу отрывок из своей статьи (MozgC):

"Для нахождения OEP используем тот факт, что при старте программы в Windows, указатель на верхушку стека (esp) должен быть одним и тем же. Это не обязательно, но это стандарт. Например, в Windows 2K/XP, esp при старте программы равен 12FFC4h. Хотя конечно если изменить esp вручную, ради интереса, находясь на EP, то ничего страшного не произойдет. Однако, повторюсь, такой стандарт сохраняется, и мы его используем для нахождения OEP. При запуске программы, упакованной ASProtect’ом, esp равен этому стандартному значению. Так как ASProtect во время своей работы следит за стеком (т.е. сколько поместил в стек, столько потом и достал из стека), то перед прыжком на OEP esp должен быть опять равен этому "стандартному значению". Например в ранних версиях ASProtect’a, когда ASProtect восстанавливал стек перед переходом на OEP, считывалось значение в стеке по адресу esp-4 (имеется ввиду что esp = "стандартному значению") следующий элемент стека уже был по адресу esp, и ASProtect его трогать не должен, т.к. не он ложил этот элемент в стек. Т.е. используя тот факт, что последним будет считываться значение по адресу esp-4, можно поставить брейкпоинт на тот момент, когда это будет происходить (bpm esp-4), и когда этот брейкпоинт сработает последний раз перед непосредтвенным запуском программы, мы окажемся перед переходом на OEP"

Если вдруг не понял, то значение esp при старте программ в Windows всегда одинаковое, его можно посмотреть остановившись на EP программы. В частности в твоем случае с ASProtectom, EP = 401000, там и смотри.




Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение),



Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение), пожалуйста, ламеру какой из многочисленных языков программирования, стоит (лучше всего, с точки зрения применения, а не сложности) освоить?
В совершенстве знаю ASM. Просматривал Delphi, C++ Builder, C#, и т.д. и т.п. Ни на одном не смог остановиться, т.е. выбрать. Помогите, плиз!
Зарание всем спасибо.
Kerghan :: Visual C наиболее распрастранен, пожалуй на нем и стоит остановиться

dragon :: Остановиться стоит на C++, а Visual C++ или Borland C++ builder - разница только в IDE, язык то один и тот же.

Начинающий :: Спасибо.
Про C++ понял, а что лучше использовать?: Visual C++ или Borland C++ builder
Может кто еще подскажет, какую инфу где скачать или какую прикупить, для более понятного освоения снуля.
Еще раз спасибо.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Visual C++ или Borland C++ builder


Они отличаются лишь тем, что на Borland C++ builder интерфейс связывать с кодом очень просто (нажал на кнопку, вот тебе и событие OnButtonClick), а на Visual C++ все надо ручками делать:)))))) Ну и размерами создаваемых программ, хотя кого сейчас интересует размер программы??????

Начинающий :: Меня интересует размер прог тоже, а на какой из них больше инфы, и что лучше по Вашему мнению, по мне так лучше все ручками, взять ту же распаковку (к примеру Армадило или ASPR New Strain), кто-нибудь пробовал автоматом распаковать? Если да, то, что у кого получалось? А ручками можно сделать что хош.
А вообще я просто хочу выбрать язык для изучения, и чтоб инфа была подходящая, и чтоб он не устарел как бейсик, чтобы потом не переучиваться. Просто я не могу изучать поверхностно. На изучение ASM’a допустим у меня ушло почти 2,5 года по 4 часа каждый день. Не подумайте что я тормоз просто во всем разбираться люблю досконально.
Спасибо.

Guest :: Я вообще тоже знаю токма ASM, с пол месяца назад начал изучать C++, нашел Borland C++ builder, с подсказки MozgC, и сейчас его пока просто просматриваю, вообще в инете больше инфы на Visual C++, но все одно и тоже - подходит и к Borland C++ builder, и Visual C++. У меня есть пара вопросов: если ты "любишь работать ручками и в совершенстве знаешь ASM", то накой хрен тебе другой язык? По мойму этот язык был есть и будет всегда, а на нем ты можешь писать что хочешь! Или уже просто надоело стучать пальцами по клаве? Или уже память не та?; Ну с аспром я разобрался влет, а вот с армодилой только с dragon’овой подсказки, я думаю всем бы было интересно увидеть твое решение!

Начинающий :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках, армадило это не есть эффективная защита:
1. При желании можно взломать (слишком много желающих потому как там не все так просто)
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз).
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения.

Guest :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках?
1. При желании можно взломать (слишком много желающих потому как там не все так просто) - не все справляются с этой защитой.
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз). - помойму они меняют раз в неделю.
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения. - ? -Вообще на сегодняшних компах это не особо заметно.
Но все же я так понял ты можешь защитить программы лучше???

Начинающий :: Но все же я так понял ты можешь защитить программы лучше??? Во всяком случае я думаю именно так. Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.

Guest :: Это не реально! Небыло еще таких прог которые бы мы не смогли сломать сами либо с чьей нибудь помощью. Давай крякми.

Начинающий :: Вообще я просил мне помочь с выбором языка, всем спасибо, а крякми выложу куда нибудь завтра после работы.

Guest :: Слушай, Начинающий, судя по твоему IP, ты с где-то рядом? Ты случаем не Соколовский Е.?

Начинающий ::

Guest :: Давай по телефону.
Антон Л.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.


Мне больше нравиться другой подход. Пакуешь UPX-ом, потом изменяешь файл, да так, чтобы даже GUI и ProcDump не смогли распаковать. Перед этим делаешь в проге проверку на размер в байтах как минимум в трех местах, причем незаметно. Крякер распаковывает с помощью айса, потом восстанавливает импорт, потом проверяет работает ли прога и O-o-p-s она самопроизвольно удалилась, да еще и ntkern.dll с собой прихватила, тогда крякеру даже Бил Гейтс не поможет

Начинающий :: .::D.e.M.o.N.i.X::. - хороший вариант, но если крэкер будет работать не с айсом, а с чем нибудь другим? У меня проще: если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов, прога просто удаляется вместе с архивом и прежними версиями даже из реестра, можно конечно сделать и так чтобы удалялось еще и пол Винды. Есть только два способа это предотвратить, по мойму:
1. Нужно знать хорошо ASM под DOS;
2. Спросить у меня как это сделать.

freeExec :: Начинающий
цитата:

что прога сотрется если будет запущена вместе с отладчиками



Если ЕХЕ файл запущен то его не сотрешь :(э

цитата:

сотрется как распакованная так и в скачаном архиве



Сканирование всех дисков в поиске архива (а если он скачен не с офицального сайто, то за имя его не кто неручается; че искато) слишком сумно и подозрительно, ктому же все продвинутые перцы запускают новые проги, в хутшем случаии с пользовательскими привелегиями,я так только из под гостя, который даже найдя свой архив, будет бессилен
ИМХО это не актуально, да и написать на 30 метров надо постораться :)

freeExec :: Начинающий

цитата:
если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов


И как же ты собераешься это установить?
Слыхал про уязвимость связанная с тем, что программа не может узнать она сама послала себе SendMessage, или это внешняя программа. А тут уже открываются новые возможности, как запуск процесса с привелегиями программы.

Да еще когда работает отладчик твоя прога отдыхает.

Начинающий :: А переделаю я наверное крякми YuPiter’a, если он конечно будет не против, чтобы всем уже кто сломал было понятно - что к чему, и сразу в нем же будут коментарии - подписи на против того что я изменил в его крякми, чтобы работало, и описание того, что напишу сам, что к чему. - Этакое учебное пособие кто сможет до него добраться. Предупреждаю зарание:
1. иметь дискету для загрузки
2. иметь дистрибутивы тех прог в которых захотите просмотреь крякми и ОС в которой работаете.
3. Если не знаете ASM даже не пытайтесь!!!
4. (для чайников) Если не знаете как перевести из 16-ричной в двоичную, не портите свой комп.
Что будет:
1. Удаление основных файлов ОС.
2. Удаление любого упоминания о проге.
3. Удаление всех тех программ которые будут запущенны на момент взлома (даже из реестра). Кстати для тех кто хочет почистить реестр - "милости прошу"!
Что иметь: текстовый редактор под ДОС, ASM под ДОС, мозги, и самое главное - желание.

Начинающий :: Для freeExec, не говори гоп пока не перепрыгнешь!!!

Начинающий :: Жду согласие YuPiter’a.

Guest :: Евгений, я знал что ты хороший програмист, но чтобы ты смог замутить такое, не верю. Если все правда, то что ты говоришь может обсудим по телефону?

Начинающий :: Антон, по телефону потом, жди крякми, тебе будет полезно для развития. Сохрани все файлы желательно на другом диске!!!

Guest :: Я завтра к тебе на работу заеду! ОК?

freeExec :: Не стоит меня пугать, я в свое время вирусы разбирал и писал, все хитрости знаю. И ИДА тут как раз поможет, т.к. не че не удалится :)

MozgC :: Почитал я этот бред

1) Начинающий. Написать можно все угодно, только вот в настоящей проге ты не будешь иметь права такое применить, соотвественно все твои ухищрения - это только в КРЭКМИ да и то как-то неинтересно. В том смысле что ума много не надо винду запортить. А по нормальному слабо защитить? Тот же армадилло, который ты говоришь слабая защита, вреда никому не делает, винду не запарывает, файлы не стирает.
2) Тебя послушать так тебе надо прям фамилию Солодовников взять и протекторы делать. Смешно.




Inferno[mteam] SI loader Небольшая проблема с SI 4.05. Бряки работают, все



Inferno[mteam] SI loader Небольшая проблема с SI 4.05. Бряки работают, все замечательно, но лоадер не срабатывает на
Entry Point. А в 98 винде эту же программу (IrfanView) я распаковывал с помощью лоадера без
проблем. Софтайс вываливался ровно на EP. Что делать? Может в XP есть какие-либо тонкости?
Только не советуйте ставить другой SI. Ставил, патчил, работает, но глючно.
Остановился на SI 4.05.

.::D.e.M.o.N.i.X::. :: Inferno[mteam] пишет:
цитата:
Небольшая проблема с SI 4.05. Бряки работают, все замечательно, но лоадер не срабатывает на
Entry Point. А в 98 винде эту же программу (IrfanView) я распаковывал с помощью лоадера без
проблем. Софтайс вываливался ровно на EP. Что делать? Может в XP есть какие-либо тонкости?
Только не советуйте ставить другой SI. Ставил, патчил, работает, но глючно.
Остановился на SI 4.05.


Характеристику первой секции выстави на E0000020. Либо используй прогу для загрузки пакованных прог.

freeExec :: .::D.e.M.o.N.i.X::.
Будешь таким типом, бойдешь на все 4 стороны.

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
Будешь таким типом, бойдешь на все 4 стороны.


Это так, прибило меня по пьяне. На самом деле я ласковый и пушистый

MozgC :: Inferno[mteam] есть еще 158 способов остановиться на EP...

freeExec :: .::D.e.M.o.N.i.X::.
Смени надпись или будешь забанин, последннее китайско епредупреждение

.::D.e.M.o.N.i.X::. :: O’key.

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
китайско епредупреждение


Это мне напоминает надпись на одном полотенце:
Полотенце полотняноебанное.
Производитель забыл поставить пробел и вот что получилось

Inferno[mteam] :: To .::D.e.M.o.N.i.X::.
>хактеристику первой секции выстави на E0000020.
делал, не помогает...
To mozgc: давай все 158

.::D.e.M.o.N.i.X::. :: Inferno[mteam] пишет:
цитата:
To .::D.e.M.o.N.i.X::.
>хактеристику первой секции выстави на E0000020.
делал, не помогает...
To mozgc: давай все 158


Используй тогда IceLoad

MozgC :: 158 писать не буду, вот тебе вопрос из FAQ’a:

Q: А как прерваться на EP (что такое EP можно прочитать тут)?
A: Я обычно это делаю одним из двух способов:
1) Запускаю программу. В отладчике пишу "addr NAME", где name - имя исследуемой программы (процесса), после этого пишу "bpm 12345678 x", где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.
2) Запускаю PE Tools. В меню Tools выбираю Break & Enter и выбираю нужную программу. После этого появится сообщение о том, что необходимо поставить брейкпоинт "bpint 3" и после его срабатывания написать "eb 0xYY". Вот тут у PE Tools ошибка =) После срабатывания брейкпоинта в СофтАйсе надо будет написать не "eb 0xYY" а "eb eip YY" (YY - это какой-то байт, который был заменен на вызов третьего прерывания). После этого флаг вам руки, делайте дальше что нужно.




Man’Gun HELP!!!!!!!!!!!!!!!!!!!!!! Как ни пробовал si не преравает прогу ни...



Man’Gun HELP!!!!!!!!!!!!!!!!!!!!!! Как ни пробовал si не преравает прогу ни при каких BPX .прога спокойно работает я делаю так :пускаю прогу Х ;ctrl+d>-bpx ...(разные пробовал стандартные в примере lock ...);F5;прога спокойно отрабатывает и ни какое окно отладчика не появляется:даже на примере пробовал все тоже самое только запускал его loader’ом: что не так почема всё делаю по инструкции(http://cracklab.narod.ru/doc/sish.htm) а прерывания нету
.... ноль реакции : или я тупой(что врят ли за месяц любой язак освоить могу)или с прогой что то не так стоит у меня SoftICE Driver Suite v2.0.1:и WinXP хотя в 2K тоже пробовал так что помогите!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!люди!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!
HamMer :: А ты BPX, надеюсь, ставишь в адресном пространстве интересующей тебя проги. А то, конечно, она мимо проходить будет! Это я к тому переходишь ли ты в адресное пространство того процесса на который нужно бряк поставить. Или если, ты на определенное сообщение окна ставишь, то необходимо правильный хэндл указать, в смысле HWND! Для перехода в адресное пространство пользуйся addr, чтоб посмотреть хендлы hwnd. Чтоб пользоваться последней приблудой в ХР/2000 сначала в адресное пространство процесса нужно перейти, а то будет писать No LCD и все.

HamMer :: Да еще... На счет твоего DriverSuite не берусь гарантировать, что он корректно работает. Сам не пробовал такую лохматую версию под ХР использовать, но тут на форуме народ говорил, что надо какие-то заплатки ставить чтоб корректно работал, а лучше поставь себе версию поновее!




Араб Вопрос про AsLoad Что то я не понял, в AsLoad, что надо вписывать здесь:



Араб Вопрос про AsLoad Что то я не понял, в AsLoad, что надо вписывать здесь:
Patch: ; Identifier for Patch-Data
0054ec86:90 ; PatchAddress (RVA) + PatchByte
0054ec87:40
Что такое Patch-Data и PatchByte и как это находить?
MozgC :: оставь как есть.

Runtime_err0r :: Араб
Это offset и значения тех байтиков, которые ты хочешь заменить в программе.
Вот, например, как я исправил ZipSplitter 1.51

Exe:ZipSplitter.exe
Mod:1
Patch:
004f7d9e:EB
004f7d9f:11

.::D.e.M.o.N.i.X::. :: Извените за безграммотность, но может кто-нибудь объяснит, что такое AsLoad (патчер для продуктов Солодовникова???). Неохота помирать безграммотному.

Runtime_err0r :: .::D.e.M.o.N.i.X::.
h##p://www.dizer.fatal.ru/files/asload2.zip - качай, читай ...

.::D.e.M.o.N.i.X::. :: Runtime_err0r
Спасибо, я так и думал...
P.S. А когда свой сайт доделаете? А то че то "пока не готов" уже полтора месяца длится.

Араб :: Вот блин, да я и надеялся запустить с помощью AsLoad программу которую хотел поковырять. FrogIce не помогает. И на TRW2000 программа так же ругается. Это все Солодовников со своими приколами. Даже на отладчик что в Wdasm встроен говорит, что мол все вы с отладчиками сплошные редиски.

.::D.e.M.o.N.i.X::. :: Араб пишет:
цитата:
Вот блин, да я и надеялся запустить с помощью AsLoad программу которую хотел поковырять. FrogIce не помогает.


А ты IceDump не пробывал?

MozgC :: IceDump не поможет. Помогают только
1) IceExt
2) ASLoad
3) Ручной обход

Runtime_err0r :: Араб
> Даже на отладчик что в Wdasm встроен говорит, что мол все вы с отладчиками сплошные редиски.
Ясен бивень Есть такая функция API IsDebbugerPresent
А вообще почитай это http://xtin.km.ru/view.shtml?id=125

.::D.e.M.o.N.i.X::.
> P.S. А когда свой сайт доделаете? А то че то "пока не готов" уже полтора месяца длится.
ХЗ у -=ALEX=-’а надо спросить, он у нас за главного

Man’Gun :: А редиски вы все а не перцы




TOL-121212 .EXE Как можно чтото изменить в самом .EXE-файле?



TOL-121212 .EXE Как можно чтото изменить в самом .EXE-файле?
(Кнопку с формы забрать или дописать другую прогу в етот .EXE-файл).
Может кто знает где документы по етому есть
Kerghan ::
цитата:
Может кто знает где документы по етому есть


везде

TOL-121212 :: Где ---адрес можна дать !!! И каким отладчиком " ковыряться в чужом коде" лучше???

Kerghan :: TOL-121212
когда-то я тоже был таким как ты
зайди сюда http://isp.vsi.ru/~kerghan/docs/links.htm

цитата:
И каким отладчиком " ковыряться в чужом коде" лучше???


я юзаю OllyDbg (хотя не думаю, что это тебе о чем нибудь говорит)

TOL-121212 :: А ещо адресок можна!! ??
http://isp.vsi.ru/~kerghan/docs/links.htm -- выдает " The requested URL /~kerghan/docs/links.htm was not found on this server".
Где скачать эту OllyDbg ???

Kerghan :: да, просто сайтик обновил
http://isp.vsi.ru/~kergha...s/Kerghan%20-%20Links.htm

ЗЫ по ссылкам полазаешь, все со временем найдешь...
А вообще, почаще на этот форум заходи wasm.ru и cracklab.narod.ru

TOL-121212 :: Спасибо!!!

Kerghan :: Не за что




Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю



Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю прогу,она паказивает Меss(Зарегиструйте....). Потом запуск.
Что зделать для того чтобы небыло при запуске Меss.????
MozgC :: Не знаю, для начала выучить русский язык и называть вещи своими именами...

Kerghan :: Че-то я не понял причем здесь смайлы

Вообщем так:
1. поискать в ResHack’е эту самую мессегу
есть - убить и радоваться жизни, нету - пункт 2.
2. Открывай отладчик и трассируй прогу, пока не найдешь функции типа ShowWindow, UpdateWindow и т.д
3. Собственно решение:
а: обычно перед вызовом этого окна идет проверка на регистрацию, так что нужно искать je/jne и править на противоположное(или nop/jmp)
б: занопить вызов функции, но этот вариант не слишком хорош, хотя иногда приходиться им пользоваться

НО если прога требует регистрации, может стоит её зарегистрировать :) а то убьешь, а она дней через двадцать рабоать перестанет ;)

MozgC :: А мне показалось что он просто про MessageBoxA говорит. Если так, то говорят можно его как-то отловить.
А смайлики конечно не в тему =)

Kerghan :: MozgC: find-->MessageBoxA-->BPX

Если MessgeBox или ShowMessage, можно текстовую строку поискать(типа "Please registred")

Незнайко :: Нашол в WinHex строку: "Please registred...", и...... ???

MozgC :: Kerghan я не понял, не мог бы ты попродробнее объяснить как отловить MessageBoxA плиз ?

MozgC :: Короче Незнайко мы угараем.

Вообще я боюсь что трудно будет тебе объяснить что нужно делать. Лучше почитай статьи пока для новичков. Например мои 2 статьи. Когда немножко разберешься будет легче. Потому что мне кажется что у тебя щас такой уровень что объяснять что делать с MessageBox’ом и т.д. бесполезно. Без обид если что...

Kerghan :: MozgC
ничто так не поднимает настроение, как самореклама
ты бы ему еще ссылку на фак дал

Kerghan :: Незнайко
mov.....EAX,4321
cmp......1234,EAX......................;....1234-п равильный серийник, 4321-твой :)))
je......... 40100F.........--------/
PUSH.....0........................ /............; /Style = MB_OK/MB_APPLMODAL
PUSH.....402005............... /...........; /Title = "Name_Window"
PUSH.....402000................/...........; /Text = "Please registred"
PUSH..... 0........................./..........; /hOwner = NULL
CALL.......004011EA............/...........; \MessageBoxA
Начало_программы...<---/

Думаю объяснять смысла нет, но все же...
При загрузке прога читает из реестра или еще откуда информацию о регистрации(зарегена или нет)(фактически это сравнение cmp), если зарегена, то прога сразу переходит к своему выполнению, если же нет то показывает наг определенное время(либо просит нажать OK).
Чтобы избавиться от появления окна нужно исправить je на jne(если jne, то на je).

MozgC :: Kerghan
Когда мне до сих в день приходит по несколько писем и люди пишут что статьи очень понравились и считают их самыми лучшими, то я думаю что лучше посоветовать их, чем какие-то другие. На фак тоже могу ссылку дать и ничего такого здесь не вижу. Если бы мне не писали, я бы и не давал ссылки на свои статьи. А раз пишут - значит нравится.

Kerghan :: MozgC

цитата:
На фак тоже могу ссылку дать и ничего такого здесь не вижу.


Так и я о том же

ЗЫ Чего там насчет 98’ой версии?

MozgC :: Да я ее пропушу, вообще там осталось работы на 30 минут и хоть сразу можно уже полный фак выпускать, но я че-то никак не собирусь... влом.. уже так настое...л этот фак. Всмысле больно он большой, за...ся я писать..
Больше не буду я такие большие статьи начинать писать. А то пока пишешь - надоедает...

Незнайко :: (Смотри 16.09.2003 22:27)
Нашел я в программе OllyDbg ....jne.... заменил на je ; Запускаю Ran ...Все ОК! нет МЕСАГИ !!!
Но теперь как сберечь новый .EXE-файл.?

Kerghan :: юзай Hiew, Olly не сохраняет изменения в файле

Незнайко :: Ok!!

Незнайко :: Да!! да !!! Взломал, как это приятно!!!!
Благодарю всех кто помог! (Kerghan)

Незнайко :: Kerghan Подскажи прогу с Виндовской оболочкой
(Hiew ---Dos)

Kerghan :: иш чего захотел. командная строка - другого не ищи

MozgC :: Незнайко
Если ты уже знаешь машинные коды что на что патчить и адрес в файле, то используй Hex WorkShop - он для Windows и мне нравится. Перевести асм команды в машинные коды можешь например QView или Hview тут уж ничего не поделаешь - досовские, адрес в файле можешь посмотреть тем же Hiew или PE Tools, Lord PE а еще IDA, Win32Dasm. Только вот вместо этого всего для патча можно использовать Hiew. Не проще ли? Мне кстати он тоже не нравится, но не могу не признать, что все таки им проще =)




DiveSlip Асы помогите! Уважаемые асы, у меня возникла проблема, которую я...



DiveSlip Асы помогите! Уважаемые асы, у меня возникла проблема, которую я никак не могу решить. Она заключается вот в чем, у меня не работает айс (он не пишет MSR LastBranchIPFrom и LastBranchIpTo при установки бряков на bpm XXXXXXXXX x и ему подобных). Затем другая проблема, не работает Ида Про при попытке открыть файл для дизассемлирования (просто нажимая клавишу Open), выдавая следующее сообщение: «Actions OpNumber and BitwiseNegate have the same hotkey» - может кто-то знает, что это означает. Я просто не знаю что делать. По совету MozgC решил воспользоваться одной из команд IceExt - !lastbranch (выдает только нули, т.е. MSR LastBranchIPFrom и LastBranchIpTo равны 000000000). Я даже письмо написал разработчику этой утилиты (Вот его краткий ответ:«Однако на практике !lastbranch не оправдала моих ожиданий -она нули практически всегда выдает. :) Единственное, когда онасрабатывает - это когда и сам айс пишет LastBranchFromIp иLastBranchToIp»). Может кто-нибудь сталкивался с этим? Или есть какие-нибудь мысли по этому поводу? У меня установлен Driver Studio v2.7. ОС-Windows XP (Version 5.1 Build 2600).
Работаю на P4(800 FSB, Hyper Threading - проверил и при выключенной опции HT не работает ни Айс, ни Ида).

Kerghan :: юзай OllyDbg
и никаких проблем

3acpaHeLI :: DiveSlip есть такая трабла уже почти неделю бьюсь никак не вьеду залил ds 3.0 а толку ни х*я. Нету MSr ов и все кроме того ds 3.0 на бря ки api ваще не срабатывает поставил bpx GetModuleHandleA сработал только при выключении компьютера!! нехочет sice работать и все ктое сли знает посоветуйте че дельное а то х з че делать :-¦((

DiveSlip :: Так я понять не могу, почему не работает. Сначала я на Windows XP грешил, переустанавливал (с разных дисков, с Service Pack 1 и без него), но во всех версиях одно и тоже, теперь грешу на железо, думал что из-за Hyper Threading, я эту опцию отключил, переустановил все (ОС, Айс, Ида), все равно не работает.

3acpaHeLI :: х з на на етот вопрос еще никто мне тоже не ответил а на счет железа то у меня тоже p4 но не ht
я думаю мож софтина какая мозги е*** сначала у меня вообще аис висел при запуске потом выяснилось что c avp сосулька конфликтует, хотя мож и в железе дело ??????

3acpaHeLI :: ведь есть же люди у кого на XP cосулька пашет отзовитесь!!! как настроить

nice :: 3acpaHeLI
Я встречал в сети много подобных проблем, у меня у самого айс не работал(сейчас пока не ставил),
но все сводилось к тому, что без SP1 вообще всё ок, а с ним надо:

http://reversing.kulichki...es/debug/nticexppatch.rar
+
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
+
ftp://ftp.compuware.com/p...going/utility/nmtrans.dll
+
ftp://ftp.compuware.com/p.../patches/osinfo_XPSP1.dat

DiveSlip :: Для nice: а это для любого Айса?

DiveSlip :: Может кто-нибудь знает что означает сие сообщение Иды: «Actions OpNumber and BitwiseNegate have the same hotkey»

nice :: DiveSlip
Вроде как последние 3 ссылки, для 3.00 final
А 1 для 2.7
Но если не работает, эксперементируй, ты же ничего не потеряешь...

Это у тебя IDA в какой винде материться, какая ида, и какой файл?

DiveSlip :: Для nice: если тебе не сложно, может скажешь куда какие файлы вставлять?

DiveSlip :: Ида матерится в Windows XP (с Service Pack 1 и без него). Ида версии 4.17 и 4.30. Матерится при нажатии на кнопку New (это когда она загружается) и при Open, то есть даже не открывается окошечко где выбрать необходимый файл.

3acpaHeLI :: да не я все эти патчи пробовал че то не прокатывало
в директорию windows/system32/drivers
а numtrans в дир softice

3acpaHeLI :: DiveSlip на счет иды не знаю толко вчера скачал 4.3 вроде все нормально открывает

nice :: DiveSlip
Попробуй этот конфиг заменить, для 4_30 на mailto:diveslip@pochta.ru
Старый сохрани!

DiveSlip :: nice - не хочу огорчать, но Ида все равно не работает

nice :: DiveSlip
Да, что то тебе не везет, у меня IDA 4.50 с www.ttdown.com
10Mb она у меня под 9х не пашет, а в хр на ура!!!
вот линка(5 частей):
http://www.ttdown.com/SoftDown.asp?ID=20772
http://www.ttdown.com/SoftDown.asp?ID=20773
http://www.ttdown.com/SoftDown.asp?ID=20774
http://www.ttdown.com/SoftDown.asp?ID=20775
http://www.ttdown.com/SoftDown.asp?ID=20776

DiveSlip :: Что-то уж больно маленький файлик для Иды, но что делать придется закачать. Большое спавибо, nice.

nice :: DiveSlip
Да это «порезаная» версия, там нет отладчика, нет поддержки дос :(
Но под Win отлично работает, часть стгнатур, может проглотить из предыдущих версий, но не все




Kerghan handle Подскажите как можно найти handle кнопки или радиобуттона не



Kerghan handle Подскажите как можно найти handle кнопки или радиобуттона не прибегая к программным средствам.
MozgC :: А что значит не прибегая к программным средствам? Я так понял вспомогательные проги не катят? А SoftIce?

Kerghan :: отладчики можно(но без плагинов, которые определяют хандле, активриует кнопки и т.д.)

Kerghan :: отладчики можно(но без плагинов, которые определяют хандле, активриует кнопки и т.д.)

MoonShiner :: Чтобы точнее ответить на твой вопрос... С какой целью ты хочешь получить хэндл и почему не прибегая к программным средствам? И как это понимать?

MozgC :: В софтайсе команда hwnd ‹название процесса или потока›

Kerghan :: нужно енеблянуть кнопку, но процесс так загажен, что процедуре передается нул.
Поэтому нужно найти этот самый хендл и передать его процедере.
хендл естественно меняется после перезапуска программы.

Kerghan :: походу не знает никто

MozgC :: Я же написал как найти handle кнопки

Kerghan :: MozgC
да нет hwnd не тянет
мне нужно чтобы сама прога «находила» хэндл

MozgC :: Спроси у dragon’a.




LT IDA Pro Скачал IDA PRo 4.5.0.762 INTERNAL RELEASE , в распакованном виде



LT IDA Pro Скачал IDA PRo 4.5.0.762 INTERNAL RELEASE , в распакованном виде весит 12.4Мб, скачивал IDA Pro 4.30.740a весит 42.8Мб. Первая это что демка? Люди! У кого есть нормальная IDA дайте скачать, вы меня знаете за мной не станет.
MozgC [TSRh] :: Да это демка. И наврятли у кого на нашем форуме есть полная ида 4.5-4.6. Я в этом уверен.

LT :: Эээх.. :(

LT :: Кстати, мож знает кто, что такое DevPartner

-= ALEX =- :: Дак это че получается, у меня тоже демка ???? :( А че тогда в полной версии ?


LT :: Лана пройдет время и она поя вится. Бум Ждать.

nice :: -= ALEX =-
В полной версии даже отладчик есть

.::D.e.M.o.N.i.X::. :: nice пишет:
цитата:
В полной версии даже отладчик есть


Тем более толку от него, как из говна пуля:)))

Madness :: Фигня отладчик, сайс лучше.

angel_aka_k$ :: Madness
мда а сайс что по твоему не отладчик мда ну и народ пошел ........

MozgC [TSRh] :: angel_aka_k$
Ты его не понял

angel_aka_k$ :: Madness
мдя извени не так прочитал
MozgC [TSRh]
мдя чето меня проглючило

wl :: Где-то читал, что полную ИДА можно (а также 4.60) выкачать через пиринговые сети, к примеру через мула, сам не пробовал...
Эхх, скинуться бы понемногу бабла со всех и купить полную версию :) 299$ всего...

UnKnOwN :: Блин, вчера купил себе диск типа «Всё для начинающего....» думаю посмотрю чё там, так прикиньте там IDA Pro тоже 12 метров, вот гады, могли б найти полную версию, ну не чё бум искать.

Кто ищет, тот всегда найдёт... типа

freeExec :: В ослике ее нет :( пак что придется копить :)




Kerghan Using SoftIce. Руководство пользователя нашел тут одну доку по сайсу.



Kerghan Using SoftIce. Руководство пользователя нашел тут одну доку по сайсу. может кому будет интересно.
называется «Using SoftIce Руководство пользователя». Формат pdf. 900kb. Сам не читал, но помойму вешь занятная.
Блин, чуть ссылку не забыл
http://isp.vsi.ru/~kerghan/docs/siug401.zip
[RU].Ban0K! :: Эта ВЕЩЬ... уже как полгода валяется на моём сайте.. (или на том что от него осталось...) ... потому она и ВЕЩЬ.. что она там валяется...

Kerghan :: [RU].Ban0K!
блин, ну валяется и валяется... Просто я её до сих пор нигде не видел. сайсом я сам не пользуюсь, просто решил ссылку кинуть, мож нужно кому :-\

GL#0M :: Kerghan пишет:
цитата:
сайсом я сам не пользуюсь


А чем же тогда?

-= ALEX =- :: свой дебагер поди написал ?

UnKnOwN :: Для Kerghan :

Сенкс за сылочку, очень интересно...

Kerghan :: -= ALEX =-
с х..ей не работаю (не в обиду SI)

ЗЫ ollyDbg

-= ALEX =- :: Что-то я не нашел в этой доке, то что меня интересовало, а именно как поменять цвета и вид сайса....

freeExec :: Функцию COLOR помойму еще не отменили

-= ALEX =- :: Да понятно это, но как именно поменять цвета, т.е. там же цвета не RGB, вот и хотелось бы знать, где что куда писать, чтоб был такой-то цвет....

[RU].Ban0K! :: Kerghan
:) OllyDBG рулиз!!!
Для -= ALEX =-:
А в 4.01 можно было менять цвета?

wl :: Извините за ламерство, но мне нравится отладчик, который в C++Builder, до работе использую этот язык, удобно просто... с софт-айсом давно не работал, даже и забыл наверное, что там к чему... а доку выкачиваю(на всякий случай :)

freeExec :: Я для отладки прог на Асме использую от VS C++




nice InstallShield&LoadLibraryA Мужики подскажите задолбался я уже:



nice InstallShield&LoadLibraryA Мужики подскажите задолбался я уже:
Есть прога в инсталшилде, хочу кейген к ней написать, вся генерация лицензии,
инициализация(установка сервисов, записи в реестре), лежит в отдельной длл,
при попытке поставить брекпоинт loadLibraryA, система сжирает всю виртуальную память,
и уже спать охота, а прога ещё не раздолбана...
/* 0002C852: 0021 */ function_00E7(«LicInit() OK», 0xFFFF0001, 0x00000002);
/* 0002C873: 0020 */ BHLM.DBLicCheckLicenceKey(s0000, n0001, n0002); // Вот собака, возращает значение 0,1,2,3,4
/* 0002C882: 0006 */ n0000 = LAST_RESULT;
/* 0002C88C: 000A */ n000A = n0000 › 0x00000000;
/* 0002C89B: 0004 */ if(! n000A) goto label_0537; // normal if
/* 0002C8A7: 0021 */ function_00E7(«LicCheckLicenceKey() failed», 0xFFFF0003, 0x00000002);
/* 0002C8D5: 0027 */ // -- Start Return Code -- //
/* 0002C8D9: 0023 */ return n0000;
/* 0002C8E0: 0005 */ goto label_0538;
Если заставить ф-ию возращать значение=4 программа не ставиться корректно,
я написал прогу, которая грузит эту длл, но я не могу выяснить, что такое n0001, n0002 // integer
Естиь идеи?
И где то читал, что есть отладчик InstallShild’a, но найти где читал не могу




TotaL Патчинг процедуры проверки зареганности. Уважаемые мастера и им



TotaL Патчинг процедуры проверки зареганности. Уважаемые мастера и им сочувствующие ;). Постараюсь изложить свой вопрос понятнее.
Часто в программах вижу защиту типа:
цитата:
call 004XXXXX
test al,al
jnz XXXXXXXX


Где 004XXXXX - это процедура проверки.
В таких случаях я захожу в процедуру проверки и пишу там что-то вроде
цитата:
mov al,1
ret


Думаю, это логичный способ.
а вот что нужно писать в процедуре проверки, если в программе типа такой штуки:

цитата:
call 004XXXXX
cmp byte ptr [eax+00000710], 00
jne XXXXXXXX



.
Так как проверок много, то в каждой изменять условные переходы, сами понимаете не рационально....
Надеюсь проблема ясна.
Kerghan :: в Hiew:

mov b,[eax+0710],00

вроде так

TotaL :: это, кстати XoraX. Тока я не из дома, а пасс к нику не помню. =)

TotaL :: Kerghan, пасибо

Kerghan ::

Runtime_err0r ::
цитата:
call 004XXXXX
cmp byte ptr [eax+00000710], 00
jne XXXXXXXX


Лучше в отладчике дойти до этого места и сделать d eax+710 смотрим что это за байт (к примеру 510436 - взято от балды).
Теперь ставим bpm 510436 и перезапускаем прогу - как правило в самом начале выполнения в эту ячейку памяти будет помещён 0 (как правило только в одном месте, очень редко в двух). Запоминаешь адрес, потом в HiEW меняешь

mov b,[eax+00000710],00
на
mov b,[eax+00000710],01




infern0 test wanted - armadillo nanomites recover Написал восстановилку



infern0 test wanted - armadillo nanomites recover Написал восстановилку наномитов для армы - могу выложить куданить, хотелось бы услышать мнения по поводу, пожелания и т.д...
freeExec :: Не, не выкладывай, кому она нафиг нужна!!

infern0 :: лежит тут hxxp://www.hackersrussia....ic_cracks/N-Rec/n-rec.rar - 286 Kб

никому не надо - тогда и фиг с ним :)

MozgC [TSRh] :: Я скачаю, на будущее, посмотрю...

nice :: infern0
Я пока арму не копал сильно, но все же для каких версий???

MozgC [TSRh] :: Ну наномиты вроде только в третьей версии сделали, наверно для всех 3.хх

GL#0M :: infern0
А статейку про арму написать не собираешься? Вроде хотел...

infern0 :: Для MozgC [TSRh]: да, именно так. надеюсь получился достаточно универсальным.

infern0 :: GL#0M пишет:
цитата:
татейку про арму написать не собираешься? Вроде хотел...


в архиве с N-Rec лежит отличная статья dragon - зачем повторятся ? :)
ps: тем более что именно она меня подтолкнула к написанию сей проги...

MC707 :: Интьересно, почему у меня этот файл не берется?
Page cannot be displayed?

infern0 :: цитата с WASM.RU:
Armadillo nanomites recoverer by infern0/dragon NEW!
Aramdillo - это, по сути, трейсер, использующий стандартные Win32 API-функции для расшифровки виртуальных страниц отлаживаемого процесса на лету. Т.о. Armadillo, по сути, это два процесса - отлаживаемый процесс и процесс-отладчик. Sten’ом был придуман оригинальный способ попросить отладчик «отдать» все страницы в расшифрованном виде. Способ получил дальнейшую разработку в статье dragon’a. Теперь infern0 пошел еще дальше. Известно, что Armadillo заменяет условные прыжки в теле программы. Данный файл позволит их восстановить в автоматическом режиме. В ini-файле прописываете параметры, которые наковыряли из программы, и адью. Изящное и достаточно надежное решение.

:)

MC707 :: MC707 пишет:
цитата:
Интьересно, почему у меня этот файл не берется?
Page cannot be displayed?


Кстати не считайте меня ломо, типа что я hxxp не заменил...

MozgC [TSRh] :: =)

infern0 :: MC707 пишет:
цитата:
Интьересно, почему у меня этот файл не берется?
Page cannot be displayed?


возьми с hxxp://wasm.ru

infern0 :: .




Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой),



Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой), которое появляется при запуске программы. Никто не пробовал его убрать? Сначала попробовал просто снести его из ресурсов, подредактировать чтобы само закрывалось - не получается, вываливается ошибка и программа закрывается. Под отладчиком тоже ничего не выходит - программа вылетает с сообщением об ошибке. Пробовал найти функцию создания нага и забить ее nop-ами - тоже не вышло - опять ошибка.
По показаниям PEiD 0.91 программа написана на Borland C++ 1999 г.в, но в это как-то слабо верится... Что же там за такая хитрая защита с обнаружением отладчика (OllyDbg)?

Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.
nice :: Gloomy
А ты бы ссылку дал...

MC707 :: Что ж ты так информативно прогу описываешь, ни что за прога, ни что-где-как, ни даже ссылки на нее...

UnKnOwN :: Gloomy пишет:
цитата:
Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.


Ковырял, ЧТО......?

MoonShiner :: В иду запихни и не мучайся... И ваще непонятно, че за проблема может быть с нагом...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
Ковырял, ЧТО......?


Eburg на блюдечке 4 наверно... наверно так прога и назвается...

UnKnOwN :: Для MozgC [TSRh]:

сорри, что -то тему завтыкал...

Gloomy :: Программа называется Екатеринбург на блюдечке 4. По-русски я не написал слово «Екатеринбург» потому что форум глюканул и стыдливо прикрыл гордое имя моего города дурацкими символами.
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести. Сама программа занимает целый диск так что ссылки дать не могу, тема рассчитана на людей, либо живущих в Екатеринбурге, либо туда приезжающих, либо просто на тех кто эту программу юзает.

MoonShiner :: Gloomy пишет:
цитата:
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести


Не понял этой фразы... Ты ж не будешь над всем кодом сидеть. Пройдешься по именам и найдешь подозрительную ботву...

angel_aka_k$ :: MoonShiner
я думаю ему проще будет 2 метра кода разобрать




Sem Защита StarForce (проверка CD)- кто-нибудь разбирался с этим? (например в



Sem Защита StarForce (проверка CD)- кто-нибудь разбирался с этим? (например в HMM IV вроде Buka) Если что-нить знаеете расскажите.
Dred :: Эта защита проверяет наличие отладчика
Мне тоже интересно.
Где нибудь наверняка есть инфа по ломалке.

freeExec :: Четвернтые герои идут без диска, а ехе кемто похерен
цитата:
crazy bad bwoy


Вот прочту вторую часть об упаковщиках, и если буду жив :) займусь патченьем брайвера ихнего.

[RU].Ban0K! :: Sem пишет:
цитата:
Если что-нить знаеете расскажите.


Я и половину секретов и техник не понял...
Dred пишет:
цитата:
Эта защита проверяет наличие отладчика


1% от всей защиты...

Там, блин... такая динмическая перепаковка... несколькими правильными дампами не отделаежся...
Да и вообще единственное что я обошёл это проверку отладчика... и... и всё...
Читал пару статей... понял лишь то что ниХ не понял...

P.S. Бука??? да ладно... вряд ли... бука ставит тривиальные защиты... типа GetDriveType и всё...

Sem :: Вообще такое ощущение. что часть EXE находится где-то на CD (не в CDFS, а в каком-то заданном секторе) и вовремя загрузки StarForce- драйвер восстанавливает EXE.

DeMoNiX :: [RU].Ban0K! пишет:
цитата:
Да и вообще единственное что я обошёл это проверку отладчика... и... и всё...


Интересно и как ты обошел замеры времени между циклами???

-= ALEX =- :: секундомером замерял наверное :)

freeExec :: Скажите как отлажчиком в нем поковырять?

[RU].Ban0K! :: Sem пишет:
цитата:
вовремя загрузки StarForce- драйвер восстанавливает EXE.


По частям... используя библиотеку протект.длл (только одна функция и только один параметр :) )
DeMoNiX пишет:
цитата:
Интересно и как ты обошел замеры времени между циклами???


... да нет, только стандартные Anti-SI трюки...
freeExec пишет:
цитата:
Скажите как отлажчиком в нем поковырять?


Надо как-то симулировать работу проги и вызывать функцию из dll ... с разными параметрами... (а их блин полно... тип параметров там от 1 до 20(или... далее...))
Потом вставить всё это в дамп... и... а дальше хз чё делать...
Это всё что я понял из статей (наверное не правильно понял...) которые читал... , но и то это про прошлую версию StarForce... :(((

freeExec :: Да до этого как до китая, ты скажи как сделать чтобы тот та Айс не ругался?

[RU].Ban0K! :: freeExec пишет:
цитата:
чтобы тот Айс не ругался


Я использовал FrogIce...

DeMoNiX :: [RU].Ban0K!
Я использовал FuckMeltIce - патч написан для Delphi приложений, использующих эту компоненту, но на библиотеке protect.dll проперло и я лазил спокойно в айсе без FrogIce:)))
P.S. А до этого комп ребутился:)

MoonShiner :: DeMoNiX пишет:
цитата:
Я использовал FuckMeltIce


А где ты нарыл этого зверя?

Yokel :: Для MoonShiner: Ковырять зашиту Ice’ом ты не сможешь, так как зашита сама использует эти прырывания.

Yokel :: А вообще самое простое решение это брать не русские локализации игр (немецкие, французкие) там не StarForce и перепаковывать ресурсы и всё будет работать!

MoonShiner :: Yokel пишет:
цитата:
зашита сама использует эти прырывания


int1, int3. В курсе. Мне интересно, че за хрень этот FuckMeltice...




Tor Вопрос по отладчикам Кто подскажет какие есть под Unix отладчики (кроме



Tor Вопрос по отладчикам Кто подскажет какие есть под Unix отладчики (кроме ddd),желательно вроде SoftIce?Т.е. уровня ядра.
Kerghan :: BrokenSword писал про это. на васме статья «Ассемблер в *nix удел извращенца?»

Tor :: Для Kerghan: Спасибо!




LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни



LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни дифирамбы... кому статьи писались вообще не поняно...понимающий он и так поймет... ну вот хоть бы одна статейка с нормальным описанием (что, для чего и почему) нет.! Ээээх!
angel_aka_k$ :: LT
попроси мозга написать об аспротекте у него хорошо статьи получаются

Kerghan :: если один раз читать, х..н че поймешь. Прочитай раза четыре, поаробуй распаковать че полегче, снова читай etc.

-= ALEX =- :: А лучше самому неделю посвятить отладчику и аспру, тогда точно сам все будешь знать и другим советывать...

MozgC [TSRh] :: LT для начала прочитай статью про распаковку NetVampire, там вроде более менее получилось. Хотя как мы там с freeExec’ом ОЕП искали это неправильно. В том случае оно сработало, но можно сказать что это совпадение. В общем лучше ерундой не заниматься и искать по bpm esp-4 или bpm esp-24
Т.е. ставишь бряк на MapViewOfFile запускаешь прогу зааспренную, когда функция MapViewoFfile вызовется из программы (для этого смотри в правый нижний угол окна айса, там должно будет быть имя упакованной проги) то убирай этот бряк и ставь бряк «bpm esp-4» (это для NetVampire, вместо esp подставь число которому равен esp на EP запакованной программы, например «bpm 12FFC4-4») И жми F5 пока не увидишь выход на ОЕП, в данном случае будет jmp eax. В eax в это время будет адрес OEP. Таким образом ты найдешь OEP нормальным способом, ну а дальше по статье. В общем может я зря это все написал, но я бы очень советовал прочитать эту статью для начала. Ищи ее на крэклабе. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить... А потом уж и до аспра доберусь...

LT :: Мозг, а может попробуешь.. написать статью или дай мне что почитать только с сылками. Заранеее благодарен.

MozgC [TSRh] :: Ну написать может и напишу, только не скоро. Что почитать я тебе сказал - статью про NetVampire которая лежит на крэклабе.

LT :: ок. гляну ща

Runtime_err0r :: MozgC [TSRh]

цитата:
. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить...


А ты уверен, что это кому-нибудь нужно, кроме тебя ??? По этим пакерам статьями уже весь Инет завален (хотя большинство из них явный бред - либо автор «забывает» про восстановление IAT написать либо ещё где-нибудь накосячит, хотя на XTIN и на WASM.RU статьи действительно очень толковые), да и в вашем FAQ тоже есть раздел по распаковке. А вот толковых статей по ASPR’у действительно нет так что давай про ASPR лучше пиши

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А ты уверен, что это кому-нибудь нужно, кроме тебя ???


Как раз мне это нафиг не нужно. А вот когда меня в аське начинают доставать как распаковать упх, причем люди которые уже несколько месяцев занимаются крэкерством и которые уже что-то ломали а не только крэкми, вот это реально удивляет. Ну а PE Compact и ExeStealth таких крэкеров просто убивают =)

Madness :: Runtime_err0r
›А вот толковых статей по ASPR’у действительно нет
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему. Я, помнится, свой первый аспр очень долго распаковывал, проходя до оер вручную по десятку раз.

MozgC [TSRh] :: Толковая статья эта после которой все понятно и не приходится вручную проходить до ОЕП по десятку раз.

nice :: MozgC [TSRh]
Полностью согласен, у хекса в статьях проходят «простые» термины,
который видимо они используют в своём кругу, а ты сам допирай,
хорошо если представляешь о чем идет речь, а если нет

DeMoNiX :: nice пишет:
цитата:
Полностью согласен, у хекса в сиаьях проходят «простые» термины,


Хохол он и в Африке хохол:)))

MozgC [TSRh] :: =)

GL#0M :: Да... Ну ты даёшь DeMoNiX

Runtime_err0r :: Madness , MozgC [TSRh]
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется

Madness

цитата:
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему.


Кто-то спросит - ну как же можно так ?
Дуракам всё можно ! Я же ведь дурак
© Шнур

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется


Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.

Runtime_err0r :: MozgC [TSRh]

цитата:
Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.


Согласен - ты пишешь хорошие статьи и «разжёвываешь» там все тонкости

MozgC [TSRh] :: Ну вот постараюсь про упаковщики тоже нормально написать... Надеюсь получится. Идет набор бетатестеров =)

UnKnOwN :: Для MozgC [TSRh]:
Бета тестеров для чего...?

MozgC [TSRh] :: Да шучу я, но все равно надо будет тройке-пятерке новичков дать почитать, прокомментировать перед тем как статью в инет выкладывать...

Kerghan :: самые лучшие тестеры находятся на этом форуме

[RU].Ban0K! :: Для MozgC [TSRh]:
Самое главное не отмазываЦа от критики...

UnKnOwN :: Для Kerghan: Вот это ты прямо в яблочко

LT :: Пер @!#$ уквы этой статьи хоть написаны? :)

MozgC [TSRh] :: LT пишет:
цитата:
Пер @!#$ уквы этой статьи хоть написаны? :)


Угу, мало того, написан аж первый абзац! =)
А вообще щас с работой бодяга, освобожусь числа 4 декабря, и тогда сразу в бой, дописывать статью!

LT :: Ждем с нетерпением!

GL#0M :: Для MozgC [TSRh]: Так какие упаковщики-то взял?

.::D.e.M.o.N.i.X::. :: Runtime_err0r пишет:
цитата:
Да есть статьи толковые, у Hex’а, например


Hex вообще хрен знает для кого пишет:) Сейчас то все понятно, а вот когда любительски начинал, то хз для кого он пишет...

angel_aka_k$ :: .::D.e.M.o.N.i.X::.
хз я лично учился по статьям hex’a и собственно по его статьям научился распаковывать проги так что спорный вопрос по поводу его статей мне наоборот кажется что самые толковые статьи как раз у HEX’a покрайней мере он пишет так что потом понять можно вон например volodia написал статью так я там 50% не х...... не понял и не стал вообще доконца ее читать мозги просто расплавляются от его статьи и вся проблема в том что он написал научным языком !!! а это всегда напрягает мозги а hex пишет нормальным языком и все понятно !!!! просто думать надо а не бегло читать !!!!

angel_aka_k$ :: Runtime_err0r пишет:
цитата:
А вот толковых статей по ASPR’у действительно нет


я пишу про 1.3 надеюсь нормально получится покрайней мере стараюсь все описать и подробно разжевать почему так а не подругому :))))))
вобщем все равно вам судить так что посмотрим может толково получится

test :: Для LT: Не теряй время! Есть хорошие стати по распаковке почти всех протекторов включая
Armadillo copymem2&nanomites ,aspr1.23RC4.Правда один минус они не на русском,но зато
наглядность там очень хорошая.Неплохо конечно если кто перевёл бы но там очень много материала.Если есть желание дам ссылку.

GL#0M :: test
Конечно давай. Переведём если что.

LT :: 2test давай , вон и переводчики нашлись.

P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?

MozgC [TSRh] :: LT пишет:
цитата:
P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?


Ты про что?

LT :: ну ты сам говорил, что оер там не верно искался

MozgC [TSRh] :: Да, но ОЕП это мелкая часть распаковки. Остальное там нормально написано, и говорить нах она нужна как-то...

LT :: ну сорьки... ну если я не найду оеп все остальное ...вернее всего остального и не будет.

MozgC [TSRh] :: А для я кого написал как ОЕП найти по нормальному? Для себя чтоли?

test :: Для LT: http://www.hackemate.com....589186cbc517d78f692920e2b

test :: Для GL#0M: Если сможешь на spanish http://www.hackemate.com....589186cbc517d78f692920e2b
Я использую X-Translator Platinum,т.к. Wordовские doc с сохранением форматирования текста и картинок как в оригинале делает
только он. другие не нашел,если кто подскажет что получше то спасибо.

GL#0M :: test
Сейчас сяду переводить...

GL#0M :: Рульный сайт, я о нём не знал, т.е. раньше на нём этого не было, помоему.

angel_aka_k$ :: test пишет:
цитата:
aspr1.23RC4


вообщето там далеко не 1.23 rc4 [аля asprotect 1.3]
то простой 1.2x [new strang] распаковывается с пол пинка так что проверяй инфу прежде чем постить !!!!!

-= ALEX =- :: Да я тоже нигде не встречал статей про новый аспр, мы одни тут такие, кто с этим аспром разбирается, а один тут воще патчит его :)

RideX :: -= ALEX =-
Что, продвигается дело?

infern0 :: Для -= ALEX =-: у HEXа есть отличная статья про новый аспр- там все толково расписано. Причем лежит она у него уже минимум месяц...

-= ALEX =- :: infern0 Мне не надо статей, я сам впринципе умею такие аспры распаковывать...
RideX Дело продвигается нормально...

test :: Для angel_aka_k$: 138-ASProtect 1.23rcx por Juan Jose.rar - архив, Programa: Advanced File Organizer v.2.1 (ASProtect 1.23 RC4)
у меня вроде есть?

test :: Для angel_aka_k$: Не могу зайти на сайт чтоб ссылку дать точно, вот качал архив (actualizacion octubre 2003) - это обновления
в этом архиве лежит.Наши статьи конечно лучше и я изучаю материал используя всю доступную информацию, и кто пишет статьи
(любые!) им очень благодарен, я читаю всё и по возможности с практикой.На других языках конечно сложнее понять тему Но
ведь переводят их и ничего!Я начинающий и любые советы принимаю!

test :: Для GL#0M:Если хочешь перевести не только для себя то я диск дам со всем материалом и крэкми что скачал, осталось только
несколько крэкми оригиналы докачать.А то на офиц,сайтах уже некоторые обновлены а например с HASPом и вообще
не найти наверно.Проверил пока не всё конечно но армадиллу распаковал по туториалу первый раз.Если не проблема качать
то есть ссылка еще на ftp если что скажи или лучше контакты дай пришлю файллист с пояснением.

GL#0M :: Для test: Вот мои контакты

GL#0M :: test
Куда пропал-то? Чего файллист с пояснением не прислал?

angel_aka_k$ :: test
давай лучше ссылку на этот переводчик ( давно уже хочу иметь переводчик на тачке )

LT :: 2Мозг, не выходит по твоему. Вернее выходит, но как то не так: бряк срабатывает, но в правом нижнем у. совсем другая программа(CSRCC), несколько раз пробовал.

До того до пробовался, что комп стал глючить - по иконке любой кликаешь, а открывается не программа, а свойства файла. Это фигня все, с этим я разборался - от чего и почему.

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

GL#0M :: angel_aka_k$
Да это промт (x-translator бывший qtrans) ваще-то. Так что качать долго придётся.

LT :: 2UnKnOwN да Софтайс это чудит. :)

LT :: 2angel_aka_k$, Promt XT Family хороший, ищи, качай..версий правда несколько. Лучше конечно диск купить по дешевке, если есть где.

angel_aka_k$ ::
в том то и дело что я поиском в сети не занимался и если что то надо не когда не найду :((((( вот и здесь....... так что если не сложно то кинте мне ссылку не хотите в форум кинте на мыло заранее сенкс
просто иногда переводчик очень нужен а нету :(((((

LT :: Тов. Мозг, че делать таааа?! (это я все о том же)

2angel_aka_k$, увижу скажу.

MozgC [TSRh] :: Надо жать F5 до тех пор пока в правом нижнем углу будет не CRSS или как он там =) а нужная программа. Т.е. ставишь бряк на MapViewOfFile, запускаешь прогу и когда бряк сработает, то жмешь F5 пока функция будет вызвана не сервисом CRSS а аспровой прогой.

test :: Для GL#0M: Да небыло инета!Отправлял раз 5 мыло сервер глючил или GPRS если не получил через пару дней выйду с другого места там связь получше. Если что залью куда нибудь все новые статьи которые не выложены на их сайте или переводчик ну вобщем там подскажешь.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Надо жать F5 до тех пор


пока не посинеешь

MozgC [TSRh] :: =)))
Да ну на самом деле больше 5 раз не бывает =)

angel_aka_k$ :: MozgC [TSRh]
да я в курсе :))))))) кстате как говорится о птичках короче я тут мозгами пораскинул и нашел более простой способ востановлению IAT так вот теперь не знаю дописать тот что есть ( сложный но дает понять всю структуру построения IAT ) или написать более простой способ ( очень поверхностно дает понять что и как ) вот советуй :))))))))))))

MozgC [TSRh] :: Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.

LT :: 2MozgC Все равно не получается по F5 проходит раз 5 и на 6-ом открывается программа. Вот так.

MozgC [TSRh] :: =) Хех, ну значит я гуру какой-то, у меня всегда работает. Че за программа то ?

LT :: да я взял Net Vampire 4, чтоб скорей понять как аспр распаковывать.

MozgC [TSRh] :: Ну я щас проверил. Ставлю бряк MapViewOfFile, запускаю vampire.exe, первые 2 раза прерывается в CSRSS, но третий раз в Vampire, так что по-моему ты что-то путаешь или делаешь не так. Уверен на 95%.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.


ок буду писать то и то !!!!

Mario555 :: При запуске распакованной проги [ASPR 1.0] вылетает такая вот хрень: «Can t open C:\Program Files\~\dumped_.gex!» , что за gex такой ? Это какой-то приём ASPR’a , или я криво распаковал ???

LT :: 2Мозг, ты когда бряк ставишь у тебя, что в нижн. пр. уг. Софтайса? я думаю может из за этого.

.::D.e.M.o.N.i.X::. :: Тут блин ковыряю ATClock 1.2 - так там аспр вжился в прогу так, что надо аж около 15~20мест исправлять + откуда то появилось ~12 API аспра (причем по разным адресам!!!).
angel_aka_k$
Могу ссылку дать - такого я еще не видел...

MozgC [TSRh] :: Ну стандартно, пишешь bpx MapViewOfFile когда еще находишься в а.п. Idle а когда бряк поставился то уже в а.п. приложения или сервиса в котором загружена kernel32.dll, обычно в CSRSS.

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Там короче после первого колла поставь прыжок на нужный колл. Там после первого колла и между «вторым нормальным коллом в дельфи прогах» понапихано очень много аспровых коллов, их просто перепрыгивай, на «второй нормальный дельфийский колл» =))), потом еще переходы занопь после последующих коллов в главной ветви программы, это все проверки аспровые, они на ExitProcess указывают. И тогда останется примерно 4-5 проверок, которые не совсем сложно найти. Регистрация стандартная - подменой адреса строки зарегенного пользователя.

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Могу ссылку дать - такого я еще не видел...


давай
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


я так и не вкурил где это делается, скок аспров перелопатил не где не смог подменить. На скоко мне память не отшибает там в getprocaddress надо пихать свое имя точнее адрес где оно хранится, или я не то сказанул
P.S. все в выходные буду писать статью, и поломаю ченить заодно!!! блин на работе достали просто проходу не дают из - за работы не х...... не успеваю, поэтому статья задержалась но в выходные точнее завтра сяду и допишу
P.S.S. MozgC [TSRh] кстате я тут попробовал простой способ нех..... не получилось оказалось геморойнее чем сложный я просто думал что мне места хватит а не хватило :(((( да и то на что я расчитовал не получилось ( я просто хотел весь гимор на importrec повесить а она сдохла :((((( отказалась апи востанавливать поэтому остается только геморойный способ зато все чисто и аккуратно )
ну вобщем на выходных сам оценишь способ востановления :)))))

-= ALEX =- :: ждёмс статью....
P.S. я тоже что-то не могу разобраться с способе MozgC [TSRh] , чтоб прога была зарегена :)

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...

GL#0M :: angel_aka_k$
-= ALEX =-
-= ALEX =- пишет:
цитата:
я тоже что-то не могу разобраться с способе MozgC [TSRh], чтоб прога была зарегена :)


Я могу ошибаться (не разбираюсь в этом так хорошо), но это способ не MozgC [TSRh].
Я так понял речь шла об этом:
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)

angel_aka_k$ :: GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


дык вот я и не понял как это осуществить

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...


ок посмотрю

nice :: angel_aka_k$
«Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»»
А говорил не читаешь туторы

-= ALEX =- :: где-бы эту статью найти.... а вообще нахожу я эти апи, нахожу примерно где надо изменить на свое имя, но нифига не происходит, т.е. все по другому не так как в статье...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Смотри ящик:)))

infern0 :: Для .::D.e.M.o.N.i.X::.: а в моем ящике нету :)

.::D.e.M.o.N.i.X::. :: infern0
Был бы еще ящик твой:)))

MozgC [TSRh] :: angel_aka_k$ , -= ALEX =- да вы что издеваетесь? По-моему этот способ знают уже все кроме вас =)
Алекс, отошли angel’у те скроиншоты что я тебе слал если остались. Хотя они у меня тоже вроде остались...

GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


Хз, статьи этой не читал, а когда сам начал так делать не помню...

angel_aka_k$ :: -= ALEX =-
angel_aka_ks@pisem.net - шли сюда :))))) заранее сенкс
MozgC [TSRh]
у мня тут проблемка точнее я забыл просто эта как в фотожо @!#$ елать чтоб поруски писал а то начал картинки доделывать и руский не вкакую еси знаешь подскажи и еще чем лучше обрезание делать картинкам ????
.::D.e.M.o.N.i.X::.
уже качаю седня гляну интересно че там :)))))))))

MozgC [TSRh] :: Ну с русскими шрифтами у фотошопа всегда была проблема, можно например в реестре изменить кодировку HKLM\System\CurrentControlSet\Control\Nls\1252 -› c_1251.nls, не факт что поможет (но я так делаю),
можно еще скачать попробовать шрифты вот эти http://www.beos.ru/files/BSFontsCyr13.zip, тоже не факт что поможет. Обрезать можно инструментом Crop в фотошопе или тем же инструментом в простейшем ACD Photo Enchancer (ACDSee -› CTRL+E)

RideX :: MozgC [TSRh] пишет:
цитата:
1252 -› c_1251.nls, не факт что поможет


В 99% случаев поможет, если нет попробуй добавить 1250 -› 1251, иначе используй «чисто» кириллический шрифт. MozgC всё точно написал, мне добавить нечего :)




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




UnKnOwN IDA PRO V4.17 Вот наш



UnKnOwN IDA PRO V4.17 Вот нашёл в инете эту прикольную штуку, её размер 23Mб, как думаете стоит качать ???
Dred :: нет

MozgC [TSRh] :: Точно не скажу, но вроде бы у версий 4.17 и 4.30 были проблемы под WinXP. Может я не прав. У самого 4.15 стоит, правда с сигнатурами тупит =)

UnKnOwN :: Нет я в смысле стоит качать или нет, помните была тема, что IDA Pro неполная версия, у всех она 12 метров занимает а тут 23 метра...

Kerghan :: UnKnOwN
думаю, нет. Да и вообще не очень понятен ажжиатаж по поводу этого продукта.

UnKnOwN :: Ладно, всё понял качать не буду...

MozgC [TSRh] :: Про 12 мегов это говорили про обрезанную иду 4.5
Если у тебя нет никакой иды, то по любому надо скачать хоть какую-то версию
Я вообще не понимаю как серьезные проги можно без иды ломать.

XoraX :: UnKnOwN , зачем ИДА тебе ;)

dragon :: Правильно, качай лучше 4.30, эта поудобнее будет.

MoonShiner :: MozgC [TSRh] пишет:
цитата:
Я вообще не понимаю как серьезные проги можно без иды ломать.


Гы:) а несколько месяцев назад я тебе втирал, что «пихай в ИДУ», а ты говорил, что мол нафиг она нужна, виндасм круче:)

Kerghan :: MoonShiner
не, виндасм это и в самом деле г., но имхо ollydbg куда круче, и дизассемблер и отладчик, корче спросите у [RU].Ban’ка

GL#0M :: MozgC [TSRh] пишет:
цитата:
у версий 4.17 и 4.30 были проблемы под WinXP


Не знаю, у меня 4.30 стоит. Всё нормально пашет. hxxp://www.crackbest.com/...et.asp?id=81&type=1&url=1
(31mb, пароль к архиву: www.crackbest.com)

MozgC [TSRh] :: GL#0M
Ну я ж сказал что не уверен =) Просто где-то слышал вроде.

MoonShiner
Времена меняются, был неправ. Реально Ида - вещь.

GL#0M :: MozgC [TSRh] пишет:
цитата:
Ну я ж сказал что не уверен =) Просто где-то слышал вроде.


Да я понял, всё нормально, просто ссылку дал.




Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована



Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована XtreamLok - так выдал PEiD, да и в PE присутсвует Xlok. Если, кто распаковывал помогите, разобраться с ней.
-= ALEX =- :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно

Runtime_err0r ::
цитата:
Скачал прогу под названием AudioStudio


Откуда скачал ??? Ссылку-то дай ...

Vlad :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно
Для этого надо поставить бряк например на начало программы, а потом уже esp-4. При ставки бряка например на loadlibrary он выдает мне сообщение, что типа загружен дебегер или ..., сама она на VisualBasic. Скачал exe крякнутый (tsrh) открыл его LordPe и посмотрел на ImportTable, адрес для нее откуда взяли не пойму. В запакованной (000...), что-то типа такого, а в крякнутом (001D...). И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.

MozgC [TSRh] :: Vlad пишет:
цитата:
Для этого надо поставить бряк например на начало программы, а потом уже esp-4.


Alex сказал тоже самое.

Vlad пишет:
цитата:
И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.


Попробуй новую версию IceExt’a - не факт что поможет, но может быть. Кто-то говорил что там улучшено скрытие айса, хотя армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...

MozgC [TSRh] :: Vlad пишет:
цитата:
При ставки бряка например на loadlibrary


Попробуй ставить бряк на конец апи, т.е. на ret
И попробуй менять bpx/bpm x

-= ALEX =- :: правильно тут говорят

Nitrogen :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..

Vlad :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------
Тот самый (AudioStudio.locked)

Nitrogen :: мдя.. запускаешь прогу..
дампишь то что есть..
сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
заменяшь эти 400h байт в .lock файле..
переименовываешь .lock в .exe..
типа все.. softwrap во всей красе..

метода by bishep&oxen // tsrh

Vlad :: сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
-------------------------------------------------- -------------------------------------------------- ---------------------------------
Может я че то не знаю, но как их сохранить. Я первый раз с этим сталкиваюсь. Секция text там не полная.
VirtualSize: 001D1350
RawSize: 001D2000
Если я правильно понял ты имеешь в виду сохранить недостающию байты в секцию text. Как видно из VirtualSize и RawSize.

Nitrogen :: в hiew выделить блок.. сохранить блок.. вставить блок

Vlad :: Открыл я в hexworkshop сдампленный exe и крякнутый exe и сдамплинный audiostudio.exe (который типа запускает lock файл).
Смотрю с OEP в крякнутом exe и в моем сдампленном exe (который lock) и т.д. exe, в крякнутом байты и во всех этих exe файлах совершенно разные. Ни хрена не помю че за херь.
P.S. Ща попытаюсь разобраться. Бл... завтра в школу.

infern0 :: MozgC [TSRh] пишет:
цитата:
армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...


херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.

MozgC [TSRh] :: infern0 пишет:
цитата:
херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.


Ну факт в том, что арма все таки видит айс+айсэкст =)




Kerghan что-то с памятью Ковыряю прогу на VB уже второй час. Нужно кейген



Kerghan что-то с памятью Ковыряю прогу на VB уже второй час. Нужно кейген написать, а прикол вот в чем.
a4a9d9 push 434233 ;строка «unregistered» в editbox’е
пишу в hiew’е вместо 434233, 169ab4 - там строка с регкеем. Запускаю под олли, все ништяк, выводится регкей. Запускаю без отладчика - пусто 8-( . В чем прикол???
(C)dragon :: Приложение может быть multi-threaded - с синхронизацией проблемы. Или адрес 169ab4 - это или стек или heap, так что ключ регистрации не будет постоянно по этому адресу. При отладке и при обычном выполнении память по-разному распределяется, поэтому при обычном запуске ключ может быть по другому адресу.

Madness :: Kerghan
169ab4 - стек? Возможно память выделяется в другом месте, попробуй привязаться не к адресу, а к регистру, например.

MozgC [TSRh] :: По идее 169ab4 - это не стек. Стек начинается с адресов 12xxxx примерно и вниз.
Адрес 169ab4 это скорее всего просто адресное пространство выделенное программой

Nitrogen :: да стек это..

Kerghan :: В продолжение темы.
решил проверить версию dragon’а
пишу следующее:
mov d,[169ab4],00390039 ;строка в unicode «99»
......
push 169ab4 ;это идет в editbox

в этом случае в editbox’е должно быть хотя бы «99», но там опять пусто =(.
Под отладчиком всё ништяк - «99-bla-bla-bla»

Dragon :: Опять же ты пишешь mov [169ab4], ... - т.е. есть прявязка к адресу. Есть вариант, замени push 169ab4 на push «reg» или push »[reg]», короче так, чтобы правильный адрес ключа передавался, посмотри в каком он регистре.

-= ALEX =- :: что-то с памятью моей стало...

Kerghan :: -=Alex=-
что-то стало мне её мало.

dragon,
я просто не могу понять, почему в едитбоксе, ничего не появляется даже после того, как я непосредственно перед вызовом функции(забыл какая там у vb альтернатива setwindowtext) добавляю в стек «99», ведь это уже не может затереться и адрес другим никак не будет.

ЗЫ попробовал вписать вместо push 169ab4
push 4xxxxx ; строка «Invalid registration key» из messagebox’а
это строка спокойно появляется в едит’е.
Может ли быть такое, что эта функция не может чиать с адреса 14000 по 41000(что-то в этом роде) при обычном запуске.

Dragon :: Кстати, хорошо же строку добавил, а где два нуля, которыми UNICODE строки заканчиваются?

Kerghan :: mov d,[169ab4],00000039
без толку.




магдалена Что значит ставить бряк на функцию? Откуда я могу узнать какая это



магдалена Что значит ставить бряк на функцию? Откуда я могу узнать какая это функция? Эти функции общие или индивидуальные в каждой программе?..например -Hmemcpy или Getwindowtexta
и как узнать где эти функции есть в исследуемых прогах?
-= ALEX =- :: под словом функция в данном контескте явно подразумеваются АПИ функции... они впринципе одинаковы во всех маздаях, и используются для различных целей :) Как найти эти функции.... покапаться в проге, например в отладчике найти что-то типа Call Kernel32!GetWindowTextA, это и есть апи функция GetWindowTextA... можно в дизассемблере найти похожее... :)

Kerghan :: магдалена
очень советую с отладчиком OllyDbg поработать... несколько дней, про сайс забудешь на фиг. И таких вопросов возникать у тебя не будет, да и winapi с его помощью учить легче

магдалена :: А где найти материалы на русском для OllyDbg???

Kerghan :: магдалена
таких доков почти нет. Пожалуй единственное я видел у [RU].Ban’ка на int3.net, щас сайт на доработке.
Но там тоже особе ничего нет, только перевод фака

MozgC [TSRh] :: Попроси Kerghan’а написать =)

Kerghan :: MozgC [TSRh]
ты знаешь, я не пишу статей.

STiNGZ :: Неплохой тутор по Olly есть на Cydem’e - http://cydem.org.ua/pars.php?lnk=olly&conf=12.

MozgC [TSRh] :: Kerghan пишет:
цитата:
ы знаешь, я не пишу статей.


Ну зря, попробовал бы написать по OllyDbg а то всех агитируешь а инфы для новичков мало. Неправильную политику агитации ведешь! =)
Надо что-то типа «Если вы проголосуете за OllyDbg вы получите простоту и удобство, а также бесплатно тутор на русском для новичков с подробными объяснениями по работе в этом замечательном отладчике!» и т.д. =)

PS. Мне софтайс больше нравится.

XoraX :: Именно, Kerghan, напиши.. а то я не впервые слышу, что Олли рулит... а без тутора его изучать не очень охота.... пока у меня сайс рулит

-= ALEX =- :: у меня тоже сайс рулит !!!!!!!!!!!!!!!!!!!1

UnKnOwN :: Короче 80% людей с форума пользуется Сайсом.

так что Kerghan попробуй написать тутор по Олли,
может кто и перейдёт на него...




MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10...



MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10
-= ALEX =- :: я не слышал, да и не пользуюсь им...

MC707 :: Я перешел на него недавно с айса и не жалею. Хотя на вкус и цвет...

infern0 Re: MC707 :: дело в том что olly - это user-level отладчик и поэтому с icом не сравним в принципе. Его можно сравнивать разве что со встроенным отладчиком IDA (который по моему мнению гораздо полезнее).

MC707 Re: infern0 :: Зря ты так. Я согласен конечно, что олли - юзерлевел, а айс - он проф. На уровне ядра. Так я же не говорю, что олли лучше и кидайте все айс нафиг. Я имею ввиду, что для моих целей МНЕ олли и удобней, проще и с ним гораздо быстрее идет весь процесс.

-= ALEX =- :: а я все найти его не могу в своих downloads’ах :)

UnKnOwN :: для -= ALEX =-

Прикинь я тоже ...

infern0 :: MC707 пишет:
цитата:
Зря ты так. [skip] Так я же не говорю, что олли лучше и кидайте все айс нафиг. [skip]


почитай еще раз мой ответ. Где я сравнивал ice и olly ? Единственное что я написал - что это РАЗНЫЕ отладчики и область применения у них разная. А то что IDA в разы удобнее Olly - это факт :)

nice :: infern0
А у тебя полная ИДА?
Может где качнуть можно...

UnKnOwN :: Для nice

я в инете где то видел полную версию, но сайт был китайский, и ссылка была дохлая...
Жалко...

MC707 :: У меня машина между прочим Celeron-500 (все - га-га-га) и ИДА на ней дизасмит 3-метровую прогу час наверно. Это мне не катит. Хотя пользуюсь часто. А идовским отладчиком ни разу не пользовался.

MC707 :: Для nice
А тебе какую версию нужно?
У меня есть 4.30 full. Мог бы залить на сервак. Но он глюкавит пока чего-то...

Хотя, не, ве чего?
Вот же у DeMiNiX-а http://reversing.kulichki...net/files/dizas/dizas.htm . Рабочая. Только что проверил!

nice :: MC707
Начиная с 4_50(полной) паоявилился отладчик :(
4_30 у меня есть




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10...



MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10
-= ALEX =- :: я не слышал, да и не пользуюсь им...

MC707 :: Я перешел на него недавно с айса и не жалею. Хотя на вкус и цвет...

infern0 Re: MC707 :: дело в том что olly - это user-level отладчик и поэтому с icом не сравним в принципе. Его можно сравнивать разве что со встроенным отладчиком IDA (который по моему мнению гораздо полезнее).

MC707 Re: infern0 :: Зря ты так. Я согласен конечно, что олли - юзерлевел, а айс - он проф. На уровне ядра. Так я же не говорю, что олли лучше и кидайте все айс нафиг. Я имею ввиду, что для моих целей МНЕ олли и удобней, проще и с ним гораздо быстрее идет весь процесс.

-= ALEX =- :: а я все найти его не могу в своих downloads’ах :)

UnKnOwN :: для -= ALEX =-

Прикинь я тоже ...

infern0 :: MC707 пишет:
цитата:
Зря ты так. [skip] Так я же не говорю, что олли лучше и кидайте все айс нафиг. [skip]


почитай еще раз мой ответ. Где я сравнивал ice и olly ? Единственное что я написал - что это РАЗНЫЕ отладчики и область применения у них разная. А то что IDA в разы удобнее Olly - это факт :)

nice :: infern0
А у тебя полная ИДА?
Может где качнуть можно...

UnKnOwN :: Для nice

я в инете где то видел полную версию, но сайт был китайский, и ссылка была дохлая...
Жалко...

MC707 :: У меня машина между прочим Celeron-500 (все - га-га-га) и ИДА на ней дизасмит 3-метровую прогу час наверно. Это мне не катит. Хотя пользуюсь часто. А идовским отладчиком ни разу не пользовался.

MC707 :: Для nice
А тебе какую версию нужно?
У меня есть 4.30 full. Мог бы залить на сервак. Но он глюкавит пока чего-то...

Хотя, не, ве чего?
Вот же у DeMiNiX-а http://reversing.kulichki...net/files/dizas/dizas.htm . Рабочая. Только что проверил!

nice :: MC707
Начиная с 4_50(полной) паоявилился отладчик :(
4_30 у меня есть




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться...



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




ram Консольные приложения в Windows от чего отталкиваться при кракинге...



ram Консольные приложения в Windows от чего отталкиваться при кракинге консольных приложений в Windows?
-= ALEX =- :: да вроде бы все стандартно...

MoonShiner :: Эээххх... Пора бы понять, что в одном айсе часто нихрена не сделаешь... Да, там другой (почти все...) набор импортируемых функций. Ну и что? Посмотри на импорт, пошарь по мануалам... Да и идой надо почаще пользоваться.

Che :: А может кто нибуть поконкретней поделится опытом ?
Просто у меня щас тоже консоль. Вспомни что была такая тема, а тут...

Конкретика: CAD программа. Маленький exe файл обращает к консольному.
Выяснино империческим путем и потому что выводится в консоли тоже сообщение о ключе что и в программе :)
Консольный файл имеет размер 20 Мб :(
IDA часа 3 что то там ширушала и зависла...
И у меня есть подозрение что это что вроде виртуальной машины.
Все это написанно на MFC

-= ALEX =- :: как я понимаю, консольное приложение то же самое, что и обычный pe file, значит берешь и дизасмишь его, когда продизасмишь в иде, применишь сигнатуры для Си, увидишь пару функций, которые берут значения, которые ты ввел... Можешь сразу грузить под отладчиком, по ходу смотреть где твой введенный код валяется...

nice :: Che
1) Через AllocConsole идет запрос у операционки на кансоль для вывода инфы, идет в начале обычно
2) Через SetConsoleTitleA название окна консоли
3) Для записи/чтения инфы обычно используют WriteConsoleA/ReadConsoleA




Yokel Кто ковырял эту тему? Пацаны кто ковырял эту тему:



Yokel Кто ковырял эту тему? Пацаны кто ковырял эту тему:
http://eoda.by.ru/Data/CrackMes/ucfkeygenme.zip
выдайте свои соображения!!!
Kerghan :: было бы неплохо увидеть не битую ссылку

Yokel Re: Kerghan :: Это ссылка нормальная, я с этого сайта дофига крякмисов качал, так что не надо про не рабочию орать! А это есть кракми от UCF называется KeygenMe! Там 3 процедуры проверки 2 нормальных, одна «поддельная», так вот у меня выполняется тока подделбная!

Nitrogen :: ссылка работает 100%

mnalex :: Доступ закрыт (403 Access Denied)

Запрошенный вами документ «http://eoda.by.ru/Data/CrackMes/ucfkeygenme.zip» закрыт для просмотра. Это может происходить по причинам: ....

Ну и там....
Так что ссылка бита :(

Nitrogen :: просто кликаешь на ссылку и все. я вот только что 16.12.03 8:27 AM (GMT +5) проверил!

Yokel Re: Nitrogen :: Довай смотри быстрее будем мнениями делится!

Nitrogen :: наффик.. я ломать не хочу.. :).. я лучше посплю в сторонке.. а вы мне потом расскажете :)

-= ALEX =- :: я скачал нормально, скоро мнением своим поделюсь

Kerghan :: аналогично с mnalex , и через регет не качает

.::D.e.M.o.N.i.X::. :: Kerghan
Да качает:))) Может ваши провайдеры забанены???:))))

XoraX :: не качает!
может кто-нить выложит его куды-нить?

XoraX :: зато на этом сайте я нашел другие интересные вещи. например эта статья. узнал много нового
цитата:
если например просмотреть любой exe
файл то увидите такие непонятные символы. Понятно, что человеку трудно чи-
тать и понимать такой код. Для того чтобы решить эту проблему был придуман
Ассемблер.


оказывается, асм придумали, чтобы крэкерам было легче

MozgC [TSRh] :: Имхо тому кто читает такие статьи лучше не начинать =)

UnKnOwN :: http://www.unknown-ua.nm.ru/

Залил сюда, ищите файл с названием «ucfkeygenme» 547 Кб.

Yokel Re: UnKnOwN :: не что то затихло??? Кто Krypton 0.5 снимал???

Yokel :: Я его вчера смотрел он сверху запакован FSG 1.33 (снимается за 5 сек) потом Krypton 0.5 by Yado/Lockless!
Сегодня вечером буду дальше смотреть! Довайте подключайтесь - вместе мы сила!

Yokel :: пацаны ну чё тему то оставили! Довай те вместе подумаем! Не ленитесь!!!!!

nice :: Yokel
Поковырял, весьма интересно, особенно криптор(снять не смог)
У меня DeDe съел, листинг есть, но там такоой длиинный алгоритм генерации, мне лениво,
времени нет, продолжу в следующем году.

-= ALEX =- :: :) Всех с наступающим !

nice :: Вот ссылка на этот криптор:
http://www.lockless.com/products/L02_KSetup05.zip

А список внушительный:
* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer
Сейчас буду пробовать...

Yokel Re: nice :: Критпор, то у всех есть, а ты дай линк на декриптор!!!!

-= ALEX =- :: Yokel а ты сам ручками...

Yokel Re: -= ALEX =- :: ручками весьма гиморно, но поробую! Кстати я на reversinge читал что пацаны снимали его!!!! Мож кто знает тех людей???

biox :: Yokel
а у тебя кишка тонка? чето я гляжу крутой крутой а на деле ЛАМ

-= ALEX =- :: бесять такие ламосы как biox , которые только и умеют других обсирать...

biox :: -= ALEX =-
хехе я не кого не обсираю я просто говорю правду
этот Yokel только понтуется типа я вот такой перец решил тут понтануть и все поломать и лезет с вопросами типа а я хочу арму закейгенить типа он тут один самый крутой а мы тут ламаки а как доходит до дела так сразу когото начинает просить помогите обьясните и т.д. еще и дайте что нибуть бесят меня такие уроды

MC707 :: Ты не прав, biox!

-= ALEX =- :: да ладно вам...

biox :: MC707
я вырозил свое мнение !!! и тут совсем не дело в том что я прав или не прав тут дело в том что человек понты колотит а толку ноль !!!

-= ALEX =- :: хотя тема которую он поднял слишком крутая, в том смысле что очень и очень сложно будет сделать кейген, там в нем так и написано !

biox :: -= ALEX =-
так вот просто он лезет на крутое а сам не может раскопать тоесть он расчитывает на вас вы поломаете а потом я уверен он пойдет на другой форум и всем нахвастает типа я такой крутой поглядите ка я сам сломал !!! вот посмотришь так и будет

MC707 :: Кстати не «вырозил» а «выразил» Я тоже выразил свое мнение... Хотя в чем-то maybe. Но все равно не хорошо.

biox :: -= ALEX =- пишет:
цитата:
там в нем так и написано


в арме вообще написанно не возможно ее распоковать !!!
хотя лично я распаковывал

MC707 :: Интересно, «распоковать» от какого слова пошло? «Упоковка»?

nice :: biox
Да я тоже считаю, что кейгенить ЭТО тяжко и потеря времени,
когда есть свободное время тогда можно и покейгенить,
а так нужно хотябы криптон этот снять.
Здесь не прокатит bpm [esp-4], эта гадость весь алгоритм распаковки к нему лезет,
я для прикола поставил условие if (bpcount›0f0000) вывалился в отладчике в цикле распаковки, потом увеличил на порядок, так и не дождался когда айс оживет...

-= ALEX =- ::




TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль...



TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль нет... но я задался вопросом, как обойти (новую?) фишку аспра...
У меня 98SE... вот, и стандартный iceDump да и сам сайс тоже... никогда не обнаруживали...а сейчас, какая-то прожка мне заявляет, что типа нельзя с отладчиком, а на запуск айсдампа, ни как не реагирует... словно и не запускал :(... чего ж мне делать то не знаю... я просто 3 месяца в онлайне небыл... вот и потерялся...(хотя до этого я полгода не занимался взломом :))) вот поможите если что?




TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль...



TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль нет... но я задался вопросом, как обойти (новую?) фишку аспра...
У меня 98SE... вот, и стандартный iceDump да и сам сайс тоже... никогда не обнаруживали...а сейчас, какая-то прожка мне заявляет, что типа нельзя с отладчиком, а на запуск айсдампа, ни как не реагирует... словно и не запускал :(... чего ж мне делать то не знаю... я просто 3 месяца в онлайне небыл... вот и потерялся...(хотя до этого я полгода не занимался взломом :))) вот поможите если что?
MozgC [TSRh] :: Скачай ASLoad или переходи на WinXP + IceExt а имхо каждый раз вручную ловить и править это геморой




FEUERRADER Armadillo v3.5x Нужна сигнатура Armadillo, желательно последней...



FEUERRADER Armadillo v3.5x Нужна сигнатура Armadillo, желательно последней версии. Кто может, киньте в этой теме.
Благодарю за внимание.
Bad_guy :: А чё самому не выковырить ?
P.S. Что-то ты раненько уже в сети 1 января то. Хоть отмечал ?

FEUERRADER :: Bad_guy пишет:
цитата:
А чё самому не выковырить ?


Нету на руках прог с последним Армадилло, а качаит из-за сигнатуры в ломы.
Ну что, поможет кто али нет? Наверняка у кого-то проги армадиловые есть...
Bad_guy пишет:
цитата:
P.S. Что-то ты раненько уже в сети 1 января то. Хоть отмечал ?


Еще как! :)

Bad_guy :: FEUERRADER пишет:
цитата:
Нету на руках прог с последним Армадилло, а качаит из-за сигнатуры в ломы.
Ну что, поможет кто али нет? Наверняка у кого-то проги армадиловые есть...


А чтоб сигнатуру выковырить одной упакованой проги мало - надо хотя бы две, ну или в отладчике сидеть и разбираться что там константа, а что переменная. А мне тоже влом качать, хотя если б была с ключом, я бы скачал.




Destroyer StyleXP Интересная программка. Shareware на 30 дней, но после...



Destroyer StyleXP Интересная программка. Shareware на 30 дней, но после первого дня израсходовались все 30! Ничем не запакована. OllyDbg ее не берет - прога сразу начинает закрываться. Нашел где проверяется регистрация. Но даже после «успешной» регистрации все пути ведут к закрытию (не удивительно). Есть один переходик, в процедуре проверки, который минует проверку и идет на выход из этой процедуры, при изменении его на противоположный программа не говорит, что не зарегистрирована, даже появляется значек в трее, но потом через некоторое время значек пропадает, но в диспетчере задач всеравно видно, что прога работает. Но на самом деле она не работает, а просто висит, невыполняя никаких задач. Кто-нибудь ее ковырял? Скачать можно здесь http://www1.themexp.org/tgtsoft/StyleXPInstall.zip
-= ALEX =- :: блин, я ей щас пользуюсь, скачал где-то я кейген по-моему...

Kerghan :: прога большая слишком

у меня вопрос, прога сразу вылетает при загрузке в отладчик или при запуске
если при запуске, попробуй плагин hidedebug или поищи строки типа OllyDbg

Destroyer :: С загрузкой все нормально. Начинаю трейсить, и после команды GetModuleHandleA в call-е есть int3, на нем olly стопорится. Зачем он там может стоять? Прохожу код по F8, дохожу до retn 4, и оказываюсь в kernel32. Там на CALL kernel32.ExitThread Olly говорит, что процесс «Running», но ничего не загрузилось.

Kerghan :: Destroyer
после того как загрузишь в Olly, нажми F9, прога стопорнется, а в строке статуса должна появиться надпись типа «Press Shift+F7/F8/F9», нажимай Shift+F9 пока прога не запуститься. Если после загрузки, окажешься в апи функции, то, перегрузи прогу и перед запуском поставь бряк на какую-нибудь основную функцию, типа ShowWindow, GetWindowText или MessageBox, чтобы в конце оказаться на ней, на не в апи.
Надеюсь я тебя правильно понял.

-= ALEX =- :: блин, выкиньте нахрен этот olly, есть же сайс ! без обид конечно...

UnKnOwN :: Для -= ALEX =- и Kerghan

Народ без обид, харе ссориться из за этих Олли и Сайса, у каждого свои вкусы, а как говорится «о вкусах не спорят !!!»

Я думаю ВЫ меня поняли...

ВСЕХ С НАСТУПАЮЩИМ !!!!

-= ALEX =- :: никто и не спорит в общем, просто я не нахожу смысла начинающим работать с olly, когда даже возникают такие вопросы как поставить бряк и т.д.....

Kerghan :: И в самом деле никто не спорит, но -=Alex=- ты не прав ....шучу
как раз вопросов насчет бряков не возникает и olly гораздо легче в понимании.
тут дело в другом, в olly есть фича прерываться на новом модуле, а некоторые просто не замечают этого, так как бряков то они не ставили

на будущее предлагаю всем не обс..ть другие отладчики, а если угодно только указывать преимущества того, которым вы пользуютесь.

nice :: Kerghan
Да в плане наглядности айс явно проигрывает олли, в олли очетно отображены ф-ии с их параметрами, циклы и т.д.
Одно мне в олли не нравится, как он бряки на память ставит...

-= ALEX =- :: Давайте, кто знает этот olly не поленяться и напишут тутор.... может и я его полюблю :)

MC707 :: Давай я угадаю к кому тебе обратиться....

-= ALEX =- :: ... угадай

MC707 Re: -= ALEX =- :: К Kerghan’у.

Destroyer :: Надписи «Press Shift+F7/F8/F9» нет. Интересно то, что если трейсить прогу по F8, то в конце Olly говорит, что процесс running, а если сразу запустить ее по F9 то Olly говорит, что процесс terminated.
На счет sice-а. Я им тоже раньше пользовался. Но под ХР он нормально работать не хочет, хоть и есть всякие версии под NT и XP. По-моему для начинающих Olly понятнее.

MC707 :: Ну давайте я напишу тутор по Олли, отдам его почитать Kerghan’у, если что - подредактирует. Если даст добро - выложим где-нибудь.

MozgC [TSRh] :: Я даю свое разрешение =)))

MC707 :: Спасибо! Чтоб мы без тебя делали?

Kerghan :: MC707 пишет:

цитата:
Ну давайте я напишу тутор по Олли


отличная идея
вот тока [RU].BanOK куда-то пропал, подкинул бы парочку идей :(

Destroyer
ладно, не буду гадать, щас скачаю

Mario555 :: Про Olly есть очень хорошая статья http://cydem.zp.ua/pars.php?lnk=olly&conf=12
Да и весь сайт прикольный...

P.S. Как все-таки этот StyleXP ломать ?

Kerghan :: натурально вылетает

MC707 :: Mario555 пишет:
цитата:
Про Olly есть очень хорошая статья


Да, согласен, хорошая статья, но там все слишком во верхам. А я хочу глобальнее пройтись.
Ладно, раз добро дали, сегодня приступлю. Тока скоро не ждите, числа 10-го будет, если не пожже :).

XoraX :: Mario555 пишет:
цитата:
очень хорошая статья


В статье ничего толкового. Расписаны только команды и кнопки, это и так можно понять, зная английский.

[RU].Ban0K! :: Kerghan пишет:
цитата:
вот тока [RU].BanOK куда-то пропал, подкинул бы парочку идей :(


:)

Блин учёба... в её... дырку...

Я писал уже тутор... для отмазки, правдо не тутор а небольшую статейку...

Kerghan :: Destroyer
Элементарно... короче жмешь настройки, там вкладка Exceptions, в чекбоксе INT3 breaks ставишь галку. проверка валидности введенного ключа с адреса 46B320. А основная проверка
0046B3BA ¦. E8 01E8FFFF CALL 00469BC0 ; StyleXP.00469BC0

Дальше надеюсь скам разберешься

Kerghan :: Destroyer
Может так будет легче:

Name: IAALAAA-AAZ6SQCC-D8MH7TL
Code: KMJTM7-T6BCSSAF-AAAAAM8J-HBBB9FV8-2X

Destroyer :: Спасибо за разъяснения.

Destroyer :: Kerghan не мог бы ты поподробнее рассказать как ты узнал name и code. Я имею ввиду если известно место где вычисляется код, но вычисления сложные, не обязательно на примере этой проги, но желательно на ней. Можно ли просто взять кусок кода вычисления рег номера и сделать так чтобы он работал? Или сначала надо разобраться что и как происходит, а потом набрасывать это, например, на Delphi.

Kerghan :: Ну под name я имел в виду Hardware ID, для каждой машины очевидно свой.

У меня серийник вывалился по адресу
46B771 в EDX 1A2320---›ASCII «MY SERIAL NUMBER»

Процедура генерации серийника начинается по адресу 46E859(этот цикл трудно не заметить ;) ). (готовый сериник у меня пишется по адресу .....!!!!(поправка... примерный адрес куда он пишется находится в EBX)!!!)

Насчет написания кейгена, на ЯВУ процедуру генерации я не переделываю, просто разбираю суть генерации и вставляю в исходник. Здесь листинга страница всего, думаю ты при желании даже кейген наваять сможешь... а мне неохота :-O

ЗЫ там в проге какие-то баги непонятные. Регю её, перевожу на год вперед...работает, назад на год назад...просит регистрации 8-¦ , ввожу регкод, говорит всё ок и дальше путево работает. Так что если что не удивляйся.

Destroyer :: Thanks




bi0w0rM SVKP 1.3 Кто сабж ковырял??



bi0w0rM SVKP 1.3 Кто сабж ковырял??
test :: по статье juan jose пробовал.Антидебаг,порча импорта,stolen bites,полиморф.Похож на аспр новый но посложнее для
неопытных вроде меня.

Runtime_err0r :: test
Дай ссылку на статью pliz

angel_aka_k$ :: bi0w0rM
давай ссылку на этот сабж посмотрим

Madness :: bi0w0rM
Ковырял, хз какую версию.

test :: Сейчас уточню!Вообщем анпак на примере Registry Medic,я потом пробовал по статье HEX-а SEPP не смог Там прога
автора(ов?) этогоже пакера круто защищена но HEX ее уложил,Если интересно на xing лежит с 2002 года а я сейчас
линк проверю и выложу а то там сайт обновлялся если что выложу где нибудь.

test :: Вот там статья после переводчика и оригинал.Я ничего не крректировал но разобрать можно.Иногда регистр AL переводит как букву «В» http://user.rol.ru/~num111/

bi0w0rM :: http://www.anticracking.sk

Лежит последняя версия. Я сам временно блин не могу исследовать - софтайс не пашет!

bi0w0rM :: Блин, а нет у кого нормального тутора? Перевод аЦЦтойный

angel_aka_k$ :: bi0w0rM пишет:
цитата:
Я сам временно блин не могу исследовать


и не надо не чего интересного не увидешь посмотрел я не каких сюрпризов не чего интересного .............. антидебуг с полиформом мы уже сто раз видели остальное все также только oep запарно искать

Guest :: гы...да оеп свкп прячет покруче аспра.... а дальше и вправду неинтересно...
всем H N Y

bi0w0rM :: А кто может свой нормальный тутор написать??

test :: Прошу прощения.Сейчас проверил.Stolen bytes не присутствует в SVKP.Так что желающие могут и по этой статье
попробовать.Так же рассматривается способ определения отсутсвующих функций!

bi0w0rM :: Можно в общих чертах объяснить, как до ОЕП добрацца? А то такой перевод кривой, нификак непонятно

Runtime_err0r :: bi0w0rM
Если он не ворует байты с OEP то проще всего добраться до OEP с помощью плагина для PEiD’а Generic OEP Finder

test :: Во-первых мы загружаем RegMedical.exe в olly и даем Run, или F9 чтобы видеть загружается

или есть какой-то трюк с antidebugging. Прога не загрузилась, используем, pluggin olly

IsDebugPresent, его устанавливаем в hide.
Снова загружаем прогу в отладчик.Скрывая присутствие дебагера прога загрузилась.

OEP – ищется с методом исключений. А именно, загрузив прогу в olly и активизировав pluggin

IsDebugPresent жмем Run, сработает excpecion ,жмем Shift + F9, столько раз,чтобы
Прога запустилась(считая число нажатий Shift + F9). Я думаю, что это – четыре(бывает и больше).

Теперь снова грузим прогу в отладчик и повторяем все снова .Снова в excpecion
жмем Shift + F9, но три раза,остановились на последнем исключении НЕ нажимая Shift + F9 смотрим

в View Memory, и мы помещаем бряк bpm on access в секцию CODE.

После установки bpm on access, проводим последнее исключение (жмем Shift + F9) и olly остановится

вот здесь: 08AFB181 LODS BYTE PTR DS:[ESI]

если мы посмотрим немного ниже мы можем видеть, что мы находимся в цикле, чтобы
не трейсить его, снимаем бряк bpm on access CODE и помещаем bpx в RETN, после
цикла. Так: …………..
08afb216 popad
08afb217 RETN - cюда
жмем Run, остановились на BPX . Сейчас уже мы пропустили цикл, так что снимаем bpx и давайте

снова помещать bpm on access в секцию CODE и снова Run:
И мы на OEP. 004debb8

bi0w0rM :: До двух часов ночи ковырял СВКП и OEP-таки накопал. Распаковывал специальный крякмис на асме с мессагбоксом, на который

навешан svkp. Естественно EP изначально был 00401000, но после SVKP там были одни ноли. Потом, после снятия дампа, там были

нужные байты. Это меня наводит на мысль, что SVKP ниче даже и не пакует, а скорее наоборот, но это скорее всего неправильное

утверждение, так как в проге на асме и сжимать нечего, надо еще делфу попробовать пожать. До OEP добраться в Olly не

получилось по тутору, совсем другая какая-то бодяга там, может версия у меня новее, т.к. самую свежую скачал. А вот с

софтайсом(+iceext) у меня получилось по bpm esp-4, несколько раз брякнецца и попадет на OEP. Дамп снял, все ОК, только с

импортом проблемы, почему-то процесс не отображается у некоторых Task-viewer’ов, например в ProcDump и в ImpREC(что важно), а

вот PE Tools и LordPE его видят. Еще почему-то LordPE дампить его не может, а PE-тулсы умеют. Как с этим бороться(с

импортом)? Можно конечно и пораньше сдампить - байты на OEP есть уже после первого срабатывания bpm esp-4, но я попробовал

!SUSPEND и софтайс упал :( мож еще попробую. Может EB FE поможет.

MozgC [TSRh] :: bi0w0rM
Посмотри насчет восстановления импорта на сайте у Хекса.

bi0w0rM :: Дык а там написано, как сделать, чтоб оно в таск-вьювере появилось?

Madness :: bi0w0rM
В импреке галочку поставь дебажные привелегии.

ЗЫ. че та нифига тег bold не работает в опере.

RideX :: 1) Поиски ОЕР:
ОЕР очень часто легче искать в дампе, когда-то на wasm.ru NEOx/[uinC] давал сборничек РЕ-файлов разных компиляторов, они могут помочь в поиске, а для Delphi программ ищите по сигнатурам в InitExe, потому что, например, ASProtect может украсть начальные байты с OEP, но только до этого call’а.

CODE:005E4D94 push ebp
CODE:005E4D95 mov ebp, esp
CODE:005E4D97 add esp, 0FFFFFFF4h
CODE:005E4D9A mov eax, offset dword_5E468C
CODE:005E4D9F call @Sysinit@@InitExe$qqrv ; Sysinit::__linkproc__ InitExe(void)

2) Импорт:
Проблему с восстановлением импорта не решил :( Рассматривал прогу Download Accelerator Plus 7.0 (http://www.speedbit.com/), SVKP 1.3x

Легко можно восстановить вручную или с помощью плагина SvkpIAT, функции, которые начинаются с адресов 00Сххххх, они имеют вид:

00C00001: jmp 00C00005
00C00003: xxxxxxxx
00C00005: push ebp
00C00006: jmp 00C0001A
...

00C0001A: mov ebp,esp
00C0001C: jmp 00Cxxxxx
...

Не восстанавливаются 4 функции с адресов 00BFxxxx:
00BF33FC
00BF5A78
00BF721E
00BF988B

Без них дамп не работает :(

MozgC [TSRh] :: Имхо надо по нормальному ОЕП искать а не по сигнатурам да и плагинами не пользоваться...

Madness :: RideX
›функции, которые начинаются с адресов 00Сххххх, они имеют вид...
Такие функции импрек сам может восстановить трейсером.

›Не восстанавливаются 4 функции
Если они идут подряд, то это функции из svkp_dll (мелкая, в ultrafxp оно называлось ultrafxp.dll).

MozgC [TSRh]
›да и плагинами не пользоваться...
А мне мой плагин к аспру нравится ;) Ни одного сбоя кста не было с полгода уже...

UnKnOwN :: Для Madness :

Какой плагин, если секрет, ещё и к аспру ???

Madness :: UnKnOwN
Импорт восстанавливать (обновленный стандартный плагин), старая версия есть на wasm.ru

UnKnOwN :: Madness

Понял спасибо...

Mario555 :: MozgC [TSRh] пишет:
цитата:
плагинами не пользоваться


Дык там штук 30 этих функций. Причем большинство такие как RideX написал, определяются не сложно, но долго и муторно.
Madness пишет:
цитата:
Такие функции импрек сам может восстановить трейсером


У меня почемуто их даже плагин не востанавливает (SVKP скачан сегодня).
Madness пишет:
цитата:
), старая версия есть на wasm.ru


А новая ?

Madness :: Mario555
›У меня почемуто их даже плагин не востанавливает
RideX привел вид функций, которые получаются спиранием куска кода с начала функций до первой неперемещаемой и добавлением всяких jmp и в конце прыжок на продолжение, по-моему мне тогда хватило trace level 1 (disasm).

›А новая ?
На wasm нету, он только переделан для импрека 1.6 (сменился интерфейс плагинов) и добавлено определение пары функций-переходников аспра.

XoraX :: Madness , дай пожалуста.

Madness :: XoraX
http://kpteam.com/index.php?show=tools
Скоро будет.
PS. [_b_] - не пашет.

XoraX :: ок, ждем

RideX :: Madness пишет:
цитата:
[_b_] - не пашет


Скоро будет ;), вот что пишут:
Вы можете вставлять картинки, если Ваш ранг от 50
Смайлики от 0, шрифты от 50, без антифлуда от 100

-= ALEX =- ::

-= ALEX =- :: круто




odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?



odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar
Yokel :: Ни чего хорошего!! Чем тебя существуйщие, и хорошо зарекомендовавшие не устраивают то???

UnKnOwN :: odIsZaPc пишет:
цитата:
Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar


Мне не понравилось...

odIsZaPc :: Будем знать... А я то думал кто ж лучше Microsoft отладчик для Винды сделает! Будем знать...

MC707 :: OllyDbg рулит




LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так...



LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так легко не ломается :) Вроде книга та же, а старые пароли не подходят. Хотя может мы по их «просьбе» ломали. http://pcbook.nm.ru
MozgC [TSRh] :: Какие еще старые пароли ? Я просто патчил и не надо было пароль вводить...

LT :: ну ты патчил, а я тогда докопался до ключа, а ща не могу. Видимо что-то пропускаю.

MozgC [TSRh] :: Так там же была зависимость от серийника, ты кейген чтоли делал ?

Kerghan :: MozgC [TSRh]
тебе это кажется невероятным?

MozgC [TSRh] :: Не ну я думаю что в новой версии будет новый серийный номер и может поэтому старый пароль у него не подходит =) Поэтому и спросил насчет кейгена. Просто ситуацию че-то не совсем вкуриваю =)

LT :: 2Mozg, да какой кейген ...не...до номера дорылся (я думал все так здесь тогда) теперь не подходит - копаю заново.. Главное тогда еще посмотрел - обновления не было с 2001 года. Ща только нашел еще один сайт, который занимается этой книжкой, там апдейт постоянный, призы, то се, короче сменился код.

MozgC [TSRh] :: да ну пропатч просто опять тогда да и все..

Nitrogen :: жаль сайса нет :(.. а просто отломать - не интересно совсем.. да и дико просто..

GL#0M :: MozgC [TSRh] пишет:
цитата:
да ну пропатч просто опять тогда да и все..


..:why patching while serial number is fishy:.. //TKC
Nitrogen пишет:
цитата:
просто отломать - не интересно совсем.. да и дико просто..


RideX :: LT пишет:
цитата:
да какой кейген ...не...до номера дорылся


Там привязка к Hardware ID была, так что тот номер работал бы только у тебя, или, как говорит MozgC - делай кейген.

MozgC [TSRh] :: GL#0M пишет:
цитата:
..:why patching while serial number is fishy:.. //TKC


GL#OM ну так помоги человеку, сделай кейген =)

GL#0M :: LT
Вот internal keygen. hxxp://gl00m.fatal.ru/reliz/pcbook11.zip
З.Ы. Защита нулёвая.

MozgC [TSRh] :: А на фатал.ру щас уже не регят сайты ?

GL#0M :: MozgC [TSRh]
Да. Вот так вот... кто успел.
З.Ы. Что-то он сейчас в дауне...

SPARKLIGHT :: LT
НАРОД!!! ЗАХОДИТЕ ВСЕ НА http://pcbook.by.ru/ И ПОЛУЧИТЕ ОТВЕТЫ НА ВАШИ ВОПРОСЫ ПО ПОВОДУ ЭТОЙ КНИЖЕНЦИИ!!!

MozgC [TSRh] :: Я че-то не понял... Они крэк что-ли продают к PCBook? Пиздец люди совсем хуеют. GL#OM давай я что-ли твой кейген зарелижу в инет, чтобы люди могли нахаляву взять?

XoraX :: Мега LOL!
Технология мля у них ...
MozgC [TSRh] , ты кейген тоже продава... за полбакса - будешь конкурентом шутю конечно...

MozgC [TSRh] :: Я кейген не делал, только патч =) И для предыдущей версии... Вот халявный глумовский кейген зарелизить было бы прикольно. Еще сайты таких бля надо удалять. Тоже было бы прикольно =)

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

dido :: Я ковырял старый PCbook в SIse, дошел до адреса 0404003 (кажется, а то склероз)
поинтересовался что там в eax и выше (или ниже???) нашел стопку подозрительных
строчек: первые - JXNNFCJ9GO, 9RLHSMJ4OM, 99QKJAOIIS, FUD8SIW244, 7MGISGCO36 И Т.Д.
Записал 37 дальше лень было. Отсчет от первого.
На одной машине но на разных ОС разные пароли. Пробовал найденное к новой версии
подошло - хотя книга для малышей.
В новой версии после входа в SIce вверх на 1500 (приблизительно) строчек тоже
видно похожую стопку но не срабатывает пока.
Снять дамп не умею. Научите. команда !dumpscreen сработала но чем читать файл?

Хотите пароли?
Бряк в SIce bpx GetWindowTextA.
Любой пароль и OK.
s ds:0 l -1 «JXNNFCJ9».
Все пароли на ладони. Читай - зачем?

Mario555 :: dido пишет:
цитата:
s ds:0 l -1 «JXNNFCJ9».


А зачем?
Там же видно, какой из этих паролей нужный.

Gloomy :: Ставим бряк на 403F42, вводим серийник, попадаем в отладчик и смотрим, что это у нас там «черненькое белеется» (с) в регистре eax?

З.Ы. Странно, работает это только в OllyDbg - хотел посмотреть серийник в SI, пишу «d eax» - а там одни вопросы »?» :(

З.З.Ы. Или еще проще - в НЕХ-редакторе меняем по смещению 3F43 байт с 51 на 50 и прога сама себя зарегит :) Для ленивых кряк http://tinysoft.nm.ru/pbcrk.zip (4 кб)

dido1 Re: Gloomy :: Чето не пойму.
При замене байта Hiew-ем 51 на 50 по адресу 403F43 в PCBook
он зарегился и работает на всех дисках, а Excel (та же фирма и защита)
не работает вообще.
Заменил тот же байт (в Excel) в SIce (в памяти), прога заработала,
но только на своем диске.

mnalex :: dido1
Ненаю ненаю... у меня пыхтитят оба и тута, и на других тачках (еще на 2, куда скидывал и проверял)... так что усё тип-топ
Может ты всетаки не там правил в ехеле?

dido1 Re: mnalex :: mnalex
А почему тогда в сайсе работает?
Я те же байты правил.

mnalex :: dido1
Чего ненаю, того ненаю

Val :: Gloomy
Плз, можно этот крэк на мыло? Все ссыли битые. Уже замучилась искать в инете, а очень хочется. Зря что ли я его качала? luts@bk.ru
Спасибо.Val

DOLTON :: Val
Проверь почту!




DOLTON Проблема с запуском распакованной проги! На днях распаковал прогу,...



DOLTON Проблема с запуском распакованной проги! На днях распаковал прогу, защищённую армой, и она теперь жалуется на вирусы и всё такое...
Я пытался обойти вывод этого messageboxa, но чё-то пока безрезультатно.
Подскажите пожалуйста алгоритм действий.
Madness :: DOLTON
Возможно в ехе остались 0ССh (сайс в редких случаях забывает удалить их), либо LordPe подправил в заголовке неправильные параметры (дурная привычка не спрашивать разрешения записи в файл). Попробуй переустановить прогу.
ЗЫ. может и еще в чем причина.

MozgC [TSRh] :: Madness
Какая связь между проблемой и байтами CC? На крайняк почему сайс должен их удалять? =)

Скорее всего причина в том изменилась контрольная сумма после распаковки.

Madness :: MozgC [TSRh]
Невнимательный я че та стал в последнее время :( Все вышесказанное для запакованной проги имелось ввиду, сорри.

Для распакованной - контрольная сумма, размер, мож какая проверка на присутствие армадиловского отладчика.




Serg Arma v3.x Hi!



Serg Arma v3.x Hi!

Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.
У кого есть ссылки (на проги желательно с использованием наномитов и CopyMem), или может сама Arm’а :) шлите plz на sergidan(at)yandex.ru ! ну или постите здесь, если модеры не против. Буду писать распаковщик.

br, Serg
UnKnOwN :: Serg пишет:
цитата:
или может сама Arm’а :)


http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Успехов тебе в этом недёгком труде

Serg ::
цитата:
http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Ого! сейчас посмотрю. Пара вопросов - это наверняка demo? наномиты/скрытые функции включаются серийником?

цитата:
Успехов тебе в этом недёгком труде


Спасибо!

br, Serg

MozgC [TSRh] :: Serg пишет:
цитата:
Буду писать распаковщик.


=)))))))))))

Serg пишет:
цитата:
наномиты/скрытые функции включаются серийником?


Наврятли. Во всех предыдущих версиях не включались ведь.

odIsZaPc :: Serg пишет:
цитата:
Буду писать распаковщик.


LOL. Самый крутой что-ли? =) Ставлю стольник, что не получиться нихрена... Хотя кто тебя знает...

Serg :: Hi!

2Всем сомневающимся: на самом деле ничего трудного там нет - кроме наномитов, естесно.
Как мне кажется, я нашел способ их восстановить, без разбора таблиц соответствий. Через неделю
все станет ясно. Через месяц будет первый релиз :))

br, Serg

-= ALEX =- :: odIsZaPc деньги мне переводить будешь.... :)

odIsZaPc :: -= ALEX =-
Процент хочешь? =)

Kerghan :: odIsZaPc
а ты сомневаешься?

odIsZaPc :: Kerghan
На счет Армы ДА.

Kerghan :: арма не так сложна, как о ней думают _некоторые_
арма старых версий(до 3-ей) вообще распаковывается элементарно, а без CopyMEM вовсе не сложнее upx’а ;)
хотя насчет распаковщика я тоже не особо уверен, хотя кто знает...

ЗЫ либо у меня что-то со зрением %-\ , либо ты вопрос поменял, там вроде было типа »-=Alex, а ты че тоже самый крутой=-»

MozgC [TSRh] :: Только на практике попадаются армы версии 3.хх с CopyMem и наномитами =)

UnKnOwN :: Народ не надо грузить Serg , что мол он не сможет написать роспаковщик, а вдруг.....

Скоро увидим, когда появится первый релиз, тогда и узнаем кто сколько кому должон ...

Serg :: Hi!

цитата:
Народ не надо грузить Serg, что мол он не сможет написать роспаковщик, а вдруг.....


Да, не надо его грузить ! Лучше бы помогли теорией, или проблемами, которые могут возникнуть
при распаковке. Не касаясь наномитов и CopyMem - какие способы там реализованы для поиска
дебагера и IceDump’а ? Не хочется, чтобы распаковщик только в w2k/xp работал :(

br, Serg

XoraX :: имхо, это не так принципаильно. если он будет работать *хотя бы* в 2к, это уже огромный шаг вперед.

Serg :: Hi!

Кстати, кто-нибудь знает ответ на такой вопрос: почему в качестве наномитов были
использованы переходы? усл./безусл./call’ы/jmp’ы ?? Разве не логичнее заменять
обычные команды, типа mov eax, [edx] - ведь гораздо труднее проследить логику
обработки таких команд, а не переходов. Взять хотя бы jmp d,[eax*4+8]
Эмулятор инструкций, Pcode раз в 100 сложнее разобрать, тем более его проще
модифицировать.
ПОЧЕМУ, a ??

ps. Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98 ?

br, Serg

Kerghan :: Serg

цитата:
Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98


тебе именно на сайс или на отладку вообще?

seeQ :: Serg пишет:
цитата:
Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.


Здесь точно такой же топик:
http://www.exetools.com/f...read.php?s=&threadid=2867

-= ALEX =- :: odIsZaPc во блин извращенец, как извратнулся... нахрена меняешь ответ свой ?

Serg ::
цитата:
тебе именно на сайс или на отладку вообще


Ээээ.. ну, мне бы узнать как arm’а ловит сайс под w98 - сам то дойду, но
если знаешь - то с радостью выслушаю!

br, Serg

Kerghan :: короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.

третья и выше: бряк на IsDebuggerPresent, когда брякнемся видим примерно такой код:
MOV EAX, DWORD PTR FS:[18]
MOV EAX, DWORD PTR [EAX+30]
MOVZX EAX, BYTE PTR [EAX+2]
RETN

проходим по F8 до MOVZX...
в eax будет значение примерно 7FFDF000 (мне встречалось только такое, но может быть и другое), жмем «Follow in Dump» и по адресу 7FFDF002 меняем единицу на ноль.

odIsZaPc :: -= ALEX =-
Я не извращенец, я пока учусь...

Serg :: Kerghan пишет:
цитата:
короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.
...
и по адресу 7FFDF002 меняем единицу на ноль.


IsDebuggerPresent работает в nt/xp/2000, в w98 он не найдет sice, а только ring3 дебагер, наподобие olly, ну или
любой другой, создающий процесс с дебажными привилегиями.
Arm’а любой версии, включая последние версии ищет в w98 sice таким образом: сначала ’официальные’ (с выводом сообщения) проверки CreateFileA (\\.\SICE, NTICE, SWVID и т.д. - дрывера отладчика), а дальше, если не нашел юзает int 68 - который я и не мог поначалу найти :( IceDump бы прикрыл это, но я сделал проще - чтобы не искать место
вызова int 68, можно взять FrogIce (который arm’а тоже находит) и запустить его через 3-5 сек. после запуска проги %))
Arm сначала проверяет наличие FrogIce, затем IceDump, затем оффициальный Sice, затем неоффициальный (int 68).
Вуаля - все работает. Может позже найду код, как она чекает IceDump/FrogIce - наверняка чекрез IDT.

br, Serg

-= ALEX =- :: Serg желаю успехов ;)




dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена...



dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена WDasm’у, просто оччень отличная (советую почитать описание :) )

но, как вы понимаете не все так просто ;)
прога хочет денюшек. Она запаковна, но это снимается. Но остаются ее внутренние проверки (почти как в аспре) т.е. код проверки ключа генерится в проге, заталкивается в стек и там исполняется.
вопщем мозги сломать можно.
предлагаю коллективно сломать :)

-= ALEX =- :: мда.... описаловка крутая ! ну для ламеров мож и сойдет...

Dred :: Вобщем ASPack2.12 в автораспаковщике неполучилось распаковать.
Ковырялся ручками. Сдампил процесс. Заменил точку входа(как в статье все делал короче).
Но дамп не хотит запускаться.
Открыл в Pied’e бороланд c++ 1999
Сунул в реставратор. Глядаю а ресурсы не все распаковались,
точнее там самое нижнее Version испорченый ресурс.

ПОСОВЕТУЙТЕ ЧТО НИБУДЬ
моГет выкинуть его можно? всмысле испорченный ресурс

odIsZaPc :: Dred
А импорт восстановил? И ты точно уверен что там именно ASPack? PeID мне ничего не пишет...

Kerghan :: odIsZaPc
то, что он не пишет не означает сто его там нет

dMNt :: да там похрен что за пакер, PEiD тоже обануть можно ;)
распаковываецца влет.. ReVirgin импорт как 2 (два) пальца восстанавливает
самое интересное потом начинаетца :)

test :: Stud_PE1.8 сразу определил.И импорт впорядке на OEP 00401480 › JMP SHORT dump.00401492. А что интерсное там?Это вроде
дизасм только,а WDASM еще и отладчик.

dMNt :: интересное в том, что снятие пакера это еще не регистрация программы
а там оно наворочено :)

-= ALEX =- :: dMNt ну ковыряйся, раз уж тебе эта прога понравилась, мне лично не охота скачивать ненужные проги... инету нету

odIsZaPc :: И че в этом DASM’е такого крутого? Хрень какая-то - еще и бабок требует...

XoraX :: и вообще, в соседнем топике IDA раздают, качай и наслаждайся.

Dred :: 2dMNt
Если не секрет как импорт восстановмть можно?
В статьях инфы маловато как мне показалось.
Ты все секции распаковал?
А то у меня чето не получилось.




Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее...



Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее заинтересует ту часть населения, кто... Собственно вот и она, родимая!...
IDA.Pro.Standard.4.5.1.770

hxxp://filez.urna.org/IDA...with.Flare421.and.SDK.rar (28,984,319 b)
MozgC [TSRh] :: Прикольно, вот щас народ кинется скачивать =) Интересно на кого зарегена...

DOLTON :: Спасибо, качаю!
Только правильная ссылка будет такой: _http://filez.urna.org/IDA...with.Flare421.and.SDK.rar

Telex :: MozgC [TSRh]
Исправь прямую ссылку у DOLTON

Ни к чему это....

MozgC [TSRh] :: Ни к чему давать непрямые ссылки.

Telex :: MozgC [TSRh]
Можно вернуть её обратно? :)

odIsZaPc :: Залепуха! Не грузиться idag.exe! У всех так же?

MozgC [TSRh] :: Telex пишет:
цитата:
Можно вернуть её обратно? :)


Что?

nice :: А уменя заработала :)

Пойду комунить пиво поставлю...

-= ALEX =- :: nice мож поделишься сей прогой, а то качать мне ее не по силам, сам знаешь...

nice :: -= ALEX =-
Нет проблем ;=)

nice :: -= ALEX =-
Нет проблем ;=)

КСТАТИ ВСЕХ С ПРАЗДНИКОМ!
Сегодня день Студента

XoraX :: great post!
tnx Telex

odIsZaPc :: Че делать-то? DOS-версия запускается, а Win - нет! Причем ни в XP, ни в 98! HELP!

froz :: big tnx 2 Telex

X0E-2003 :: 2Telex & DOLTON -- ОГРОМНОЕ СПАСИБО. Вот скачал сегодня пашет превосходно, там даже отладчик есть просто SUPER !!!

odIsZaPc :: А Win-версия тоже пашет?

PalR :: Да всё пашет. У тя чото с виндой

odIsZaPc :: PalR
Так и в XP и в 98 такая лажа... У тебя че за Винда?

PalR :: И ХР и 98 и в обеих пашет на ура

UnKnOwN :: у меня вообще версия 4.5.0.762.PC от dReam TEAM и всё ок работает !!! , а чё появилось в новой версии ?
можно файл history в студию ?

MozgC [TSRh] :: UnKnOwN
У тебя че полная чтоли была ? Или обрубок 11Мб ?

UnKnOwN :: MozgC [TSRh]
Обрубок какойто наверно так как она помоему около 12 мБ...

odIsZaPc :: UnKnOwN
А работает как полнофнкциональная или как?

UnKnOwN :: odIsZaPc
Работает на отлично...

odIsZaPc :: UnKnOwN
А че размер-то тогда такой маленький - 11 метров вместо 27???

UnKnOwN :: хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...

Незнаю мне и этой хватает...

MC707 :: UnKnOwN
Мы с тобой одной крови!
У меня так же .... Cracked demo называется.

UnKnOwN :: MC707

Наверно ты что то перепутал, у меня вот что написано в реадми:

IDA PRO v4.5.0.762 -[iNTERNAL RELEASE]-

************************************************** *****

hax0red by: dREAM TEAM © 2003

..we love unpacking gods & renegade

Хотя...

MozgC [TSRh] :: Так там же нет отладчика и еще всякого...

.::D.e.M.o.N.i.X::. :: UnKnOwN пишет:
цитата:
хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...


Нельзя впихнуть невпихуемое:) Ida по ссылке в установленном виде занимает 38,8 метров - это полная версия!!! Все сигнатурки и все такое:)

PalR :: Про автора, кому интересно
http://www.fcenter.ru/art...cles.shtml?interview/6704

moreThan :: а у кого есть Upgrade pack до версии 4.6?

Telex ::
цитата:
а у кого есть Upgrade pack до версии 4.6?


moreThan
А что, в «Иде» UpDate практикуется?
Не говорю за UpGrate, вроде-бы версии 5.0 не наблюдалось...

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Так там же нет отладчика и еще всякого...


А нах он нужен? СофтАйс у нас есть.

odIsZaPc :: PalR пишет:
цитата:
Про автора, кому интересно


Ух-ты!!! Я с автором статьи по мылу давно общался. Помню прогу ему какую-то помог написать... В люди значит пробился! :)))) А кем был.... :)))))))))

Telex :: odIsZaPc
Распыляетесь, юноша :)
Проще, когда всё в одном пакете.
Если конечно вы не «помешаный меломан» :)

Telex :: odIsZaPc
Автор статьи - не автор проги.
Статью ломать - не тот кайф...... :))




odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?



odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar
Yokel :: Ни чего хорошего!! Чем тебя существуйщие, и хорошо зарекомендовавшие не устраивают то???

UnKnOwN :: odIsZaPc пишет:
цитата:
Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar


Мне не понравилось...

odIsZaPc :: Будем знать... А я то думал кто ж лучше Microsoft отладчик для Винды сделает! Будем знать...

MC707 :: OllyDbg рулит




LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так...



LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так легко не ломается :) Вроде книга та же, а старые пароли не подходят. Хотя может мы по их «просьбе» ломали. http://pcbook.nm.ru
MozgC [TSRh] :: Какие еще старые пароли ? Я просто патчил и не надо было пароль вводить...

LT :: ну ты патчил, а я тогда докопался до ключа, а ща не могу. Видимо что-то пропускаю.

MozgC [TSRh] :: Так там же была зависимость от серийника, ты кейген чтоли делал ?

Kerghan :: MozgC [TSRh]
тебе это кажется невероятным?

MozgC [TSRh] :: Не ну я думаю что в новой версии будет новый серийный номер и может поэтому старый пароль у него не подходит =) Поэтому и спросил насчет кейгена. Просто ситуацию че-то не совсем вкуриваю =)

LT :: 2Mozg, да какой кейген ...не...до номера дорылся (я думал все так здесь тогда) теперь не подходит - копаю заново.. Главное тогда еще посмотрел - обновления не было с 2001 года. Ща только нашел еще один сайт, который занимается этой книжкой, там апдейт постоянный, призы, то се, короче сменился код.

MozgC [TSRh] :: да ну пропатч просто опять тогда да и все..

Nitrogen :: жаль сайса нет :(.. а просто отломать - не интересно совсем.. да и дико просто..

GL#0M :: MozgC [TSRh] пишет:
цитата:
да ну пропатч просто опять тогда да и все..


..:why patching while serial number is fishy:.. //TKC
Nitrogen пишет:
цитата:
просто отломать - не интересно совсем.. да и дико просто..


RideX :: LT пишет:
цитата:
да какой кейген ...не...до номера дорылся


Там привязка к Hardware ID была, так что тот номер работал бы только у тебя, или, как говорит MozgC - делай кейген.

MozgC [TSRh] :: GL#0M пишет:
цитата:
..:why patching while serial number is fishy:.. //TKC


GL#OM ну так помоги человеку, сделай кейген =)

GL#0M :: LT
Вот internal keygen. hxxp://gl00m.fatal.ru/reliz/pcbook11.zip
З.Ы. Защита нулёвая.

MozgC [TSRh] :: А на фатал.ру щас уже не регят сайты ?

GL#0M :: MozgC [TSRh]
Да. Вот так вот... кто успел.
З.Ы. Что-то он сейчас в дауне...

SPARKLIGHT :: LT
НАРОД!!! ЗАХОДИТЕ ВСЕ НА http://pcbook.by.ru/ И ПОЛУЧИТЕ ОТВЕТЫ НА ВАШИ ВОПРОСЫ ПО ПОВОДУ ЭТОЙ КНИЖЕНЦИИ!!!

MozgC [TSRh] :: Я че-то не понял... Они крэк что-ли продают к PCBook? Пиздец люди совсем хуеют. GL#OM давай я что-ли твой кейген зарелижу в инет, чтобы люди могли нахаляву взять?

XoraX :: Мега LOL!
Технология мля у них ...
MozgC [TSRh] , ты кейген тоже продава... за полбакса - будешь конкурентом шутю конечно...

MozgC [TSRh] :: Я кейген не делал, только патч =) И для предыдущей версии... Вот халявный глумовский кейген зарелизить было бы прикольно. Еще сайты таких бля надо удалять. Тоже было бы прикольно =)

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

dido :: Я ковырял старый PCbook в SIse, дошел до адреса 0404003 (кажется, а то склероз)
поинтересовался что там в eax и выше (или ниже???) нашел стопку подозрительных
строчек: первые - JXNNFCJ9GO, 9RLHSMJ4OM, 99QKJAOIIS, FUD8SIW244, 7MGISGCO36 И Т.Д.
Записал 37 дальше лень было. Отсчет от первого.
На одной машине но на разных ОС разные пароли. Пробовал найденное к новой версии
подошло - хотя книга для малышей.
В новой версии после входа в SIce вверх на 1500 (приблизительно) строчек тоже
видно похожую стопку но не срабатывает пока.
Снять дамп не умею. Научите. команда !dumpscreen сработала но чем читать файл?

Хотите пароли?
Бряк в SIce bpx GetWindowTextA.
Любой пароль и OK.
s ds:0 l -1 «JXNNFCJ9».
Все пароли на ладони. Читай - зачем?

Mario555 :: dido пишет:
цитата:
s ds:0 l -1 «JXNNFCJ9».


А зачем?
Там же видно, какой из этих паролей нужный.

Gloomy :: Ставим бряк на 403F42, вводим серийник, попадаем в отладчик и смотрим, что это у нас там «черненькое белеется» (с) в регистре eax?

З.Ы. Странно, работает это только в OllyDbg - хотел посмотреть серийник в SI, пишу «d eax» - а там одни вопросы »?» :(

З.З.Ы. Или еще проще - в НЕХ-редакторе меняем по смещению 3F43 байт с 51 на 50 и прога сама себя зарегит :) Для ленивых кряк http://tinysoft.nm.ru/pbcrk.zip (4 кб)

dido1 Re: Gloomy :: Чето не пойму.
При замене байта Hiew-ем 51 на 50 по адресу 403F43 в PCBook
он зарегился и работает на всех дисках, а Excel (та же фирма и защита)
не работает вообще.
Заменил тот же байт (в Excel) в SIce (в памяти), прога заработала,
но только на своем диске.

mnalex :: dido1
Ненаю ненаю... у меня пыхтитят оба и тута, и на других тачках (еще на 2, куда скидывал и проверял)... так что усё тип-топ
Может ты всетаки не там правил в ехеле?

dido1 Re: mnalex :: mnalex
А почему тогда в сайсе работает?
Я те же байты правил.

mnalex :: dido1
Чего ненаю, того ненаю

Val :: Gloomy
Плз, можно этот крэк на мыло? Все ссыли битые. Уже замучилась искать в инете, а очень хочется. Зря что ли я его качала? luts@bk.ru
Спасибо.Val

DOLTON :: Val
Проверь почту!




DOLTON Проблема с запуском распакованной проги! На днях распаковал прогу,...



DOLTON Проблема с запуском распакованной проги! На днях распаковал прогу, защищённую армой, и она теперь жалуется на вирусы и всё такое...
Я пытался обойти вывод этого messageboxa, но чё-то пока безрезультатно.
Подскажите пожалуйста алгоритм действий.
Madness :: DOLTON
Возможно в ехе остались 0ССh (сайс в редких случаях забывает удалить их), либо LordPe подправил в заголовке неправильные параметры (дурная привычка не спрашивать разрешения записи в файл). Попробуй переустановить прогу.
ЗЫ. может и еще в чем причина.

MozgC [TSRh] :: Madness
Какая связь между проблемой и байтами CC? На крайняк почему сайс должен их удалять? =)

Скорее всего причина в том изменилась контрольная сумма после распаковки.

Madness :: MozgC [TSRh]
Невнимательный я че та стал в последнее время :( Все вышесказанное для запакованной проги имелось ввиду, сорри.

Для распакованной - контрольная сумма, размер, мож какая проверка на присутствие армадиловского отладчика.




Serg Arma v3.x Hi!



Serg Arma v3.x Hi!

Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.
У кого есть ссылки (на проги желательно с использованием наномитов и CopyMem), или может сама Arm’а :) шлите plz на sergidan(at)yandex.ru ! ну или постите здесь, если модеры не против. Буду писать распаковщик.

br, Serg
UnKnOwN :: Serg пишет:
цитата:
или может сама Arm’а :)


http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Успехов тебе в этом недёгком труде

Serg ::
цитата:
http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Ого! сейчас посмотрю. Пара вопросов - это наверняка demo? наномиты/скрытые функции включаются серийником?

цитата:
Успехов тебе в этом недёгком труде


Спасибо!

br, Serg

MozgC [TSRh] :: Serg пишет:
цитата:
Буду писать распаковщик.


=)))))))))))

Serg пишет:
цитата:
наномиты/скрытые функции включаются серийником?


Наврятли. Во всех предыдущих версиях не включались ведь.

odIsZaPc :: Serg пишет:
цитата:
Буду писать распаковщик.


LOL. Самый крутой что-ли? =) Ставлю стольник, что не получиться нихрена... Хотя кто тебя знает...

Serg :: Hi!

2Всем сомневающимся: на самом деле ничего трудного там нет - кроме наномитов, естесно.
Как мне кажется, я нашел способ их восстановить, без разбора таблиц соответствий. Через неделю
все станет ясно. Через месяц будет первый релиз :))

br, Serg

-= ALEX =- :: odIsZaPc деньги мне переводить будешь.... :)

odIsZaPc :: -= ALEX =-
Процент хочешь? =)

Kerghan :: odIsZaPc
а ты сомневаешься?

odIsZaPc :: Kerghan
На счет Армы ДА.

Kerghan :: арма не так сложна, как о ней думают _некоторые_
арма старых версий(до 3-ей) вообще распаковывается элементарно, а без CopyMEM вовсе не сложнее upx’а ;)
хотя насчет распаковщика я тоже не особо уверен, хотя кто знает...

ЗЫ либо у меня что-то со зрением %-\ , либо ты вопрос поменял, там вроде было типа »-=Alex, а ты че тоже самый крутой=-»

MozgC [TSRh] :: Только на практике попадаются армы версии 3.хх с CopyMem и наномитами =)

UnKnOwN :: Народ не надо грузить Serg , что мол он не сможет написать роспаковщик, а вдруг.....

Скоро увидим, когда появится первый релиз, тогда и узнаем кто сколько кому должон ...

Serg :: Hi!

цитата:
Народ не надо грузить Serg, что мол он не сможет написать роспаковщик, а вдруг.....


Да, не надо его грузить ! Лучше бы помогли теорией, или проблемами, которые могут возникнуть
при распаковке. Не касаясь наномитов и CopyMem - какие способы там реализованы для поиска
дебагера и IceDump’а ? Не хочется, чтобы распаковщик только в w2k/xp работал :(

br, Serg

XoraX :: имхо, это не так принципаильно. если он будет работать *хотя бы* в 2к, это уже огромный шаг вперед.

Serg :: Hi!

Кстати, кто-нибудь знает ответ на такой вопрос: почему в качестве наномитов были
использованы переходы? усл./безусл./call’ы/jmp’ы ?? Разве не логичнее заменять
обычные команды, типа mov eax, [edx] - ведь гораздо труднее проследить логику
обработки таких команд, а не переходов. Взять хотя бы jmp d,[eax*4+8]
Эмулятор инструкций, Pcode раз в 100 сложнее разобрать, тем более его проще
модифицировать.
ПОЧЕМУ, a ??

ps. Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98 ?

br, Serg

Kerghan :: Serg

цитата:
Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98


тебе именно на сайс или на отладку вообще?

seeQ :: Serg пишет:
цитата:
Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.


Здесь точно такой же топик:
http://www.exetools.com/f...read.php?s=&threadid=2867

-= ALEX =- :: odIsZaPc во блин извращенец, как извратнулся... нахрена меняешь ответ свой ?

Serg ::
цитата:
тебе именно на сайс или на отладку вообще


Ээээ.. ну, мне бы узнать как arm’а ловит сайс под w98 - сам то дойду, но
если знаешь - то с радостью выслушаю!

br, Serg

Kerghan :: короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.

третья и выше: бряк на IsDebuggerPresent, когда брякнемся видим примерно такой код:
MOV EAX, DWORD PTR FS:[18]
MOV EAX, DWORD PTR [EAX+30]
MOVZX EAX, BYTE PTR [EAX+2]
RETN

проходим по F8 до MOVZX...
в eax будет значение примерно 7FFDF000 (мне встречалось только такое, но может быть и другое), жмем «Follow in Dump» и по адресу 7FFDF002 меняем единицу на ноль.

odIsZaPc :: -= ALEX =-
Я не извращенец, я пока учусь...

Serg :: Kerghan пишет:
цитата:
короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.
...
и по адресу 7FFDF002 меняем единицу на ноль.


IsDebuggerPresent работает в nt/xp/2000, в w98 он не найдет sice, а только ring3 дебагер, наподобие olly, ну или
любой другой, создающий процесс с дебажными привилегиями.
Arm’а любой версии, включая последние версии ищет в w98 sice таким образом: сначала ’официальные’ (с выводом сообщения) проверки CreateFileA (\\.\SICE, NTICE, SWVID и т.д. - дрывера отладчика), а дальше, если не нашел юзает int 68 - который я и не мог поначалу найти :( IceDump бы прикрыл это, но я сделал проще - чтобы не искать место
вызова int 68, можно взять FrogIce (который arm’а тоже находит) и запустить его через 3-5 сек. после запуска проги %))
Arm сначала проверяет наличие FrogIce, затем IceDump, затем оффициальный Sice, затем неоффициальный (int 68).
Вуаля - все работает. Может позже найду код, как она чекает IceDump/FrogIce - наверняка чекрез IDT.

br, Serg

-= ALEX =- :: Serg желаю успехов ;)




Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее...



Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее заинтересует ту часть населения, кто... Собственно вот и она, родимая!...
IDA.Pro.Standard.4.5.1.770

hxxp://filez.urna.org/IDA...with.Flare421.and.SDK.rar (28,984,319 b)
MozgC [TSRh] :: Прикольно, вот щас народ кинется скачивать =) Интересно на кого зарегена...

DOLTON :: Спасибо, качаю!
Только правильная ссылка будет такой: _http://filez.urna.org/IDA...with.Flare421.and.SDK.rar

Telex :: MozgC [TSRh]
Исправь прямую ссылку у DOLTON

Ни к чему это....

MozgC [TSRh] :: Ни к чему давать непрямые ссылки.

Telex :: MozgC [TSRh]
Можно вернуть её обратно? :)

odIsZaPc :: Залепуха! Не грузиться idag.exe! У всех так же?

MozgC [TSRh] :: Telex пишет:
цитата:
Можно вернуть её обратно? :)


Что?

nice :: А уменя заработала :)

Пойду комунить пиво поставлю...

-= ALEX =- :: nice мож поделишься сей прогой, а то качать мне ее не по силам, сам знаешь...

nice :: -= ALEX =-
Нет проблем ;=)

nice :: -= ALEX =-
Нет проблем ;=)

КСТАТИ ВСЕХ С ПРАЗДНИКОМ!
Сегодня день Студента

XoraX :: great post!
tnx Telex

odIsZaPc :: Че делать-то? DOS-версия запускается, а Win - нет! Причем ни в XP, ни в 98! HELP!

froz :: big tnx 2 Telex

X0E-2003 :: 2Telex & DOLTON -- ОГРОМНОЕ СПАСИБО. Вот скачал сегодня пашет превосходно, там даже отладчик есть просто SUPER !!!

odIsZaPc :: А Win-версия тоже пашет?

PalR :: Да всё пашет. У тя чото с виндой

odIsZaPc :: PalR
Так и в XP и в 98 такая лажа... У тебя че за Винда?

PalR :: И ХР и 98 и в обеих пашет на ура

UnKnOwN :: у меня вообще версия 4.5.0.762.PC от dReam TEAM и всё ок работает !!! , а чё появилось в новой версии ?
можно файл history в студию ?

MozgC [TSRh] :: UnKnOwN
У тебя че полная чтоли была ? Или обрубок 11Мб ?

UnKnOwN :: MozgC [TSRh]
Обрубок какойто наверно так как она помоему около 12 мБ...

odIsZaPc :: UnKnOwN
А работает как полнофнкциональная или как?

UnKnOwN :: odIsZaPc
Работает на отлично...

odIsZaPc :: UnKnOwN
А че размер-то тогда такой маленький - 11 метров вместо 27???

UnKnOwN :: хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...

Незнаю мне и этой хватает...

MC707 :: UnKnOwN
Мы с тобой одной крови!
У меня так же .... Cracked demo называется.

UnKnOwN :: MC707

Наверно ты что то перепутал, у меня вот что написано в реадми:

IDA PRO v4.5.0.762 -[iNTERNAL RELEASE]-

************************************************** *****

hax0red by: dREAM TEAM © 2003

..we love unpacking gods & renegade

Хотя...

MozgC [TSRh] :: Так там же нет отладчика и еще всякого...

.::D.e.M.o.N.i.X::. :: UnKnOwN пишет:
цитата:
хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...


Нельзя впихнуть невпихуемое:) Ida по ссылке в установленном виде занимает 38,8 метров - это полная версия!!! Все сигнатурки и все такое:)

PalR :: Про автора, кому интересно
http://www.fcenter.ru/art...cles.shtml?interview/6704

moreThan :: а у кого есть Upgrade pack до версии 4.6?


Telex ::
цитата:
а у кого есть Upgrade pack до версии 4.6?


moreThan
А что, в «Иде» UpDate практикуется?
Не говорю за UpGrate, вроде-бы версии 5.0 не наблюдалось...

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Так там же нет отладчика и еще всякого...


А нах он нужен? СофтАйс у нас есть.

odIsZaPc :: PalR пишет:
цитата:
Про автора, кому интересно


Ух-ты!!! Я с автором статьи по мылу давно общался. Помню прогу ему какую-то помог написать... В люди значит пробился! :)))) А кем был.... :)))))))))

Telex :: odIsZaPc
Распыляетесь, юноша :)
Проще, когда всё в одном пакете.
Если конечно вы не «помешаный меломан» :)

Telex :: odIsZaPc
Автор статьи - не автор проги.
Статью ломать - не тот кайф...... :))

Inferno[mteam] :: Telex - большой RESPECT тебе за ссылку

odIsZaPc :: Да и пофиг.... все равно общался...




dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена...



dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена WDasm’у, просто оччень отличная (советую почитать описание :) )

но, как вы понимаете не все так просто ;)
прога хочет денюшек. Она запаковна, но это снимается. Но остаются ее внутренние проверки (почти как в аспре) т.е. код проверки ключа генерится в проге, заталкивается в стек и там исполняется.
вопщем мозги сломать можно.
предлагаю коллективно сломать :)

-= ALEX =- :: мда.... описаловка крутая ! ну для ламеров мож и сойдет...

Dred :: Вобщем ASPack2.12 в автораспаковщике неполучилось распаковать.
Ковырялся ручками. Сдампил процесс. Заменил точку входа(как в статье все делал короче).
Но дамп не хотит запускаться.
Открыл в Pied’e бороланд c++ 1999
Сунул в реставратор. Глядаю а ресурсы не все распаковались,
точнее там самое нижнее Version испорченый ресурс.

ПОСОВЕТУЙТЕ ЧТО НИБУДЬ
моГет выкинуть его можно? всмысле испорченный ресурс

odIsZaPc :: Dred
А импорт восстановил? И ты точно уверен что там именно ASPack? PeID мне ничего не пишет...

Kerghan :: odIsZaPc
то, что он не пишет не означает сто его там нет

dMNt :: да там похрен что за пакер, PEiD тоже обануть можно ;)
распаковываецца влет.. ReVirgin импорт как 2 (два) пальца восстанавливает
самое интересное потом начинаетца :)

test :: Stud_PE1.8 сразу определил.И импорт впорядке на OEP 00401480 › JMP SHORT dump.00401492. А что интерсное там?Это вроде
дизасм только,а WDASM еще и отладчик.

dMNt :: интересное в том, что снятие пакера это еще не регистрация программы
а там оно наворочено :)

-= ALEX =- :: dMNt ну ковыряйся, раз уж тебе эта прога понравилась, мне лично не охота скачивать ненужные проги... инету нету

odIsZaPc :: И че в этом DASM’е такого крутого? Хрень какая-то - еще и бабок требует...

XoraX :: и вообще, в соседнем топике IDA раздают, качай и наслаждайся.

Dred :: 2dMNt
Если не секрет как импорт восстановмть можно?
В статьях инфы маловато как мне показалось.
Ты все секции распаковал?
А то у меня чето не получилось.

GL#0M :: To All:
Да, там защита просто интересная, вам же это говорят...
Мы с dMNt уже несколько недель бьёмся...
Так что советую посмотреть, кому не влом...




froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих,...



froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих, так вот. Не могли бы те у кого Айс под ХР пашет описать процесс установки и настройки оного. Я уже все перепробовал, что тут писалось ранее, может кто-нить конкретно объяснит?
-= ALEX =- :: короче берешь и ставишь сайт 4.05 под NT, установил, перезагрузил винду, поставил из DS (у меня рип Demonix’a) поставил патчик для XP, перезагрузил винду, ctrl+d и наслаждайся

-= ALEX =- :: ошибка, не «сайт» а «сайс» :)

froz :: поппробуем :)

odIsZaPc :: Как все муторно.... =)

travis_F :: не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?

froz :: travis_F пишет:
цитата:
не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?


1. Ставишь это: http://reversing.kulichki.../files/debug/si405wnt.rar
2. Потом это: http://reversing.kulichki...iles/debug/sinstallnt.exe
И все, у меня работает как часы. Патч не нужен т.к. у меня ХР без сервиспаков, хотя хз может и нужен, но главное что работает :)
tnx2 -=ALEX=-

travis_F :: спасибо froz... последовал твоему совету, поставил загрузку automatic и получил следующие результаты:
на компе по ctr+d открывается черное окно софтайса... но все ужасно тормозит а секунд через 20 вообще вылезает ошибка explorera memory cannot be «read»...
на лаптопе все аналогично плюс вместо черного окна софтайса вылезает размытый екран глючный :(... вообщем че-то не то :(

froz :: Не знаю в чем проблема... Я вообщето загрузку в Manual ставил, хотя я думаю не в этом дело. У тя ХР с сервиспаком?

_N3wB13_ :: У меня вот тоже не получается сайс под ХР поставить никак, всё пробовал и патчи и всё. Наверно руки не прямые =) Надо ещё попробовать

travis_F :: да sp1 стоит походу...
а если manual то какой файл открывать потом ?

MoonShiner :: net start ntice

froz Re: travis_F :: У меня sp1 нет, мож из--за этого и пашет...
Либо в командной строке net start ice, либо открой ярлык который создается, Start SoftIce кажись зовется :)

Mario555 :: froz пишет:
цитата:
ярлык который создается, Start SoftIce кажись зовется :)


Прям поэт...

travis_F :: people, I need help
все вроде сделал как надо, скачал 4.05 под WinNT, поставил патч... а ета бяка все равно намертво вешает мой комп :(((
если ставить manual то вешает сразу после запуска ntice.bat, если ставить automatic то система виснет секунд через 7 после загрузки, даже SAFE MODE повисал так и не загрузившись... тока last good configuration спасла мой комп :(
2 MozgC: на просьбу указать сложные места в статье про blueface отвечаю: установка и запуск отладчика - самое сложное место...




Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда...



Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда может я не правильно пользуюсь ( upx -d file.exe file1.exe). Пробую остановится на ЕР, указанном в PEiD, прога не останавливается, а сразу запускается. Посоветуйте, как распаковать прогу? Поясните в » Запускаю программу. В отладчике пишу «addr NAME», где name - имя исследуемой программы (процесса), после этого пишу «bpm 12345678 x», где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.» - что означает EP (вместе с Image Base) ?

XoraX :: http://www.cracklab.narod.ru/doc/pkk.htm

Runtime_err0r :: Yraevtys
Что за прога ? Ссылку дававй !




Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь...



Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
При попытке трассировки в SI прога подвисает недалеко от начала,
а именно по адресу 007FC517. Кстати при отладке отладчиком из MVS 6 все нормально. Подскажите, из-за чего это происходит и что мне делать. Может IceExt более новый есть. На всякий случай у меня WinXP+SP1. Как вы я надеюсь уже поняли мне важен не crack, а самому разобраться в этом вопросе. Хотя, и он тоже нужен.

odIsZaPc :: Tollya
А зачем тебе IceEXT? Он тут не нужен. Прога упакована ASPack’ом, а на АсПротектом каким-нибудь. На всякий случай извлек ее - еси надо расскажу как :)

Tollya :: odIsZaPc
То, что прога запакована ASpack-ом я знаю и про IceExt на всякий случай написал. Как я уже писал прога подвисаетпри попытке трассировки не далеко от начала. Кстати AspackDie ее смог распаковать, но после этого та же история. Не да леко от начала проги, таже история. А SI Offline Explorer как-бы не видит, не один BP не срабатывает. Может я чего-то не знаю?

odIsZaPc :: Tollya
Короче, раскидываю:
Вырубай всякие там IceEXT и прочие примочки.
С помощью PE Tools прерываешься на EP проги, ставишь «bpm esp-4», прерываешься прямо перед переходом на OEP. Смотришь этот самый OEP. Потом повторешь еещ раз, зацикливаешься пред переходом на OEP и дампишь процесс с помощью того же Lord PE. Не убивая прогу, грузишь ее в ImpRec, в поле OEP вводишь OEP - ImageBase и тыкаешь IAT AutoSearch. Ну обновляешь дамп...




odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару...



odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару вечерков. Заценяйте, если кому интересно. BG говорит, что подобрать крякмис им рельно, тобиш написан он верно.
Ну что, есть обладатели «мэинфреймов»? Шучу! На Pentium 3 1000 GhZ 3 месяца полного перебора....
Сам перебор работает в потоке с приоритетом Idle, так что не мешает ни чему. Автоматическое сохранение результатов и прочая х###я....
Качать тут:
http://odiszapc.nm.ru/clab3_bruteforce
Но nm.ru затупляет, поэтому зеркало:
http://personal.primorye....orce/clab3_bruteforce.zip
Nitrogen :: odIsZaPc
а на асме?.. я к тому, что такими темпами действительно долго думать будет

Nitrogen :: вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..

Madness :: Generate proc
LOCAL i1 :BYTE
LOCAL i2 :BYTE
LOCAL i3 :BYTE
LOCAL i4 :BYTE
LOCAL bfBuffer_length :DWORD

push esi
invoke GetDlgItemText,esi,IDC_EDT1, offset bfBuffer,MAXSIZE
mov bfBuffer_length,eax
int 3
xor eax, eax
mov i1, al
mov i2, al
mov i3, al
mov i4, al

@i1:
movzx eax,i1
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[0],al
inc i1
@i2:
movzx eax,i2
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[1],al
inc i2

@i3:
movzx eax,i3
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[2],al
inc i3

@i4:
movzx eax,i4
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[3],al
inc i4

mov edi, dword ptr[temp]
mov dword ptr[bfBuffer], edi
xor eax, eax
mov dword ptr[bfBuffer+4], eax
mov dword ptr[bfBuffer+4*2], eax
mov dword ptr[bfBuffer+4*3], eax
mov dword ptr[bfBuffer+4*4], eax
mov dword ptr[bfBuffer+4*5], eax
mov dword ptr[bfBuffer+4*6], eax
mov dword ptr[bfBuffer+4*7], eax

mov edi, 30001
@@: invoke procMD5hash,addr bfBuffer, bfBuffer_length,addr stMD5Result
mov bfBuffer_length, 32
dec edi
jne @b

mov eax, dword ptr bfBuffer
cmp eax, dword ptr C948E0
jne @f
mov ax, word ptr bfBuffer+4
cmp ax, word ptr C948E0+4
jne @f
invoke SendDlgItemMessage,esi,IDC_LST1,LB_ADDSTRING,0,off set temp
@@:
mov al, i4
cmp al, 36
jne @i4
xor eax, eax
mov i4, al

mov al, i3
cmp al, 36
jne @i3
xor eax, eax
mov i3, al

mov al, i2
cmp al, 36
jne @i2
xor eax, eax
mov i2, al

mov al, i1
cmp al, 36
jne @i1
xor eax, eax
mov i1, al

pop esi
invoke SetDlgItemText, esi, IDC_EDT1, offset bfBuffer

ret

Generate endp
По-моему так, написал еще в первый вечер, поставил на ночь - полностью перебора не дождался (хотя мож пароль и подобрался) и утром выключил. Че эта за крякми с брутфорсами, не барское это дело брутфорсить. ;)
Imho стоит попробовать поковырять R(не помню как его там), мож оно подбирается быстрее, цель то вроде - картинка была.

odIsZaPc :: Nitrogen
Мог бы на асме - написал бы... Так просто проще, но, увы, дольше...

odIsZaPc :: Nitrogen пишет:
цитата:
вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..


Как не пашет? У меня в XP все как надо. В чем трабл? Наверно из-за потоков.....
Madness
Какова скорость перебора? Замерял?

Nitrogen :: odIsZaPc
2003 и xp все же разные вещи..

odIsZaPc :: Nitrogen
Ну не такие уж и разные. Я вроде в никаких новаторских идей не использовал... А че прога выдает за ошибку?

Nitrogen :: odIsZaPc
да нет ошибки, просто осталось xxxxxxxx секунд до конца.. и висит

odIsZaPc :: Ух ты, я там есть... Честь-то какая :).... Кстати, есть идея реализовать ala распределенные вычисления и подобрать пароль за неделю. Но подозреваю, что это никому нах не надо... Реализации проста.

Nitrogen :: odIsZaPc
наоборот распред это здорово.

p.s bg, я изучал крякми только с помощью ида 4.60 и встроенного отладчика.. муля на счет «крякерского» софта даже не заикалась..

Madness :: odIsZaPc
›Какова скорость перебора? Замерял?
Написал же - до утра полностью не перебралось. :P

›Но подозреваю, что это никому нах не надо...
Конечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.

odIsZaPc :: Madness пишет:
цитата:
онечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.


Цель не только пароль узнать, но и организовать какой-никакой проект. Мне кажется это вполне интересно будет....

Madness :: odIsZaPc
›организовать какой-никакой проект.
Мне кажется интересным будет написание движка для распределенных вычислений, чтоб ему задать можно было условия и алгоритм.

Bad_guy :: Как статья, ляпов не нашли ? Вчера весь день делал, но не проверял потом.
http://cracklab.narod.ru/doc/clab3.htm

odIsZaPc :: Bad_guy
Пара орфографических ошибок канает, а так ничего...

odIsZaPc ::
цитата:
Качаем крякмис, ломаем, потом уже читаем статью:


Статью никто не прочитает.... :)

Bad_guy :: odIsZaPc пишет:
цитата:
Статью никто не прочитает.... :)


Я в одной проге увидел в SETUP фразу «Лицензионное соглашение не приведено, потому что по статистике его никто не читает»... Вот у меня тот же случай - никто мои советы слушать не будет.

Chirurg :: Bad_guy

Ну, почему же - я буду.
У меня один только вопрос: в кракмиксе введенный номер разве ни с чем не сравнивается? Например, с правильным?

Madness :: Chirurg
Номер - нет. Кусок хеша, первые 2 байта картинки - да.

Bad_guy :: Нехороший вопрос. Не ломай ты этот крэкми.

Chirurg :: Bad_guy
Мне пока не по зубам. Я учусь. И внимательно слежу за дискуссией

odIsZaPc :: Chirurg
Этот крякмис из раздела неломаемых. Или ломаемых на «мэйнфреймах» :)

Nitrogen :: odIsZaPc
он ломаем. метод - не важен, пусть даже хоть с помощью брутфорса

odIsZaPc :: Nitrogen
Я это и имел в виду.
P.S. Мне нужен нормальный хостинг с Perl и думаю я смогу организовать распределенные вычисления. Думаю на agava.ru, но пока не уверен...




Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme -...



Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme - уворачивается от отладчика, дизассемблер показывает чушь. По идее это должна быть программа не позволяющая ставить в ней бряки.

Оригинал поста в форуме тут
MaDByte :: Ничего интересного... Дестяки циклов расшифровки, каждый цикл расшифровывает следующий... Причем расшифровывает банальным ксором
Единственное чего добился автор такой «защиты» - это ее тормознутость

Kerghan :: элементарщина: обычный полиморфный код, ничего сложного
грузишь в olly, F9, analyse code, hardware on execution на push чего-то_там

Gloomy :: Kerghan
У меня прога в Olly не грузится - сразу же ошибка вылетает и просто так тоже не запускается :( Видимо из-за системы (w2k).
А как насчет бряков? Их действительно нельзя поставить как утверждает автор?

Madness :: Gloomy
Фигня, больше тысячи xor, а обходится все bpm messageboxexa.

›А как насчет бряков? Их действительно нельзя поставить как утверждает автор?
Можно :P Там проверяются первые 2 байта функции указанной выше.
На w2k и не пойдет - импорта вообще нету, а должОн быть как минимум kernell32 imho, на w98 у меня тоже не идет, а на xp заработало.




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих,...



froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих, так вот. Не могли бы те у кого Айс под ХР пашет описать процесс установки и настройки оного. Я уже все перепробовал, что тут писалось ранее, может кто-нить конкретно объяснит?
-= ALEX =- :: короче берешь и ставишь сайт 4.05 под NT, установил, перезагрузил винду, поставил из DS (у меня рип Demonix’a) поставил патчик для XP, перезагрузил винду, ctrl+d и наслаждайся

-= ALEX =- :: ошибка, не «сайт» а «сайс» :)

froz :: поппробуем :)

odIsZaPc :: Как все муторно.... =)

travis_F :: не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?

froz :: travis_F пишет:
цитата:
не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?


1. Ставишь это: http://reversing.kulichki.../files/debug/si405wnt.rar
2. Потом это: http://reversing.kulichki...iles/debug/sinstallnt.exe
И все, у меня работает как часы. Патч не нужен т.к. у меня ХР без сервиспаков, хотя хз может и нужен, но главное что работает :)
tnx2 -=ALEX=-

travis_F :: спасибо froz... последовал твоему совету, поставил загрузку automatic и получил следующие результаты:
на компе по ctr+d открывается черное окно софтайса... но все ужасно тормозит а секунд через 20 вообще вылезает ошибка explorera memory cannot be «read»...
на лаптопе все аналогично плюс вместо черного окна софтайса вылезает размытый екран глючный :(... вообщем че-то не то :(

froz :: Не знаю в чем проблема... Я вообщето загрузку в Manual ставил, хотя я думаю не в этом дело. У тя ХР с сервиспаком?

_N3wB13_ :: У меня вот тоже не получается сайс под ХР поставить никак, всё пробовал и патчи и всё. Наверно руки не прямые =) Надо ещё попробовать

travis_F :: да sp1 стоит походу...
а если manual то какой файл открывать потом ?

froz Re: travis_F :: У меня sp1 нет, мож из--за этого и пашет...
Либо в командной строке net start ice, либо открой ярлык который создается, Start SoftIce кажись зовется :)

MoonShiner :: net start ntice

Mario555 :: froz пишет:
цитата:
ярлык который создается, Start SoftIce кажись зовется :)


Прям поэт...

travis_F :: people, I need help
все вроде сделал как надо, скачал 4.05 под WinNT, поставил патч... а ета бяка все равно намертво вешает мой комп :(((
если ставить manual то вешает сразу после запуска ntice.bat, если ставить automatic то система виснет секунд через 7 после загрузки, даже SAFE MODE повисал так и не загрузившись... тока last good configuration спасла мой комп :(
2 MozgC: на просьбу указать сложные места в статье про blueface отвечаю: установка и запуск отладчика - самое сложное место...

iliah :: 1.поставь pause в bat
2.проверь открой дос приложение в полном экране и запусти ice если окно отобразится то у тебя в компе загруженна dll
которая все блокирует
у меня была msm...
ВПЕРЕД

Silver :: У меня Softice под XP идет, но такая проблема, когда выключаю комп › идет сохранение там всего... а дальше все виснет, приходится выключать так(на кнопку). А еще вов время работы на компе, иногда вдруг опять начинает все виснуть, но если нажать alt, то что - то там начинает работать, вроде как все восстановилось. Может кто подскажет что нибудь?

DiveSlip :: Я тут вот что подумал, может кто попробует вот этот дистрибутив: Айс из DriverStudio 2.6. Сам я его не пробовал, так как есть из DriverStudio 3, но на диске написано было, что под ХР он пашет. Дистрибутив занимает 5 метров.




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




kost@ Assembler & Debug Здарова, всем!



kost@ Assembler & Debug Здарова, всем!
Вопрос таков: чем отличается Debuger от
Assembler’a. Вопрос вызвал сомнения, т.к.
и в Debuger’e можно писать Assembler’овские
команды, прописав перед командами букву А
(можно и маленькую а).
odIsZaPc :: Хм... Ассемблер - это язык и ничего более.... Ну а Дебуггер - софт для отладки программ, в том числе и ассемблерных...
Это ИМХО совершенно разные понятия. Вот если б ты имел ввиду дизассемблер и отладчик...

Madness :: kost@
›чем отличается Debuger от Assembler’a.
Отладчик и язык программирования соответственно.
›и в Debuger’e можно писать Assembler’овские команды
Встроенное ассемблирование.

odIsZaPc
›Вот если б ты имел ввиду дизассемблер и отладчик...
Дизассемблер не предназначен для отладки программ в пошаговом режиме (хотя у некоторых потуги к этому есть :)), а для получения листинга.

odIsZaPc :: Madness
Я имел в виду, что дизассемблер и оладчик более схожие понятия, чем ассемблер и отладчик.....

Tor :: Под ассемблером, иногда понимается транслятор(чаще компилирующего типа) ,который транслирует команды пользователя в машинный язык.
Отладчик занимается обратным(сродни дизассемблеру) он переводит машинные команды программы ,загруженой в память ,в команды языка ассемблера х86. У вас теория трансляции читалась когда -нибудь?

kost@ :: Всем огромное спасибо за разъяснение, все понял! Кстати, очень крут этот сайт и форум!
Вот еще один вопросик: много ли крэкеры получают money за крякнутую прогу?

kost@ :: Вот еще забыл :) кто-нибудь знает, где электронный вариант книг Гука по Assembler’у взять, просто препод посоветовал данного
автора. А если кто знает более рульную книгу, то тоже буду рад. А есть кто-нибудь со специальности Комплексная защита объектов
информатизации?
Всем спасибо за отзывчивость!




oops bt edx,eax подскажите плиз что делает bt edx,eax если edx=00d12345...



oops bt edx,eax подскажите плиз что делает bt edx,eax если edx=00d12345 eax=3FF
как я понял из описания в CF устанавлвается если совпадает бит из edx номер которого в eax
но в eax=1111111111b
какой бит с каким он в данном случае сравнивает??
если можно, то напишите как в учебнике :) ну как там про xor, and, or описывается
01010010 xor
10010011
------------
11000001

ну типа того :)
MoonShiner :: Не совпадает, а равен 1. А также установит CF в значение проверяемого бита. А если значение eax превышает максимальное количество битов edx (сколько это - считай сам:-) то ХЗ че будет:) Но думаю будет 0. Мне лень смотреть в отладчике, глянь сам:)

Gloomy :: oops
› BT база, смещение
База - это регистр или переменная, смещение - число или регистр. В твоем случае в команде BT edx,eax проверяется бит, установленный в 1 в регистре edx по смещению, указанному в регистре eax. Если edx=00d12345h=110100010010001101000101b, смещение в eax=3FFh=1Fh, т.е. проверяется 31 бит регистра edx. В данном случае бит равен 0 (смотри на число в edx и считай биты от нуля справа налево). Команда BT используется так:

BT eax,0Ah ; проверяем 10тый бит в регистре eax
jc _b1_ ; прыгаем если бит установлен в 1




Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer...



Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
Вот что у меня происходит. Я попробовал на многих программах. Без разницы упакованные они

или нет. Просто Offline Explorer мне первый попался. Сама прога рабочая запускается нормально. Я

Запускаю PE Tools, выбираю Break & Enter. В отладчике ставлю бряк на 3-е прерывание жму OK.

Прерываюсь на EP проги. Дальше «e eip 60». Самое интересное начинается сейчас, В SI жму F5 и...

После выполнения этой команды происходит что-то странное. Во всяком случае я такого раньше не

встречал. Вылетает из SI и ни чего не происходит, но процесс остается в памяти. В диспетчере задачь

он занимает ровно 50% времени ЦП.
Если я иду по F8, то дохожу до 001B:007FC517 xor byte ptr [ebx+edi+0f0e86ed4h],59. И именно

на этой команде спотыкаюсь.В отладчике из MVC++ 6.0 эта команда проходит нормально, а в Delphi 7

таже история. И еще у меня OfflineExplorer Pro 3.0.1482 Release.
Такая фишка встречается примерно у каждой 5-ой программы. Я попробовал сделать так.

Заменил эту команду jmp-ом на следующую, а Xor вычислил сам и подправил в памяти. Все прокатило.

Беда только в том, что Эта команда выполняется в цикле хз сколько раз. Может кто слышал о таком

странном повидении отладчика?
И еще я распаковал Offline Explorer. ASPackDie его берет. Но ни один BP да же в

распакованной проге не ставится, а если и ставится то таже история. То-что я его распаковал

распаковщиком не значит что я не хочу сделать то же самое вручную.




Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда...



Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда может я не правильно пользуюсь ( upx -d file.exe file1.exe). Пробую остановится на ЕР, указанном в PEiD, прога не останавливается, а сразу запускается. Посоветуйте, как распаковать прогу? Поясните в » Запускаю программу. В отладчике пишу «addr NAME», где name - имя исследуемой программы (процесса), после этого пишу «bpm 12345678 x», где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.» - что означает EP (вместе с Image Base) ?

XoraX :: http://www.cracklab.narod.ru/doc/pkk.htm

Runtime_err0r :: Yraevtys
Что за прога ? Ссылку дававй !




Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь...



Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
При попытке трассировки в SI прога подвисает недалеко от начала,
а именно по адресу 007FC517. Кстати при отладке отладчиком из MVS 6 все нормально. Подскажите, из-за чего это происходит и что мне делать. Может IceExt более новый есть. На всякий случай у меня WinXP+SP1. Как вы я надеюсь уже поняли мне важен не crack, а самому разобраться в этом вопросе. Хотя, и он тоже нужен.

odIsZaPc :: Tollya
А зачем тебе IceEXT? Он тут не нужен. Прога упакована ASPack’ом, а на АсПротектом каким-нибудь. На всякий случай извлек ее - еси надо расскажу как :)

Tollya :: odIsZaPc
То, что прога запакована ASpack-ом я знаю и про IceExt на всякий случай написал. Как я уже писал прога подвисаетпри попытке трассировки не далеко от начала. Кстати AspackDie ее смог распаковать, но после этого та же история. Не да леко от начала проги, таже история. А SI Offline Explorer как-бы не видит, не один BP не срабатывает. Может я чего-то не знаю?

odIsZaPc :: Tollya
Короче, раскидываю:
Вырубай всякие там IceEXT и прочие примочки.
С помощью PE Tools прерываешься на EP проги, ставишь «bpm esp-4», прерываешься прямо перед переходом на OEP. Смотришь этот самый OEP. Потом повторешь еещ раз, зацикливаешься пред переходом на OEP и дампишь процесс с помощью того же Lord PE. Не убивая прогу, грузишь ее в ImpRec, в поле OEP вводишь OEP - ImageBase и тыкаешь IAT AutoSearch. Ну обновляешь дамп...




odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару...



odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару вечерков. Заценяйте, если кому интересно. BG говорит, что подобрать крякмис им рельно, тобиш написан он верно.
Ну что, есть обладатели «мэинфреймов»? Шучу! На Pentium 3 1000 GhZ 3 месяца полного перебора....
Сам перебор работает в потоке с приоритетом Idle, так что не мешает ни чему. Автоматическое сохранение результатов и прочая х###я....
Качать тут:
http://odiszapc.nm.ru/clab3_bruteforce
Но nm.ru затупляет, поэтому зеркало:
http://personal.primorye....orce/clab3_bruteforce.zip
Nitrogen :: odIsZaPc
а на асме?.. я к тому, что такими темпами действительно долго думать будет

Nitrogen :: вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..

Madness :: Generate proc
LOCAL i1 :BYTE
LOCAL i2 :BYTE
LOCAL i3 :BYTE
LOCAL i4 :BYTE
LOCAL bfBuffer_length :DWORD

push esi
invoke GetDlgItemText,esi,IDC_EDT1, offset bfBuffer,MAXSIZE
mov bfBuffer_length,eax
int 3
xor eax, eax
mov i1, al
mov i2, al
mov i3, al
mov i4, al

@i1:
movzx eax,i1
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[0],al
inc i1
@i2:
movzx eax,i2
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[1],al
inc i2

@i3:
movzx eax,i3
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[2],al
inc i3

@i4:
movzx eax,i4
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[3],al
inc i4

mov edi, dword ptr[temp]
mov dword ptr[bfBuffer], edi
xor eax, eax
mov dword ptr[bfBuffer+4], eax
mov dword ptr[bfBuffer+4*2], eax
mov dword ptr[bfBuffer+4*3], eax
mov dword ptr[bfBuffer+4*4], eax
mov dword ptr[bfBuffer+4*5], eax
mov dword ptr[bfBuffer+4*6], eax
mov dword ptr[bfBuffer+4*7], eax

mov edi, 30001
@@: invoke procMD5hash,addr bfBuffer, bfBuffer_length,addr stMD5Result
mov bfBuffer_length, 32
dec edi
jne @b

mov eax, dword ptr bfBuffer
cmp eax, dword ptr C948E0
jne @f
mov ax, word ptr bfBuffer+4
cmp ax, word ptr C948E0+4
jne @f
invoke SendDlgItemMessage,esi,IDC_LST1,LB_ADDSTRING,0,off set temp
@@:
mov al, i4
cmp al, 36
jne @i4
xor eax, eax
mov i4, al

mov al, i3
cmp al, 36
jne @i3
xor eax, eax
mov i3, al

mov al, i2
cmp al, 36
jne @i2
xor eax, eax
mov i2, al

mov al, i1
cmp al, 36
jne @i1
xor eax, eax
mov i1, al

pop esi
invoke SetDlgItemText, esi, IDC_EDT1, offset bfBuffer

ret

Generate endp
По-моему так, написал еще в первый вечер, поставил на ночь - полностью перебора не дождался (хотя мож пароль и подобрался) и утром выключил. Че эта за крякми с брутфорсами, не барское это дело брутфорсить. ;)
Imho стоит попробовать поковырять R(не помню как его там), мож оно подбирается быстрее, цель то вроде - картинка была.

odIsZaPc :: Nitrogen
Мог бы на асме - написал бы... Так просто проще, но, увы, дольше...

odIsZaPc :: Nitrogen пишет:
цитата:
вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..


Как не пашет? У меня в XP все как надо. В чем трабл? Наверно из-за потоков.....
Madness
Какова скорость перебора? Замерял?

Nitrogen :: odIsZaPc
2003 и xp все же разные вещи..

odIsZaPc :: Nitrogen
Ну не такие уж и разные. Я вроде в никаких новаторских идей не использовал... А че прога выдает за ошибку?

Nitrogen :: odIsZaPc
да нет ошибки, просто осталось xxxxxxxx секунд до конца.. и висит

odIsZaPc :: Ух ты, я там есть... Честь-то какая :).... Кстати, есть идея реализовать ala распределенные вычисления и подобрать пароль за неделю. Но подозреваю, что это никому нах не надо... Реализации проста.

Nitrogen :: odIsZaPc
наоборот распред это здорово.

p.s bg, я изучал крякми только с помощью ида 4.60 и встроенного отладчика.. муля на счет «крякерского» софта даже не заикалась..

Madness :: odIsZaPc
›Какова скорость перебора? Замерял?
Написал же - до утра полностью не перебралось. :P

›Но подозреваю, что это никому нах не надо...
Конечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.

odIsZaPc :: Madness пишет:
цитата:
онечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.


Цель не только пароль узнать, но и организовать какой-никакой проект. Мне кажется это вполне интересно будет....

Madness :: odIsZaPc
›организовать какой-никакой проект.
Мне кажется интересным будет написание движка для распределенных вычислений, чтоб ему задать можно было условия и алгоритм.

Bad_guy :: Как статья, ляпов не нашли ? Вчера весь день делал, но не проверял потом.
http://cracklab.narod.ru/doc/clab3.htm

odIsZaPc :: Bad_guy
Пара орфографических ошибок канает, а так ничего...

odIsZaPc ::
цитата:
Качаем крякмис, ломаем, потом уже читаем статью:


Статью никто не прочитает.... :)

Bad_guy :: odIsZaPc пишет:
цитата:
Статью никто не прочитает.... :)


Я в одной проге увидел в SETUP фразу «Лицензионное соглашение не приведено, потому что по статистике его никто не читает»... Вот у меня тот же случай - никто мои советы слушать не будет.

Chirurg :: Bad_guy

Ну, почему же - я буду.
У меня один только вопрос: в кракмиксе введенный номер разве ни с чем не сравнивается? Например, с правильным?

Madness :: Chirurg
Номер - нет. Кусок хеша, первые 2 байта картинки - да.

Bad_guy :: Нехороший вопрос. Не ломай ты этот крэкми.

Chirurg :: Bad_guy
Мне пока не по зубам. Я учусь. И внимательно слежу за дискуссией

odIsZaPc :: Chirurg
Этот крякмис из раздела неломаемых. Или ломаемых на «мэйнфреймах» :)

Nitrogen :: odIsZaPc
он ломаем. метод - не важен, пусть даже хоть с помощью брутфорса

odIsZaPc :: Nitrogen
Я это и имел в виду.
P.S. Мне нужен нормальный хостинг с Perl и думаю я смогу организовать распределенные вычисления. Думаю на agava.ru, но пока не уверен...




Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme -...



Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme - уворачивается от отладчика, дизассемблер показывает чушь. По идее это должна быть программа не позволяющая ставить в ней бряки.

Оригинал поста в форуме тут
MaDByte :: Ничего интересного... Дестяки циклов расшифровки, каждый цикл расшифровывает следующий... Причем расшифровывает банальным ксором
Единственное чего добился автор такой «защиты» - это ее тормознутость

Kerghan :: элементарщина: обычный полиморфный код, ничего сложного
грузишь в olly, F9, analyse code, hardware on execution на push чего-то_там

Gloomy :: Kerghan
У меня прога в Olly не грузится - сразу же ошибка вылетает и просто так тоже не запускается :( Видимо из-за системы (w2k).
А как насчет бряков? Их действительно нельзя поставить как утверждает автор?

Madness :: Gloomy
Фигня, больше тысячи xor, а обходится все bpm messageboxexa.

›А как насчет бряков? Их действительно нельзя поставить как утверждает автор?
Можно :P Там проверяются первые 2 байта функции указанной выше.
На w2k и не пойдет - импорта вообще нету, а должОн быть как минимум kernell32 imho, на w98 у меня тоже не идет, а на xp заработало.




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих,...



froz Установка и настройка SoftIce под XP Я думаю эта тема волнует многих, так вот. Не могли бы те у кого Айс под ХР пашет описать процесс установки и настройки оного. Я уже все перепробовал, что тут писалось ранее, может кто-нить конкретно объяснит?
-= ALEX =- :: короче берешь и ставишь сайт 4.05 под NT, установил, перезагрузил винду, поставил из DS (у меня рип Demonix’a) поставил патчик для XP, перезагрузил винду, ctrl+d и наслаждайся

-= ALEX =- :: ошибка, не «сайт» а «сайс» :)

froz :: поппробуем :)

odIsZaPc :: Как все муторно.... =)

travis_F :: не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?

froz :: travis_F пишет:
цитата:
не могли бы вы подробнее описать что значит «поставить патч»? я вот скачал какой-то - там 3 .sys файла... куда их копировать ?


1. Ставишь это: http://reversing.kulichki.../files/debug/si405wnt.rar
2. Потом это: http://reversing.kulichki...iles/debug/sinstallnt.exe
И все, у меня работает как часы. Патч не нужен т.к. у меня ХР без сервиспаков, хотя хз может и нужен, но главное что работает :)
tnx2 -=ALEX=-

travis_F :: спасибо froz... последовал твоему совету, поставил загрузку automatic и получил следующие результаты:
на компе по ctr+d открывается черное окно софтайса... но все ужасно тормозит а секунд через 20 вообще вылезает ошибка explorera memory cannot be «read»...
на лаптопе все аналогично плюс вместо черного окна софтайса вылезает размытый екран глючный :(... вообщем че-то не то :(

froz :: Не знаю в чем проблема... Я вообщето загрузку в Manual ставил, хотя я думаю не в этом дело. У тя ХР с сервиспаком?

_N3wB13_ :: У меня вот тоже не получается сайс под ХР поставить никак, всё пробовал и патчи и всё. Наверно руки не прямые =) Надо ещё попробовать

travis_F :: да sp1 стоит походу...
а если manual то какой файл открывать потом ?

froz Re: travis_F :: У меня sp1 нет, мож из--за этого и пашет...
Либо в командной строке net start ice, либо открой ярлык который создается, Start SoftIce кажись зовется :)

MoonShiner :: net start ntice

Mario555 :: froz пишет:
цитата:
ярлык который создается, Start SoftIce кажись зовется :)


Прям поэт...

travis_F :: people, I need help
все вроде сделал как надо, скачал 4.05 под WinNT, поставил патч... а ета бяка все равно намертво вешает мой комп :(((
если ставить manual то вешает сразу после запуска ntice.bat, если ставить automatic то система виснет секунд через 7 после загрузки, даже SAFE MODE повисал так и не загрузившись... тока last good configuration спасла мой комп :(
2 MozgC: на просьбу указать сложные места в статье про blueface отвечаю: установка и запуск отладчика - самое сложное место...

iliah :: 1.поставь pause в bat
2.проверь открой дос приложение в полном экране и запусти ice если окно отобразится то у тебя в компе загруженна dll
которая все блокирует
у меня была msm...
ВПЕРЕД

Silver :: У меня Softice под XP идет, но такая проблема, когда выключаю комп › идет сохранение там всего... а дальше все виснет, приходится выключать так(на кнопку). А еще вов время работы на компе, иногда вдруг опять начинает все виснуть, но если нажать alt, то что - то там начинает работать, вроде как все восстановилось. Может кто подскажет что нибудь?

DiveSlip :: Я тут вот что подумал, может кто попробует вот этот дистрибутив: Айс из DriverStudio 2.6. Сам я его не пробовал, так как есть из DriverStudio 3, но на диске написано было, что под ХР он пашет. Дистрибутив занимает 5 метров.




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




kost@ Assembler & Debug Здарова, всем!



kost@ Assembler & Debug Здарова, всем!
Вопрос таков: чем отличается Debuger от
Assembler’a. Вопрос вызвал сомнения, т.к.
и в Debuger’e можно писать Assembler’овские
команды, прописав перед командами букву А
(можно и маленькую а).
odIsZaPc :: Хм... Ассемблер - это язык и ничего более.... Ну а Дебуггер - софт для отладки программ, в том числе и ассемблерных...
Это ИМХО совершенно разные понятия. Вот если б ты имел ввиду дизассемблер и отладчик...

Madness :: kost@
›чем отличается Debuger от Assembler’a.
Отладчик и язык программирования соответственно.
›и в Debuger’e можно писать Assembler’овские команды
Встроенное ассемблирование.

odIsZaPc
›Вот если б ты имел ввиду дизассемблер и отладчик...
Дизассемблер не предназначен для отладки программ в пошаговом режиме (хотя у некоторых потуги к этому есть :)), а для получения листинга.

odIsZaPc :: Madness
Я имел в виду, что дизассемблер и оладчик более схожие понятия, чем ассемблер и отладчик.....

Tor :: Под ассемблером, иногда понимается транслятор(чаще компилирующего типа) ,который транслирует команды пользователя в машинный язык.
Отладчик занимается обратным(сродни дизассемблеру) он переводит машинные команды программы ,загруженой в память ,в команды языка ассемблера х86. У вас теория трансляции читалась когда -нибудь?

kost@ :: Всем огромное спасибо за разъяснение, все понял! Кстати, очень крут этот сайт и форум!
Вот еще один вопросик: много ли крэкеры получают money за крякнутую прогу?

kost@ :: Вот еще забыл :) кто-нибудь знает, где электронный вариант книг Гука по Assembler’у взять, просто препод посоветовал данного
автора. А если кто знает более рульную книгу, то тоже буду рад. А есть кто-нибудь со специальности Комплексная защита объектов
информатизации?
Всем спасибо за отзывчивость!




oops bt edx,eax подскажите плиз что делает bt edx,eax если edx=00d12345...



oops bt edx,eax подскажите плиз что делает bt edx,eax если edx=00d12345 eax=3FF
как я понял из описания в CF устанавлвается если совпадает бит из edx номер которого в eax
но в eax=1111111111b
какой бит с каким он в данном случае сравнивает??
если можно, то напишите как в учебнике :) ну как там про xor, and, or описывается
01010010 xor
10010011
------------
11000001

ну типа того :)
MoonShiner :: Не совпадает, а равен 1. А также установит CF в значение проверяемого бита. А если значение eax превышает максимальное количество битов edx (сколько это - считай сам:-) то ХЗ че будет:) Но думаю будет 0. Мне лень смотреть в отладчике, глянь сам:)

Gloomy :: oops
› BT база, смещение
База - это регистр или переменная, смещение - число или регистр. В твоем случае в команде BT edx,eax проверяется бит, установленный в 1 в регистре edx по смещению, указанному в регистре eax. Если edx=00d12345h=110100010010001101000101b, смещение в eax=3FFh=1Fh, т.е. проверяется 31 бит регистра edx. В данном случае бит равен 0 (смотри на число в edx и считай биты от нуля справа налево). Команда BT используется так:

BT eax,0Ah ; проверяем 10тый бит в регистре eax
jc _b1_ ; прыгаем если бит установлен в 1




Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer...



Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
Вот что у меня происходит. Я попробовал на многих программах. Без разницы упакованные они

или нет. Просто Offline Explorer мне первый попался. Сама прога рабочая запускается нормально. Я

Запускаю PE Tools, выбираю Break & Enter. В отладчике ставлю бряк на 3-е прерывание жму OK.

Прерываюсь на EP проги. Дальше «e eip 60». Самое интересное начинается сейчас, В SI жму F5 и...

После выполнения этой команды происходит что-то странное. Во всяком случае я такого раньше не

встречал. Вылетает из SI и ни чего не происходит, но процесс остается в памяти. В диспетчере задачь

он занимает ровно 50% времени ЦП.
Если я иду по F8, то дохожу до 001B:007FC517 xor byte ptr [ebx+edi+0f0e86ed4h],59. И именно

на этой команде спотыкаюсь.В отладчике из MVC++ 6.0 эта команда проходит нормально, а в Delphi 7

таже история. И еще у меня OfflineExplorer Pro 3.0.1482 Release.
Такая фишка встречается примерно у каждой 5-ой программы. Я попробовал сделать так.

Заменил эту команду jmp-ом на следующую, а Xor вычислил сам и подправил в памяти. Все прокатило.

Беда только в том, что Эта команда выполняется в цикле хз сколько раз. Может кто слышал о таком

странном повидении отладчика?
И еще я распаковал Offline Explorer. ASPackDie его берет. Но ни один BP да же в

распакованной проге не ставится, а если и ставится то таже история. То-что я его распаковал

распаковщиком не значит что я не хочу сделать то же самое вручную.




Python



Python_Max Неважно чем запакована/запротекчена программа! Сдесь будет описан способ патча, который не требует распаковки «исследуемой» программы.
Основная мысль: Подождем пока пакер/протектор сам это сделает!
Основывается на Memory Patcher by -= Alex =- .
Надеюсь автор оригинала оставит сдесь свое мнение ;)

Python_Max :: Как все было.
Моя проблема подробно описана в теме «О patcher’e -=Alexa=-».
В двух словах: Необходимо снять наг. Прога защищена ASProtect’ом, нашел, где забить два NOP’а, чтобы решить проблему, нашел OEP, нашел jmp ‹OEP›, но изменить его на свой jump, как оказалось, невозможно. Тогда решил попробовать Memory Patcher by -= Alex =-, но с помощью него не успевались байты заменяться и наг все-равно появлялся, если записать их сразу после распаковки - Protection Error 15 :(

Решение.
Несмотря на то, что ASProtect - сила, а я, мягко говоря, начинающий (может у меня мало опыта и я ни разу не дотрассировал до конца код аспра, но мозги, слава Богу, работают :) ), вобщем я не остановился! Как оказалось ненапрасно.
Решил очередной раз посмотреть что делает программа сразу после распаковки.
Трассирование начал с OEP. Дошел до места:
mov [0074C4DC],EAX
и задумался... Посмотрел, что в EAX - там наш ImageBase 0040000, а что у нас по адресу 0074C4DC до комманды MOV? Нули! Хе-хе... Вот оно! Т.е. после этого мува у нас по вполне определенному, а главное _постоянному_ адресу [0074C4DE] находится 40h !!!

Вобщем в код мемори патчера добавил еще один ReadProcessMemory и все!
Вот кусок кода (мои комменты в квадратных скобках, комменты автора оставил):

[===============================]
while true do
// Читаем один байт [тот, который нужно изменить, не знаю почему именно этот :) ]
if readprocessmemory(lppi.hProcess,pointer($73F5EC),@ buf[0],1,i)
then
if buf[0]‹›$0 then // Проверяем на распакованность, если не 0 - то распаковалась

// [ Теперь то, о чем я говорил ]
// [ По сути, это проверка на то, закончил ли работу ASProtect ]

if readprocessmemory(lppi.hProcess,pointer($74C4DE),@ buf[0],1,i)
then if buf[0]‹›$0 then
begin
// [Это уже не нужно]
// Подождем, пока ASProtect проверит память,
// иначе будет писать ’Protection Error 15’
// sleep(300);
// [То, что вверху уже не нужно!!!]
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($73F5EC), @buf[1],1,i);
writeprocessmemory(lppi.hProcess,pointer($73F5ED), @buf[1],1,i);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
halt;
end;
[===============================]

Я думаю, что если сделать так, как я написал, то будет САБЖ !!!
Скажите плиз, что думаете по этому поводу.

Да, чуть не забыл, если кто такое уже делал, то почему не отозвались?

ЗЫ: убрав наг, я убрал триал, сам того не ожидав :)))
Thx 2 -= Alex =- 4 Memory Patcher :)

MozgC [TSRh] :: Блин это же убого... лоадеры... Я бы лучше не релизил программу чем релизить лоадер. Хотя не думаю что есть вариант что нельзя сделать cracked.exe, но можно лоадер. Всегда лучше распаковать, чем делать лоадер.

Python_Max :: Я ее релизить не собираюсь.

А cracked.exe распакованный ты бы выложил?

MozgC [TSRh] :: А я все время выкладываю =) И не только я. А лоадеры вообще многие за релиз не считают.

-= ALEX =- :: ну а теперь начнем по теме. вот этот адресок $74C4DE это чисто для тебя только такой. почему - попытаюсь объяснить. как я уже и говорил - многослойная паковка. чтобы что-то куда-то распаковать надо выделяется память. (VirtualAlloc) причем адрес указывающий на выделенную память может быть разным, а на других осях и вовсе другой. код же распаковщиков, или назовем его «тело аспра» оффсетнонезависим (о как назвал), поэтому ему по барабану какой будет адресок.... поэтому можешь радоваться что на твоем компе ну или даже пускай на такой же ОСи работает такой лоадер. Ну а если хочешь сделать лоадер для аспра, который будет точно на OEP останавливаться, придется пару деньков, а может даже и больше просидеть в отладчике и полностью проходить все этапы распаковки проги... можешь взглянуть как это делает asprdebuger (про который все тут речь ведут) благо исходники есть.... наверное после просмотра у тебя желание пропадет. в общем смотри, дело твое. А вообще если сделать такой кряк, т.е. лоадер для себя или для друга - это хорошо. Но если уж захотел релизить, то увы - лоадеры не в моде :(
P.S. статью эту я написал тогда, когда только-только начал учиться этому искусству... тогда я даже и не представлял, что ваще такое АСПР... просто я заметил, что не всегда выскакивает месага, если подряд лупить по файлу быстро... из этого сделал вывод, что нужно время на проверку... поэтому и ставил sleep. кстати, беспонтовый способ и зависит от проца.




Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой...



Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой FlaX (662 Кб). Возникла интересная задачка: при запуске программы в OllyDbg отладчик считает что программа прибита, хотя она на самом деле продолжает работать. Как она умудряется вырваться из-под контроля отладчика? Такого я еще не видел
MoonShiner :: А че происходит в айсе? Есть ли процесс в списке задач? Видится ли каким нить LordPE?

Dragon :: Может быть она DLL подгружает какие-нибудь, и там что-то такое происходит.

Gloomy :: Проверил на наличие функции IsDebuggerPresent - ее нет.

MoonShiner
В Айсе ситуация аналогичная - он тоже считает что процесс прибит и проваливается в дебри ntdll.dll

Dragon
Никаких DLL нет вообще - один только запуской файл.

MC707 :: Ты вот на это обрати внимание:
00418788 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418789 ¦. 8D05 586C4400____LEA EAX,DWORD PTR DS:[446C58]
0041878F ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418790 ¦. 8B45 08__________MOV EAX,[ARG.1]
00418793 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418794 ¦. 8D05 0C114400____LEA EAX,DWORD PTR DS:[‹& KERNEL32.GetProcAddress ›]
0041879A ¦. AB_______________STOS DWORD PTR ES:[EDI]

и еще:
004187BC ¦› A1 489F4500______/MOV EAX,DWORD PTR DS:[459F48]
004187C1 ¦. 83F8 00__________¦CMP EAX,0
004187C4 ¦. 74 53____________¦JE SHORT FLAX.00418819
004187C6 ¦. 33D2____________¦XOR EDX,EDX
004187C8 ¦. 8A10____________¦MOV DL,BYTE PTR DS:[EAX]
004187CA ¦. FF05 489F4500____¦INC DWORD PTR DS:[459F48] ; FLAX.00448D68
004187D0 ¦. 6BD2 05_________¦IMUL EDX,EDX,5
004187D3 ¦. A1 309D4500_____¦MOV EAX,DWORD PTR DS:[459D30]
004187D8 ¦. 03D0____________¦ADD EDX,EAX
004187DA ¦. 33C0____________¦XOR EAX,EAX
004187DC ¦. 8A42 04__________¦MOV AL,BYTE PTR DS:[EDX+4]
004187DF ¦. 2245 05__________¦AND AL,BYTE PTR SS:[EBP+5]
004187E2 ¦. C645 05 FF________¦MOV BYTE PTR SS:[EBP+5],0FF
004187E6 ¦. 50_______________¦PUSH EAX
004187E7 ¦. 52_______________¦PUSH EDX
004187E8 ¦. 50_______________¦PUSH EAX ; /Arg1
004187E9 ¦. E8 42000000______¦CALL FLAX.00418830 ; \FLAX.00418830
004187EE ¦. 83C4 04__________¦ADD ESP,4
004187F1 ¦. A1 489F4500______¦MOV EAX,DWORD PTR DS:[459F48]
004187F6 ¦. 8945 00__________¦MOV DWORD PTR SS:[EBP],EAX
004187F9 ¦. A1 548D4400______¦MOV EAX,DWORD PTR DS:[448D54]
004187FE ¦. 8B0D 189D4500____¦MOV ECX,DWORD PTR DS:[459D18]
00418804 ¦. 5A_______________¦POP EDX
00418805 ¦. FF12_____________¦CALL DWORD PTR DS:[EDX]
00418807 ¦. 8B45 00__________¦MOV EAX,DWORD PTR SS:[EBP] ; ¦
0041880A ¦. A3 489F4500______¦MOV DWORD PTR DS:[459F48],EAX ; ¦
0041880F ¦. E8 EB030000______¦CALL FLAX.00418BFF ; \FLAX.00418BFF
00418814 ¦. 83C4 04__________¦ADD ESP,4
00418817 ¦.^EB A3____________\JMP SHORT FLAX.004187BC

аффигенно длинный цикл
При выходе из него (4187C4) - пускается другой процесс. Какой - не разбирался...

Gloomy :: MC707
Спасибо за подсказку, копаю дальше:
004187BC EB 5B JMP SHORT FlaX.00418819 ; теперь программа не закрывается в отладчике и ее можно спокойно ковырять.
Есть проблема - нашел место где выдается сообщение о неправильном серийнике:
00427F94 /. 55 PUSH EBP
Но там невозможно поставить бряк потому что это место в коде вызывается при вводе серийника. Пробовал ставить бряки на GetFocus и SetWindowsHookExA - они не работают. Как можно обойти такую систему ввода серийника?

MC707 :: Gloomy
В общем я пошел по другому пути.
В хекс редакторе изучил содержимое ехе. Он всегда в любой проге может много чего интересного дать ...
Нашел строки Flex Key, Key, flex.ini.
Нашел файл flex.ini - в папке windows
Поставил бряки на эти строки. Запускаем - прерываемся по адресу 42932F и видим, что прога считывает из ini строку
Key=...
Добавляем Key=666666
Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника. Я не вдавался в подробности как, но там все видно. И там еще дохрена проверок. Как минимум я 6 насчитал.

Ara :: А кто видел такое - место сравнения найдено, если EAX=0 (верный RegCod), то прога работает хорошо. Если в отладчике обнулить ЕАХ, то тоже все хорошо. Но если подпатчить немного, то программа вылетает в аут. Проверки на CRC нет !!!

Ara :: Да, еще, никаких пакеров-протекторов нет, есть VIsual C++ 7.0

Gloomy :: MC707
›› Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника
Прошел весь код от чтения строки из ini-файла до открытия окна программы - вычислить серийник не удалось Возможно дело в том что я отключил создание нового потока который обламывает отладчик (сообщает ему что программа закрылась)? Как ты проходил этот код? Так же прибив создание нового потока?

Ara
›› А кто видел такое - место сравнения найдено
Я такое видел когда ломал Promt XT. Добить его до конца так не смог - пришлось написать загрузчик. Попробуй DZA Patcher - она умеет создавать in-line патчи

Ara :: Gloomy пишет:
цитата:
Попробуй DZA Patcher - она умеет создавать in-line патчи


DZA вообщето у мяня что-то хреновато работает, правильно патчит только несколько байт, остальные что-то портит, я не разбирался. Попробую для интереса лоадер, потом напишу результат.

Ara :: Gloomy
Лоадер тоже не катит

Gloomy :: Ara
›› Лоадер тоже не катит
Тогда ищи как программа защищает память от чтения - см. справку по фукнциям VirtualProtect\VirtualProtectEx. А почему DZA не работает? Ты уверен что правильно задаешь все адреса и байты?

Ara :: Gloomy
Да говорю же, не разбирался, почему DZA не работает! Вернее, он работает, если нужно патчить 1-2 байта, а если больше, то облом. А может я где и ошибся, просто после я сделал свой крек на ВР и им пользовался. Сейчас все пытаюсь на Delphi сделать (без VCL), да что-то пока никак руки не дойдут.




XPiS Не успел залить... Народ, дайте плз. рабочий линк, а то



XPiS Не успел залить... Народ, дайте плз. рабочий линк, а то
IDA.Pro.Standard.4.5.1.770with.Flare421.and.SDK.ra r не работает.
MozgC [TSRh] :: Ищи тут:
http://reversing.kulichki.net/

XPiS :: только 4.3...отладчика нет.

Mario555 :: to XPiS
фтп exetools - найдется всё .

MoonShiner :: XPiS пишет:
цитата:
только 4.3...отладчика нет.


Отладчик там полное.... как бы это помягче... Короче до айса не дотягивает




Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/



Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/
День первый: ставил софтлиз на ХР - не пашет.
День второй: вешал патчи - не пашет.
День третий: ставил драйверстудио 2.6 - не пашет.
День пятый (день четвертый тянул из сетки 96задолбайт!): ставил драйверстудио 3.0 betta 2 - пашет но тем обиднее что глючно!!!

ТИПА bpx GetWindowTextA не хотит ставиться. ТО -биш вроде и ставится, по F5 вываливаться не хочет, в любом случае срабатывает бряк (типа «какай смертью писай громом» но Х... отсюда выйдешь) давим BC* жмем F5 - выпали нормально самочувствие поганое.
День шестой: - Тут то и закрадывается злодейская мысля, которая приходит обычно опосля проверить брякина Функциях иных.
Вывод некоторые пашут как папа Карло над поленом, а иные представители (аналогия с родными ГИББДшниками) сачкуют, придумывая различные отмазы (нечто вроде я не я и Ж... не моя).

День седьмой: не родив подходящего решения, бью клич о помощи.

А теперь вопрос уважаемым знатокам.

ЧТО ДЕЛАЬ и КУДА ВСЕ ЭТО ТЕПЕРЬ ДЕВАТЬ.!!!

бара :: format C: к е*ени матери.

XoraX :: дабы не мудится поставь вторую систему win2k и ломай в свое удовольствие с нормальнам сайсом

MozgC [TSRh] :: XoraX
А причем тут Win2K ? У меня (и у большинства) всегда в WinXP отлично работает.

Krizotill
Что в твоем понимании «не пашет»?

XoraX :: MozgC [TSRh]
при том, что у меня (и не только) на Xp сайс работать правильно отказывается

Dragon :: DS 3 - там бряки - контекстно зависимые. Только в 3.10 настройка появилась, чтобы бряки для всех процессов работали. Так что ищи DS 2.7 или 3.10

Krizotill :: Я согласен «win2k», «DS 2.7 или 3.10» все это решения, комуто может даже «format C: к е*ени матери» понадобится. Но все эти пути не для меня:
1. - Я попутно занимаюсь видео, файлы офигенные (читай: объемные, большие,... синие, зеленые, красные, если не сказать ужасные.) мой малютка Макср...(читай: винт) непотерпит вливания еще №-нного вливантя свежих байт, т.к вторая система требует своего софта из-за природной ревнивости и феноменальной стервозности (Беня Гей посторался на славу), а от ХР, хотя и ярый сторонник 2000, не откажусь. Опять же, с легкой руки некого «Мичурина» скрестившего Adobe Premiere Pro 7-ого рождения с Win XP, я оказался привязанным к Premiere как основному инструменту хлебодобывания, а к Win XP как средству искуственного поддержания жизни в Adobe.
2. - Перекачку из сети еще одной версии нумеги, без гарантий ее дееспособности (читай: вменяемости не говоря о чистоте помыслов и действий), я не переживу (не Connect-ом единым жив Человек), окромя рулона туалетной бумаги (спасибо «фабрике бумажных изделий города Засранска») и баночки горилки (спасибо дружественному народу Хохландии), в холодильнике хотелось бы иногда видеть кусочек натуральной писчи(типа там мяска кусманчик, сырочку (сойдет и дружба), картофанчика чюток)!
3. - Легких путей мы не ищим.
4. - НУ ВОТ КАКОГО microsoft-ТА бряк так ПРИЛЕЖНО! себя ведет (прям как я в школе).

одним словом


Krizotill :: Пордон заболтался.
Глюк в том что по bpx GetWindowTextA из отладчика не выйти, сразу срабатывает бряк (никаких похабных действий над системой не производилось, приложения не запускались).
Вот ведь ____(вставить родственное слово), родил идею - надо посмотреть моих паразитов (желающих овладеть невинностью моего компа предостаточно,вот и приходится следить кто, чего и когда нарушал и сколько же мне это стоит).
А самое прикольное нереагируют бряки на те действия, на которые срабатывал первый пропатченый совтлиз (ну вроде впечатать текст АУ-ГДЕ МЫ).
Причем синтаксис некоторых команд нивкакую не правельный (ближний пример бряк GetWindowText, ShowWindow) какие тут ошибки я не пнял раньше работало именно так.

Krizotill :: Идею я родил правилно!! злополучный СТАТВИН, верой и правдой копивший статистику посягательств, оказался непрочь потрепаться с совтлизом, из-за этого каждое обращение программы (статвин) вываливало, как грыжу при напруге, дитя Нумеги тобишь есть совтлиз.
Совет таков, - гасите проги, что могут геморою вам навлечь.

MC707 :: ollydbg - хорошее исправление (c) Kerghan


WELL :: Krizotill
IMHO под ХР OllyDbg - лучше сайса и всего остального.
По крайней мере поставить бряк на GetWindowText просто.

KLAUS :: НЕ сравнивайте Sice и OLLyDbg это в сущности две разные вещи, и Sice трудно найти замену!!

XoraX :: с олли можно проделать _практически_ все, что можно в айсе...
плюс ко всему там плугины полезные еще есть...

MC707 :: KLAUS
Да никто не сравнивает. Просто нравится Айс - пользуйся им.
А у меня с Олли на сдампивание любого аспра уходит 21 секунда. Полная распаковка упх - секунд 40, PECompact - секунд 50. Это просто примеры, выводы делай сам.

WELL :: KLAUS
По крайней мере Olly не выпрыгнет где-нить в неожиданном месте (типа в игрушке)




[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:



[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:
ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
Я через OllyDbg способом из 26 нажатий shift+F9 нашел OEP... *Не зацикливая* программу а просто остановившись, снял Дамп... с помощю ImportREC восстановил таблицу... (почти все ImportREC восстановил сам + помог плагин для к нему для ASProtect v1.22) делаю затем Fix Dump....
Но после запуска дампа: «Инструкция по адресу 0x0048e889 обратилась к памяти по адр 0x00000004 память не может быть read» :(

Может это потому что Дамп снимал на незацикленной проге? Кстати а зачем ее вообще зацикливать? А если просто бряк на OEP ?
По поводу галочки «Add new section» в ImportREC? Нужна ли она? или надо RVA из Дампа брать?
P.S. хотя я и так и так пробовал...
MC707 :: Зацикливается только в айсе, чтоб прога дальше не убегала. Сайс же не параллельно с виндой работает.
[ChG]EliTe пишет:
цитата:
почти все ImportREC восстановил


а надо чтоб все.
Прочитай в доках краклаба статью -=ALEX=--а о распаковке этого аспра.

Если хочешь быстрее и не ручками (но не факт что правильнее) - возьми strripper 2.07f.

MC707 :: Да кстати не забудь еще и ОЕР правильно указать

XoraX :: еррор вылетает из-за спижженых байт, ты их не восстановил

MC707 :: XoraX
мде... че это я про них забыл?


[ChG]EliTe :: Что касаеться Импорта то я его ВЕСЬ восстанавливаю что не востановилось В самом начале то Плагин довостанавливает! Вообщем с этим все ОК! Как я понял.. :)

А вот что касаеться краденых байт, то действительно их не искал.. я думал они только в 1,3 версиях

[ChG]EliTe :: Люди добрые помогите со спертыми байтими разобраться.... точнее вернуть их на место... :)

Подскажите с чего начать, куда копать... Пользуюсь преимущественно Olly...

Помогите кто чем может...

Kerghan :: XoraX
MC707
вы че чуваки, пизженные байты кажись тока с 4ой бэтки начинаются , и уж во всяком случае в первой их ну никак нету

[ChG]EliTe
поробуй посмотреть в чем суть ошибки, отладчик он для того и сделан
может там чето типа mov eax,byte ptr [eax] а eax=0 или проверка целостности кода или еще хз че

MC707 :: XoraX
О, я ж грил

XoraX :: сорри, я честно гря не знал...

nice :: [ChG]EliTe
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит

dMNt :: я конечно извиняюсь , но где этот плагн там искать? я его не нашел

__cr__ :: http://kpteam.com/index.php?show=tools

Поисковики - это сила

[ChG]EliTe :: nice пишет:
цитата:
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит


1000 благодарностей! Офигеть! И правда все ОК!

Вот только как такое может быть ведь и без этого плагинка я все восстанавливал и ImportREC писал что мол все ОК! точнее «YES»!
Типа он восстановил но не правильно?




smallcracker как при помощи OllyDbg паставить бряк на проверк



smallcracker как при помощи OllyDbg паставить бряк на проверку с\н в проге на барсике См. в теме
Kerghan :: так же как и в другом отладчике

smallcracker :: с другими языками при помощи OLLY идёт всё нармально «bpx getdlgitem,bpx get windoxtexta- и понеслась«а здесь бейсиковская.DLL - и я схожу с ума в этих дебрях

Mario555 :: smallcracker
Попробуй поискать «интересные» string ref (olly знает unicode). Или поиск по команде CALL [EAX+000000A0].

Ps ссылку на прогу дай.




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю,...



XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю, защищенную последней армой, она не запускается..
пишет General Exctraction Error. Location ES1.
причем сайс неактивен и вообще ничего лишнего не запущено...

че за, кто знает?
UnKnOwN :: Аналогичная история, сам мечусь в непонятках,

если кто что знает опешите как и что и как сэтим бороться

Dred :: У меня тоже самое с Sothink SWF Decompiler -›

Прохожий :: В новой арме встроен высокоинтелектуальный детектор хакеров.

__cr__ :: Может они заюзали прием, о котором писал Bad_guy?
Т.е. поиск ярлыков и т.д.

MozgC [TSRh] :: Это защита от отладчика в версии 3.60. Если вкратце то обходится так:
bpx openservicea
bpm -1 dr0

Запускаете армадильную прогу и прерываетесь в OpenServiceA, F12 и ложите в eax 0, чтобы jz выполнился (сервис NTIce якобы не найден), потом будет сравнение eax с 424, прыжок должен выполниться. Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5. Прога запущена.

PS. Еще надо IceExt в реестре в двух местах переименовать во что-нибудь другое.
PPS. Странно что у вас эта ошибка идет первой. Обычно арма сначала пишет что найден отладчик и только после обхода OpenServiceA пишет ошибку ES1.

infern0 :: мозг правильно написал. только лучше всего взять iceext 0.60 и при установке указать дроугое имя. superdriver подойдет :)

MozgC [TSRh] :: infern0
Выложи плиз куданить версию 0.60, а то нигде найти не могу =(

AnteC :: 0.60 http://www.wasm.ru/tools/10/IceExt.zip

Mario555 :: У меня почему-то некоторые армадильные проги выдают сообшение о найденом отладчике даже когда сайс выключен...
Если в таких прогах поставить бряки (в Olly) на IsDebuggerPresent и OpenServiceA, то сначала сработает IsDebuggerPresent, потом OpenServiceA, затем опять IsDebuggerPresent и после последнего по-любому вылетает эта мерзкая месага.
Причем версии армы на этих прогах не последнии (это если верить Peid). Что там может проверять арма ?

Choba :: Если не трудно скиньте на choba@ua.fm IceExt 0.60

Choba :: уже сам нашел на http://stenri.pisem.net/

captain cobalt :: MozgC [TSRh] пишет:
цитата:
Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5.


Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...

infern0 :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...


херня все это. никаких последствий кроме нормального дампа в итоге не будет :) арма в принципе тупая до безобразия...

XoraX :: infern0 пишет:
цитата:
арма в принципе тупая до безобразия...


да, если разобраться в ней хорошо... напиши чтоли туториал хороший

MozgC [TSRh] :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:


Ну тебе лучше знать =)

infern0 :: XoraX пишет:
цитата:
напиши чтоли туториал хороший


на тему ?

GL#0M :: infern0

Распаковка армадиллы от А до Я. =)




x0f4 Помогите сломать прогу! Есть запакованный sfx архив, защищ



x0f4 Помогите сломать прогу! Есть запакованный sfx архив, защищённый паролем. Чем можно сломать, или где найти пароль в этом файле с помощью прог W32Dasm, DeDe? Либо посоветуйте программу какую-нибудь. SoftICE упорно вешает XP при перезагрузке.
Гость :: x0f4 пишет:
цитата:
SoftICE упорно вешает XP при перезагрузке


Какая верия сайса? Установил патч под ХР?

Gloomy :: x0f4
Только подбор пароля, никакой отладчик тебя не спасет.

Char :: Gloomy пишет:
цитата:
Только подбор пароля, никакой отладчик тебя не спасет.


А почему это невозможно - в принципе? Разве там не идет сравнение строк etc.?
Хотя есть ведь AZPR, ARPA ARchive passwords recovery, которые брутфорсят (включай да ложись спать, если просто надо пароль). Но ведь действительно, как с такими прогами ваще можно? Неужели только BrootForce???

Gloomy :: Char
›› Разве там не идет сравнение строк etc.?
Если шифрование сделано грамотно, то не идет - архив расшифровывается введенным паролем. «Криптостойкость зашифрованной системы, в которой присутствует пароль, равна нулю.» (с) почти точная цитата из книги «Прикладная криптография»




RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее



RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее отрезано но UPX говорит, что не может запаковать - никто не знает почему
GL#0M :: RavenFH

Делай инлайн патч и не мучайся...
Вот тебе пример:
http://gl00m.fatal.ru/art/hp2002pr.html

RavenFH :: Патч то я сделал интересно обратно ее запаковать а не получается

-= ALEX =- :: RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...

Gloomy :: Или можно попробовать паковать UPXом с ключом »--force», часто помогает.

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


я прекрасно понял о чем речь, просто мне не нравится аспак.
Gloomy пишет:
цитата:
Или можно попробовать паковать UPXом с ключом »--force», часто помогает.


Gloomy спасибо прокатило, (я для себя делал, ну еще и интересно было)

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


Даи кстате про инлайн патч там вот такой интересный прыг на OEP, если смотреть в HIEW

push 00000000
ret
если инлайн то неизвестно с чем больше провозишься и помучаешься.


Gloomy :: RavenFH
›› интересный прыг на OEP
Совершенно нормальный для ASPack’а прыг - поставь на него бряк и запусти программу - я тоже когда первый раз ASPack начал ковырять сильно удивился когда у меня код прямо в отладчике изменился, просто волшебством тогда показалось

RavenFH :: Gloomy пишет:
цитата:
поставь на него бряк и запусти программу


Ты меня все никак не поймешь, чтобы инлайн на лету сделать нужно чтобы этот прыг был нормальный, прогу я уже сломал и
пропатчил, все нормально теперь хочу запаковать UPX-ом, кстате запаковал, она прглючивает, опять копаюсь

Gloomy :: RavenFH
Все равно не понимаю связь прыга и смысла делать распакованный ЕХЕшник - грамотно написанный ин-лайн патч пропатчивает программу именно тогда когда она полностью распакована (т.е. прыг нормальный). Попробуй DZA Patcher - создай им лоадер и посмотри что получится. Если все будет ОК тогда можно попробовать сделать патч. DZA Patcher сколько раз уж выручал от необходимости выкладывать распакованный ЕХЕшник

RideX :: RavenFH пишет:
цитата:
UPX-ом, кстате запаковал


RavenFH пишет:
цитата:
интересный прыг на OEP, если смотреть в HIEW
push 00000000
ret


Действительно, для UPX 1.2x выглядит необычно, что за версия UPX?

RavenFH :: RideX пишет:
цитата:
Действительно, для UPX 1.2x выглядит необычно,


Вы издеваетесь что ли, ну говорил же что все сломано - проблема запаковать UPX-ом и все! ( ну паковщик хочется, интересно, но почему не пакуется ), вообще если чесно, хочу сделать полный дистр оперы 7.23, и халявную регу, хорошая штучка - кто против? И выложу у себя на сайте. Альтернативы Опере не вижу в ближайшие пару лет., поэтому эту штуку стоит крякать. Выложить кряк не могу пока. Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool. Кто знает подскажите, а так не чего клаву террорезировать.

GL#0M :: RavenFH

Не, ну ты даёшь ваще...
Мы как лучьше говорим, а он ещё... блин... делай как хочешь.

GL#0M :: RavenFH пишет:
цитата:
инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Ну, а это твои проблемы... кому геморно, а кому не геморно да ещё и кул.

WELL :: RavenFH пишет:
цитата:
Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Инлайн как раз - cool. Вообще чем меньше байт изменено тем круче.

P.S. Кстати, если бы ты руками распаковывал (а ты видимо тулсой какой-нить) то тебе бы и про инлайн понятней было...

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.




Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




ilya распаковщик ASProtect 1.23 RC4-› Alexey Solodovnikov подскажите...



ilya распаковщик ASProtect 1.23 RC4-› Alexey Solodovnikov подскажите распаковщик для этой шняги
KLAUS :: А автоматического нет.
Только руками.....

ilya :: в статье cracklab всё както мудрено по этому поводу

Gloomy :: KLAUS
›› А автоматического нет.
Да ну, так уж и нету? А stripper 2.07f на что?

KLAUS :: Gloomy

Он распаковывает процентов 10%, из всех что я встречал...хотя может я просто такие встречал!

ilya :: а где скачать stripper 2.07f ???

AnteC :: на ftp.exetools.com
пасс на forum’е exetools.com

ilya :: чёто не могу найти

AnteC :: на тузле не можешь найти? или не можешь найти пасс?

ilya :: на тузле

AnteC :: incoming/AsprStripperXP/

ilya :: AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)

AnteC :: ?
у меня все пашет? (WinXp)

ilya :: у меня тоже XP(прога называется All My Movies-может кто нить ломал )

[ChG]EliTe :: Я че то в него не въехал... точнее старые то верси все Куль! А вот тот же 1.23 RC4 ....
Че то либо я недоковырял его либо....Одно из двух...

Gloomy :: KLAUS
›› Он распаковывает процентов 10%
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура

ilya
›› All My Movies-может кто нить ломал
Я хотел с ней поработать, но там оказалась настолько крутая защита что прога даже просто так, без всяких отладчиков не запускалась - показывала кучу ошибок и сдыхала

NoSFeRaTU :: Cкачать stripper 2.07f можно с официального сайта _http://www.is.svitonline.com/syd/

Гость :: KLAUS пишет:
цитата:
А автоматического нет.


Неправда!
Gloomy пишет:
цитата:
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура


Абсолютно согласен!
ilya пишет:
цитата:
AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)


Перед распаковкой проверь в списке процессов свою прогу(если что - руби ее на корню!!!). У меня на XP+SP1 старая и новая версия нормально пахали и пашут.

Гость :: KLAUS пишет:
цитата:
А автоматического нет.


Неправда!
Gloomy пишет:
цитата:
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура


Абсолютно согласен!
ilya пишет:
цитата:
AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)


Перед распаковкой проверь в списке процессов свою прогу(если что - руби ее на корню!!!). У меня на XP+SP1 старая и новая версия нормально пахали и пашут.

Kerghan :: ilya
AnteC
может вам лучше по мылу общаться

KLAUS
распаковывает он цевильно, хотя последнее время стало до фига прог с дополнительной проверкой целостности(или размера) и поэтому _некоторым_ может показаться что stripper криво распаковывает

MC707 :: Kerghan
Точно!
Еще может проверять наличие аспра (хотя ты это и имел ввиду)
а мне вчера прога попалась - стриппер ее размохратил - распакованная вылетает с GPF. Потрейсил, пару переходников подправил и все заработало.




PalR ACAD2004 и SoftIce. При запуске AutoCAD 2004 при загруженном SoftIce...



PalR ACAD2004 и SoftIce. При запуске AutoCAD 2004 при загруженном SoftIce пишет, что не найдена какая то dll. Если SI не загружен - усё нормально. Пробовал frogsice, IceGhost. У меня W98. Что присоветуете.
diezel :: Может Sice использует туже DLL что и ACAD, и делает ее не доступной.
Или в ACAD своя защита против Sice.

Styx :: Ты бы попробовал IceExt 0.6, но он вроде только под NT

PalR :: Кстати Олю Дебагову тоже клинит.

PalR :: diezel пишет:
цитата:
туже DLL что и ACAD, и делает ее не доступной


Скорее это как сообщение что обнаружен отладчик. А dll чисто акадовская.

PalR :: Styx пишет:
цитата:
попробовал IceExt 0.6


Тоже не катит. Я в печали :(

[ChG]EliTe :: А Оленьку с плагином?

PalR :: Какой плагин?
Мне кажется надо искать проверку.




Bishop SoftIce Мля помогите!!!



Bishop SoftIce Мля помогите!!!
Проинсталил SI для 2000 NT
Теперь TheBat не хочет запускаться говорит(Обнаружен отладчик Удалите t)
Что делать шеф наезжает
MC707 :: Юзай IceExt 0.60

Bishop :: А где его скачать???
Мля срочно нужно

dMNt :: wasm.ru

UnKnOwN :: http://www.smartline.ru/software/iceext061.zip

Держи и да будет тебе счастье

PalR :: А мне не стало.




AlexZ CRaCker О на????ках (паразиты на компе) Кто-нибудь встречал такое: Файл



AlexZ CRaCker О на????ках (паразиты на компе) Кто-нибудь встречал такое: Файл Ruvok3 под внутр. названием «project12», прописывает себя в реестре на автозапуск, и непонятно откуда появляется (убил всё к нему причитающиеся), а он опять хоп - и мне на тачку.
Причем, еще в корне «C:\» батва какая-то... Файло ~36Kb, иконка - инсталятора, АВП не видит. Я заметил, что он открывает(вти ~ ) до.., т.е. много копий iexplorer.
Наврн, рекламный агент какой-то.
KLAUS :: AlexZ CRaCker

Или трой..или вирь!
Смотря что у тебя зи WIN стоит!
1)Если 98, то может быть vxd, или *.sys файл при загрузке загружает его и он всё прописывает.
Тебе нужно запущенные процессы поглядеть.
2) Возможно он лежит под именем explorer , а реальный explorer куданить переместит, сначало запускается это файло и уж оно потом запускает реальный explorer ( размеры сравни)
3)Возможно эта прога добавила свой код в explorer и запускается вместе с ним.
Проверяй, исправляй или винду с нуля перестанавливай!

RavenFH :: Отправь эту штуку Касперскому newvirus@kaspersky.com, надеюсь мне админ простит ссылку на этот емейл.

KLAUS :: Наврятли поможет, что он отошлёт это файло на 36кб, а самой-то проги которая это делает нет. Просто сама «зараза» извлекает из себя это файло..и незнаю что она там делает конечно, но чтоб обезвредить нужно найти сам исполняемый файл.

AnteC :: сначала убей процесс :) а потом убивай ссылки в реестре
ЗЫ кстати некоторые вири запускаю 2 процесса (если 1 киляют то второй запускает первый снова и они соответственно проверяют есть ли ссылки в реестре на автозапуск :) если нет то создают :)

AlexZ CRaCker :: AnteC пишет:
цитата:
сначала убей процесс :) а потом убивай ссылки в реестре


Ясный пень так и делал. Совсем за ПомИДОРА(всем понятно?) меня держишь?... Это в крэке да в асме я совсем новайс...

KLAUS :: У тебя всё происходит ПРИ самой загрузке системы...вот отсюда и нужно исходить!

AlexZ CRaCker :: KLAUS пишет:
цитата:
У тебя всё происходит ПРИ самой загрузке системы...вот отсюда и нужно исходить!


НЕТ! не каждый же ребут оно там появляется? ВО ВСЕХ АВТОЗАГРУЗ.КЛЮЧАХ ссылок на что-нить подобное нету.
AlexZ CRaCker пишет:
цитата:
Я заметил, что он открывает(вти ~ ) до.., т.е. много копий iexplorer.


вместо вти~ было: синоним втихоря, т.е. «в_т_и_ ~ ».

AlexZ CRaCker :: Не, ну он че, такого слова не знает : Вти ~ ?

KLAUS :: AlexZ CRaCker пишет:
цитата:
НЕТ! не каждый же ребут оно там появляется? ВО ВСЕХ АВТОЗАГРУЗ.КЛЮЧАХ ссылок на что-нить подобное нету


А и не будет, если всё происходит при помощи *.vxd, *.dll, *.sys.... им ничего и не нужно прописывать, они при загрузке всё делают!

AlexZ CRaCker :: Напишу наоборот!
!!! юухитВ

Да!

AnteC :: а просто поиск по реестру на имя процесса не делал?

AnteC :: Сори естественно я тебя за помидора не считаю :)
ЗЫ сори за offtopic

AlexZ CRaCker :: AnteC пишет:
цитата:
а просто поиск по реестру на имя процесса не делал?


Мне тут объяснили, что может это дрянь прописана в *.sys иль *.vdx иль в *.dll, короче дофига способов впарить ee незаметно.

AnteC :: просто у меня один вирь как-то по левому прописался в автозагрузке что jv16PowerTools его не видела я нашел с помощью поиска по реестру имени процесса и убил...

MozgC [TSRh] :: RavenFH пишет:
цитата:
Отправь эту штуку Касперскому newvirus@kaspersky.com, надеюсь мне админ простит ссылку на этот емейл.


Я то прощу, а вот спамеры - нет =)

AlexZ CRaCker :: А вот такая заноза: комп при запуске проводника, иль удобнейшей вещи - 2xExplorer, лезет на флоп(вобще это раздрожает !!!), как отучить?
Кто знает, что такое «New.net Startup», «MDM7», «nwiz»? Они в реестре на автозапуск прописаны, причём у многих.

P.s. ВСЕ, кого напрягают глючки ОС, непонятные резидентные проги и.т.п. ПИШИТЕ здесь!

[ChG]EliTe :: Мня ничего не напроягает ! т.к. я знаю КАЖДЫЙ процесс что у меня запущен знаю что он делает и для чего он и кем запущен!

WELL :: AlexZ CRaCker пишет:
цитата:
Кто знает, что такое «New.net Startup», «MDM7», «nwiz»? Они в реестре на автозапуск прописаны, причём у многих


1) MDM7 - отладчик от IE
2) nwiz - грубо говоря, часть дров на твою видюху на чипе nVidia
3) New.net Startup - вот это интересно Я бы не сказал, что у многих встречается.

WELL :: AlexZ CRaCker
Почитай статьи отсюда http://www.danil.com.ua/stat.htm
Узнаешь еще пару способов запуска вирей...

AlexZ CRaCker :: WELL
Спасибо, за разьяснение! Буду знать.
*******************
[ChG]EliTe пишет:
цитата:
Мня ничего не напроягает ! т.к. я знаю КАЖДЫЙ процесс что у меня запущен знаю что он делает и для чего он и кем запущен!


Молодец, да и только! (Я однажды почистил реестр - так у меня и-нет перестал работать , теперь спрашиваю, что зачем, если сам не знаю)




SavagE Кто-нибудь ковырял StarForce 3 ?? Я вообще офигеваю на этот СтарФорс -...



SavagE Кто-нибудь ковырял StarForce 3 ?? Я вообще офигеваю на этот СтарФорс - ни SI loader c E0000020 на секциях ехе, ни Break&Enter не дают никакого результата,
к тому-же после некоторых экспериментов выяснилось что у ехе вообще прописан левый энтрипоинт и грузится он не с него
т.к если в энтрипоинте прописать любую фигню, то прога продолжает прекрасно запускаться
Как такое происходит ? Ведь PE загрузчик ОСи берет энтрипоинт из РЕ заголовка ?
з.ы : Кто-нибудь знает как заныкать сайс от этой сволочи(IceExt,IceDump нервно курят в сторонке )
и как она(эта сволочь) шатдаунит комп при попытке запустить сайс при уже запущенной игре ?
з.з.ы : дайте линки на туториалы по лому этой пакости(я что-то ничего толкового не нашел, хотя отученные от диска екзешники уже валяются на варез серверах)
MoonShiner :: Эээ... прежде чем запустить прогу, система подгружает либы, содержащиеся в импорте. Фича в том, что одна из этих либ и запускает файлик с левой точки входа:)

SavagE :: Хоть кто-то прояснил ситуацию, а то я уже полез перечитывать доки по РЕ формату
2 MoonShiner Ну а насчет какой-нить инфы по Старфорсу -нигде не встречал ?

-= ALEX =- :: SavagE пишет:
цитата:
а то я уже полез перечитывать доки по РЕ формату


дак читай, пригодиться....

Dragon :: Точка входа там правильная а не левая. protect.dll расшифровавает exe-файл, запускает его система. Перед самым запуском вызывается функция SetErrorMode. Надо её ловить перехватом и дампить во время вызова. Для импорта надо создавать переходники, в общем про это в статье написано, а дальше не понял что делать и бросил всё это

KLAUS :: SavagE

Вместо Айса, можешь OllyDBg попробывать, его некоторые за отладчик не считают!

бара :: SavagE
мой тебе совет - забей....

это как Xtreme protector, только попроще...

Реально взломали его конечно - видел реально сам. Но инфы нигде не выкладывают пока. Видел кейгенераторы для спи*женных дисков и всё работало.

Но мне это пока не надо - проще копировать, учитывая объём геморроя...

SavagE :: Dragon пишет:
цитата:
в общем про это в статье написано


ГДЕ ??? В КАКОЙ ??? ДАЙ ЛИНК !
задолбался уже линк просить

-=atol=- :: Вот про эти atol.newmail.ru/sf.zip

Raw :: ›Вот про эти atol.newmail.ru/sf.zip
ну и причем тут SF3 :?

Dragon :: При том, попробуй начни распаковывать и узнаешь. Там отличий почти и нет, только защита данных во внешних файлах добавилась.




PalR Как спрятать отладчик? Help. Это в продолжении темы про AutoCAD 2004,



PalR Как спрятать отладчик? Help. Это в продолжении темы про AutoCAD 2004, который отказывается работать при загруженном отладчике. Запускаешь, а в ответ тишина (WinXP), а в 98 пишет что не найдена какая то dll. Без отладчика всё нормально и в той и в той системе.
Под 98 я забил, т.к. там спрятать там тяжело (все так говорят).
Под XP пробовал IceExt 061(свежак), не помогает. Может я что не так делаю. Как делаю я :
1) Загружаю систему.(SoftIce не загружен).
2) Запускаю IceExt.bat. (Грузится SoftIce и IceExt).
3) Ctrl-D и набираю »!PROTECT»
4) Появляется надпись в SI
1.чего то там ........on
2. .........................on
3. .........................on
4.UnhandledExceptionFilter protection is OFF.(???????)

Как отловить где проверка на отладчик? Я в процесс acad.exe даже войти не могу. По addr такого процесса НЕТ.

Люди добрые помогите кто чем может. Или никто серьезными прогами не занимается.(Или занимается, но не теми)
Raw :: ›Как отловить где проверка на отладчик?
чиста по сикрету дам гениальный совет - найди ’плохой’ call путем долгого и нудного трейсинься прямо с EP :]
›4.UnhandledExceptionFilter protection is OFF.(???????)
читай доки, они рулез:

UnhandledExceptionFilter anti-detection for DS 3.1 is disabled in
this IceExt release (just try to look when in SoftICE if there is
an INT 3 instruction at the begining of the KERNEL32!UnhandledExceptionFilter)

›Я в процесс acad.exe даже войти не могу. По addr такого процесса НЕТ
хм.. прикольно... линк можно?

PalR :: Raw пишет:
цитата:
хм.. прикольно... линк можно?


Установи автокад и всё увидишь. (300 метров, какой линк ?)

PalR :: Raw пишет:
цитата:
disabled in
this IceExt release


Не качайте эту версию.
Вопрос снят.




Bishop SI N



Bishop SI NT\2000 Че то нифига не поиму
Действую по инструкций.Гружу ломаемую прогу (crackme) ч/з Symbol Loader
Говорит что «An error occured during symbol translation/load» Это я понял что нет отлаживаемой инфы. Но ведь опус написан именно как ломать этот crackme
Я начинающий кракер(на общественных началах можно сказать)

Kerghan :: я от таких вопросов повешусь скоро
1. смотри архив и юзай поиск
2. альтернативные отладчики тоже между прочем никто не запрещал

ilya :: Bishop пишет:
цитата:
Гружу ломаемую прогу (crackme) ч/з Symbol Loader


зачем это нужно ??? запускаешь свой crackme вводишь необходимые регистрационные данные, далее (на принять не жмешь или чё у тебя там) жмешь Ctrl+D ставишь бряки в softice (bpx getdlgitem,bpx getwindowtexta,bpx getwindowtext,bpx getdlgitemtexta,bpx messagebox,bpx messageboxa и.т.д) долбишь по enter, далее жмёшь F5 (для выхода из softice) потом в crackme жмёшь (принять или чё у тебя там) и ты должен оказать в softice далее следуй по своей инструкции (долби по F10 F12 и.т.д и.т.п)




V Параметры DLL Подскажите, как можно узнать входные и возвращаемые типы



V Параметры DLL Подскажите, как можно узнать входные и возвращаемые типы параметров DLL.
Понятно, что прямых способов нет, но ведь наверняка можно как-то глядя на код под отладчиков понять что передается и что возвращается... Помогите советом
MoonShiner :: может быть функи, экспортируемой из ДЛЛ? найди в коде, где она вызывается и смотри, что суется в стек. Также (редко) параметры могут передаваться в регистрах.




MC707 SVKP 1.3x Подскажите, как расковырять последнюю версию, которая уже с SB



MC707 SVKP 1.3x Подскажите, как расковырять последнюю версию, которая уже с SB идет. Заколебался. Прогу TweakXp последнюю копал - ужас. Определение отладчиков легко обходится, а далее На ОЕР попасть не могу, т.к. видимо антиотладка продолжается и при выходе из кода распаковщика прога прыгает на 400000. Сами понимаете, что тут вылезает GPF.
Mario555 :: Я распаковывал несколько прог с SVKP (в том числе и со Stolen bytes ), и все они были очень похожи (в плане нахождения OEP, импорта и т.д.), а вот TweakXp это действительно может потому, что на VB, а может там какая-нить Special version of SVK Protector (о ней на офф паге SVKP написано).




Crasher42 AsPack Здрасти, нужно было взломать одну прогу, выяснил, что та



Crasher42 AsPack Здрасти, нужно было взломать одну прогу, выяснил, что та запакована AsPackом
Нашёл софт, который распоковывает AsPack, распокавал, но проги типа ресурсвиевер или ресторатор говорят по прежнему, то что бинарник возможно запакован, Прошёлся опять программой определения паковщика, всё так же пишет, что запакован aspAckom.!!
Help
mailto:crasher42@kazaninfo.ru
Gloomy :: Crasher42
Было бы неплохо кроме мыла еще и ссылку на программу дать и ее размер указать

WELL :: Crasher42
Попробуй распаковать другими утилитами, у меня такое бывало.
А лучше руками распакуй.

KLAUS :: Crasher42
При распаковке утилитой, она не распаковала файл ресурсов , вот поэтому Restorator говорит, что они не доступны.

WELL :: KLAUS пишет:
цитата:
При распаковке утилитой, она не распаковала файл ресурсов


Может секцию ресурсов, а не файл?

-= ALEX =- :: Crasher42 зачем тебе, когда ломаешь прогу, ресурсы ??? ресурсы тут не причем, запускается - ну и хорошо, дальше трави дизасм, или грузи в отладчик и ковыряй...

WELL :: -= ALEX =-
Может он хочет в окошке About копирайт поменять

-= ALEX =- :: WELL мэйби

Gloomy :: WELL
Его и в НЕХ-редакторе можно поменять - главное в длину уложиться.

WELL :: Gloomy
Ну может картинку

KLAUS :: WELL

Опечатался, опечатался....

Да фиг знает, в ресурсах можно много полезного найти( всё конечно зависит от проги, и от чела, кот. её писал), как-то я даже там нашёл рег. ключи!

WELL :: KLAUS
Бывают проги, где ресурсы (названия кнопок, лэйблов и т.д.) вообще пустые, а прога уже при запуске заполняет их своими значениями.

KLAUS :: WELL

Бывает, всё бывает....это уже всё зависит от воображения и навыков программера!




Cyclop новичек У кого есть ссылки для начинающих крэков то плз дайте



Cyclop новичек У кого есть ссылки для начинающих крэков то плз дайте
или какую другую инфу у каво есть
и вообще с чего надо начинать учить крэк
KLAUS :: Нужно начать с изучения ASSEMBLERA.
Читай FAQ.
А статейки на этот сайте , в разделе СТАТЬИ
www.wasm.ru

odIsZaPc :: Cyclop
http://mozgc.com/faqversion10.htm

Kerghan :: KLAUS
послать его сразу же на васм не очень хорошая идея
Cyclop
начни со статей для новичков на краклабе, я их в свое время _дохрена_ прочитал ну и кончно же ломать, ломать и ломать...
ЗЫ в качестве отладчика советую взять OllyDbg, чтобы потом не заработать геморой на голову

AlexZ CRaCker :: Cyclop
И хорошо бы ищё какой-нить язык знать/понимать. Ну, или просто чтоб был опыт кодинга на том-же Бэйсике(многие с него начинали), т.е. основы программирования. Если вобще в языках плохо, начни с QBasic.

[RU].Ban0K! :: AlexZ CRaCker пишет:
цитата:
QBasic.


Pascal! На бейсик тратить время нельзя!

Гость :: [RU].Ban0K! пишет:
цитата:
Pascal!


Я начинал с него

CReg [TSRh] :: [RU].Ban0K! пишет:
цитата:
AlexZ CRaCker пишет:
цитата:
QBasic.

Pascal! На бейсик тратить время нельзя!


Только Си и Асм На паскаль тратить время нельзя!

XoraX :: CReg [TSRh]
а имхо си сложновато учить абсолютному новичку... нужна хотя бы начальная база. например паскаль

AlexZ CRaCker :: Как чела запутали! «Чё учить» - так я задавал вопрос на этом форуме, ВОТ ЭТО ТАМ ВОЙНА развернулась. В конце я понял, что язык надо выбрать самому , и там уже думать/смотреть на чё переходить. Cyclop , взялся за один язык - не бросай через 3(допустим) дня, ато все языки переберёшь за пару недель .

mnalex :: AlexZ CRaCker
ИМХО начинай с любого, а когда поймешь суть - переходи на АСМ. А суть в том, что основа любого языка - алгоритм - и отличие только в синтаксисе! Так что дерзай

WELL :: mnalex пишет:
цитата:
А суть в том, что основа любого языка - алгоритм - и отличие только в синтаксисе!


Это точно. Логика она одна для всех.

KLAUS :: НА форумах чаще тусуйся, спрашивай, что не понятно...народ добрый, объяснят.
Ну и главное это конечно же стремление самому всё понять, искать и разбираться!

dMNt :: итак, специально «для начинающих крэков» или «с чего надо начинать учить крэк»
крэк надо учить небольшими дозами, чтоб сразу не сторчацца. Со временем дозу можно осторожно увеличивать.

и может быть вы познаете крэк.... если раньше от передоза не загнетесь

MoonShiner :: KLAUS пишет:
цитата:
народ добрый, объяснят


Или добро пошлет куда нить как со мной бывало:)

Gloomy :: В последнее время в некоторых школах и универах начали изучать не Паскаль и Васик, а Питон - ИМХО, очень хорошее решение. Если бы был компилятор Питона обязательно колбасился бы на нем - очень простой, но в то же время мощный язык. Подробности тут: http://python.org

KLAUS пишет:
цитата:
народ добрый, объяснят.


Не всегда, я вот например дюже злобный, чуть что сразу посылаю лесом до городу Парижу

AlexZ CRaCker пишет:
цитата:
ВОТ ЭТО ТАМ ВОЙНА развернулась


-------------
* когда начинающий программист робко, опасаясь быть проигнорированным, замодерированным или посланным, забрасывает вопрос в какую-нибудь конференцию. Последующие события, как правило, приводят его в шок, надолго отбивая охоту приступать к прочтению второй главы. Со всех концов бескрайней саванны мгновенно слетаются и сбегаются бесчисленные гуру, возникает потасовка, из облака пыли доносятся рык, ржание, визги и предсмертные хрипы, разлетаются перья и клоки шерсти. Великие считают и пересчитывают строчки в исходниках, потом буквочки в них же, а потом и байтики в екзешниках. Вопли стихают только после того, когда кто-нибудь предлагает подсчитывать биты, установленные в 1, и все вдруг понимают, почему двери в психушках открываются исключительно вовнутрь. Вывалив языки и тяжко дыша, братия расползается по своим кельям зализывать раны и готовиться к грядущим битвам. Посередине вытоптанной поляны, одинокий, жалкий и забытый, остывает трупик несчастного новичка
-----------


AlexZ CRaCker :: Gloomy пишет:
цитата:
*


Бред. (Ко всему остальному не относится.)
mnalex
Да, АСМ - это крутой язык, жаль что тяжолый/долгий.
dMNt пишет:
цитата:
если раньше от передоза не загнетесь


Да, это точно. Ато, Cyclop , спать плохо будешь... буиш шаровару ломать... (ночью NOP’ами от нагов неотобьешся , а регистров в голове - тьма... а ты всё это бряками поливаешь ) - тоже бред. А ещё время надо дофига.

P.S. Учи любой язык(как мне это все и хотели сказать на этом форуме), потом перейдеш, если надо будет.

А народ, в целом, хороший. Видишь сколько тебе всего насоветовали... Во всяком случае, пищу для размышлений дали.

KLAUS :: Gloomy
MoonShiner

Ну значит я обишся : народ «ДОБРЫЙ», объяснят




MEW Нужна помощь по Novex Добрый день.



MEW Нужна помощь по Novex Добрый день.
Извините что отвлекаю Вас от серьёзных дел, но я уже в отчаянии и обратиться за помощью не к кому (все к кому обращялся по мылу оказались «крутыми хацкерами» и очень просили, с использованием нецензурной лексики, их по мелочам не беспокоить).
Вкраце моя проблема: я уже 3 месяца не могу поломать программу защищеную Gurdant-ом, сам ключ у меня имеется и программа запускается без проблем, но вся трудность заключается в отсутствии инфы по этому ключу (всё что смог добыть в Inet-e это руководство пользователя с официального сайта с описанием всех API функций). У меня есть опыт ломания Sentinel (в основном основанный на статьях Quantum-a на wasm.ru), но к Novex не знаю как подойти и с чего начать.
Если не трудно, опишите шаги по обходу Gurdant (можете не очень подробно, чтобы мне знать в каком направлении двигаться). В частности я хочу получить ответы на следующие вопросы:
Первое что надо сделать, это, как я понял, распаковать защищённый файл, тут никаких хитростей нет? Она похожа на распаковку, ну скажем, например, UPX (только дать novex32.dll расшифровать файл и поймать ОЕР)? Ловушек и заморочек типа ASProtect-а не наставили, если да то как проще их обойти?
Как найти в распакованном файле API Gurdant? Для Sentinel-a я применяю сигнатуры для IDA скаченные с wasm.ru, но для Novex-a я таких сигнатур не встречал :(. А может быть здесь вообще подругому надо?

infern0 :: давай ссылку на программу, посмотрим.

MC707 :: MEW
Не знаю, поможет тебе или нет, но есть скрипты для IDA по распознаванию его API:

IDC API Finders v0 [IDA Scripts]
This scripts indended for finding and
naming standard API function for some
LPT plugs, following dongle types are
supported:

• Sentinel SuperPro (PE/Static Lib)
• Guardant Stealth (PE/Static Lib)

MoonShiner :: MC707, поделись плз на мыло m_o_o_n_s_h_i_n_e_r@freemail.ru (без »_»:)

MC707 :: MoonShiner
я не жадный... ушло

MoonShiner :: MC707, огромный THX, все получил!

MEW :: MC707 и мне пожайлуста на pronikol@yandex.ru. А ты сам пробовал их в деле? У меня есть куча сигнатур FLIRT для IDA под ключа Sentinel, но определяет функции только одна, та которая лежит на wasm-e, остальное отстой. Для Inferno - прога из разряда САПР и продаётся совместно с КОМПАС-ом (в форуме проскакивала информация по 6-ой версии). У меня всё находится на компакте и занимает порядка 400 мБ. Под КОМПАС есть TimeHASP до 31 марта, тоже хочется поломать, но главное вторая, она мне сейчас нужнее (от неё есть нормальный боевой ключ, но только один :( ). Если хочешь попробывать то мыльни мне, я пришлю тебе записанный CD.

MC707 :: Короче вот, собрал все, что есть: http://www.mc707.nm.ru/dongles.rar
Содержимое:
DongleSpy BETA 1 ‹prog›
DongleSpy v1.0 ‹prog›
Hardlock ‹sig for IDA›
Hasp ‹sig for IDA›
Keylok ‹sigs for IDA›
SafeSoft SSI Dongle Emulator ‹prog›
Sentinel (Killer_3k) ‹sig for IDA›
Sentinel SuperPro ‹sig for IDA›
SenZap ‹prog›
Virtual DOG v1.04 ‹prog›
Wibu ‹sig for IDA›
WKPE Source Code ‹bc++›
WKPE v1.01, v1.2, v1.5, v1.8, v1.81 ‹progs›
Guardant Stealth ‹scripts for IDA›

Размер 512К

MC707 :: Сам с ними не разбирался, времени нет совсем. Может как-нибудь руки дойдут.....

MEW :: Спасибо MC707 побежал разбираться,только меня смущают две экспортируемые функции в exe-щнике со странными именами (причём всего две и они очень короткие по 120 байт): FuckHackers и HackersFuck, это что, они так типо людей пугают или этого стоит опасаться?

MEW :: Опять запарился. Снял дамп с «конверта», пытаюсь исправить таблицу импорта, но в списке отсутствует NOVEX32.DLL :(. Чёрт с ней, предположим она нам больше не нужна (всё равно всё уже распаковано). Остальные функции распознаются отлично, при трассировке в отладчике вроде никаких отличий нет, дохожу до функции CreateWindow и Win-да ругается на ошибку программы. API Guardant-a определились в одной библиотеке, но только две нормально, остальные IDA говорит что они находятся в районе мусора. Я подозревал, что вся прога будет полиморфной, но не до такой же степени. Для справки дамп снимал PETool-ом (в чистом дампе присутствует таблица импорта, только там указана одна библиотека NOVEX32.dll), таблицу импорта востанавливал ImpREC-ом последним, никаких неразобранных функций не было. Давайте помогайте знатоки распаковки, и те кто утверждает что голимая защита у NOVEX-a.

MoonShiner :: Конверт у всех донглов, что я видел, голимый:) (при наличии ключа:). С novex32, конечно, странно, но может оказаться так, что кроме конверта никакой защиты нет, потому и импорт строится без нее. Либо же юзается какая нить другая либа. Ыщи короче...

infern0 :: потому что либа статически прилинкована. А т.к. там jmp-карусель то и кажется что функции в мусоре.

MoonShiner :: Да, кстати, о прилинкованности забыл, каюсь.

MEW :: Значит не всё так просто, убрал конверт ивсё, не тут то всё и было. Тогда другой вопрос: ставлю в ICE bpio 378, трассирую распакованную прогу до функции CreateWindow (ну типа создание окна, до неё нормально загружались ресурсы), жму на неё F10 и срабатывает брэкпоинт :( - нафига стандартной API обращатся к параллелельному порту? Как они увязали создание окна и проверку ключа? Вылазию из драйвера через F8 попадаю в полиморнфную библиотеку, где у меня определились API Guardant, а далее устаю клацать F8 сразу F11 и на тебе - «Программа обратилась к ячейки памяти и ......».

›oSEN :: Cрадостью конвертик поковырял бы - можно взглянуть на программу одним глазком? =)

для связи - osen(at)vot.ru

MoonShiner :: Ребят, кто нарыл какую нить инфу по любому Novex-у, скажите плз:) А то тоже натолкнулся на него, а хочется сделать все качественным эмулем, а не кряком.

›oSEN :: Все что вам надо:

1) руководство по ключам с сайта новекса
›› http://novex.ru/data/manual.zip (2.3 Мб)

2) статья Hex’а «Расчищаем Scrambled код Guardant Api»
›› http://xtin.km.ru/view.shtml?id=119

3) Ida, SoftIce, Hiew

MEW :: В Inete только эта инфа и ходит. С её помощью можно только шаравары ломать, они себя не утруждают защитой, ставят автоматом конверт и всё. Такие программы ломать легко и утверждать, что голимаая защита у Guardant-a. Фирмы посерьёзнее глобально подходят к этому вопросу, я уже столько времени парюсь с ней, а не на шаг не продвинулся к цели. В мануале всё поверхностно, API запутан так, что даже IDA с ним разобраться не может. Жалко, что в России нет своего CyberHeg-а, не делится народ своими знаниями (даже если есть, то из разряда евреев - пытаются денежку слупить, даже за консультацию), увы - новые времена, новые нравы.

infern0 :: MEW пишет:
цитата:
API запутан так, что даже IDA с ним разобраться не может


зачем тебе внутренности АПИ ? есть всего 2 полезные функции - CodeInit для Encode/Decode и Transform. Только они завязаны на ключ. Находишь их вызовы смотришь чтои как. Если там фиксированный набор значений и есть доступ к ключу - снимаешь дамп и пишешь эмуль по табличке. Если ключа нет то надо смотреть и есть большая вероятность обломаться. Тебе уже давно дали всю необходимую информацию. Патчей к hands.sys и brain.sys тут не найдешь...

›oSEN :: MEV

Попробуй найти Nsk_SetMode (зри в мануал, код есть в статье Hex’а), отсортировать функции по адресам и взглянуть на далее идущие функции - ты будешь приятно удивлен.. =))

Так что ты ломаешь?

MEW :: Попробую, тем более эту функцию IDA распознаёт без проблем. Кроме конверта прога каждые 3 минуты обращается к ключу (комп на пару секунд наглухо виснет), так что снятие конверта не помогает, мне кажется это тупиковый путь. Надо эмулировать обращения к ключу, а для этого расчитиь dll-ку, к которой прилинкована вся эта байда. Программа называется ГеММа-3D «Cистема геометрического моделирования и программирования обработки для станков с ЧПУ для персональных компьютеров», информацию можешь посмотреть на www.gemma.ru. Дистриб занимает где-то 18 метров, но в Inete я его не встречал.

MEW :: Пардон oSEN, только что залез на их офсайт, они открыли страничку технической поддержки и там выложили все свои прогаммные продукты. У меня версия 7.1, а там уже есть 8.0 и 9 beta - их размер 24 и 18 метров. Попробуй, если не слабо скачать, на всякий случай ссылка на 8 версию http://www.gemma.ru/materials/gemm80.rar.

MoonShiner :: MEW пишет:
цитата:
Кроме конверта прога каждые 3 минуты обращается к ключу (комп на пару секунд наглухо виснет)


. Есть такая ботва... У меня тож ща в гвардантовской. Просто тормозную функцию не пускай на оригинальный обработчик, а эмуль возвращаемые данные.

MEW :: MoonShiner мы с тобой на одном языке общаемся, я это и хочу сделать - подсмотреть, что возвращяет каждая функция юзая ключ и исправить Guardant API так чтобы они мне сами возвращали нужные значения - долой драйвер, нафик, с коипа. Спасибо ›oSen посмотрел Nsk_SetMode, там далее идёт nskCheck - ну эту функцию без труда исправить, xor-иш аккумулятор и всё ОК, комп перестаёт каждые 3 минуты виснуть, типа ключ всё ещё на месте. Ну с Encode/Decode и Transform пока не разобрался, жду предложений, надеюсь на тебя MoonShiner, мы с тобой сейчас в одинаковом положении.

MoonShiner :: MEW пишет:
цитата:
мы с тобой сейчас в одинаковом положении


Я бы так не сказал:) У меня то прога вызывает просто nskCheck, а даже nskRead вызывается тока при вызове менюшки «инфа о ключе»... Так что у меня все просто:) Программеры - уроды.
1) Либы у тебя прилинкованы?
2) Если есть ключ, то скачай мануал от гварданта, чтобы было легче детектить функции.
3) Возможно, понадобится патч самой проги, потому что некоторые параметры в некоторых функциях генерятся случайно.

MEW :: Первое что я сделал, так это скачал мануал и долго изучал его. Я не думаю что параметры генерятся случайно, ключ-то сам по себе кусок памяти, сколько не пишут разработчики донглов о крутизне Query программисты всё равно идут по пути наименьшего сопротивления (мой личный опыт по Rainbow-у) - максиум, что встречал 4 алгоритма и в каждый по 2 набора данных, хотя чёрт его знает что там наши разработчики напридумывали. Про линковость функций что-то не понятно, обычно присоединение идёт к концу файла, у меня же «псевдо» функции находятся примерно в начале dll-ки =).

MoonShiner :: Сделай так. Грузани символьную инфу в символ лоадере айсовском из nvskey32.dll или че то так. В айсе поставь бряку на nskCheck к примеру. И посмотри, выскочит ли айс при загрузке проги. Если выскочи, значит либы не прилинкованы.

infern0 :: MoonShiner пишет:
цитата:
Сделай так. Грузани символьную инфу в символ лоадере айсовском из nvskey32.dll или че то так. В айсе поставь бряку на nskCheck к примеру. И посмотри, выскочит ли айс при загрузке проги. Если выскочи, значит либы не прилинкованы.


ну и на%уя так извращатся ? А просто посмотреть на список импорта не судьба ? Бл%дь я просто в шоке от таких советов...

MoonShiner :: Бл%дь, а у меня лежит прога гвардантовская, у которой весь импорт из одних bpl-ных функций, а nvskey32.dll через LoadLibrary грузится! я тоже частенько бываю в шоке от чужих постов, но для начала предпочитаю подумать, что может я че то не учел и не догоняю, а не вопить!

infern0 :: MoonShiner пишет:
цитата:
а nvskey32.dll через LoadLibrary грузится!


ну и что ? начал от первого окна где прога вопит что ключ у нее с ~ %или и назад по шагам в той-же иде. За 5 минут выйдешь на nscCheck. И вообще наличие в дистре nsk32.dll (или как там ее) уже о многом говорит. Для проверки ее можно переименовать и тоже многое станет понятно.

MoonShiner :: Прога вопить НЕ ОБЯЗАНА. А насчет 5-ти минут в ИДЕ, дык ИМХО, способ определения прилинкованности (а говорил я именно насчет него), тот что предложил я (не придумал, а предложил!) займет намного меньше 5-ти минут. Лично у меня был 9-меговый бинарник и сам знаешь, сколько бы времени ИДА его проковыряла. Колупать дистрибутив тоже нахрен не нужно. Конечно, если так вперлось, можно и переименовать, тоже вариант. Я лишь предложил более универсальный метод, чем смотреть на импорт (что не всегда, как ты понял сработает)!

ЗЫ Пишу в скобках уточнения, чтобы не возникало необоснованных наездов.

infern0 :: MoonShiner пишет:
цитата:
не придумал, а предложил!)


да я как бы тоже не изобретаю а вспоминаю как я делал в таких случаях.

MoonShiner пишет:
цитата:
необоснованных наездов


имхо тут пора уйти в оффтоп бо тему статьи мы несколько позабыли. Так что может проболдить дискуссию на тему чьи извращения более извращенные в мыле или в аське... :)

MoonShiner :: Есть немного, но, думаю, на вопрос о прилинкованности мы ответили:)

RavenFH :: MEW
Плиз скинь на мыло Novex-сигнатуры для IDA, у меня по-проще чем у Вас с MoonShiner-ом прога не пакованная, но используется АПИ внутри проги, возможно и тебе придется столкнуться с этой бякой. Я не разобрался до конца с АПИ, а просто поотрубал их вызовы, прога работает, но исследовательский инстинкт не дает ее бросить. АПИ влинкована в прогу, а на джамп-каруселях кататься без шлема не хочется. Мыло -
R_a_v_e_n_FH@yandex.ru.

MEW :: Не надо ссорится, ребята, прога ни одну функцию кроме nskCheck не юзает, а распаковокой занимаеся novex32.dll (она кажется и общается с ключом) - её трудно будет пропатчить, придётся избавлятся от неё. Кроме главной программы там есть набор утилит (типа управлением станком и т.д.) у всех у них стоит конверт и снимается он без проблем, меня всётаки смущают две экспортируемые функции про FuckHackers и наоборот, похоже они проверяют контрольную сумму файла. Никто ещё не осмелился скачать прогу, чтобы легче было понимать друг друга?

MoonShiner :: Сигнатуры ни к чему... Можно даже не юзать расчищенный код от Хекса. Достаточно просто посмотреть на передаваемые параметры и читнуть мануал по гварданту.

›oSEN :: Вроде скачал 9-ую версию, посмотрю что к чему..




DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит...



DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит что прога запакована или что?
[RU].Ban0K! :: Вряд ли запакована... скорее всего, точка входа передаётся exe после загрузки некого протекторного модуля (dll)

Kerghan :: DillerXX
W32Dasm чушь, у меня такая хрень раньше тоже частенько бывала, хотя чаще на пакованных.
Советую взять OllyDbg

ЗЫ может мне подпись сделать «Юзайте OllyDbg» ?

KLAUS :: DillerXX

ПРойдись файлом анализатором, да и узнай!

DillerXX :: 1. Там нет ДЛЛ. Один ехе.
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.
3. Посоветуйте, плиз, хорошие анализаторы, а то я скачал - а там херь!

KLAUS :: DillerXX

Pe-ID v.092
В Pe-Tools ( там есть такой PE-Sniffer)
Stud_PE1.8
Ещё можно Pe-Scan
Но я те советую PE-ID

Mario555 :: DillerXX пишет:
цитата:
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.


А что Find references to -- Selected command (или Selected block) уже отменили ?!
И вообше нет смысла сравнивать отладчик с дизасмом.

111 :: 111

Алеся :: Кто нибудь знает «Мозга»




WELL Olly & breaks in Win98 Такой вопрос в олли если выбрать длл-ку из...



WELL Olly & breaks in Win98 Такой вопрос в олли если выбрать длл-ку из импорта и поставить бряк непосредственно например в user32 на MessageBox, то оля пишет, что бряк поставить не может.
Также и с кернелом и другими виндовыми длл-ками.
Это в 98-й так.
А в ХР все нормально.
Это глюк или фича ?
Или в 9х так и должно быть ?
AlexZ CRaCker :: WELL
Скажи версию Оли.
Если ты про бряки в «intermodular calls», то у меня при отладке некоторых прог такое было, но не всех! (Вин-98)

WELL :: AlexZ CRaCker пишет:
цитата:
Скажи версию Оли.


1.09d

Aster!x :: При постановке бряка на API Olly ставит его на первую инструкцию
этой API, но под win98 юзермодный отладчик этого сделать не может -
ограничения 9x винды.. можно только вручную найти CALL MessageBoxA и
поставить бряк конкретно на этот CALL.




Gloomy Хитрый наг (C++ Builder) Исследую прогу Open Book



Gloomy Хитрый наг (C++ Builder) Исследую прогу Open Book (http://www.vinidiktov.ru/d/openbook.exe 1,1 Mb), пакована аспром, stripper ее спокойно берет. А вот после распаковки начинаются чудеса - прога показывает наг что осталось -1 дней и закрывается. Проблема в том что определение того что именно появится - наг или главное окно зависит от значения регистров и переменных, т.е. подделать их не получается - код слишком навороченный и хитровыделанный. Как такое можно обойти?
И еще: хотел поставить бряк на RegQueryValueExA а в списке импорта только несколько безымянных функций и бряк не ставится. Как быть?
KLAUS :: Попробуй отыскать где время определяется используя (может поможет):
bpint 21 if ah==2A (DOS)
bpx GetLocalTime
bpx GetFileTime
bpx GetSystemtime
bpx GetTickCount
bpx FileTimeToSystemTime

При Флагах в регистрах: bpx cs:eip if EAX==0

Gloomy :: KLAUS
Спасибо, ты указал правильный путь - постоянно сидя в отладчике напрочь забываешь о таких простых вещах как Api-шпион

KLAUS :: Базара нет, случается......

Gloomy :: Дату откатывать бесполезно - прога явно шизанулась после распаковки - ставлю любую дату - все равно »-1» день показывает. Ни в реестр ни в файлы ничего не пишет и ничего не проверяет, считает время только по системной дате. И очень уж изнеженная - чуток значение регистра подправишь - и вот тебе, бабушка, и access violation

MozgC [TSRh] :: Stripper дампит в тот момент когда в двух ячейках, где хранится сколько дней осталось, лежат числа FFFFFFF
Эти ячейка найти и исправить можно найдя апи аспра, которая и записывает в них кол-во оставшихся дней.
Либо лучше распаковывать самому и все будет ок.

Mario555 :: Вручную распаковать не получается (пока), stolen bytes какие-то извратные, да и спать уже хочется.
Если stripper’ом, то наг убирается так:

0040122A FF15 BC524B00 CALL DWORD PTR DS:[4B52BC] ; _Open_Bo.004011AD

на

0040122A . E8 D9FEFFFF CALL _Open_Bo.00401108
0040122F . 90 NOP

потом ещё занопить 00401253 CALL _Open_Bo.00450498.

При этом уберётся только наг и триал, в about останется unregged, так что если есть другие ограничения, то лучше
подолбаться найти эти stolen bytes и распаковать вручную.

Gloomy :: Mario555
Спасибо большое за помощь, все отлично работает, никаких других ограничений нет. Но все равно попробую распаковать вручную - чисто для тренировки

DOLTON :: Mario555 пишет:
цитата:
Если stripper’ом, то наг убирается так:


Сегодня столкнулся с похожей программой - после распаковки Stripperom сразу вылетает «trial period expired»

Если можно, то поясните пожалуйста метод (алгоритм действий) по излечению программ данного рода на примере Open Book.
Заранее tnks!

MoonShiner :: Найдите адреса апи аспра. Эмулить необязательно, но гляньте в коде, куда они обращаются и поправьте значения... Мозгоё... МозгЦ прав.

Gloomy :: MoonShiner пишет:
цитата:
Найдите адреса апи аспра


А как их искать? Может статья какая есть? Очень актуальная тема, полезно было бы почитать.

Mario555 :: DOLTON пишет:
цитата:
Если можно, то поясните пожалуйста метод (алгоритм действий) по излечению программ данного рода на примере Open Book.


В olly доходишь до какого-то там exception (я их не считаю никогда) внизу должно быть что-то типа

00C735DE ›JE SHORT 00C735EC
00C735E0 ›PUSH 0C73648 ; ASCII «15»
00C735E5 ›CALL 00C725EC
00C735EA ›JMP SHORT 00C735FC
00C735EC ›MOV EAX,DWORD PTR SS:[EBP-18]
00C735EF ›MOV DWORD PTR DS:[C77EB4],EAX
00C735F4 ›MOV EAX,DWORD PTR SS:[EBP-1C]
00C735F7 ›MOV DWORD PTR DS:[C77EB0],EAX
00C735FC ›PUSHAD
00C735FD ›PUSH 0C763AC
00C73602 ›LEA EAX,DWORD PTR SS:[EBP-C]
00C73605 ›PUSH DWORD PTR DS:[C77AA4] ; Open_Boo.00400000
00C7360B ›CALL DWORD PTR DS:[EAX]

Потом ещё пару раз Shift-F9 там аспр целостность кода проверит.
Alt-M и выбитраешь секцию с протектором (адр С60000). Там Ctrl-B и вводишь 40 00 00 00 40 00.
Найдётся такое:

00C77AA6 40 00 00 00 40 00 00 50 0F 00 00 00 00 00 00 00 @...@..P.......
00C77AB6 00 00 0E AB 41 00 00 00 00 00 FC A3 41 00 06 9F ..«A.....ьЈA.џ
00C77AC6 41 00 00 00 00 00 00 00 00 00 08 11 40 00 AD 11 A.........@.-
00C77AD6 40 00 C6 11 40 00 00 00 00 00 00 00 00 00 00 00 @.Ж@...........

Адреса типа 41ab0e - это апи аспра. Ставишь на них бряки и смотришь что они делают. Так например функция по адр 41ab0e возвращает адрес, куда записано имя юзера, а 4011с6 записывает либо 401108 (execute Trial) либо 4011ad (execute expire).

PS Кста я раньше сказал: «потом ещё занопить 00401253 CALL _Open_Bo.00450498. » дык вот на самом деле нопить её не надо, т.к. там проверяется имя пользователя, и если его вписать по нужному адресу, то и в about будет «Пpaвoм пoльзoвaния oблaдaeт...»

PPS апи аспра ОЧЕНЬ удобно использовать для взлома.

DOLTON :: MoonShiner
Mario555
Спасибо, буду разбираться!

Mario555 пишет:
цитата:
В olly доходишь до какого-то там exception


Относительно давно с удовольствием юзаю Ice... в нём вроде бы никаких exception при отладке Аспровских прог у меня не вылетает.

Mario555 пишет:
цитата:
Потом ещё пару раз Shift-F9 там аспр целостность кода проверит.


То есть исследовать нужно нераспакованную прогу?

Mario555 :: DOLTON пишет:
цитата:
То есть исследовать нужно нераспакованную прогу?


Of course...




PalR Как отыскать функцию определяющую отладку. По-русски говоря. как найти...



PalR Как отыскать функцию определяющую отладку. По-русски говоря. как найти функцию в проге, которая детектит софтайс. Кинте в меня ссылку на статью или объясните.
Dragon :: http://xtin.km.ru/view.shtml?id=88

PalR :: Я там меньше половины понял :)
Может кто поможет отучить от отладчика акад2000.

KLAUS :: PalR

Используй :frogsice , IceExt, SuperBpm

PalR :: Под 98 не спасает вроде.

PalR :: Акад. Серьезный продукт. Это вам не в пузырьки пукать.

Dragon :: PalR
Вообще под 98 спасает только одна прога. Называется setup.exe, можно найти на установочном диске WinXP.

PalR :: Dragon
Это типа поставь ХР и будет тебе щастье.

Dragon :: Да, будет, там IceExt есть, почти от всего спасает..

PalR :: IceExt спасает один раз. Потом приходится перегружаться, иначе после срабатывания бряка по F12 вылетаешь из Софтайса. Вобщем зашел с другой стороны.
В dll-ке имеется текст в Unicode. Wdsm его не видит. В ида он виден только как то странно, по одной букве в строчке
.rdata:1006DBB6 db 59h ; Y
.rdata:1006DBB7 db 0 ;
.rdata:1006DBB8 db 6Fh ; o
.rdata:1006DBB9 db 0 ;
.rdata:1006DBBA db 75h ; u
.rdata:1006DBBB db 0 ;
.rdata:1006DBBC db 72h ; r
.rdata:1006DBBD db 0 ;
.rdata:1006DBBE db 20h ;
.rdata:1006DBBF db 0 ;
.rdata:1006DBC0 db 61h ; a
.rdata:1006DBC1 db 0 ;
.rdata:1006DBC2 db 70h ; p
.rdata:1006DBC3 db 0 ;
.rdata:1006DBC4 db 70h ; p
.rdata:1006DBC5 db 0 ;
.rdata:1006DBC6 db 6Ch ; l
Как установить откуда это окно вызывается? Под софтайсом работать не получается. Спецы помогите.




WELL VB под отладчиком Вобщем делал я такую фишку.



WELL VB под отладчиком Вобщем делал я такую фишку.
Запускал прогу VB-шную под отладчиком (под олли и под IDA 4.5).
На OEP’е jmp на ThunRTMain и дальше прога работает в msvbvm60.dll.
Я ее трэсил до появления нага, и все это время она из длл-ки не вылазила.
Это так и должно быть или как ?
Что делать-то? msvbvm60.dll патчить ?
nice :: WELL
спасет тебя, сия утилита, т.к. программа твоя скопмилированна в pcode
www.wasm.ru/tools/9/vbdebug.zip

WELL :: nice
Да я ее первым делом качнул.
Только вот она у меня с пустыми окнами запускается.
Я вот тут про эту же прогу писал http://cracklab.fastbb.ru...?-00001474-000-20-0-0-0-0

WELL :: Да, кстати, WKTVBDebugger пишет типа maybe native code

nice :: Попробуй эту:
http://hice.antosha.ru/exdec.rar
Pass: www.crackbest.com

WELL :: nice пишет:
цитата:
Попробуй эту:
http://hice.antosha.ru/exdec.rar


Тоже уже пробовал:
This program is not compiled to pcode.
It is VB6 native

nice :: WELL
А сколко EXE весит?

WELL :: Файл открывает VBReFormer 3.7 (http://www.decompiler-vb.tk/)
Я им из проги gif’ы выдернул, но кроме ресурсов от него толку нет

WELL :: nice
10 метров, причем 7,5 из них - gif’ы
Если бы их как-нить убрать, мог бы выложить куда-нить.
А так могу только урлу дать для скачивания

WELL :: Да, кстати у проги есть демо версия - 1,94 метра
http://www.angarskmap.narod.ru/ams/setup.exe

nice :: WELL
Так удали, в чем запарка?

WELL :: nice
Я имею ввиду, что гифы в ехешнике в виде ресурсов.
А когда я их выдернул то размер их в сумме 7,5 метров.

test Re: WELL :: Попробуй в Оле - Search for / all constant 2B0 ,если найдутся значит native а если нет то p-code.Дальше
действия по результату.

nice :: WELL
Это не Pcode
создай в каталоге файл license.amk со всяким мусором
файл разбирает программа по адресу:
005F9F8A E8 F1660000 CALL AngarskM.00600680

WELL :: nice
Спасибо. Буду разбирать.

WELL :: nice
Я раньше так делал (в полной версии):
1) Отследил FileMon’ом обращение к файлу license.amk
2) Создал этот файл
3) Поймал бряк на rtcMsgbox с текстом «Неправильная структура файла license.amk»
4) ЗаNOPил условный переход на это место (по адресу 00EA0236)
5) Прога выдает «Ошибка проверки лицензии!» и потом зависает со сплэшскрином на экране.
6) Я нашел место где вылазит этот rtcMsgbox (00EA08DB)
7) Но место, откуда передается управление на данный код не нашел
Бряки в оли ничего не дают. Вот теперь не знаю что делать дальше...

nice :: WELL
Ты знаешь меня тоже сильно удивило, я нашел всё ключивевые места защиты, ставлю туда BP, а оля грузит программу как ни в чем не бывало :(. Я точно уверех, что этот кусок там проходит! Ноя бросил, думал ты ковырять сам будешь, но я как знал не удалил. Вечером посмотрю, а тебе вот рулезная утилита:
http://hice.antosha.ru/vbde.zip
Да ещё. ставь бряки не через bp, а hardware на эту инструкцию...

WELL :: nice
Я еще в IDA 4.5 трэйсил. Так там вообще она из msvbvm не вылазила.

WELL :: nice
Ну как там?
У меня пока что нифига не выходит

nice :: WELL
Занят был, пока ещё не смотрел, с Novex’ом вожусь

nice :: WELL
Итак, что я накопал:
Во-первых вариант моей программы мне не представляется сделать рабочим, по крайней мере у меня не получилось.

Попробуй создай файл: license.amk
Следующего содержания (без Enter’ov):
05705204805304905505305305004805205505304805404805 3055050053055051055048049048049053051055052051048

Должно заработать, а если нет, то шли мне эту гадость, доломаю.

WELL :: nice
Неа, не заработало
А куда слать-то?

nice :: WELL
nicesc !!!! yandex.ru
только кусками не больше 2Мб

WELL :: nice
Так может тебе проще скачать с сайта ?
Или у тебя на мыло трафик бесплатный ?

nice :: WELL
Сломал я её, не мало сил и нервов сожрали разработчики... Но победила дружба :)
Симпатичная карта, надо отметить.
Я сломал обычную версию, думаб по аналогии ты убъещь PRO. Качать лень...

Comparing files AngarskMap.noc and FINAL.EXE
00021FD2: 54 4E
00021FD3: 72 69
00021FD4: 65 63
00021FD5: 6F 65
00021FD6: 6E 00
001F9CE0: 55 E9
001F9CE1: 8B FB
001F9CE2: EC 0A
001F9CE3: 83 00
001F9CE4: EC 00
001FA891: 5A 00
001FA8B3: 7D EB
001FA8E2: FF 90
001FA8E3: D7 90
001FA9B6: FF 90
001FA9B7: D7 90

WELL :: nice
Спасибо.
Сегодня после работы буду ПРО добивать

WELL :: Всё !!!
Поломал Pro-версию.
Спасибо nice’у и VBDE 0.85 by iorior




PalR Помощь по IDA В проге есть окно с текстом. В WDasm их не видно. В...



PalR Помощь по IDA В проге есть окно с текстом. В WDasm их не видно. В листинге IDA эти строки выглядят так
.rdata:1006DBB6 db 59h ; Y
.rdata:1006DBB7 db 0 ;
.rdata:1006DBB8 db 6Fh ; o
.rdata:1006DBB9 db 0 ;
.rdata:1006DBBA db 75h ; u
.rdata:1006DBBB db 0 ;
.rdata:1006DBBC db 72h ; r
.rdata:1006DBBD db 0 ;
.rdata:1006DBBE db 20h ;
.rdata:1006DBBF db 0 ;
.rdata:1006DBC0 db 61h ; a
.rdata:1006DBC1 db 0 ;
.rdata:1006DBC2 db 70h ; p
.rdata:1006DBC3 db 0 ;
.rdata:1006DBC4 db 70h ; p
.rdata:1006DBC5 db 0 ;
.rdata:1006DBC6 db 6Ch ; l
.rdata:1006DBC7 db 0 ;
.rdata:1006DBC8 db 69h ; i
.rdata:1006DBC9 db 0 ;
.rdata:1006DBCA db 63h ; c
.rdata:1006DBCB db 0 ;
.rdata:1006DBCC db 61h ; a
.rdata:1006DBCD db 0 ;
.rdata:1006DBCE db 74h ; t
.rdata:1006DBCF db 0 ;
.rdata:1006DBD0 db 69h ; i
.rdata:1006DBD1 db 0 ;
.rdata:1006DBD2 db 6Fh ; o
.rdata:1006DBD3 db 0 ;
.rdata:1006DBD4 db 6Eh ; n
.rdata:1006DBD5 db 0 ;
.rdata:1006DBD6 db 20h ;
.rdata:1006DBD7 db 0 ;
.rdata:1006DBD8 db 77h ; w
.rdata:1006DBD9 db 0 ;
.rdata:1006DBDA db 61h ; a
.rdata:1006DBDB db 0 ;
.rdata:1006DBDC db 73h ; s
.rdata:1006DBDD db 0 ;
.rdata:1006DBDE db 20h ;
.rdata:1006DBDF db 0 ;
.rdata:1006DBE0 db 6Eh ; n
.rdata:1006DBE1 db 0 ;
.rdata:1006DBE2 db 6Fh ; o
.rdata:1006DBE3 db 0 ;
.rdata:1006DBE4 db 74h ; t

Как определить откуда вызывается это окно??????
Cigan :: Переведи их в UNICOD и сделай роиск по в hex window в ida по B6 DB 06 10!!! если вызов не косвенный то найдешь!!!

PalR :: Чото не получается.
В Names Window это диалоговое окно называется - «aR_0». В листинге на него ссылки нет. Это значит вызов косвенный и IDA здесь не поможет?

Cigan :: Наведи на строку и сделай edit-›strings\unicode будет нормальная строка!!! А если всетаки ссылки не тогда отладчик тебе в руки !!!




ilya написание отладчика кто нить знает линки по этой теме или где можно...



ilya написание отладчика кто нить знает линки по этой теме или где можно найти исходники
-= ALEX =- :: зачем оно тебе ?

ilya :: хотса замутить кокой нить отладчик похожий на trw но под xp

Kerghan :: ilya

ты сначала разберись как с ним работать

Noble Ghost ::

ilya :: Kerghan пишет:
цитата:
ты сначала разберись как с ним работать


*издец ты деловой, чё поумничать решил. если тебе *е ~ писать то *ули лезешь

Kerghan :: ilya
да нравиться мне над тобой издеваться

тут посмотри http://exmortis.narod.ru/src_disassem.html
а если TRW под херь переделаешь, я думаю тебе многие пива поставят, так что впред и с песней

XoraX :: ilya
удачи, я мысленно всегда с тобой


Dragon :: Отладчик Ring3 типа ollydbg можно легко написать, а что-то типа softice - замучаешься, лучше и не начинать. Так что лучше исследуй процедуру инициализации в драйвере ntice.sys и напиши «softice unloader», это полезнее будет.

[RU].Ban0K! :: Kerghan пишет:
цитата:
а если TRW под херь переделаешь, я думаю тебе многие пива поставят, так что впред и с песней


Да не, врятли... так сразу...
Dragon пишет:
цитата:
Отладчик Ring3 типа ollydbg можно легко написать, а что-то типа softice - замучаешься, лучше и не начинать.


Оно и првда...
На API отладчик легко соТВАРЬить... книженция у меня даж была... да и есть вроде, называется «Отладка приложений»... Ещё от питера была... толстая такая, там всё про DebugApi написано... и маленький отладчик, вот только дизасм сам писать будешь, хотя можно и ~ ануть где-нить.

P.S. Книжка у меня вродь на сайте лежала, не катологизирована... а может и не лежала :) только если и есть то без примеров... а то так она 10 метров весит...

AlexZ CRaCker :: Dragon пишет:
цитата:
и напиши «softice unloader»


Эт точно. Ато впадляк ребутить тачку после Айса. Вот и юзай потом ТПВ.
ilya
Опыт получить это конечно хорошо... Но дебугеров ИМХО всяяяких-всяяяких много. Да и ты подумай, кто это юзать будет кроме тебя?




quinplen Njrton AntiVirus 2004 Pro



quinplen Njrton AntiVirus 2004 Pro
Подскажите где скачать кряк и русификатор Norton AntiVirus 2004 Pro . Или как его активировать.
Noble Ghost :: quinplen пишет:
цитата:
Или как его активировать.


Отладчик в зубы и пошёл Если появятся вопросы, обращайся

sanek :: пишет:
цитата:
Подскажите где скачать кряк NA2004pro


Оставь мыло, кину тебе кейген и небольшую справочку как ставить.

WELL :: quinplen
Зайди сюда
http://www.serials.ws/all/?l=N&pn=5
и сюда
http://astalavista.box.sk...rch=norton+antivirus+2004
А руссификаторы в основном на дисках. У меня есть один, но много весит...




ZX Во блин... Даж не знаю,с какой стороны подойти к этой штуке.



ZX Во блин... Даж не знаю,с какой стороны подойти к этой штуке.
http://www.ergosolo.ru/do.../full010404/Solosetup.exe, 4.4 метра. стоит не дорого 150 руб. но не в этом счастье.
Отладчики не любит, неизвестно что к ней прицепили, вроде не пакована, ида грызет уже полчаса, но походу ничекго хорошего еще не нагрызла. Мож кто встречался с подобной защитой?
WELL :: ZX
Она пакована UPX-Scrambler
Распаковывай руками или попробуй модифицированным UPXом с васма.

ZX :: Она вроде не пакована, потому что ида всю секцию кода опознала, но к проге какая-то фигня прикручена, навороты от отладчика, импрека, дамперов и т.д.

ZX :: Это новая версия от 01.04.04г. ребята прикололись по полной программе.

WELL :: ZX
Посмотри PEiD’ом и увидишь чем пакована.

WELL :: Да это 100% UPX.
Ты в ольку загрузи и посмотри на код.
Я уже распаковал.

ZX :: Ща погодь мож у меня PEiD не тот.

ZX :: Тока, что взял с васма, он не знает что это за фигня и на UPX это хоть убей не похоже

WELL :: ZX
Блин. PeID 0.92
Замечательно распаковывается upx-ripper’ом.
Возьми его с васма.

WELL :: У тебя версия exe-шника какая ?
8.1.1.1

ZX :: 8.1.1.2

WELL :: Ты попробуй http://www.wasm.ru/tools/6/upx-ripper.zip
А в папку с ним положи нормальный или модифицированный UPX 1.24 с именем upx.exe

ZX :: У всех секций виртуальный размер равен актуальному. Во как. Какой же тут UPX?

ZX :: WELL пишет:
цитата:
А в папку с ним положи нормальный или модифицированный UPX 1.24 с именем upx.exe


Нифига говорит не пакован.

WELL :: ZX
Ты попробовал как я тебе сказал ?

ZX :: Да пробовал!

WELL :: ZX
Скинь мне exe-шник на 12 собака netman.ru

ZX :: А ты откуда сливал?

WELL :: ZX
Оттуда же. В смысле с офф.сайта.
1-го числа качал. Кидай ехе-шник на мыло.

ZX :: Сейчас

bUg. :: PEiD говорит что написана на крестах шестых.

WELL :: Ну что, отправил?
А то мне уже с работы сваливать надо
А дома я буду только завтра вечером

ZX :: Скинул

ZX :: bUg. пишет:
цитата:
PEiD говорит что написана на крестах шестых.


это я и без PEiD вижу, но вот он этого у меня не видит.

bUg. :: ZX пишет:
цитата:
это я и без PEiD вижу, но вот он этого у меня не видит


ты скань хардкором.

ZX :: bUg. пишет:
цитата:
ты скань хардкором.


Да не в этом суть. Что на нее навесили?

-= ALEX =- :: блин, вот так посмотрел, что тут пишут... ваще нафига вам определять чем прога запакована, да еще и спорите тут. Важно ее распаковать....

ZX :: -= ALEX =- пишет:
цитата:
блин, вот так посмотрел, что тут пишут... ваще нафига вам определять чем прога запакована, да еще и спорите тут. Важно ее распаковать....


Чтоб знать - что ожидать от этой штуки, что-то я совсем уперся...

-= ALEX =- :: ZX пишет:
цитата:
Чтоб знать - что ожидать от этой штуки


А трудно на код посмотреть или PEiD тебе напишет все особенности защиты, в каких местах править и т.д...

Runtime_err0r :: ZX
А ты не проверял, ключи, сгенерированные кейгеном от Nitrogen’а подходят ?

Kerghan :: -= ALEX =-
да ты че не знал??? У него есть такая фича, теперь в версии 9.2 он распаковывает арму и xprotect, а также убирает наг, триал и восстанавливает всю функциональность. В версии 9.3 я слышал будет фича, которая будет из демо делать полнофункциональную прогу и исправлять все даже неизвестные разработчику баги

-= ALEX =- :: Kerghan слухай не знал, вот я дурак, парюсь тут. Пошел PEiD юзать...

ZX :: Runtime_err0r пишет:
цитата:
А ты не проверял, ключи, сгенерированные кейгеном от Nitrogen’а подходят ?


Да вот в этой проге прикол такой:
она мне дала ввести код при регистрации, ну сам понимаешь введен блаблабла... теперь клавиша зарегить сейчас уже не подсвечивается пытался ее разблокировать - на NITROGENA не реагирует, так и отладчиком ни одним к ней подойти не могу, только любой бряк и привет семье звоните на деревню дедушке. И что это за инструкция такая, звиняйте за непросвещенность, LOCK INT 3 или LOCK INT 1, после них отладчик кумарится в кернеле.

ZX :: Да дело не в том чтоб кряк сделать - впервой с такой защитой сталкиваюсь! Пришли попросили сделать кряк на версию 7.0, ну я как дельный думаю скачаю поновей (7.0 сразу распотрошил) и упссс... натолкнулся на что-то незнакомое. Дело не в том чтоб ее себе зарегить она мне не нужна - я и так печатаю быстрей чем говорю(учился, правда, на другой проге). Окажите помощь в изучении этой защиты, не обязательно эта прога, мож еще где встречается, но склоняюсь к тому что это программеры прикололись, хотя защита явно навесная(не пакер).

WELL :: Дааа... Видать разрабочики Solo через день новые версии релизят
День запакованые, день распакованые, день закриптованные.........
ZX
Я файл так и не получил.

ZX :: WELL
Ну сейчас тот получил?

WELL :: ZX
Получил.
Да, файлик явно не тот. Я толком еще не смотрел, но секции с именами tyoq7omz и pww3uox0 это весело
Завтра гляну.
8.1.1.1 заломал, теперь 8.1.1.2 буду ковырять

WELL :: ZX
Короче посмотрел я твой файлик.
Намудрили они там чего-то. Всякой лажи понавпихивали (типа SEH-ов).
Хотя толку от этого мало
Вообще проца проверки находится по адресу 0040173F.
И проверяется прога на зарегеность в разных местах 9 раз.
И после каждого вызова этой функции обычный условный переход
Можно, конечно, подправить переходы во всех 9-ти проверках.
Но лучше исправить саму процу проверки
В общем исправляй:
00405230 push ebp
на
00405230 ret
То есть 55 на C3.
Вроде всё пашет

ZX :: WELL
Спасибо за помощь, но хотелось бы знать - как ты туда дошел, я через эту кучу сегов пройти не смог, чем ты пользовался? Не прошу подробного описания, так вкраце, плиз. Заранее благодарен. :)

WELL :: ZX
Да, там олька гонит.
Я дебагером из IDA 4.5 пользовался и Soft-Ice’ом.
В айсе бряк на getwindowtexta при вводе кода.
Ну а потом нашел процу уже через иду.
Вот и все




Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в...



Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в OllyDBG нашел то, что надо, но как это исправить? Где это находится в дизассм. ???
nice :: Goodwin777
Почитай фак: MozgC & FEUERRADER
http://cracklab.narod.ru/doc/faqversion10.htm

DiveSlip :: Пробуй Hiew, там адреса теже, либо патч прямо в OllyDbg.

Goodwin777 Re: DiveSlip :: А OllyDdg как править то?, через Edit в binary?

MC707 :: Уфф. Народ разленился.... Совсем башкой думать перестал....

Хотя б так: Находясь на нужной команде пробел жмешь и вводишь нужную команду.
При этом с ехе-файлом никаких изменений не произойдет. Если хочешь эти изменения в файл внести - жмешь правой крысой по коду -› Copy to executable -› All modifications




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




sanek TRW 2000 Я задавал подобный вопрос в теме про ОЛЛЮ, но только ОЛЛЯ не...



sanek TRW 2000 Я задавал подобный вопрос в теме про ОЛЛЮ, но только ОЛЛЯ не дает чета нажать на кнопку ОК после ввода серийника в проге т.е. окно программы не открывается(блин наверно чета не так делаю)
(спасибо всем ответившим)
но вот вопрос: в Soft-Ice мы делаем вот так s 0 l -1 «123456789». а в TRW2000 синтаксис такой же при поиске или нет
TRW2000 короче говоря не ищет эту строку говорит нет такой строки или синтаксис не тот.
Короче говоря я пытаюсь «исследовать» это
http://www.passwordrecove.../store/aofpr_ru_setup.exe 539 кв
упакована эта шняга UPXом
P.S. не кидайте в меня кости я ведь толко учусь
ilya :: Оля не переходит на прогу потомучто прога находится под отладкой , нажми F9 и усё будет пучком.

AlexZ CRaCker :: sanek пишет:
цитата:
в TRW2000 синтаксис такой же при поиске или нет


В TRW2000 так:
ss 0 ffffffff «123456789»
тока потом все адреса ручками вбивать придёца...

sanek :: ilya пишет:
цитата:
Оля не переходит на прогу потомучто прога находится под отладкой , нажми F9 и усё будет пучком


Не помогает в итоге ОЛЛЯ говорит процесс теринаТЕД exit cod 80(128)
т.е. не дает ввести серийник вылетает в оллю shift F8/F9 b и так до тех пор по не настает пипец см. выше
но не в это дело я делаю так открываю прогу ввожу серийник а потом уже натравливаю оллю на активный процесс
ловлю на bp messageboxa, мой серийник в дампе тоже виден, а вот нужный не отлавливается, на длину проверка идет еще короче полная х..я.
В принципе сама программа мне нахрен не нужна просто хотелось бы доделать дело и получить результат
кто сможет подсказать как ее побороть

ilya :: sanek
во первых нужно распаковать
во вторых в Олли в Options-›Debugging options-›Exeptions поставь галку на Ignore also foliowing ...... и впиши туда 0EEDFADE и всё!!!

sanek :: AlexZ CRaCker пишет:
цитата:
В TRW2000 так:
ss 0 ffffffff «123456789»
тока потом все адреса ручками вбивать придёца...


в сайсе то же так можно, но TRW не ищет, все равно спасибо за совет
ilya пишет:
цитата:
во первых нужно распаковать


я распаковал было 539кб стало 2мб

ilya пишет:
цитата:
во вторых в Олли в Options-›Debugging options-›Exeptions поставь галку на Ignore also foliowing ...... и впиши туда 0EEDFADE и всё!!!


Помогло спасибо за просвещение, но блин серийник реалный не ищется.
Может кто в виде Крякми эту прогу попробует, статью напишет было очень познавательно - она ищет пароли в офисных приложениях

ilya :: sanek
0040852C если по этому адресу поменяешь JNZ на JE то прога напишет что она зарегерина , но это ещё не всё надо искать где выводится unregistered

sanek :: ilya пишет:
цитата:
0040852C если по этому адресу поменяешь JNZ на JE то прога напишет что она зарегерина , но это ещё не всё надо искать где выводится unregistered


Вот же Бляхана получилось, правду говоришь, как блин, ilya раскажи процесс, результат не так важен, плизз
как я понял одним дизасемблером и нех редактором обошелся, с чего начинал то хоть??
В отладчике не пробовал.

ilya :: sanek
смысл таков:
делаешь пошаговое выполнение программы в Оле (F8/F7) пока не упрёшся в какой нибудь call??? где происходит вызов окна что ты не правильно ввёл ключ регистрации. далее чуть выше этого call??? ищешь какие нибудь JMP JNZ JE
которые бы тебя переместили за call??? о неправильной регистрации и меняешь эти переходы (напр.JNZ меняешь на JE)
т.е тебе нужно сделать так чтобы этот call??? не вызвался.

а вообще иди вот сюда http://cracklab.narod.ru/doc/ читай
как можно больше что там написано , учи асемблер.

sanek :: СпАсибо
ilya пишет:
цитата:
а вообще иди вот сюда http://cracklab.narod.ru/doc/ читай
как можно больше что там написано , учи асемблер.


читаю, учу но без советов бывалых тяжелей учиться

ilya :: sanek
ты пойми что у каждой программы есть свои ньюансы , и соотвецтвенно разные подходы для взлома. ведь программы пишут разные люди и в программах они используют разные типы защит , поэтому я те и посоветовал читать статьи чтобы набраться опыта на примере других взломов. самое главное пойми что если ты будешь ломать программы наскоком не разбираясь в них досконально , то из тебя врятли выйдет хороший крекер

AlexZ CRaCker :: А ИМХО если =просто= забить проверку рег.номера (74›75; 74›EB...) то такое ооочень редко регит прогу.




И как это понимать? :)



И как это понимать? :)
То есть выходит, что без рабочего ключика ничего у нас не выйдет :( Если криптовку ты сам писал, то там могут быть ошибки, но копаться в таком коде никому не захочется, другое дело, если бы было написано на Си или на асме - тогда было бы интересно. Опять же могут быть ошибки в реализации не твоих крипто-алгоритмов, но все опять-таки упирается в анализ этой жижи. :)

Если все-таки взломать без рабочего ключа нельзя, то можно было бы попросить кого-нибудь скардить эту прогу (если бы она стоила $$$), но никто такое кардить не будет.
Можно написать тебе в мыло и попросить ключик, но этого опять же делать никто не будет - ломать прогу на VB с крипто - удел извращенцев.

Из всего вышенаписанного можно сделать вывод, что прога не так уж и плохо защищена, если конечно ты хотел это услышать. Но я подчеркну, что это не твоя заслуга, а программистов из Микрософта, которые создали такой замечательный язык программирования

И еще: в твоей проге есть баги :(
Причем выявляются они через минуту после запуска, например если попробовать что-нибудь переименовать в списке программ (почему твоя мега-прога вообще позволяет такое делать - мне не понятно).

CReg [TSRh] :: И еще: выложил хотя бы здесь где-нить Xakep.key.
Или ты думаешь, что тебе все захотят писать письмо? :)

GPcH :: CReg [TSRh] пишет:
цитата:
И как это понимать? :)
То есть выходит, что без рабочего ключика ничего у нас не выйдет :( Если криптовку ты сам писал, то там могут быть ошибки, но копаться в таком коде никому не захочется, другое дело, если бы было написано на Си или на асме - тогда было бы интересно. Опять же могут быть ошибки в реализации не твоих крипто-алгоритмов, но все опять-таки упирается в анализ этой жижи. :)

Если все-таки взломать без рабочего ключа нельзя, то можно было бы попросить кого-нибудь скардить эту прогу (если бы она стоила $$$), но никто такое кардить не будет.
Можно написать тебе в мыло и попросить ключик, но этого опять же делать никто не будет - ломать прогу на VB с крипто - удел извращенцев.

Из всего вышенаписанного можно сделать вывод, что прога не так уж и плохо защищена, если конечно ты хотел это услышать. Но я подчеркну, что это не твоя заслуга, а программистов из Микрософта, которые создали такой замечательный язык программирования

И еще: в твоей проге есть баги :(
Причем выявляются они через минуту после запуска, например если попробовать что-нибудь переименовать в списке программ (почему твоя мега-прога вообще позволяет такое делать - мне не понятно).


Из всего написанного выше я делаю вывод, что интересно ломать то, что не сложно ломать
по причине линейности кода, генеренного компилятором

Во вторых, ошибок в криптоалгоритме нет и это не заслуга майкрософта, что все переменные в проге закриптованы
и имена вызываемых функций декриптуются в памяти моим криптоалгоритмом

О багах в проге напиши поподробнее на gpch_soft@tula.net, за это я тебе скажу огромное спасибо.
Если же ты считаешь багом то, что изменения ступают в силу после перезагрузки базы, то почитай хелп
к проге (если интересно), там описано все

Вся фишка в том, что моя программа бесплатная и я никому из вас не дал ссылку на ключик потому,
чтобы вам было интересно взломать прогу - с ключем ее и ломать то не надо
(достаточно определить алгоритм генерации ключа и написать кейген)

GPcH :: CReg [TSRh] пишет:
цитата:
И еще: выложил хотя бы здесь где-нить Xakep.key.
Или ты думаешь, что тебе все захотят писать письмо? :)


Я его не выкладываю по причине того, что ломание проги отпадет само собой

GPcH :: sanek пишет:
цитата:

Скажи о чем она, про что, трафик жалко блин


В кратцах - набор из горы тулз для работы с дисками от журнала Xakep и СПЕЦ Xakep
1. Ведение структуированной базы из программ с дисков от вышеназванных журналов,
их описаний и скриншотов
2. Возможность поиска крэков к этим прогам и добавления серийников из баз SEU
3. Выгрузка базы в HTML (с поддержкой шаблонов)
4. Поиск в названиях и описаниях прог
5. Поддержка скинов
6. Поддержка плагинов

GPcH :: !!!!!!!!!!!!!!!!!!!!!!!!!!!!

CReg [TSRh] ::
цитата:
Во вторых, ошибок в криптоалгоритме нет и это не заслуга майкрософта, что все переменные в проге закриптованы


Ну про ощибки это никто не знает, откуда ты на 100% знаешь, что их нет? я говорю про ошибки именно в реализации, часто именно из-за них все легко снимается.

цитата:

и имена вызываемых функций декриптуются в памяти моим криптоалгоритмом


Что это значит, как это имена функций шифруются??? Я думал, что ты код функций шифруешь, а ты оказывается имена

Неее.... я так не играю

А ты все-таки так и не понял, что проблема взлома твоей проги вовсе не в криптовке функций
Ты хоть когда-нибудь в жизни видел код, произведенный на свет с помощью васика?? Уверен, что нет, тогда бы ты такое не писал.

Если ты считаешь, что ты крут, то можешь считать себя таковым - твое дело

Вот мне давали кейгенми, который написан был на асме, так вот его закейгенить трудно было - алгоритм действительно не такой простой.
А что касается твоей проги - то у тебя алгоритм скрыт в куче дерьма, проблема именно в этой куче, о чем тебе тут уже все писали.
Если ты до сих пор не понял, что эту кучу за тебя сотворили программеры из MS, то уж извиняйте

Прочитай все посты в этом топике и подумай...
Я в этот топик писать больше не буду - все превращается во флейм...
Удачи в продвижении твоей мега-проги.

AlexZ CRaCker :: Да нах мне журнал }{акер нужен. Чё интересно - качнуть можно.

GPcH :: CReg [TSRh] пишет:
цитата:
Что это значит, как это имена функций шифруются??? Я думал, что ты код функций шифруешь, а ты оказывается имена

Неее.... я так не играю

А ты все-таки так и не понял, что проблема взлома твоей проги вовсе не в криптовке функций
Ты хоть когда-нибудь в жизни видел код, произведенный на свет с помощью васика?? Уверен, что нет, тогда бы ты такое не писал.

Если ты считаешь, что ты крут, то можешь считать себя таковым - твое дело

Вот мне давали кейгенми, который написан был на асме, так вот его закейгенить трудно было - алгоритм действительно не такой простой.
А что касается твоей проги - то у тебя алгоритм скрыт в куче дерьма, проблема именно в этой куче, о чем тебе тут уже все писали.
Если ты до сих пор не понял, что эту кучу за тебя сотворили программеры из MS, то уж извиняйте

Прочитай все посты в этом топике и подумай...
Я в этот топик писать больше не буду - все превращается во флейм...
Удачи в продвижении твоей мега-проги.


Под криптовкой имен функций я понимаю к примеру следующее:

sName=Crypt(«LoadPlugins») ’ вместо этой строчки - кусок ключа
sName=DeCrypt(sName)
callbyname(sName)

private sub LoadPlugins()
...
end sub

То есть, если ключ неверный, то бейсик пытается вызвать
несуществующую функцию и вызывает ошибку, а у меня написано,
что если возникла ошибка - вывести окно с регистрацией

По поводу того, что я не знаю что генерит компилер бейсика

Кстати знаю и не раз дизасмил проги написанные на VB, например
Vopt XP (кстати лучший дефрагментатор и причем не бесплатный (защищен аспром))
и native код в них ничем не отличается от кода, генеренного C++ или Dalphi
(по моему в коде Delphi сложнее разобраться из за горы дерьма)

Поэтому не путай PCODE и NATIVE CODE

PCODE уже никто не использует (NATIVE CODE даже самим бейсиком используется по умолчанию)

Slavon :: GPcH пишет:
цитата:
Или все так VB взламывать боятся?




GPcH :: Slavon пишет:
цитата:





J :: Пришелец ты уже всех достал вали от сюда .............. САМ пиши.


diezel :: Дох%я таких я встречал. Которые просят, на халяву взломать, или они просто пантуются.
Да и кому эта прога нужна.
В инете есть проги во много раз лучше этой. Которых без обиды можно сломать.
Да и вообще таких увереных ламеров надо посылать куда подальше, где потемнее да пострашнее!!!

И напоследокGPcH не вы#бывайся! Тут люди поумней тебя!

K :: пишет:
цитата:
...


Ты, урод, вали отсюда.
Ламер, блин. За спину VB прячишся? Прога - отстой!

Баран-кастрат.

Kerghan :: а че так жестоко

nice :: Kerghan
Согласен, по крайней мере автор никого не оскорблял.
Я смотрел его программу, поломать пока не получилось, ошибок там действительно хватает, только спасает сам бэйсик, но садится я за неё больше не хочу, слишком код размазан.

WELL :: GPcH
Кстати, у меня когда нажимаю на «О проге» вываливается ошибка и прога отрубается.
Это баг или фича ?

GPcH :: WELL пишет:
цитата:
Кстати, у меня когда нажимаю на «О проге» вываливается ошибка и прога отрубается.
Это баг или фича ?


Ты скорее всего ее не инсталлировал, а распаковал и запустил.

Чтож, попробуй запустить файл RegDLL.exe из папки с программой,
или зарегистрируй ActiveX comctl.dll сам вручную.

GPcH :: nice пишет:
цитата:
Я смотрел его программу, поломать пока не получилось, ошибок там действительно хватает, только спасает сам бэйсик, но садится я за неё больше не хочу, слишком код размазан.


Плиз опиши поподробнее ошибки, так как если все ActiveX’ы нормально зарегистрировать
с помощью утилиты, входящей в комплект программы regdll.exe, то ошибок в проге практически нет

WELL :: GPcH
Понятно. На досуге обязательно дальше поковыряю.

GPcH :: K пишет:
цитата:
Ты, урод, вали отсюда.
Ламер, блин. За спину VB прячишся? Прога - отстой!

Баран-кастрат.


Ты не ~ ывайся, пришелец К

Лучше скажи, что ты в этой жизни в области крэка или программирования
полезного сделал, чтобы не считать тебя ламером?

И поверь, я пишу на VB не от того, что я C++ и Asm не знаю, а от того,
что программы на VB при равной сложности пишутся раз в 10 быстрее,
чем на C++ м раз в 10e99 быстрее, чем на Asm

И вообще хватит разводить флейм - если взламывать нет
желания, лучше выйди из этого топика, а не обсирай!!!

GPcH :: WELL пишет:
цитата:
Понятно. На досуге обязательно дальше поковыряю.


Спасибо. Если что получится - пиши мне на мыло

WELL :: GPcH
Раз уж ты используешь sfx-архив вместо инсталлятора, то сделай в проге проверки на зарегенность компонентов.
Чтобы как у меня с About’ом не получилось

GPcH :: WELL пишет:
цитата:
Раз уж ты используешь sfx-архив вместо инсталлятора, то сделай в проге проверки на зарегенность компонентов.
Чтобы как у меня с About’ом не получилось


OK

nice :: GPcH
Знаешь ошибки такого плана:

OpenFile(«хаker.key») - или как там в бэйсике
ReadString

Бэйсик не найдя такого файла «проглатывает» ошибку проскакивая несколько операторов вниз...
Но правильно будет написать:
если файл(хакер.кей)существует? тогда
обработать файл
иначе
продолжить.

Я встречал около 3 такого рода ошибок.
И при запуске, когда происходит инициализация базы тоже отладчик матерился как сапожник, она у меня вообще не запускалась, пока я не запретил отробатывать эту ошибку.

Насчет бейсика, рекомендую тебе взять Delphi

GPcH :: nice пишет:
цитата:
Знаешь ошибки такого плана:

OpenFile(«хаker.key») - или как там в бэйсике
ReadString

Бэйсик не найдя такого файла «проглатывает» ошибку проскакивая несколько операторов вниз...
Но правильно будет написать:
если файл(хакер.кей)существует? тогда
обработать файл
иначе
продолжить.


Огромное спасибо за совет - я действительно так делал!
В новой версии напишу обработчики
Может расскажешь, чем отлаживал, что «такое» отлаживать мешало?
nice пишет:
цитата:
Насчет бейсика, рекомендую тебе взять Delphi


Не, друг, C++ рулит однако!!! Хотя Delphi я тоже немного знаю (на уровне несложных прог)

nice :: GPcH
Отлаживал я OllyDbg 1.10b
http://www.wasm.ru/tools/9/odbg.zip

C++ сложнее чем дельфи, а дельфи в свою очередь чуть сложнее бэйсика.
Дельфи ничуть не уступает С++, писать просто и получаются оочень мощные приложения.
По скорости компиляторов VisualC быстрее чем Delphi но не на мног, и в некоторых приложениях скорость такая же или меньше, не говоря уже о KOL (супер компонента для delphi). Всё выше написаное моё ИМХО.

GPcH :: nice пишет:
цитата:
Отлаживал я OllyDbg 1.10b
http://www.wasm.ru/tools/9/odbg.zip


Видел такой.
Может подкинешь ссылку на русский хелп к нему, а то я
сильно к Win32DASM’у привык - ни StringReferences, ни
встроенные патчеры в нем не нашел.

nice пишет:
цитата:
C++ сложнее чем дельфи, а дельфи в свою очередь чуть сложнее бэйсика.
Дельфи ничуть не уступает С++, писать просто и получаются оочень мощные приложения.
По скорости компиляторов VisualC быстрее чем Delphi но не на мног, и в некоторых приложениях скорость такая же или меньше, не говоря уже о KOL (супер компонента для delphi). Всё выше написаное моё ИМХО.


Что за KOL? Может ссылку подкинешь? Или хотябы расскажи для чего нужна

AlexZ CRaCker :: KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/

GPcH :: AlexZ CRaCker пишет:
цитата:
KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/


Спасибо за подробности, обязательно посмотрю

GPcH :: AlexZ CRaCker пишет:
цитата:
KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/


Посмотрел - меня порадовало

Правда это все равно изврат над Delphi




ZX Нужна инфа по StarForce Подскажите плиз где нарыть статьи по этой защите....



ZX Нужна инфа по StarForce Подскажите плиз где нарыть статьи по этой защите. Заранее всем спасибо!
infern0 :: сегодня на форуме васма был оччень интересный пост на эту тему...

Styx :: Я тебе пару статей на мыло скинул

DiveSlip :: Styx , может и мне скинешь?

Styx :: Отправил

DiveSlip :: Спасибо

ZX :: Styx
Спасибо.
Есть чем заняться на субботу и воскресенье! :)))


Ромка :: Значит сегодня на amit.ru кто то запостил штуку следующего содержания.
Не знаю, стоит верить или нет.
Вообщем цитатки:

цитата:

Starforce элементарно исследуется под S-Ice (не нарушая целостности «дров»), а после изменения нескольких байт в одном из «дров» (в памяти, т.к. на диске они зашифрованы) - дампится на диск. И защита(dll), и сам образ программы в момент запуска находятся в ring 0 после перехваченых int 1 и int 3. Защита строится на сквозном размещении модулей в памяти (программа - с 400000h до 6b2000h, а protect.dll - c 690000h до da2000h, выполняется через VXDLDR_PELDR_...). Учитывая то, что после загрузки импорта (в dll), сама dll выгружается (VXDLDR_PELDR_InitCompleted), восстановить таблицу импорта по дампу программы невозможно - (если не выполнить пару несложных операций :) ). Думаю, для практического взлома все основное я сказал - остальное - додумайте сами.



цитата:

Starforce элементарно исследуется под S-Ice (после изменения 4-х байт в памяти до запуска игры). Изменив еще 24 байта в памяти, становится доступным снятие дампа и восстановление таблицы импорта. Вся изюминка заключается в «незаконном» расположении модулей Starforce в памяти (программа грузится с 400000h до 6b2000h, например, а protect.dll(или по-другому, но с теми же функциями) - с 690000 до da2000h). Таким образом, загрузив dll и импорт, сама dll выгружается - и все, по дампу программы никакого импорта не восстановишь (если, естественно, не сможешь задержать саму dll в памяти). Если кто будет пользовать такой метод, в GDT и LDT ее можно не искать - она в ring 0, но со стандартным для PE значением базы - от 400000h (cs=0028, т.е ring 0)



Я чайник, всё равно не волоку, но говорит ли это о чём нибудь? Просто интерессно.

-=atol=- :: Styx, может и мне скинешь?

Ромка :: Ещё было добавлено:

цитата:
для того, чтобы SF перестал ругаться на S-Ice, открываем S-Ice нажатием Ctrl-D, вызываем окно данных (команда «wd»), вводим «d 0028:c002eeda» (адрес контрольного блока виртуального устройства S-Ice), нажимаем Alt-D, правим в окне первый байт (02h на 01h), передвигаемся на четыре байта вправо, видим слово - SICE, правим первую букву с 53h (S) на 63h (с), или на что-угодно другое. Далее, переходим к устройству SIVWID (устройство WINICE), оно у нас по адресу c001fda4h, набираем в S-Ice: «d 0028:c001fda4h», правим первый байт с 5Fh на 5Eh, идем на 4 байта влево и правим слово SIVWID (первого байта будет достаточно, чтобы сделать S-Ice неузнаваемым для любых защит). Нажимаем снова Ctrl-D (S-Ice убирается)и запускаем игру - всё, для StarForce отладчика не существует. Относительно правки драйверов для снятия дампа - выпляваем в S-Ice, вводим команду «driver ntkernel», смотрим адрес инициализации, идем по нему, передвигаемся вниз до таблицы VXD вызовов. В них правим: VMMCall LinPageLock(CD2063800100), VXDLDR_PELDR_Remove_ExportTable (CD200D802700h), VXDLDR_PELDR_InitCompleted(CD2010802700h) на 33C0B001F8C3
(то есть, xor eax,eax; mov al,1;clc; ret) - защита думает, что функция нормально отработала, хотя на самом деле, мы ее вернули без захода в функцию и поставили успешный исход выполнения операции (снятый флаг CF и единица в eax). Да, чуть не забыл: перед правкой наименований драйверов S-Ice грузим IceDump и затем, после выполнения всего вышеописанного идем опять в S-Ice, командой addr выводим таблицу процессов, выбираем имя процесса(как правило, имя игры), вводим команду переключения контекстов (addr НОМЕР_КОНТЕКСТА_ИЗ_КОМАНДЫ_addr), смотрим адрес cs:400000h, запускаем icedump командой /dump ADDRESS LENGTH FILENAME
где:
- LENGTH - длина дампа, как правило, = размер программы + размер dll
- ADDRESS - начало имиджа программы, как правило, 400000h
- FILENAME - имя файла, куда сохранять дамп.
Хотя, как правило, после выполнения вышеперечисленных действий, можно воспользоваться PETOOLS и выбрать там функцию «Dump region», сняв дамп с программы и вышестоящей dll одновременно.


MoonShiner :: Интересно... Но че то мне в это не верится. Надо раздобыть игрушку какую нить.

Ромка :: Вот тут ссылка на форум, там некий EC даёт советы, ты толковый, может спросишь его по существу, что тебя интересует.

MoonShiner :: SF ругается на айса совсем по другим причинам.... А не потому что его обнаруживает. Им жить вместе скучно:) Странно, блин, и ни одна скотина игрушку не дает:(

Styx :: Может кто попробует этот способ? Интересно всё ж, если всё так получается как написано, то Star-у вилы

RideX :: MoonShiner пишет:
цитата:
Интересно... Но че то мне в это не верится.


Мне тоже :) Ничем не подтверждённые «советы» - это просто болтовня.

Ромка :: Этот человек разместил на wasm.ru более подробное разъяснение.
ССЫЛКА
Как говорится, на безрыбье и рак рыба

RideX :: Здесь вообще суперлохотрон, неужели есть такие люди, кто может купиться на эту лажу?
http://www.wbm-hack.by.ru/starforce.html

Ромка :: Генератор ключей по видимому никто так и не купил
А то что этот генератор лохотрон, там огромными буквами написано.

RideX :: Ромка пишет:
цитата:
Этот человек разместил на wasm.ru


Конечно, хочется верить что может что-то получиться :)

X0E-2003 :: Styx может мне тоже скишешь ?
Если от ASmax, то не надо

Styx :: Они самые (Asmax), других у меня нет
Может у кого-нить есть другие?

KLAUS :: Тут погляди:
http://www.team-x.ru/info...ticle=coding/cracking//15




XPiS Вот вам неломаемый крэкми Он не совсем мой и не совсем крэкми.



XPiS Вот вам неломаемый крэкми Он не совсем мой и не совсем крэкми.
Прога восстанавливает удаленные файлы. Состоит из 1(!) exe-шника (137 216 байт). Delphi.
Вроде можно вводить ключ, но, долго с ней сидел и понял, что она демо. Но дело не в этом.
Она может восстанавливать файлы до 65000 байт размером. Если больше, то никаких оповещений - просто
не хочет. Как найти эту проверку? Ведь с ней прога 100% рабочая. Перепробовал все.

http://xpis.narod.ru/Crackme.rar
[ChG]EliTe :: Че то мне кажеться что речь идет про «Back to Life».. Хотя архив еще не качал... Да может и не буду качать
Почему ты назвал её crackme ??? Или у тя Крякми это все проги мира которые требуют регистрации?

MozgC [TSRh] :: ищи в экзе число FD E8 либо в иде текстом ищи FDE8h

XPiS :: искал - нашел пару, но поненяв, убедился, что это не оно. (на 1 больше и меньше тоже искал)

WELL :: XPiS пишет:
цитата:
искал - нашел пару, но поненяв, убедился, что это не оно. (на 1 больше и меньше тоже искал)


Ну ты саму проверку поищи в районе этих чисел.

XPiS :: Да не дурак автор - сразу видно. Все с умом. Просто так этот байт снаружи не будет. Надо свежая идея.

Raw :: по адресу 40b457 есть сравнение с fde8. код в этом месте зашифрован, смотри под отладчиком.
вопщем копай в этом районе, если тупо поменять джамп после этого сравнения прога все равно работать не будет...

XPiS :: Все ражно - надо нормальная идея.

Raw :: нормальная идея - это как? написать тебе по каким адресам какие байтики поменять? рад бы, да сам не знаю...
где гнездится защита, я тебе показал, попробуй там покопать...
глянь на строку перед 40b40a6 - там в памяти будет размер (что радует - там dword ptr)... посмотри на call перед ним.. разберись, почему размер туда попадает, если тока он ‹ FFFF, а иначе попадает 0. имхо нормальная идея - ковырять процедуру защиты (40b1b8-40b8c8)...

XPiS :: Что за 40b40a6?

Raw :: пардон 40b4a6




diezel Помогите взломать Тут есть одна прога «Соло на клавиатуре 8.1» 2004...



diezel Помогите взломать Тут есть одна прога «Соло на клавиатуре 8.1» 2004 года выпуска,
Она просит регистрации.
Не знаю на какой бряк ее надо поставить, может кто подскажет.

В инете нашел несколько кейгенов, а они все не работают.
Кнопка регистрации все равно не доступна!

За ранее Thanks
DiveSlip :: Ну так хотя бы линк и размер указал бы...

Styx :: http://www.ergosolo.ru/download/Solosetup.exe

4,2 Mb - жаль, слишком уж для моего кривого модемного

Может кто обрежет её до более приемлемых размеров

ZX :: Кинь свой номер, который генерит прога и версию экзешника.

DiveSlip :: Styx
Что-то твоя ссылка у меня не работает, пришлося по этой закачивать
http://www.ergosolo.ru/do.../full010404/Solosetup.exe

XoraX :: diezel , на вот..
solo.on.the.keyboard.8.1.1.2.cracked.exe-rev.rar

качай тут..

diezel пишет:
цитата:
Не знаю на какой бряк ее надо поставить, может кто подскажет.


я, например, без отладчика сломал, только ида. там все легко.

WELL :: Если exe-шник 8.1.1.1 то распаковывай UPX’ом и по адресу 0040460B NOP’ь xor al,al
А если exe-шник 8.1.1.2 то по адресу 00405230 меняй байт на C3
А бряки в айсе на GetWindowTextA при вводе номера, а там уж и на процу проверки выйдешь.

diezel :: Всем впасибо!

Сменя виртуального ПиваСи




ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-ч



ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-чё подправил теперь диск не просит, но выдаёт сообщение об ошибке и вообщем-то правильно делает - большую часть ресурсов она хавает с диска. В реестре нашёл пути указывающие прямиком CD, подправил на C:\Pro... , но это нифига не решило (вылетает ещё одна ошибка), она видно , проверяет ,что-ли, такие дела.
Вообщем жду ваших капитальных советов и предложений. По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).
Kerghan :: ADVANCED пишет:
цитата:
По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).


иш размечтался :) вообще можешь ollydbg взять, даже 5ти метровые экзешники у меня брал. Ставь бряки на CreateFile, OpenFile.... Ну и строки поищи с путями

MC707 :: А возможно еще использование такой API функции, как GetDriveType()

ADVANCED :: Я вообщето начинающий.
цитата:
Ставь бряки на CreateFile, OpenFile....


Не понял я как это в ollydbg делать

ADVANCED :: Я, там где GetDriveTypeA изменил 5 на 3, там где GetVolumInformation изменил jne на jmp. Но там остаётся куча WriteFile, CreateFile - как понять что мне нужен именно этот; и ещё там есть GetDiskFreeSpace, но там нет ниединого перехода! ЧЁ делать белому человеку в этой Африке?
Kerghan пишет:
цитата:
Ставь бряки на CreateFile, OpenFile


Заодно объясните, а OpenFile здесь причём.И какие API ещё могут использовать программеры в гнусных целях?

ADVANCED :: ПРИЯТНО ПОГОВОРИТЬ С УМНЫМ ЧЕЛОВЕКОМ

(в смысле ADVANCED vs ADVANCED)

nice :: ADVANCED
Чем ковыряешь?
Если OllyDbg, то отладчик отчетливо показывает:
PUSH 00433333 ; e:\hero3\music.pak
....
CALL CreateFileA

А бряки ставить:
ALT+F1: BPX CreateFileA - появится список, выбирешь там
Или BP CreateFileA - Прям в системной библиотеке бряк

ADVANCED :: nice пишет:
цитата:
e:\hero3\music.pak


К сожалению (или к счастью) это не третьи герои, а карта моёго города.

nice пишет:
цитата:
А бряки ставить:


Спасибо, что сказал.

sanek :: Если так хочется но не как не получается, то можно виртуальный диск создать (программ навалом, и даже обходящих защиту, не всю правда!!!) и с него юзай свою карту.
Т.Е. создаешь образ с диска с помощью программы(Paragon, virtual cd, .....), только место на винте занимает в размере диска и все. Попробуй!!!!!
Да и возможно потребуется windows commander, через проводник не всегда открывается.

ADVANCED :: sanek пишет:
цитата:
можно виртуальный диск создать


Это то можно, но не интересно. Уж очень хочется её сломать.

ADVANCED :: Екатеринбург - тот самый город.

Может есть кто оттудова.

Гость :: sanek
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)
ADVANCED
с сайсом дружить не обязательно, тем более щас на все (почти) проги ставят детект. А какая еще ошибка у тебя вылетает после правки путей? (последнее время очень интересует меня отучение всяких софтваров от cd - винт не резиновый...!)

ADVANCED Re: Гость :: Ошибка:

Ошибка инициализации:
EAccessViolation.

цитата:
- винт не резиновый...!)


К тому же работает без дисков и образов работает намного быстрее.
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.

Гость :: ADVANCED пишет:
цитата:
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.


так же и с играми

ADVANCED :: Гость пишет:
цитата:
А какая еще ошибка у тебя вылетает после правки путей?


Ошибка:

Ошибка инициализации:
EAccessViolation.

Гость, тебе это ни о чём не говорит?

Гость :: Стандартная мастдаевская ошибка... 8) 8(

ADVANCED :: А возможно совмещение защит т.е. GetDriveType() + некая извращённая защита(не API)?
Киньте сылочек на туториалы по теме «извращённая защита(не API)».

Некто Fess писал:
цитата:
Почитайте статьи ASMax’a на www.reversing.net.


Но помоему www.reversing.net не существует
Может где-нибудь ещё есть статьи ASMax’a или кого-нибудь ещё.

sanek :: Гость пишет:
цитата:
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)


На самом деле место на винте занимается только в размере CD сам эмулятор весит не более 0.5 мб.
А для исследования обращений программы к CD даже очень полезно.
Да и скорость работы такая же как и с винта и CDюк не гробишь, и диск можно взять на прокат снять образ и пользоваться без проблем. А захочешь сломать так он и под рукой всегда.

ADVANCED ::
цитата:
6) Другие виды проверки
Теория: Бывают и другие сильно замусоленные проверки
Как часто встречается:
На дисках компании «Русобит»
Метод взлома:
Почитайте статьи ASMax’a на www.reversing.net


линки на статьи о сильно замусоленных проверках пожалуйста подкиньте

SeeKeR :: нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком

SeeKeR :: ADVANCED
поломал прогу ? или сдулся ?

ADVANCED :: SeeKeR
Я в оффлайне - баблосы кончились. Пока не сломал.
SeeKeR пишет:
цитата:
нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком


Скажи это ты про «Русобит» или ты из Е-бурга?
Если второе то можешь как нибудь поконкретнее что где и как а то я уже задолбался - знаний не хватает

SeeKeR :: я про карту

ADVANCED :: SeeKeR
это канечно очень, очень хорошо, что-нибудь по типу туториала можно?

SeeKeR :: поправить надо следуюющие вещи:
1. GetDriveType
2. GetVolumeInformation
3. Идет проверка контрольной суммы файлов (ВНИМАНИЕ!!) находящихся в корне !!!!!! диска забитого в реестре
то есть если в реестре SGODir=d:\FolderVasya\SGO, то проверятся будет не d:\FolderVasya а d:\

все ! удачи

SLV :: Кто пробовал править KERNEL32.DLL так, чтоб харды стали CD-ROM-ами (mov eax,00000005 на mov eax,00000003)? Я поменял, всё OK, но файлы сразу же удаляются безвозвратно... Кто нибудь знает как эту хрень подправить???




SeDoYHg 2 MozgC (воруют по тихоньку :-() Вот, совершенно случайно набрел на...



SeDoYHg 2 MozgC (воруют по тихоньку :-() Вот, совершенно случайно набрел на эту статтейку, и мне её текст показался очень знакомым ;-). Думаю тебе будет интересно узнать кто же ёё «настоящий автор» =). То что у тебя своровали
CReg [TSRh] :: Да, но только хрен, который это украл, был слишком туп, поэтому там можно видеть такое, что его выдает:

цитата:

Q: Читал статьи по распаковке программ, в частности по распаковке AsProtect, и там почему-то пишут, что надо ставить breakpoint на esp-4 или esp-24 для нахождения OEP. Почему?
A: Привожу отрывок из своей статьи ( MozgC ):


MozgC [TSRh] :: Офигеть...
Спасибо за инфу, ченить придумаю, обидно конечно просто когда пишешь фак 5 недель а потом видишь такое...

Noble Ghost :: И что планирует предпринять г-н Мозг?

RottingCorpse :: Вот и устроить плагиатору FuCK на 5 недель... чтобы неповадно было

CReg [TSRh] :: Все очень просто :)
Заходим вот сюда: _http://www.narod.ru/guestbook/?owner=13465229
И пишем, все что думаем об этом ламере.
Там конечно

цитата:
Гостевая книга модерируется: ваше сообщение будет опубликовано только после просмотра владельцем сайта


однако владелец сайта о себе узнает много нового :)))
МОЧИИИ! :))

Drewler :: Да там одни придурки, вы только гостевуху их почитайте

RottingCorpse :: Посильный взнос в рассказ плагиатору о том - кто он есть - внесен :) пускай читает

MozgC [TSRh] :: =)

Noble Ghost :: RottingCorpse пишет:
цитата:
Посильный взнос в рассказ плагиатору о том - кто он есть - внесен :) пускай читает


/me сделал то же самое.

CReg [TSRh] :: Цитата с сайта этих кулхацкеров :)))

цитата:

Tvik3r: Не, я не пидар!!! Это они все зоофилы и пидары. Ты на меня не гони, я к тебе вопросов не имею. Да и ты меня, скорее всего, просто неправильно понял. И я не хуекер!!! Да, викинг (aka Ваня Морев (rusmult.narod.ru)) - пидар. Дюха и я - нет. Мы просто смотрели разок, как Викинг и Саша С. трахались, но помоему он ещё с гудовым трахался. Здесь только два мужика - я (checker) и духа. И мы не зоофилы. И меня не ебёт, почему ты тут так подписываешься, мне просто похеру!!! А хач внатуре урод, мы с ним вчера пиво пили, так он мне рассказывал, как с викингом трахался.
А вот про серъёзные дела - в самое яблочко. Тут никаких серъёзных дел, здесь только языком жопой.



Noble Ghost :: мдааа... Может их лучше не трогать, а то обидятся ещё. Артурика все помнят?

CReg [TSRh] :: Да, лучше не связываться с ними - еще изнасилуют

odIsZaPc :: А может проще: е*ало разбить (два раза :))??? А то я такие поступки не уважаю совсем...

SLV :: http://viking-stdex.narod.ru/softvzlom6.htm
цитата:
Welcome ][akep’s!!!




Styx :: Я бы их всех кастрировал для пущей безопасности, а то вдруг наплодяться и помоему у них там все статьи спёртые

SeDoYHg :: Styx пишет:
цитата:
Я бы их всех кастрировал


У меня есть старый, дедовский ржавый серп. Могу по почте выслать

CReg [TSRh] :: SeDoYHg пишет:
цитата:
У меня есть старый, дедовский ржавый серп. Могу по почте выслать


=)))

MoonShiner :: Прикольно:) Мозгоё... МозгЦ становится популярным:)

SeDoYHg :: MoonShiner

Завидуешь ;-).

MoonShiner :: SeDoYHg , дык да:) Я такой популярности не достиг, как мой ученик:)

MozgC [TSRh] :: MoonShiner пишет:
цитата:
SeDoYHg, дык да:) Я такой популярности не достиг, как мой ученик:)


=) Respect учителям =)

Bad_guy :: MoonShiner пишет:
цитата:
МозгЦ становится популярным


Вот-вот так и надо к этому относится - если у тебя воруют объекты авторского права - значит ты можешь собой гордиться. А да мелочей зачем опускаться ? Вот можно было бы вообще закрыть сайт, где сворованная статья, но зачем ?

Bad_guy :: Когда нибудь я расскажу как можно легко закрыть ЛЮБОЙ сайт на народе.ру, когда окончательно перейду на www.cracklab.ru

MozgC [TSRh] :: Bad_guy
Да обидно. Тебе бы не было обидно?
Я кстати там только 1 сообщение написал, полностью приличное, так что ко мне претензий нет =)

MozgC [TSRh] :: Bad_guy
Ты по почте мне расскажи щас =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
Ты по почте мне расскажи щас =)


Тебе расскажу.

Bad_guy :: MozgC [TSRh]
Держи письмо...

Bad_guy :: Вот кстати по теме: у меня валяется 32 статьи - я не знаю кто их авторы или не могу с ними связаться для того чтобы спросить разрешения о размещение, только знаю сайт откуда они скачаны. Вот могу ли я их разместить или нет - не знаю. Я конечно не собираюсь заявлять, что их писал я, но всё же... Как думаете ?

MozgC [TSRh] :: Я вообще думаю надо ужесточать отбор статей...

Bad_guy :: MozgC [TSRh]
А я как-то спрашивал - надо ли удалить старые статьи, что-нибудь из того что есть. Все сошлись во мнение, что не надо удалять ни одной статьи. Так что я только откровенный бред не пропускаю на сайт и путаницу и слишком простые статьи (продление триала, снятие защиты GetDriveType)...

MozgC [TSRh] :: Я не против того чтобы оставить все старые статьи, я просто на твоем месте бы начиная с новых статей ужесточил контроль.

Bad_guy :: MozgC [TSRh]
Только про кейгены статьи выкладывать ?

RottingCorpse :: Дельно! Выкладывай, народу интересно почитать и с3.14здить будет :) чтобы на народе разместить...

Styx :: Тока давайте без фанатизма, а то так все сайты на народе пофигасить можно

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Только про кейгены статьи выкладывать ?


Нет конечно дело не в этом, просто иногда ощущение что ты вообще не читаешь те статьи, что выкладываешь, или читаешь невнимательно. Потому что имхо если бы читал внимательно, выкладываемых статей было бы меньше.

Chirurg :: Философское...
Мы воруем деньги у разработчиков, у нас воруют авторство, у народа - национальное достояние. Все воруют у всех. Чего уж тут возмущаться.
Давайте делать триальные краки и продавать к ним рег.код за деньги...

MozgC [TSRh] :: Chirurg
Ты не прав. Я же не ворую авторство программы у ее автора. Да и похоже ты не попадал в мою ситуацию. Я не возмущаюсь, но мне неприятно.

Gollum :: Да я вот тоже заметил, что уж очень простые и иной раз даже тупые статейки выкладываются...

AlexZ CRaCker :: MozgC [TSRh] пишет:
цитата:
Я вообще думаю надо ужесточать отбор статей...


Это точно.
ИМХО статьи типа «Как зарегить прогу ХХХХХ» вобще не нужны. Статьи должны содержать объяснения и алгоритмы взлома, а не такое: «Начинаем трэйсить (F10) с 00ХХХХХХ, и на 00YYYYYY пишем d EAX-4. Поздравляю, ты сделал это!» . В итоге новоиспечёный крэкер ничё не понял(ни «трейсить», ни «бряк»), но зарегил прогу. И толк от этого?
Уж если выкладывать «Как зарегить прогу Х», то Прога Х должна быть дествительно с приличной защитой. +Комменты.
Всё лишь IMHO, но может кто тоже и согласен.

Kerghan :: AlexZ CRaCker
не, ну ты не совсем прав. Тем кто первый раз отладчик в руки взял лучше с таких статей начинать, но я думаю их все же по минимуму должно быть, а то просто все, кому не лень хотят тутор написать, ну раз мозгов чегон-ть путевое написать не хватает, то и пишут про то, как вчера патчили винрар(и то криво :-\ )
ЗЫ винрар посто пример

Bad_guy :: MozgC [TSRh] пишет:
цитата:
просто иногда ощущение что ты вообще не читаешь те статьи, что выкладываешь, или читаешь невнимательно.


Это чистая правда. Когда у меня накапливается по 5-10 статей читать их все подряд уже нет никакого желания. А сразу читать как то не получается. Из этих 5-10 статей у меня прочитаны 1-2. Ну а уж если я статью прочитаю - я по полной программе начинаю до автора докапываться, если что-то неправильно.
Теперь я сделал возможность оставлять комментарии к статьям и ставить оценку - со временем, думаю, буду этим пользоваться для удаления «плохих» статей.

MozgC [TSRh] пишет:
цитата:
Я же не ворую авторство программы у ее автора.


А что, можно попробовать - «SoftICE by MozgC» :)

Gollum пишет:
цитата:
Да я вот тоже заметил, что уж очень простые и иной раз даже тупые статейки выкладываются


А вы на меня ругайтесь по мылу - зачем мол такую то статью разместил, это ведь бред.
А то все сидят тихо - я и думаю, что всё ОКей.

Kerghan пишет:
цитата:
пишут про то, как вчера патчили


Да уж, статьи про патч меня уже точно задрали... Пожалуй буду теперь только если патч в крайнем случае был нужен статьи выкладывать. А так пускай уж хотя бы пароль ищут или кейген или лоадер на худой конец делают.

CReg [TSRh] :: Bad_guy пишет:
цитата:
или лоадер на худой конец делают.


ИМХО хуже лоадера ничего не бывает. Это неудобно и вообще криво
А то я как-то видел статью про лоадер для мирки... Это же ужас просто.

WELL :: Вообще самый здравый способ возлома - кейген. Высший пилотаж, так сказать.
А насчет статей про взлом конкретных прог, то для новичков зачастую лучше практика, чем теория. Хотя, наверное, кому как. Но, имхо должны быть статьи и про конкретные проги (с сопутствующими объяснениями, конечно, а не просто какие байты где исправить).

MozgC [TSRh] :: Смерть создателям лоадеров =)

А вообще, Bad_Guy, дело не в том, патчится программа в статье или кейгенится, дело в том как в статье объясняется, что извлечет из нее для себя читатель и т.д. Да и патчи бывают ОЧЕНЬ СЛОЖНЫЕ, но дело не в этом... Можете тебе взять кого-нить на модерирование статей, только у этого «кого-то» должен быть более менее уровень и опыт.

Bad_guy :: CReg [TSRh] пишет:
цитата:
ИМХО хуже лоадера ничего не бывает.


может быть.

MozgC [TSRh] пишет:
цитата:
взять кого-нить на модерирование статей


Я и хочу взять. Но пока я панель авторов с точки зрения модератора не сделал - то есть статьи то на сайт сохраняются, а вот где они и как их оттуда вычепить знаю только я - короче как сделаю панель (скорее всего уже после открытия сайта) так и модератора возьму - так будет гораздо лучше.

MozgC [TSRh] :: Ты не про закачку статей через PHP интерфейс ?

Bad_guy :: MozgC [TSRh] пишет:
цитата:
Ты не про закачку статей через PHP интерфейс ?


Ну как сказать - наверное про неё. Автор сам сабмитит статью, а модератор будет подтверждать ее размещение или удаление - воит и всё.

MozgC [TSRh] :: Используй move_uploaded_file чтобы скопировать статью из темп файла куда надо.

ViNCE [AHT] :: Bad_guy пишет:
цитата:
Вот-вот так и надо к этому относится - если у тебя воруют объекты авторского права - значит ты можешь собой гордиться. А да мелочей зачем опускаться ? Вот можно было бы вообще закрыть сайт, где сворованная статья, но зачем ?


Согласен... В Инете куча таких «чудо»-сайтов, на которых «ХАКИНГ\ФРИКИНГ» и т.п. а толку-то? Они все воруют чужие статьи... даже не указывают автора и тем более его не спрашивают...




Ra$cal Объясните неразумному.... В программе вижу TEST EAX,EAX Ну и как это...



Ra$cal Объясните неразумному.... В программе вижу TEST EAX,EAX Ну и как это понимать. Регистр сам с собой сравнивается или со значением, которое было туда положено перед тем, что там сейчас. И какие способы с этим разобраться?????
CReg [TSRh] :: Ra$cal пишет:
цитата:
В программе вижу TEST EAX,EAX Ну и как это понимать.


Логическое умножение (побитовое). Не портит первый операнд. Используется для выставления флагов.
Ra$cal пишет:
цитата:
И какие способы с этим разобраться?????


Прочитать книгу по ассемблеру.

WELL :: Обычно после TEST eax,eax идет условный переход в зависимости от значения флага.

dMNt :: еще добавлю от себя :) обычно такая конструкция для проверки используется: ноль или не ноль

SLV :: Обычно перед этим test eax,eax есть call. Входишь в него и пишешь xor eax,eax; inc eax; ret.

XoraX :: SLV
плохой совет. ведь такие call’ы далеко не всегда отвечают за регистрацию. это ведь могут быть простые безобидные функции.
лучше ничего не править наугад.

infern0 :: WELL пишет:
цитата:
Обычно после TEST eax,eax идет условный переход в зависимости от значения флага.


видать с оптимизирующими компиляторами ты на сталкивался... Переход может быть далеко не сразу после, да и вообще перехода может не быть а будет например setnz...

MozgC [TSRh] :: infern0
Он же сказал обычно, зря ты к словам придираешься.

RottingCorpse :: гы

33, C0, 40, EB, XX :)

Nitrogen :: RottingCorpse
33c040c3 в процедуре проверки рулит ;)

RottingCorpse :: зато знаешь как рулит СС когда под рукой нету отладчика,а нужно определить место «западла» ? :-))))

Ra$cal :: То есть таким образом правильный рег проверяться не может??? Это я смотрю crackme Zephyrous #2. Пропачить элементарно, как узнать правильный рег?????




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




Anxiety СКАЧАЙ IDA Pro 4.5... IDA Pro v4.5



Anxiety СКАЧАЙ IDA Pro 4.5... IDA Pro v4.5

Сейчас ее можно качать с www.ttdown.com (...сайт весь в красивых рагулях)

http://five.ttdown.com:81...20v4.5.0.762.CR.part2.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part3.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part1.exe
http://five.ttdown.com:81...20v4.5.0.762.CR.part4.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part5.rar

Хотелось бы знать в чем отличие версии 4.5 (10мб) от версии 4.3 (30 мб)
Что урезали?

MC707 :: Ничего не урезали. А добавили. А 10М - это скракед демо. В 4.5 отладчик есть теперь.

MoonShiner :: Да. У меня ИДА 4.5 с СДК занимает 29 мегов. Так что эта ботва - демка.

MC707 :: MoonShiner
Странно. А у меня 4.5 - 47 метров...

MoonShiner :: У меня в архиве... :)

Styx :: У меня как у MC707 - Retail

WELL :: У меня 4.5 около сорока Standart-версия с ключиком.

WELL :: С http://www.ttdown.com/ я тоже качал - фигня.

MaZaFaKeR :: А у меня её вообще нет...

RottingCorpse :: а я вообще 3.86 юзаю :)

ZX :: MC707 пишет:
цитата:
В 4.5 отладчик есть теперь.


где брал, если не секрет?

MC707 :: ZX
на ftp.exetools.com

ZX :: MC707
Там уже нет.

искал, но везде версия без отладчика

MC707 :: ZX
Очень плохо искал. Я только что оттуда.

ftp://ftp.exetools.com/SH...E/IDA.Pro.4.51.770.Retail/

Вот это не подскажешь что такое?

ZX :: Спасибо, конечно, но там пароль просят, по ходу опять поменяли.

MC707 :: ZX
Они его щас каждый день меняют.
И зайти и посмотреть - сложно, да?

ZX :: Регистрация прикрыта

MC707 :: ZX
Нда... Ну оставь тогда свое аську или на крайняк мыло. Я тебе по дружбе пасс скажу :)

XoraX :: дайте лучше ida 4.6

RottingCorpse :: или ida longhorn , а может IDA/2, или idaX :)

-=[DRUID]=- :: Зашел я exetools.com а там последнее 2002 то делать или адрес не тот?

MC707 :: -=[DRUID]=-
У них в основном сейчас все действие на форуме и на фтп творится
А сайт толи забросили, толи некогда им заниматься. Либо специально

V0ldemAr :: Сейчас качаю оттуда
http://yachtseajays.com/i...A_Pro_4.51.770_Retail.rar

[RU].Ban0K! :: V0ldemAr
Пошло качаЦА Спасибо а линк... там и правда 29 мегов




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!...



XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!
понимаю, что есть ImpREC, но бывает, что он некоторое не узнает. в аспре конечно можно угадать в большинстве случаев, но все равно
ZX :: Эт щас тебе всего много наговорят, а лучше всего использовать инструменты(отладчик, дизассемблер) и самому исследовать прогу, что из чего берется - получишь незабываемые впечатления и научишься не задавать подобные вопросы.

P.S.
Я не пытаюсь обидеть, а говорю дело.

WELL :: XanderDBB
Смотришь на адреса нераспознаных функций в ImpRec’e ставишь бряки, трэйсишь и узнаешь какие апи-шки юзаются. Вроде так.

Mario555 :: WELL пишет:
цитата:
трэйсишь и узнаешь какие апи-шки юзаются


Обычно от трейса апи протектора толку мало. Там лучше просто смотреть на принимаемые/возвращаемые значения, и на расположние функции в Iat.

KLAUS :: Прочитал бы про ручную распаковку Аспротект’а там это описанно!




Goodwin777 Olly DBG Опять проблема, опять к вам за помощью!!! Когда что то...



Goodwin777 Olly DBG Опять проблема, опять к вам за помощью!!! Когда что то хочу отладить (лишь некоторые проги), вместо анализа кода они запускаются. Надеюсь суть проблемы видна!
MC707 :: Где ж ты такие проги берешь? У меня раз наверное так было.
Скорее всего они запакованы чем-то эдаким....

Ну и в Ольке опции проверь, закладка events-›make first pause at...

WELL :: Goodwin777
Посмотри чем прога запакована

SLV :: Что за прога?

Goodwin777 :: Да шашки Макса Хорина! Может кто что с ней подскажет! А то разобраться с ней не могу. Кстати упакована она AsPack 2.12. Стрип - Шашки 1.0 или 1.1.

SeDoYHg :: Goodwin777 пишет:

цитата:
Да шашки Макса Хорина!


А что ты в них хочешь отладить?

ZX :: Дай ссылку.

WELL :: Goodwin777
Так ты прогу распаковал?

Kerghan :: нечего-то вы не знаете
1вариант. после запуска программы нажми в отладчике Ctrl+F2(иногда помогает, но запуск программы в таких случаях просто редкий глюк олли)
2вариант. Узнай EP. найстрока олли-›Events-›System breakpoint. Загружай, прога стопорнет на адресах 77.... Ставь бряк на EP. F9. усё :)

Mario555 :: Хм... никогда таких прог не видел... ссылку то всё-таки дайте...
А если на EP сделать Loop, а потом приаттачится к процессу, то тоже сглючит ?

Goodwin777 :: Седня ночью выложу! И еще cracme3 badgay (я на нем хотел научиться UPX распаковывать) такая же бредятина!

MC707 :: Kerghan
Я вообще-то про это тоже говорил

Kerghan :: MC707
блин, внатуре %-)

ilya :: Goodwin777 пишет:
цитата:
И еще cracme3 badgay (я на нем хотел научиться UPX распаковывать) такая же бредятина!


там всё нормально распаковывается при помощи Оли

Goodwin777 :: Ну так это ж я!

ZX :: Goodwin777 пишет:
цитата:
Ну так это ж я!


И что?

Goodwin777 :: У меня редко что получается по инструкции

ZX :: Goodwin777 пишет:
цитата:
Да шашки Макса Хорина!


Дай ссылку чтоль на прогу.

Goodwin777 :: Блин скачать не успел! В Яндексе поищи... Кстати я там всех выигрываю!!!

Mario555 :: Goodwin777 пишет:
цитата:
В Яндексе поищи...


Нам по твоему делать больше не фиг ? Оно вообще кому надо ? Ты создал тему и задал в ней вопрос, а потом ещё пишешь «В Яндексе поищи»... П*здец...




ZX Система сообщений форточек У меня такие вопросы



ZX Система сообщений форточек У меня такие вопросы
1) Каким образом найти откуда сообщение вышло?
2)Как определить обработчик сообщения?
В смысле того где находится эта информация и как эта структура обзывается. Где находятся сами объекты, в какой структуре и где эта структура есть.
Если кто знает поделитесь инфой.
SeDoYHg :: ZX

По-моему, тут что-то было по теме.
Система перехвата функций API платформы Win32

ZX :: SeDoYHg
Не эт не то. Интересует отслеживание сообщений, а не перехват апи.

SeDoYHg :: ZX пишет:

цитата:
Интересует отслеживание сообщений


Недопонял Тебя что хуки интересуют ? Поясни.

ZX :: Нет не хуки, а те структуры, которые используются для передачи сообщений и в процессе их обработки.

SeDoYHg :: ZX

Давай определимся в понятиях, предположим какая-то программа вызвала CreateProcess, эта апишка имеет две структуры StartupInfo и ProcessInformation, эти структуры чем то заполняются. И тебе надо знать чем? Так?

ZX пишет:
цитата:
отслеживание сообщений


Это только через хуки.

SeDoYHg :: ZX пишет:
цитата:
Стукнись в аську


У меня сейчас нет аськи

ZX :: Тогда попытаюсь объяснить что мне надо:
Описание той структуры, где производится сопоставление номера сообщения с адресом обрабатывающей это сообщение процедуры окна или контрола.

SeDoYHg :: ZX

Честно говоря, я с данной проблемой не сталкивался. Я с начала подумал, что ты именно про хуки ведешь речь, с ними я работал.

А вообще, это тебе для чего? Я не совсем представляю, что может дать эта информация.

P.S. Порылся по книгам по системному программированию - там то же ни хрена нет

ZX :: Возьми и отправь сообщение, уникальное, батону и напиши обработчик этого сообщения для батона, а потом посмотри что происходит в отладчике. Используются какие-то структуры при передаче этого сообщения, которые явно указывают на обработчик этого сообщения. Вот мне и интересно. Ну в принципе почти разобрался, а что это может дать - подумай...

SeDoYHg :: ZX

Блин, так это нужно было обрабатывать собственные сообщения... Я понял так, что ты хочешь поймать сообщение чужого процесса. Вот, блин, русский язык, гворим одними словами, но о разных вещах

SeDoYHg :: ZX пишет:
цитата:
а что это может дать - подумай...


надо помедитировать перед отладчиком

ZX ::
И опять нет. Я хочу найти точку где сообщение отправляется, именно тот SendMessage, отловив только обработчик. Во так по-моему нормально сформулировал.
Опять нафиг запутался.
Хотя, конечно, условным бряком это все отлавливается. Но если сообщение замусорить, то такой подход не прокатывает и бряк отдыхает. Но есть структура, предположительно, которая помнит, кто сделал сообщение и откуда оно послано. Ее то я и хочу поиметь. Вот и все.

SeDoYHg :: ZX

Мне уже интересно , точно помедитирую... Как наступит простветление обязательно сообщу.




блокирует закрытие Olly и проходит к tempOEP.


блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




TheOldMen Подскажите новичку У меня проблема.



TheOldMen Подскажите новичку У меня проблема.
Если програма запущена я могу иследовать ее действия спомощью SoftIce, а там с помощью addr ‹програма›, а потом bpx (или другим), например ShowMessageBoxA. Но как мне иследовать действия програми если она незагружена (addr ‹програма› видаст ошибку)
bUg. :: TheOldMen
по-моему это Unreal(Softic’ом)можно IDA.

TheOldMen Re: bUg. :: Тогда как мне определить в IDA (его работу я не понимаю) какие функции (например RegOpenKey) виполняются при запуску проги?

MC707 :: Нда... дебажить прогу без отладчика..... хехе

ViNCE [AHT] :: MC707 пишет:
цитата:
Нда... дебажить прогу без отладчика..... хехе


..и дизассемблировать без дизассемблера

WELL :: TheOldMen пишет:
цитата:
Но как мне иследовать действия програми если она незагружена (addr ‹програма› видаст ошибку)


Используй дизассемблер. Например IDA или WDasm.

MC707 :: TheOldMen пишет:
цитата:
Тогда как мне определить в IDA (его работу я не понимаю) какие функции (например RegOpenKey) виполняются при запуску проги?


Там русским языком англицкими буквами будет написано
Возьми доку по IDA-е и не задавай глупых вопросов.

KLAUS :: TheOldMen
HIEW машинный код анализируй

SeDoYHg :: KLAUS пишет:
цитата:
HIEW машинный код анализируй


Ты издеваешься над ним ? Он с идой не работал даже ...




Rager0 Дамп памяти Может мне кто - нить привести пример как можно снять дамп...



Rager0 Дамп памяти Может мне кто - нить привести пример как можно снять дамп программным способом или еще каким.
Дело вот такое.
Предположим я знаю OEP, но не могу подойти к нему отладчиком так как его сразу просекают и посылают меня
в Ж...(спрятать от отладчика не реально), также, шестнадцатиричным редактором в теле проги ее
тоже не зациклишь, так как эта часть распаковывается в памяти. Вот такие пироги.

Вообщем мне нужно дойти до одного адреса в памяти и снять дамп.
Желательно какой - нить исходничек на асме.
За любые ценные советы, предложения и исходники буду благодарен.

to Alex
Цитата с форума краклаб:
››-= ALEX =- :: Gloomy короче делал и делаю так. накидал прожку на дельфи, которая
››сравнивает побайтно два файла и создает некий inc файл, в котором константы, а также
››массив байтов и offset’ов, потом беру и компилю уже сделанный патч... ну вот впринципе
››и все. Раньше делал на дельфи patchgenerator, который сразу выдавал патчики... но делал
››это все на дельфи, а щас ASM рулит :)

Скин мне плиз этот генератор inc файлов.rager(кракозябра)nm.ru
Styx :: Rager0
Дай лучше ссылку с размером

Rager0 :: Styx
Прога очень большая на диске ~600 мегов мне нужно не снятие защиты именно с этой проги, а сам принцип снятия дампа без участия отладчика.

Styx :: А чем она вообще запакована?

Dragon :: Попробуй перехватить GetModuleHandleA, и снять дамп, обычно вызов недалеко стоит от OEP, может достаточно будет.

KLAUS :: Rager0
На OLLY прога тоже ругается?

Rager0 :: Styx
Если я напишу что за защита все сразу забьют на этот вопрос.

Dragon
KLAUS
При любом отладчике мне показывают

Dragon :: Rager0 пишет:
цитата:
Если я напишу что за защита все сразу забьют на этот вопрос.


Если это XtremeProtector версии ›= 1.06 или starforce 3, то можешь успокоиться

Rager0 :: Dragon
Не будем рассуждать какой это протектор.
Лучше подскажи какими надо воспользоватся API чтоб сделать дапм+сохранить его на диск.
Желательно на асме.

MoonShiner :: ReadProcessMemory, например:)
А вообще, нужно знать, что это за протектор.. Иначе ничего не посоветуешь.

Dragon :: Rager0
Надо знать, какой протектор, хотя сдампить можно всё. Помню, что StarForce надо дампить так - пишешь лоадер, в котором перехватываешь SetErrorMode, например выводом MessageBox’а. Как только он появляется, можно дампить чем угодно. С XtremeProtectorom сложнее, надо перехватить GetModuleHandleA(тем же лоадером), не трогая поле AddressOfFunctions в экспорте и дампить только WriteFile. Дамп будет близко к OEP, байты спёрты, импорт пока не восстановить, и если грамотно используется SDK, то там ещё и динамическая расшифровка, так что и динамический патчер мало чем поможет. Как видишь для всех протекторов способы разные.

бара :: Подвожу итог

1. Xtreme protector реально никто не сломал пока похоже (слухам верить не считаю нужным).
2. StarForce пока только некоторые осилили и то наполовину - свой генератор сделали для копированных дисков для определения новых ключей дисков скопированных.




Yraevtys Ресурсы и отладка ? Прога была запакована UPX, распаковалась в ХР и...



Yraevtys Ресурсы и отладка ? Прога была запакована UPX, распаковалась в ХР и импорт восстановился, но видимо есть защита от отладчика, так как, Restorator ресурсы не показывает и DeDe тоже не открывает формы и процедуры.Прога написана на Delphi4-5. Подскажите, как найти и снять эти защиты. Кстати eXeScope открывает ресурсы, но после их редактирования Dump перестает запускатся.
KLAUS :: Yraevtys
Попробуй пройтись Resours Rebuilder’om. А потом уже Restoratorom/Exescop

KLAUS :: Yraevtys
И причём тут защита от отладчика, ведь ты же сделал рабочий дамп!

ZX :: Yraevtys
Ну ты даешь - ресторатор не берет - значит защита от отладчика. Это неправильный вывод. Надо просто сделать ресурс ребилд.
На васме лежат такие тулзы.

TOR :: Не по теме:
bpx RegQueryValueExA if **(esp+8)== 6d754e676552 do «d *(esp+14)»
Текстовый параметр «RegNum» . RegNum to hex = 5265674e756d. Ошибка,vlaue is too large/ Меня глюкануло?

Yraevtys :: Resours Rebuilder создает файл с расширением bin, а что с ним делать дальше?

Edmos :: Yraevtys
Прочитай для начала вот это http://cracklab.narod.ru/doc/asoul.htm - раздел 1.3 Удалений секций аспра.
Хотя не понятно зачем тебе востонавливать ресурсы. Мож подправить в About кое-что.

KLAUS :: Yraevtys
Ничего с ним не делай просто сохрани...
Edmos
МОжет он хочет Reversign полный сделать!

Yraevtys :: Почему всетаки Restorator и DeDe не могут прочить ресурсы в рабочем дампе?

Mario555 :: Yraevtys
Потому, что пакер их перестроил.

WELL :: Yraevtys пишет:
цитата:
Прога была запакована UPX


Если хочешь, чтобы ресурсы были в нормальном виде, то в твоем случае лучше распаковать самим же UPX’ом.

бара :: это не всегда возможно

WELL :: бара пишет:
цитата:
это не всегда возможно


Само собой. Но иногда можно поюзать модифицированные upx’ы с васма и проги типа upx-ripper.




MaZaFaKeR П0м0гите с0вет0м! Господа, подскажите советом: запускаю прогу,...



MaZaFaKeR П0м0гите с0вет0м! Господа, подскажите советом: запускаю прогу, вылетает окно с кнопкой ОК и надписью «Sorry, but your 15 days trial has expired!..». При нажатии ОК, программа закрывается. Что можно сделать?

0042E7A2 . 68 6CD94900 PUSH _Cracked.0049D96C ; SE handler installation
0042E7A7 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0042E7AD . 50 PUSH EAX
0042E7AE . 64:8925 000000›MOV DWORD PTR FS:[0],ESP
0042E7B5 . 81EC A4040000 SUB ESP,4A4
0042E7BB . 56 PUSH ESI
0042E7BC . 8BF1 MOV ESI,ECX
0042E7BE . 6A 00 PUSH 0
0042E7C0 . 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
0042E7C4 . E8 B7990000 CALL _Cracked.00438180
0042E7C9 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],0
0042E7D4 . C74424 08 0000›MOV DWORD PTR SS:[ESP+8],0
0042E7DC . C74424 04 DC0F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E7E4 . 68 DB000000 PUSH 0DB
0042E7E9 . 6A 02 PUSH 2
0042E7EB . 68 DB000000 PUSH 0DB
0042E7F0 . C68424 BC04000›MOV BYTE PTR SS:[ESP+4BC],1
0042E7F8 . E8 A9D00200 CALL ‹JMP.&MFC42.#1146›
0042E7FD . 50 PUSH EAX ; ¦hInst
0042E7FE . FF15 A00A4A00 CALL DWORD PTR DS:[‹&USER32.LoadBitmapA››; \LoadBitmapA
0042E804 . 50 PUSH EAX
0042E805 . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0042E809 . E8 92D00200 CALL ‹JMP.&MFC42.#1641›
0042E80E . 8B5424 08 MOV EDX,DWORD PTR SS:[ESP+8]
0042E812 . 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
0042E816 . F7D8 NEG EAX
0042E818 . 1BC0 SBB EAX,EAX
0042E81A . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
0042E81E . 23C2 AND EAX,EDX
0042E820 . 894424 78 MOV DWORD PTR SS:[ESP+78],EAX
0042E824 . E8 75CF0200 CALL ‹JMP.&MFC42.#2514›
0042E829 . 83F8 01 CMP EAX,1
0042E82C . 75 6F JNZ SHORT _Cracked.0042E89D
0042E82E . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
0042E832 . E8 79190100 CALL _Cracked.004401B0
0042E837 . 85F6 TEST ESI,ESI
0042E839 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],2
0042E841 . 75 04 JNZ SHORT _Cracked.0042E847
0042E843 . 33C0 XOR EAX,EAX
0042E845 . EB 03 JMP SHORT _Cracked.0042E84A
0042E847 › 8B46 20 MOV EAX,DWORD PTR DS:[ESI+20]
0042E84A › 50 PUSH EAX
0042E84B . 51 PUSH ECX
0042E84C . 8D9424 AC04000›LEA EDX,DWORD PTR SS:[ESP+4AC]
0042E853 . 8BCC MOV ECX,ESP
0042E855 . 896424 1C MOV DWORD PTR SS:[ESP+1C],ESP
0042E859 . 52 PUSH EDX
0042E85A . E8 7DD00200 CALL ‹JMP.&MFC42.#535›
0042E85F . 51 PUSH ECX
0042E860 . 8D8424 AC04000›LEA EAX,DWORD PTR SS:[ESP+4AC]
0042E867 . 8BCC MOV ECX,ESP
0042E869 . 896424 1C MOV DWORD PTR SS:[ESP+1C],ESP
0042E86D . 50 PUSH EAX
0042E86E . C68424 C004000›MOV BYTE PTR SS:[ESP+4C0],3
0042E876 . E8 61D00200 CALL ‹JMP.&MFC42.#535›
0042E87B . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18] ; ¦
0042E87F . C68424 BC04000›MOV BYTE PTR SS:[ESP+4BC],2 ; ¦
0042E887 . E8 641E0100 CALL _Cracked.004406F0 ; \_Cracked.004406F0
0042E88C . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
0042E890 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],1
0042E898 . E8 43190100 CALL _Cracked.004401E0
0042E89D › 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0042E8A1 . E8 EECF0200 CALL ‹JMP.&MFC42.#2414›
0042E8A6 . 83BC24 B804000›CMP DWORD PTR SS:[ESP+4B8],3
0042E8AE . 75 1F JNZ SHORT _Cracked.0042E8CF
0042E8B0 . 8B86 84040000 MOV EAX,DWORD PTR DS:[ESI+484]
0042E8B6 . 85C0 TEST EAX,EAX
0042E8B8 . 75 15 JNZ SHORT _Cracked.0042E8CF
0042E8BA . 6A 00 PUSH 0
0042E8BC . 6A 00 PUSH 0
0042E8BE . 68 ECEF4C00 PUSH _Cracked.004CEFEC ; ASCII «Sorry, but your 15 days trial has expired!
Place, register your copy at
http://www.hexisoft.com/icon/index.html»
MaZaFaKeR :: 0042E8C3 . E8 CED00200 CALL ‹JMP.&MFC42.#1200›
0042E8C8 . 8BCE MOV ECX,ESI
0042E8CA . E8 11010000 CALL _Cracked.0042E9E0
0042E8CF › C74424 04 C80F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E8D7 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0042E8DB . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],4
0042E8E3 . E8 ACCF0200 CALL ‹JMP.&MFC42.#2414›
0042E8E8 . C74424 04 B40F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E8F0 . 8D8C24 A404000›LEA ECX,DWORD PTR SS:[ESP+4A4]
0042E8F7 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],0C
0042E902 . E8 47CD0200 CALL ‹JMP.&MFC42.#800›
0042E907 . 8D8C24 A004000›LEA ECX,DWORD PTR SS:[ESP+4A0]
0042E90E . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],0B
0042E916 . E8 33CD0200 CALL ‹JMP.&MFC42.#800›
0042E91B . 8D8C24 CC03000›LEA ECX,DWORD PTR SS:[ESP+3CC]
0042E922 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],0A
0042E92A . E8 0184FFFF CALL _Cracked.00426D30
0042E92F . 8D8C24 F802000›LEA ECX,DWORD PTR SS:[ESP+2F8]
0042E936 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],9
0042E93E . E8 ED83FFFF CALL _Cracked.00426D30
0042E943 . 8D8C24 2402000›LEA ECX,DWORD PTR SS:[ESP+224]
0042E94A . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],8
0042E952 . E8 D983FFFF CALL _Cracked.00426D30
0042E957 . 8D8C24 E401000›LEA ECX,DWORD PTR SS:[ESP+1E4]
0042E95E . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],7
0042E966 . E8 F3CE0200 CALL ‹JMP.&MFC42.#795›
0042E96B . 8D8C24 3001000›LEA ECX,DWORD PTR SS:[ESP+130]
0042E972 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],6
0042E97A . E8 A1520100 CALL _Cracked.00443C20
0042E97F . 8D4C24 7C LEA ECX,DWORD PTR SS:[ESP+7C]
0042E983 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],5
0042E98B . E8 90520100 CALL _Cracked.00443C20
0042E990 . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
0042E994 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],-1
0042E99F . E8 C0CE0200 CALL ‹JMP.&MFC42.#641›
0042E9A4 . 8B8C24 A804000›MOV ECX,DWORD PTR SS:[ESP+4A8]
0042E9AB . 33C0 XOR EAX,EAX
0042E9AD . 64:890D 000000›MOV DWORD PTR FS:[0],ECX
0042E9B4 . 5E POP ESI
0042E9B5 . 81C4 B0040000 ADD ESP,4B0
0042E9BB . C2 0800 RETN 8
0042E9BE 90 NOP
0042E9BF 90 NOP
0042E9C0 . 6A 00 PUSH 0
0042E9C2 . 6A 00 PUSH 0
0042E9C4 . 68 60F04C00 PUSH _Cracked.004CF060 ; ASCII «Register succeed!»
0042E9C9 . C781 84040000 ›MOV DWORD PTR DS:[ECX+484],1
0042E9D3 . E8 BECF0200 CALL ‹JMP.&MFC42.#1200›
0042E9D8 . 33C0 XOR EAX,EAX
0042E9DA . C2 0800 RETN 8
0042E9DD 90 NOP
0042E9DE 90 NOP
0042E9DF 90 NOP
0042E9E0 /$ 56 PUSH ESI
0042E9E1 ¦. 8BF1 MOV ESI,ECX
0042E9E3 ¦. 6A 00 PUSH 0
0042E9E5 ¦. C786 88040000 ›MOV DWORD PTR DS:[ESI+488],1
0042E9EF ¦. E8 ECD00200 CALL ‹JMP.&MFC42.#6215›
0042E9F4 ¦. 8B46 20 MOV EAX,DWORD PTR DS:[ESI+20]
0042E9F7 ¦. 6A 00 PUSH 0 ; /lParam = 0
0042E9F9 ¦. 6A 00 PUSH 0 ; ¦wParam = 0
0042E9FB ¦. 6A 10 PUSH 10 ; ¦Message = WM_CLOSE
0042E9FD ¦. 50 PUSH EAX ; ¦hWnd
0042E9FE ¦. FF15 E00A4A00 CALL DWORD PTR DS:[‹&USER32.SendMessageA›; \SendMessageA
0042EA04 ¦. 5E POP ESI
0042EA05 \. C3 RETN
0042EA06 90 NOP
0042EA07 90 NOP
0042EA08 90 NOP
0042EA09 90 NOP
0042EA0A 90 NOP
0042EA0B 90 NOP
0042EA0C 90 NOP
0042EA0D 90 NOP
0042EA0E 90 NOP
0042EA0F 90 NOP
0042EA10 . 6A FF PUSH -1
0042EA12 . 68 88D94900 PUSH _Cracked.0049D988 ; SE handler installation

Прошу прощения за большой кусок дизассемблиронного кода...

ZX :: MaZaFaKeR
По-моему тебе уже говорили на счет листингов :¦

-= ALEX =- :: MaZaFaKeR ты извращенец что-ли ? у меня лично этот охрененный листинг вообще отбил желание смотреть на него...

MaZaFaKeR :: -= ALEX =- , нет, не извращенец!

-= ALEX =- :: MaZaFaKeR вообще не из этого надо начинать ломать программы, т.е. с обработок кнопок, убирания нагов etc.. Искать надо первопричину, а именно процедуру проверки ключа etc, там дело исправишь, и все будет пучком !

KLAUS :: MaZaFaKeR
У тебя что за привычка куски кода кидать, ты или саму прогу выкладывай или лучше вообще не стоит.!

MaZaFaKeR :: Ок, спасибо, буду знать!

test Re: KLAUS :: Он ссылку давал http://www.hexisoft.com/i...nload/PrettyIconMaker.exe

ZX :: MaZaFaKeR пишет:
цитата:
Ок, спасибо, буду знать!


4402DF 75-›EB

Больше листинги не пость, прога хорошая.

WELL :: MaZaFaKeR
Ты если будешь такие листинги кидать, то это закончится тем, что никто на твои посты отвечать не будет.

Danger :: ZX пишет:
цитата:
402DF 75-›EB


неподскажешь чем ты её дизасемблил?
мне Хиев выдаёт ошибку чтения, В32Дасм вобше виснет :(

ZX :: Олька - один инструмент - один байт - красота в минимуме :)

Danger :: Чёт я ничего непонял....


ZX :: Danger
OllyDbg - отладчик такой есть.




Edmos IDA 4.5 - ERROR IDA-Pro



Edmos IDA 4.5 - ERROR IDA-Pro_Standard-4.5.1.770 с сайта команды AHteam не ПАШЕТ под XP PRO SP1.
MD5 и CRC-32 cамого архива.
MD5 : 1BF8BC4BC0AB6137F2EEA0497FA5C381
CRC-32 : 8EDE0C07
Может я криво скачал ? Для меня сливать 30 Мб не хухры-мухры, а 3 часа.

Была у меня версия 4.3 там просто в файле idagui.cfg поменять хоткей у OpNumber.
И все работало, а тут просто:
The Interactive Disassembler - обнаружена ошибка. Приложение будет закрыто.
Приносим извинения за неудобства..
АААА... Не навижу... Я уж не знаю что делать! И переменные среды поставил
на %SystemRoot%\TEMP. И все ровно GPF. Токо не надо отправлять на оф. сайт.
Может кто встречался с этой проблемой и ее поборол. Народ ПОМОГИТЕ!
Edmos :: Кому оно надо PEiD обновился
http://peid.has.it/

Gollum :: Edmos пишет:
цитата:
Кому оно надо PEiD обновился
http://peid.has.it/


Что-то они забыли номер версии поменять

А насчёт вопроса, было у меня такое, но в чём дело я так и не разобрался... переставил систему...

WELL :: Edmos
У меня та же версия. Всё тип топ. Путь к папке temp: «C:\Windows\Temp».
Одно время она мне говорила, что мол обнаружена другая версия иды.
Но всё решилось перезагрузкой...
Видать придется тебе винду переставить...

sanek :: Edmos пишет:
цитата:

Кому оно надо PEiD обновился
http://peid.has.it/


Кстати легко распаковывает clab1.exe крякми#1 от BG
Предыдущая версия не распаковывала, по крайней мере у меня
Gollum пишет:
цитата:
Что-то они забыли номер версии поменять


А номер версии остался прежним V 0.92

Edmos :: Скиньте мне кто нить idag.exe.
Edmos()bk.ru

.::D.e.M.o.N.i.X::. :: Edmos
У тебя винда глючит. Все файлы иды запакованы ASpack, когда винда глючит или память, то выдаются такие ошибки, т.к. ASpack неправильно распаковывается - сам пробеги в отладчике и увидешь место, где вылазит ошибка. У меня такие траблы были - решились перезагрузкой тачки. Причем такие траблы были только с прогами на Delphi и Builder’e, упаковаными ASpack.

AnteC :: была такая же фигня вылечилась путем убивания в реестре ссылок на иду (причем таже история с версией 4.3)




HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D,...



HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D, конвертор 3D моделей из игр.
Есть у кого желание попробовать её сломать ?
Защита: ASProtect 1.23 RC4

Вся трудность в правильной распаковке.

--
Прога тут: http://www.unwrap3d.com/downloads/Unwrap3Dv215.zip 1.6 MB
Gollum :: HANS KEEPER пишет:
цитата:
Вся трудность в правильной распаковке.


Да нет, тут проблема факторизации чисел...

Quest0 :: Gollum пишет:
цитата:
Да нет, тут проблема факторизации чисел...


Эт точно, трудности распаковки только в v1.3+ :(

DITREX :: Quest0 пишет:
цитата:
Эт точно, трудности распаковки только в v1.3+ :(


По мне так там тоже все легко.

А вот Ultimate Unwrap3D убивает Олю .

Quest0 :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Счастливый человек! видимо, ни разу 1.3+ не видел

Gollum :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.

HANS KEEPER :: Вобщем ASProtect снял полностью, но подозлительный софт всёравно падает при запуске Ultimate Unwrap3D, причем даже W32dasm.

Пока не понял что вышибает отладчики и всё остальное остатки aspr-а или это в самом коде
Ultimate Unwrap3D...

Gollum :: HANS KEEPER

И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?

HANS KEEPER ::
Gollum пишет:
цитата:
И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?


Ключик нужен ASProtect-у, а не проге. Вся защита в ASProtect, сама прога ломается за 3 минуты.

Mario555 :: Gollum пишет:
цитата:
Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.


Импорт - халява ;) Поверь, там есть более интересные вещи, чем импорт. Да и вообще в распаковке прог самое сложное - это искать проверки на наличие оболочки (протектора), если эти проверки сделанны грамотно, то с ними может быть ОЧЕНЬ много проблем.

DITREX пишет:
цитата:
По мне так там тоже все легко.


Ну-ну... какую прогу с 1.3 «full» ты распаковал ? Или ты просто болтун ? ;)




Gollum Армадилло Поармадиленная прога GetRight 5.1 (www.getright.com)



Gollum Армадилло Поармадиленная прога GetRight 5.1 (www.getright.com)

При запуске вылетает ошибка:

General extraction error
Location ES1

IceExt 0.60 его не берёт...
Самое интересное, что ошибка вылетает и при вырубленном отладчике!

Прошу дать совет.
ZX :: Такая же беда, у меня армадильные проги тож не запускаются - боятся :)
Армадилло - отстой, мастдай и т.д.
И гетрайт отстой и мастдай - лишняя «стучалка» на твоем компе, у парня, который ее сделал наверно уже многомилионная база данных, притом отсылает эта прога «не совсем нужную ей информацию»!

odIsZaPc :: Да.... есть такая партия.... :(

Mario555 :: Gollum пишет:
цитата:
Самое интересное, что ошибка вылетает и при вырубленном отладчике!


А ты Ice удали...

DITREX :: Gollum пишет:
цитата:
Самое интересное, что ошибка вылетает и при вырубленном отладчике!


Армадилло ищет файлы Ice на диске.

бара :: где-то в инете видел взлом этого гетрайта - в виде туториала... ищите сами...
с армадиллой проблем нет в смысле запуска никогда просто так. А вот в реестр она гадит немало ключей тупых...
Пока задача сводится к созданию патчера такого процесса. Патчить надо инжектором, который не использует OpenProcess и тп - идеальный случай - метод Рихтера.

infern0 :: DITREX пишет:
цитата:
Армадилло ищет файлы Ice на диске.


не файлы на диске а установленный сервис в реестре. Надо ставить IceExt с ДРУГИМ именем.

MozgC [TSRh] :: Тебе нужно скрыть IceExt в реестре для начала
Сейчас скажу как...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ ArmaDura]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ ArmaDura]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ArmaDura]
Вот эти ключи раньше назывались у меня IceExt

Потом значит ставишь бряк «bpm -1 dr0» (это я не совсем понял почему так надо) и еще «bpx OpenServiceA»
Когда бряк на OpenServiceA сработает, смотри какой сервис арма пытается открыть. Если это NTIce то выходи из OpenServiceA и измени переход сразу же после нее (типа нет такого сервиса), потом будет GetLastError, и после ее вызова сравнение возвращаемого значения кажется с 424h. Вот сделай так чтобы совпало.
Ну и все, отпускаешь прогу по F5, прервешься по bpm -1 dr0 кажется, но внимания не обращай и отпускай дальше. Прога запустится.
Может я че напутал... арму уже месяца 2 не распаковывал...

Gollum :: MozgC [TSRh]

Спасибо, буду смотреть сегодня, как домой приду.

infern0 :: infern0 пишет:
цитата:
Тебе нужно скрыть IceExt в реестре


взять последний iceext и поменять имя при установке (инсталлер его спрашивает)
:))

MozgC [TSRh] :: infern0
Ну у меня IceExt не самый последний, приходится ручными методами =)

infern0 :: дык слей последний, тем более что там пару багов стэн пофиксил

infern0 :: б-л-я токо счас прочел топик - нифуя себе, уже и гетрайт перешел на арму...

MozgC [TSRh] :: ему это не поможет, тем более с твоей супер тулзой =)

Aster!x :: › Пока задача сводится к созданию патчера такого процесса. Патчить надо инжектором,
› который не использует OpenProcess и тп - идеальный случай - метод Рихтера.

На OpenProcess Арме фиолетово, поэтому никто не мешает его применять ;)

бара :: не знал. Хотел наверняка, так как кто его знает - некоторые проги гадят на функции поиска процесса в памяти.




GPcH StarForce 3 в Противостояние 4 Война в заливе Помогите с инфой по...



GPcH StarForce 3 в Противостояние 4 Война в заливе Помогите с инфой по StarForce 3 или может кто знает как отучить EXE шник от CD
с помощью отладчика и дизассемблера? Приму любые советы (кроме использования
эмуляторов типа Alcohol)
Snowbit :: Забудь об этом...

WELL :: GPcH
Пока только образ Alchohol 120%. И то не всегда помогает

GPcH :: WELL пишет:
цитата:
Пока только образ Alchohol 120%. И то не всегда помогает


А в чем проблема со снятием защиты? Я конечно сразу понял, что это покруче Asprotect’а v1.3 будет,
но неужто никто еще не научился ее снимать???

WELL :: GPcH
Насколько мне известно, отламывали версии до 3-й. С 3-й пока глухо...

TOR :: Все новое,это хорошо забытое старое...
Мои наработки:
Отлавливает SI, ICEEXT 0.53 не спасает.Под Olly debuger- ом запускается нормально(может есть свои приколы,не смотрел)
Дизасмится Идой нормально,но небыло времени смотреть.
Может это чем-то тебе поможет :)

бара :: поможет зайти в тупик

TOR :: GPcH пишет:
цитата:
но неужто никто еще не научился ее снимать???


А хочешь быть первым ?
бара пишет:
цитата:
поможет зайти в тупик




RideX :: StarForce вроде опять обновился... Мне рассказали, вышел диск от Руссобит-М, «Власть закона», в нём уже не надо номер с диска вводить и Alcohol 120% v1.4.8.2222 Retail его не берёт :(

бара :: да хрен с ним.

Скоро наступит эра хардварных отладчиков. Всё к этому идёт уже бодрыми шагами.

Styx :: RideX
Этот серийник полная херня и ничего в нём особо страшного нет.
Если его нет значит и ненужен
Например в первом Старе его тоже небыло (А он точно обновился?).

TOR
А толку то от дизасма? Он ведь всё равно распаковывается или ты про protect.dll?

GPcH :: Даже Alcohol 120% v1.4.8.2222 Retail пишет:
Не могу сделать RPM

даже на скорости 1x

Как игру от диска отучить?

Styx :: GPcH
Знакомые с линухом есть? Если да то можно попробовать под ним сделать простую iso-шку, есть шанс что прокатит.

GPcH :: Styx пишет:
цитата:
Знакомые с линухом есть? Если да то можно попробовать под ним сделать простую iso-шку, есть шанс что прокатит.


А чем отличайтся iso файлы, созданные не в винде от созданныйх с помощью ASPI

Dragon :: GPcH
Ничем, это же просто образ диска без дополнительных параметров.
Если Alcohol 120% пишет, что не может что-то там, значит скорее всего или прохой привод, или диск повреждён, ведь RPM не зависит от того, что записано на диск.

TOR :: to Styx,насчет линуха наврятли прокатит,но я попробую. /я говорил о дизасме Protect.dll

.::D.e.M.o.N.i.X::. :: Насчет ключей - там пометка: В случае производства тиража дисков на заводе, который является партнером Protection Technology, используется технология Keyless, которая не требует ввода ключа конечным пользователем.
P.S. Кстати им требуется: Требуется высококвалифицированный программист, знающий языки C/C++/Asm и имеющий опыт разработки компиляторов. По ходу решили написать свой компилятор для защиты:)

Dragon :: .::D.e.M.o.N.i.X::.
Это им надо, чтобы свой байт-код усовервенствовать..

.::D.e.M.o.N.i.X::. :: Dragon
Кстати ты XtremeProtector победил?

Edmos :: Насчет нового StarForce такого нет, а на Власть закона стоит 3.03.033.008
Все виртуалится без проблем.

miller :: А что Вы скажете на это:
Спящий режим позволяет отключить компьютер, но при этом сохраняет его состояние
Аналогичным образом, операционная система Windows XP помогает компьютеру быстрее возвращаться из спящего режима. При переходе в спящий режим содержимое оперативной памяти сохраняется в сжатой форме на жесткий диск. В этом случае питание переносного или настольного компьютера можно полностью отключить. При включении электропитания документы и приложения открываются точно в том же состоянии, в каком они были до перехода в спящий режим. Поэтому пользователь может быстро продолжить прерванную работу.
Возможно войдя в такой режим с запущенной игрой, с сохранением файла HYBERNATE.SYS и при последующей подстановке его для загрузки можно решить проблемы с запруском игры без CD. Сам механизм вытаскивания состояния системы из этого файла мне не известен - тут дело програмистов.

Взято с http://forum.ixbt.com/0025/014611.html

ViNCE [AHT] :: GPcH пишет:
цитата:
WELL пишет:
цитата:
Пока только образ Alchohol 120%. И то не всегда помогает

А в чем проблема со снятием защиты? Я конечно сразу понял, что это покруче Asprotect’а v1.3 будет,
но неужто никто еще не научился ее снимать???


Есть конкретные челы, которые могут игру отучить, но с ними договариваются только в денежном плане... Тут не как с Аспром - взял тутор и отломал... Здесь для каждой отдельной игры свой нужен подход... да и полиморф копать с интерпретатором - полный геммор... ты уж поверь...

ViNCE [AHT] :: бара пишет:
цитата:
да хрен с ним.

Скоро наступит эра хардварных отладчиков. Всё к этому идёт уже бодрыми шагами.


Интересно бы посмотреть на хардварный отладчик...
Это получается что для каждого производителя + каждого вида железа нужен свой отладчик...

бара :: насчёт поста про отладчик я имел ввиду спецоборудование. Думаю оно уже давно есть, только вот вопрос сколько стоит.
Есть же оборудование для восстановления неоднократно отформатированных винчестеров. Когда-то тоже фантастикой некоторым казалось.

Dragon :: .::D.e.M.o.N.i.X::.
Я его не так давно копал, на импорте тогда остановился, помню, нашёл, что там библиотеки с диска подгружаются в динамическую память и функции вызываются оттуда. Дальше там перехват прерываний int1 и 3, т.е. отладчиком не пройти, а IDA не особо поможет, там много динамической расшифровки. Я написал эмулятор x86 для IDA(на wasm.ru есть), вот усовершенствую его, тогда ещё покопаюсь.

miller
Windows XP не поддерживает спящий режим для отдельных программ, архитектура ОС не позволяет(Например хэндлы окон, файлов и др. объектов могут быть заняты). А постоянно игру в памяти держать - неудобно. Всё же Alcohol 120% лучшее решение, главное, чтобы привод был качественный.

ViNCE [AHT] :: бара пишет:
цитата:
насчёт поста про отладчик я имел ввиду спецоборудование. Думаю оно уже давно есть, только вот вопрос сколько стоит.
Есть же оборудование для восстановления неоднократно отформатированных винчестеров. Когда-то тоже фантастикой некоторым казалось.


Терь понял... Я если про отладчики - конечно такие есть, но железный отладчик может отлаживать только один вид техники (ну максимум ещё пару видов)... Например, микроконтроллеры AVR не отладишь на PiC-овских отладчиках...

бара :: а насчёт StarForc’а 3 - пока нигде в инете реального примера или туториала не видел, кроме одного линка на взломанную игру с 3-м старфорсом - предлагалось скачать файлы - образ диска в каком-то формате и кейген для генерации ключа диска при установке.
У меня модем, поэтому я не стал качать естественно. Но люди писали в форуме, что всё устанавливалось и работало. Больше реально ничего не видел - ни туториалов по обходу старфорса ни чего другого. только ещё есть статьи по копированию дисков StarForce 3 пропатченныйм алкоголем (точнее с изменённым ini-файлом и тп) - но предупреждают что работает не на всех приводах такая игра - только на читающем и то не 100%. И про шлейфы там написано было - что иногда приходится IDE шлейф резака вынимать. Сам не пробовал.
Просто вот решил точку поставить.

Ромка :: Эх народ вы как в танке Всё же нашлись люди, кто это умеет и уже скоро будут плоды. Уже сижу в предвкушении
Насчёт эмуляции это с версии старфорца 3.3.33 больше невозможно, потому что на IO уровне во время проверки защитой все HDD в системе блокируются и тормозятся до конца проверки. Таким образом с образа находящегося на винте эмулятор не успевает или же не может подать запрашиваемый сектор и хана эмуляции, блин.
Кстати едмос, разъясни как у тебя эта версия виртуалится и чем, если ещё противоядия не придумали.
PS: ещё реально грузить с настоящего скази привода или же грузить образ с сети, только не с хардов в компе.

DZmey :: Ромка пишет:
цитата:
Всё же нашлись люди, кто это умеет и уже скоро будут плоды


Кто например :) Не имей привычку говорить за других
Извини конечно если это ты и есть те ЛЮДИ

Ромка :: Я же тупой, как полено, куда мне до таких высот
Всему своё время, терпение и труд всё перетрут

DZmey :: Ромка пишет:
цитата:
терпение и труд всё перетрут


Терпение и труд СтарФорс перетрут

бара :: Слепой сказал «посмотрим»

Dragon :: Ромка пишет:
цитата:
Насчёт эмуляции это с версии старфорца 3.3.33 больше невозможно, потому что на IO уровне во время проверки защитой все HDD в системе блокируются и тормозятся до конца проверки. Таким образом с образа находящегося на винте эмулятор не успевает или же не может подать запрашиваемый сектор и хана эмуляции, блин.


А для кого в статьях написано, что образ надо размещать на CD? Т.е. как бы сам файл .mds кидаешь на диск, и с него виртуалишь, Starforce3 только так определит диск. Можно также образ и в сеть кинуть, если есть.

RideX :: Dragon пишет:
цитата:
написано, что образ надо размещать на CD


Так то да, действительно можно :) Только если файл большой, › 800Мб, то не прокатит. У меня такой был где-то или даже чуть больше.

WELL :: А на DVD покатит?

DZmey :: WELL пишет:
цитата:
А на DVD покатит?


По-логике должно :) Там же не СД проверяется а эмулированный образ...

Dragon :: Покатит везде, главное, чтобы не на винте образ лежал. У меня в винта образ не запускался, а с CD спокойно. DVD конечно удобно, туда 5-6 образов можно кинуть, и оттуда виртуалить.

WELL :: Dragon пишет:
цитата:
DVD конечно удобно, туда 5-6 образов можно кинуть, и оттуда виртуалить.


Это точно :) А если двухсторонний и двуслойный, то еще больше :)

Ромка :: Ребята вы чего не догоняете что-ли? У вас все приводы наверняка АТАПИ, а эмулированый выдаёт себя за SCSI, а защита не будет идти при таком расположении дел со скази привода, а следовательно надо физически отключить атапи приводы, защита ведь иде шину сканирует на их присутствие. И отключив свой атапи привод, с чего вы образ считывать будете, если у вас только нет настоящего скази CD привода. А тут старфорцевцы с новой версией дров заподло приготовили эмуляторам, гогда образ находится на винте.
PS: решение уже придумано и можно образ на винте оставить.
Только ребята когда брешете, хоть краснейте хотя бы, ладно

Dragon :: Ромка пишет:
цитата:
Только ребята когда брешете, хоть краснейте хотя бы, ладно


Кто это тут брешет? starforce сканирует ВСЕ приводы в системе, а не только IDE ATAPI. Причём в алфавитном порядке, по буквам. Поэтому не надо ничего отключать, а просто букву виртуального CD поставить перед реальным.

DZmey :: Ромка
Это к тебе отностися когда брещищь и обвиняешь всех в этом... Красней в двойне

RideX :: Ромка пишет:
цитата:
защита не будет идти при таком расположении дел со скази привода


Точно, а я уже было обрадовался...

Ромка пишет:
цитата:
решение уже придумано и можно образ на винте оставить.


Так договаривай, раз начал :)

P.S. Alcohol обновился, правда у меня нет ни одного диска с новым StarForce, проверить его не могу. Кому надо, качать здесь:
http://download.9down.com....1705_retail_Incl_KEY.rar

RideX :: Dragon
Я тоже где-то слышал, что если в системе есть ATAPI и SCSI, то диск можно загрузить только с ATAPI. Сам правда не пробовал, потому утверждать не буду :)

Ромка ::
цитата:
Кто это тут брешет? starforce сканирует ВСЕ приводы в системе, а не только IDE ATAPI.


2 Dragon: Теперь я знаю, откуда у слухов ноги растут. Именно иде шину на прямую в обход виндовским аспи дровам сканирует сф3 на присутствие АТАПИ приводов. Кстати если у тебя на райде сидят винты, а приводы на встроенном контролере, то можно раньше было сразу в системных установках выключить ide bus driver.
Насчёт остального, всё это чушь выдуманная, что поставьте букву первой, это не идиоты защиту делали, там такие новшества введены, что аналогов в мире нет, защита ведёт себя во всех отношениях как вирус, один собственный обработчик ошибок на инт3 с делением чего стоит, чтобы выйти из собственной ловушки. У меня возникает ощущение, что я на допросе я завязываю.

2 RideX: Ты прав совершенно, это так и есть. Правда к сожалению новая версия алкаша не учитывает новые дрова, они вообще решили с этим делом подождать, так как не было на тот момент решения, жди теперь когда алкаш за вторую версию перевалит

Dragon ::
RideX пишет:
цитата:
Я тоже где-то слышал, что если в системе есть ATAPI и SCSI, то диск можно загрузить только с ATAPI. Сам правда не пробовал, потому утверждать не буду :)


В каком смысле загрузить?

Ромка
Какая разница, сканирует он IDE шину или нет, но проверяться все диски. Сначала для проверки используются стандартные функции GetDriveType и FindFirstFile/FindNextFile. Т.е. проверяются имена файлов на диске. Если проверка прошла, то защита и будет дальше мучать этот диск, а остальные и не тронет, поэтому и надо букву виртуального CD ставить первой, т.к. диски в алфавитном порядке проверяются. Если после starforce после проверки IDE дисков не проверяет остальные, то это уже просто баг в защите. Ведь интерфейсов много, например внешние приводы, которые подключаются через USB и firewire.

Styx :: Новый Алкаш 1.9: http://wav.alcohol-softwa...l120_trial_1_9_2_1705.exe
Говорят St3 умирает от этого Алкаша, особенно хорошо на TEAC. Сам не тестил.

Ромка ::
цитата:
Какая разница, сканирует он IDE шину или нет, но проверяться все диски. Сначала для проверки используются стандартные функции GetDriveType и FindFirstFile/FindNextFile. Т.е. проверяются имена файлов на диске. Если проверка прошла, то защита и будет дальше мучать этот диск, а остальные и не тронет, поэтому и надо букву виртуального CD ставить первой, т.к. диски в алфавитном порядке проверяются. Если после starforce после проверки IDE дисков не проверяет остальные, то это уже просто баг в защите. Ведь интерфейсов много, например внешние приводы, которые подключаются через USB и firewire.



Да действительно какая разница куда бабу трахать, у неё ведь столько дырок, главное первую же попавшуюся найти
Ты пойми старфорц свои атапи драйвера устанавливает, ему наплевать на твою последовательность. Нашёл атапи привод или приводы на иде шине, всё, только с одного из них и хочет запускаться и плевать и мазать хотел на остальные найденные, пока ты эти атапи приводы не отключишь. Блин, поговори с разработчиками алкаша, может они тебя образумят. Поверь мне, каким только макаром я не подставлял первым свой эмулированый привод, но защите ровным образом насрать на это
Кстати я недавно бусхоунд просил кряк как раз для этих целей, запусти свой оригинал с настоящего Атапи привода, короче без эмуляции, взгляни что защита делает, и тоже самое повтори с эмулированным
Разница на яйцо, тоесть на лицо.

Ромка :: Кстати у меня неплохая статейка есть для вас на досуге почитать, правда ещё была написана одним человеком при тогдашней версии старфорца 2.0
Тогда ещё не устанавливались драйверы со встроенным атапи определением,

цитата:

Общая характеристика защиты
Защитные механизмы, работающие на компьютере конечного пользователя защищенного диска, можно условно разделить на две части. К первой части отнесем все способы противоджействия исследованию защищенной программы и приведению исполняемых файлов к состоянию, в котором они будут способны работать без оригинального компакт-диска. Во второй части окажется непосредственно механизм проверки подлинности компакт-диска.
Исследование средств защиты исполняемых модулей от отладки и снятия правильно работающего дампа — занятие неблагодарное. Для грамотно защищенной программы, с умом использующей все возможности, предоставляемые защитой, процесс восстановления исполняемого модуля доступен только высококлассным специалистам и практически не поддается автоматизации. То есть для снятия защиты с каждой новой программы потребуется большую часть исследований проводить сначала. Да и полной гарантии стопроцентной работоспособности получить не удастся. Фрагменты защиты могут быть вставлены в труднодостижимые места. Например, какая-нибудь проверка вполне может выполняться только в седьмой миссии многоуровневой игры, до которой невозможно добраться быстрее, чем за трое суток непрерывных сражений! Так что оставим снятие защиты через восстановление исполняемых модулей фанатикам исследований программ и перейдем к рассмотрению части защиты, связанной с проверкой аутентичности компакт-диска.
Как утверждают разработчики StarForce, при изготовлении защищенных дисков не требуется никакое специальное оборудование, позволяющее наносить лазерные метки или какие-либо иные повреждения поверхности компакт-диска. Да и современные программы побитового копирования дисков, такие как CloneCD или BlindRead/BlindWrite, способны настолько точно воссоздавать все ошибки, что защита оказывается неспособна отличить оригинал от копии. Однако практика показывает, что в подавляющем большинстве случаев копия диска, защищенного StarForce, не опознается как оригинальный диск, какой бы программой ни выполнялось копирование.
Так как же 81агРогсе опознает оригинальный диск? Правильный ответ на этот вопрос знают только разработчики, однако в форуме поддержки Daemon Tools можно найти высказывание, что StarForce использует информацию об углах между секторами и метод получения этой информации совместим с 99.9 % приводов СО-КОМ (StarForce uses angle info and the method of retrieving this makes it 99.9% compatible with any CD-ROM).
Попробуем проверить гипотезу об определении аутентичности диска путем измерения его угловых характеристик. Для этого смоделируем процессы, происходящие при чтении диска.

Модель задержек при чтении информации с компакт-диска

В популярных источниках легко найти описание характеристик звукового компакт-диска.

Компакт-диск (КД)
КД имеет диаметр 120мм и центральное посадочное отверстие диаметром 15 мм. Зона записи звука заключена в кольце с внутренним диаметром 50 мм и наружным— 116мм. Вне ее находится зона, содержащая вспомогательную информацию, которая позволяет автоматизировать процесс воспроизведения. Сигнал записан на дорожке, расположенной на КД в виде спирали. Шаг витков спирали 1.6 мкм, т. е. поперечная плотность записи 625 дорожек/мм. Всего дорожка образует на КД 20 000 витков общей протяженностью 5 км и начинается не у наружной границы зоны записи, как на обычных грампластинках, а у внутренней.

Все вышесказанное справедливо и для компакт-дисков, на которых записаны данные. Спираль разбивается на последовательно идущие сектора, длиной 2352 байт каждый (16-байтовый заголовок, 2048-байтовая область данных и 288-байтовая зона коррекции ошибок). Также известно, что линейная плотность информации вдоль спирали является постоянной на всем диске.



Ромка ::
цитата:

Для дальнейших рассуждений примем, что расстояние между дорожками (1.6 мкм) одинаково на любых компакт-дисках, а длина сегмента спирали, принадлежащего одному сектору, является постоянной для конкретного экземпляра диска. Размеры зоны записи (внутренний и внешний радиусы) и полезная емкость носителя могут варьироваться от одного диска к другому. Так современные матрицы для записи КД имеют емкость от 650 до 800 Мбайт.
Положение на диске сектора с любым номером однозначно описывается двумя характеристиками диска:
Dinner — расстояние от центра диска, на котором начинается нулевой сектор спирали;
Lsect — длина сегмента спирали, соответствующая одному сектору.
Выведем формулы, необходимые для определения точного положения сектора на диске по его номеру. Достаточно вспомнить школьный курс математики, потребуются лишь формула вычисления длины окружности и навык** по выполнению простейших арифметических операций.
Число витков спирали N с поперечной плотностью D витков/мм от радиуса RI до радиуса R2 определяется формулой:
N = (R2- R]) * D
Длина спирали L в том же диапазоне радиусов выражается как: L = п * (R2 + RI) * N = п * (R2 + RI) * (R2- R1) * D = п * (R22 - R,2) * D (п = 3,14 )

... (формулы-формулы-формулы)...

Теперь перейдем к физическим характеристикам привода.
В качестве базового тезиса при разработке компакт-дисков использовалась идея о постоянной линейной плотности записанных данных, а значит, и постоянной линейной скорости чтения диска. Но из-за того что длина витка спирали зависит от радиуса, для обеспечения постоянной линейной скорости чтения угловая скорость вращения диска должна быть переменной. И в первых приводах скорость вращения диска изменялась примерно от 500 оборотов в минуту на внутренних витках спирали до 200 оборотов в минуту на внешних, более длинных витках. Однако в настоящее время существуют многоскоростные приводы, у которых угловая скорость вращения диска является постоянной, а линейная скорость чтения растет при переходе к внешним виткам спирали. И, судя по всему, таких приводов большинство, т. к. ограничения на повышение скорости передачи информации, читаемой с компакт-диска, накладываются не столько интерфейсом между приводом и оперативной памятью компьютера, сколько механическими свойствами самого привода, например значительными вибрациями на больших скоростях вращения. И практически нет разумных поводов для снижения скорости вращения при чтении информации с внешних витков спирали. Таким образом, будем исходить из того, что привод, с которым мы имеем дело, имеет постоянную угловую скорость вращения диска и двигатель привода выключается только по истечении некоторого значительного периода времени, на протяжении которого не было ни одного обращения.
Что происходит после того, как пользовательская программа инициировала команду чтения какого-то сектора диска? Грубо последовательность действий может быть описана примерно следующим образом. Сначала запрос на чтение обрабатывается драйверами операционной системы, которые передают этот запрос приводу. Привод осуществляет позиционирование головки, дожидается, пока диск не повернется до начала сектора, читает данные с диска и передает их в память, а потом присылает извещение о том, что операция чтения завершилась. Дальше происходит окончательная обработка запроса драйверами операционной системы, и прочитанный сектор или или несколько последовательных секторов передаются пользовательской программе.



Ромка ::
цитата:

Точно определить, какое время занимает выполнение того или иного шага приведенной выше схемы, не представляется возможным. Однако если предположить, что длительность постобработки драйверами операционной системы не зависит от номера читаемого сектора, а привод извещает о выполнении операции сразу по окончании чтения последнего из требуемых секторов, то временная задержка между двумя любыми операциями чтения должна с незначительными допущениями укладываться в следующую формулу:

Тij = (n + fract (Nj) -fract (N1)) * P, (2)

где:
- i, j — номер сектора, следующего за последним прочитанным во время первого или второго запроса сектором;
- TJJ — задержка между окончаниями выполнения запросов;
- Ni, Nj — положения j-oro и у’-ого сектора на спирали, вычисленные по формуле (1);
- fract (х) — дробная часть х;
- P — период вращения диска (время, за которое происходит один полный оборот);
- n — произвольное целое число.
То есть задержка состоит из времени, необходимого для нескольких полных оборотов диска, и времени на поворот диска от углового положения fract (Ni) до углового положения fract (Nj).

Как StarForce проверяет диск

Проверка подлинности диска состоит из нескольких этапов. Сначала читается информация о диске, установленном в приводе, и проверяется его метка тома. Затем выполняется 8 запросов на чтение случайных одиночных секторов с номерами в диапазоне от 1 до 65 536. Результаты чтения никак не используются, и, скорее всего, эти действия нужны для разгона диска до номинальной скорости вращения. Затем еще раз читается (но уже не проверяется) информация о диске. Все перечисленное выше проходит через драйвер файловой системы CDFS, никак не защищено от анализа и, следовательно, наверняка не влияет на процесс аутентификации.
Все остальные обращения к диску идут на более низком уровне. В той версии StarForce, анализ которой проводится, обращения адресовались драйве-
ру устройства Cdrom и представляли собой SCSI-команды. Последовательность этих команд такова.
1. Чтение содержания диска (Table Of Content, TOC).
2. Чтение одиночных секторов с номерами 16, 17, 17 (дважды читается
17-ый сектор).
3. Чтение одиночных секторов с номерами 173117, 173099, 173081, 173063,
173045, 173027, 173009, 172991, 172973.
4. Чтение случайных 17 блоков по 8 секторов с номерами первого читае
мого сектора в диапазоне примерно от 168100 до 173200.
5. SCSI-команда с кодом ОхВВ, описание которой не удалось найти в доку
ментации, но которая, скорее всего, отвечает за управление скоростью
вращения привода.
6. Чтение одиночного сектора с номером 173117.
Причем если с первой попытки диск не опознан как оригинальный, то шаги 3 и 4 повторяются в цикле. Значит, после выполнения шага 4 вся информация, необходимая для аутентификации диска, уже получена.
Попробуем разобраться, зачем может потребоваться каждый из шагов.
Чтение ТОС, скорее всего, требуется для определения номера сектора, с которого начинается последняя сессия мультисессионного диска. Так как сессия всего одна, то в 16 и 17 секторах как раз и хранятся описания структуры тома (метка тома, количество секторов, адрес директории диска и т. д.). А повторное чтение сектора 17, скорее всего, используется для того, чтобы примерно оценить порядок времени, затрачиваемого на один оборот диска. Разница времени между двумя чтениями одного сектора должна быть кратна длительности оборота диска.



Ромка ::
цитата:

В последовательности номеров секторов 173117, 173099, 173081, 173063, 173045, 173027, 173009, 172991, 172973 легко усматривается закономерность — каждое следующее значение на 18 меньше предыдущего. Число 18 тоже явно не случайное — на том радиусе диска, где размещаются сектора с указанными номерами, на один виток спирали помещается примерно 18 секторов. А чтение секторов в порядке убывания номера с большой вероятностью используется для того, чтобы предотвратить чтение с предупреждением, когда привод считывает во внутренний буфер не только заданные сектора, но и несколько последующих, на случай если данные читаются последовательно.
Получив значения восьми интервалов (между девятью операциями чтения) и зная длительность п периодов обращения диска (полученную повторным чтением сектора), можно с большой точностью определить скорость вращения диска.
А дальше выполняется 17 чтений блоков со случайными номерами с целью измерения 16 интервалов времени. Если все интервалы хорошо (с малыми отклонениями) укладываются в формулу (2), то диск признается подлинным. Если же отклонения от ожидаемых величин превышают некоторое пороговое значение, то проводится повторное вычисление скорости вращения и повторное измерение задержек между чтением блоков по 8 секторов.

Способ обхода защиты

Чтобы заставить StarForce поверить, что в приводе стоит оригинальный диск, надо совсем не много: чтобы задержки между чтениями соответствовали ожидаемым. А для этого необходимо знать точные характеристики диска: радиус, на котором начинается спираль, и размер сектора. Для определения этих величин можно провести те же самые измерения, что проводит StarForce при проверке диска, а затем варьировать начальный радиус и размер сектора, пока не будут найдены оптимальные значения. Критерием оптимальности, например, может служить сумма отклонений разностей углов, вычисленных по формуле (1), и углов, полученных из замеренных интервалов времени по формуле, обратной (2).
Современное оборудование (во всяком случае, оборудование бытового класса) действительно не позволяет создавать копии защищенного диска, но написание эмулятора, способного обмануть StarForce, не представляет сверхсложной задачи. Достаточно перехватывать обращения к драйверу CD-ROM и в случае, если выполняется команда чтения, делать временную задержку, какую мог бы иметь оригинальный диск, и только после этого возвращать управление вызывающей программе.
В качестве практической демонстрации возможности эмуляции был разработан драйвер, функционирующий под операционной системой Windows 2000 и выполняющий описанные выше действия. Когда драйвер загружен, StarForce оказывается не в состоянии отличить подделку от оригинала. Игра стабильно запускается практически с любой копии оригинального диска, с виртуального диска, созданного программой Daemon Tools, и даже с дисков, которые похожи на оригинальный только тем, что имеют правильную метку тома и размер области данных не менее 350 Мбайт, чтобы существовали сектора с запрашиваемыми номерами.

Резюме по защите StarForce

StarForce, несомненно, является неординарной защитой. Ее исключительность заключается хотя бы в том, что до сих пор не существует надежного способа быстро создавать работоспособные копии защищенных дисков.
Однако проведенное исследование показывает, что для эмуляции защищенного диска нужно совсем немного.
Примерно через 3 месяца после выполнения работы, результаты которой были приведены ранее, компания Protection Technology объявила о выпуске следующей версии своей системы защиты — StarForce Professional 3.0. Разработчики утверждают, что одно из многочисленных улучшений заключается как раз в усилении противодействия эмуляции компакт-дисков.
Кстати, вскоре после появления StarForce 3.0 буквально в течение одного месяца авторы как минимум трех эмуляторов компакт-дисков объявили о том, что новые версии их программ способны эмулировать диски, защищенные StarForce версий 1 и 2. С тех пор прошло больше года, но поддержка StarForce 3.0 так и не появилась ни в одном из эмуляторов. Так что по состоянию на сегодняшний день, компакт-диски, защищенные при помощи StarForce, продолжают оставаться устойчивыми к взлому.






шифрованная таблица переходов или прога


........................................
шифрованная таблица переходов или прога
........................................
call Mario555

RideX :: Mario555 пишет:
цитата:
кста как там работает мой патч или нет ?


У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»

-= ALEX =- :: мде... только пришел щас, а тут такую бадень развели аж на 3 страницы. Ну начнем по-порядку... я сделал инлайн патч, как тут уже многие поняли. Сделать инлайн-патч для аспра никакого труда не составляет, существует несколько способов. Фишка в том, что адреса «апи аспра», назовем их так, лежат примерно в конце секции аспра в зашифрованном виде и CRC по этому участку не проверяется, нам никакого труда не составит, заменить эти пошифрованные адреса на свом, в конце файла... вот весь прицнип. Mario555 я так понял уже сделал то же самое, а может и нет. Я седня или завтра уже сделаю готовый патч. ЗЫ я не думаю, что если Солод исправит этот баг, то пропатчить невозможно будет...

-= ALEX =- :: распаковывать программу я еще пока не готов, это геморно очень я так думаю, да и времени в обрез :( Пока существуют такие «дыры», проще пропатчить и не епать мозги... я надеюсь вам удасться распаковать ее. УДАЧИ !

bit-hack :: Alex, а где достать твой in-line патч(сама прога). По возможности кинь на мыло bit-hack@mail.ru. Зранее спасибо.

Mario555 :: RideX пишет:
цитата:
У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»


Ну значит адреса не совпадают... найди байт который отвечает за expire/не expire... у меня он был по адр. [00e0de0c].

бара пишет:
цитата:
Поясни:
Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn


Сначала - это аспровая апи, вместо адреса которой я подставил свой адрес. Вообще обычно её можно и не переписывать, но в данном случае есть какая-то проверка.
[00e0de0c] - уже сказал
[004e72fc] - тут хранится адрес строки с именем user’a (если не зарегены, то первый байт имени - 00). Кладем в эту ячейку свой адрес, а по нему пишем имя.

Madness :: ZX
›Патчить их не запатчишь, там полиморф
Аспровый полиморф патчить не надо :)

-= Alex =-
›будущее за патчами :) :)
Вот сижу и думаю, как к старфорсу подступится, блин.

Mario555
›Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю
Вылетит в лучшем случае. :P

›вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал
Проверки целостности ехе + памяти мало?

ЗЫ. Сорьки за ответы по 3-м страницам.

бара :: я думаю, надо сделать проще было Mario555 - сделать лоадер, который при загрузке в цикле бы патчил при загрузке. Тогда бы кросс-платформенность была. А пока видать тока на XP будет работать и выше.
Мог бы помочь попробовать, да прога не представляет интереса.

Mario555 спасибо за разъяснения. Я уже понял - переборол лень и сунулся в OllyDebugger. Тока я не дампил протектор - покрутил там в памяти.
Вопрос - нафига ты патчишь триал период в 2-х местах по 30-кам, если мы типа зарегены. Там же триал не идёт по счётчику ? Или идёт из-за неполного хака ? Экспериментировать в лом - вот и спрашиваю....

ZX :: -= ALEX =-

Приношу извинения, за некоторые посты.

Mario555 :: Madness пишет:
цитата:
Вылетит в лучшем случае. :P


Ну и фиг с ним, главное что у меня работает :P а кому надо, так пусть сами нужный адресок ищут. Ты лучше скажи, как в таком случае корректно месагу обходить (мне то это так - для общего развития, всё равно релизов не делаю, и проги ломаю только из-за самого процесса взлома, ну и результата конечно).

Madness пишет:
цитата:
Проверки целостности ехе + памяти мало?


А это новое ? Что в RC4 не тоже самое ?! :)

бара пишет:
цитата:
Экспериментировать в лом - вот и спрашиваю...


Отвечать - влом, поэтому эксперементируй ;)

PS а вот с распаковкой хрень полнейшая :( Импорт есть, таблица call eax есть, краденые байты тоже есть, те что заменены на FF XXXXXX восстанавливаются правильно (задолбался я с ними, но всё таки приделал «улучшеную» функцию обработки таблиц и сами таблицы к дампу), а всё равно работать не хочет - там всякие гадости, по типу записи в адреса сис. dll и т.п. причём таких вот гадостей до . Ещё и какую-то функцию аспр спёр, и запускает как то так
004086B0 PUSH 0E73240
004086B5 RETN
её конечно можно перекинуть в адреса exe... но не в этой функции и проблема.

Madness :: Mario555
›Ты лучше скажи, как в таком случае корректно месагу обходить
Поковыряйся в call, который перед мессагой идет. ;)

›А это новое ? Что в RC4 не тоже самое ?! :)
Старое, то же самое. Я и спрашиваю, мало этого?

бара
Культура так и прет.

CReg [TSRh] :: ZX пишет:
цитата:
Слушай, если нихрена не разобрался и не понимаешь вообще о чем речь, то не лезь со своими ... советами.


«Нежнее, Виктор, еще нежнее» (c)

ZX
бара
«Ребята, давайте жить дружно»

ZX :: CReg [TSRh]
Больше не буду, ну не сдержался
Пойду лечить нервы...

бара :: Admins:
куда мои посты делись ?

если выкасываете - то ту блевотину этого гм.. товариЩа в мой адрес тоже уберите...

ZX :: бара пишет:
цитата:
Мудрые слова. Каждый в чём-то достиг (даже если и не в реверсинге защит). В прошлом, настоящем
или будущем. Поэтому надо стараться понять другого. P.S. А все наезды в приват, а не на форуме.



Это твои слова? Я не наезжал. Я не приверженец разных там ругачек. Я погорячился и это признал. И убираю свой пост, который тебя так обидел.

ZX :: И вообще, ребят, давайте по теме. В смысле исследований это mario555 описал. По автоматизации - проблемм много. Сделал тулзу, которая восстанавливает импорт через лог ольки, марио описывал как делать лог. Дальше этого пока автоматизация не пошла. У меня автоматом не вяжется таблица SEH-обработчика, с call EAX(с таблицей тож проблеммы). Восстановление спертых байт, звиняйте, для меня пока туго, но выходные впереди. У кого какие идеи давайте высказывайте.

P.S.
И вообще, приятней иметь у себя на диске распакованную прогу, чем протекченную неизвестно кем :)
Хотя, конечно, известно, но это не меняет сути дела.

Mario555 :: Madness пишет:
цитата:
Поковыряйся в call, который перед мессагой идет. ;)


Ну дык это же всё-равно в адресах протектора. Там скорее нужно искать апи аспра, которая за проверку этого триала отвечает. Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?

Madness пишет:
цитата:
Я и спрашиваю, мало этого?


А я и не говорил про мало-много. Просто против распаковки добавилось, а против inline нет.

ZX пишет:
цитата:
Сделал тулзу, которая восстанавливает импорт через лог ольки


и с догрузкой dll проблему решил ?

ZX пишет:
цитата:
По автоматизации


Вручную бы для начала распаковать, а то ведь так и не получилось :( хотя наверно это из-за того, что там ещё и авторы проги постарались...

ZX :: Mario555 пишет:
цитата:
Вручную бы для начала распаковать


Одно другому не мешает, а очень даже должно помогать, ты пробовал тулзу или нет на альфаклоке? С догрузкой решил все нормально подшлефую слегка и тебе кину :)

ZX :: На счет скрипта как?

Mario555 :: ZX пишет:
цитата:
ты пробовал тулзу или нет на альфаклоке?


А смысл ? Я просто посмотрел, что в alfaclock та же Ole32 где-то в 771A0000, а прога грузит её c 00550000.

ZX пишет:
цитата:
На счет скрипта как?


Дык лог бряков то сейчас нет, зачем скрипт делать ? Когда будут, тогда и сделаем.

-= ALEX =- :: вот патчик, который обещал. _http://www.alex2kx.nm.ru/KpT-AlfaClock160.rar вроде бы все пучком работает...

Madness :: Mario555
›Ну дык это же всё-равно в адресах протектора.
Нет. В том же поксоренном блоке поищи ;) Хорошего по-немногу.

›Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?
Не патч, а тулза, облегчающая изучение вышеупомянутого блока.

›Просто против распаковки добавилось, а против inline нет.
Лёхе достаточно добавить пару проверок и се, будут кракед ехе, да отстойные лоадеры. Оно есть, но есть и возможность обхода. Говорят уже старфорс патчат, а тут какой то аспр ;)

-= ALEX =- :: Madness да все равно можно пропатчить хоть что, главное подход правильный...

Mario555 :: Проги с «full» кроме alfaclock кто-нить знает ? Всё-таки я думаю, что в alfaclock проблема со скрытыми проверками, а не с какой-нить там фичей аспра.

Madness пишет:
цитата:
Говорят уже старфорс патчат


А про старфорс много чего говорят... :)

бара :: 4e5087 110723e9
4e510a e9 90
4c47ad 9090
4e842c 005f5760

Метод Алекса не работает - триал он не убирает
так и я взломал первый раз - тоже лоханулся

кто не верит - переведите часы на 2 месяца вперёд

у Mario555 тоже при переводе часов не работает

а у Динамита кряк работает - он вырубил проверку на триал

у них убирается лиш наг и ставится флаг REGISTERED в самой программе

RideX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


Ага, не убирает...

XoraX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


ну вот, а он уже прогу зарелизил - kpnemo.ru ;)

-= ALEX =- :: мде.... побежал править :)

бара :: я тут пробовал искать правду, но на меня сразу стали наезжать.... А зря - я ведь хотел как раз предупредить...

-= ALEX =- :: я вроде бы не наезжал ;)

-= ALEX =- :: млин, продолжить что-ль работу над своим in-line patcher’ом...

бара :: Alex, продолжай. Лоадеры это сила... Ты туториал напиши плиз... А то интересно...

бара :: инлайн патчи тоже рулез, ты вот усовершенствуй патч Mario555 - там чуток доработать осталось. У тебя сложнее вышло чуток.

-= ALEX =- :: хех, мысля щас одна в бошку стукнула... побежал в отладчик

-= ALEX =- :: вот профиксил.... http://www.alex2kx.nm.ru/KpT-AlfaClock160fix.rar

RideX :: -= ALEX =-
Теперь всё работает :)
Действительно, может снова займёшься своим патчером? В тяжёлых случаях может быть очень и очень полезен :) Ну а в сравнении по размеру с распакованным .ехе, вообще... слов нет ;)

бара ::
mov eax, [esp]
sub eax, 560f
mov [eax] , e990

а в явном виде что за адрес и что там лежит ? туторал написал бы хоть....

напиши как в своих патчерах музыку сделал - на асме или нет проигрываешь .xm и исходник можно где скачать аль нет...

-= ALEX =- :: ну начнем по-порядку. Данный инлайн-патч (кусок кода в аспре :) ) был написан руками, никаких тулз не юзал. Насчет

mov eax, [esp]
sub eax, 560f
mov [eax] , e990

Я бы посоветывал пройтись пешком по всему аспру до самого OEP, много подчерпнуть много интересного. Это я еще делал когда делал тулзу ASProtect In-line Patcher. Дак вот, адреса «апи» вызвает сам аспр, после «апи» которую я заюзал под свою (GetTrial называеться) идем пешком по коду аспра, и находим заветное место, где стоят несколько подряд условных переходов (код приводить не буду, влом в сайс идти), этот код еще с давних времен я помню так же выглядит. правим первый переход на безусловный (90E9h) и месаги больше не будет... ну адреса аспра у нас ведь динамические, поэтому через стэк получаем адрес call’a, который вызывал нашу «апи», вычитаем 560f и получаем адрес того переходника, которого надо исправить на безусловный. Вот впринципе весь фикс...
Насчет простого патча, т.е. exe’шки моей... написал еще давно на асме, xm через minifmod. ниче сложного нет сделать... замечу это не тулза, это простой кряк.

-= ALEX =- :: RideX насчет продолжения написания того моего патчера, я пока не знаю, у меня времени нет совсем, школу заканчиваю :) экзамены и т.д. :(

бара :: понятно
ну ты и запаковал патч свой UPX-ом - все метки удалил - еле распаковался у меня
Действительно на асме. Я музыку также проигрываю - через эту либу. Думал ещё какой способ есть. А то у меня в tASM’е эта библиотека не инклюдится - написана под масм она потому что - приходится извращаться

Насчёт инлайн патчера - тулза что-ли есть у тебя ? линк дай где скачать можно.
PS
что мессаги не будет это я уже понял. Ну ты и наворотил

Интересно, как там Марио - будет исправлять свой патч или не смогёт ?

Mario555 :: бара пишет:
цитата:
Интересно, как там Марио - будет исправлять свой патч или не смогёт ?


Вопрос поставлен малость неправильно :) Смочь-то смогу, только делать не буду... смысла нет... просто в моём патче я использовал адрес из протектора, поэтому работает он только у меня ;) если вместо этого получать адрес по смешению (как сделал -= ALEX =- ) то будет работать везде.

ZX :: Mario555
Ну как, тулза пашет?

Mario555 :: ZX пишет:
цитата:
Ну как, тулза пашет?


Да!
Кста я заметил, что в 1.3 есть два способа создания импорта
1) с созданием Iat
2) без Iat (AlfaClock, GetPix)
Вот если бы научится переключать аспр, на способ1...

ZX :: Mario555 пишет:
цитата:
1) с созданием Iat


Это ты где такое углядел?
Да импорт, как ты говорил, халява и так, в 1.3 других заморочек хватает. :) А это делает его интересным объектом исследований.

Прохожий :: Mario555
Переключить не сложно, только call-ы и джампы на импорт уже похеренные пакуются, так что толку чуть.

Mario555 :: Прохожий
Ну значит таким образом не получится :) Зато есть ещё два способа (может и больше, но я знаю только два).




Ри SoftIce качаю с cracklab.ru, что с ним делать после распаковки? всмысле...



Ри SoftIce качаю с cracklab.ru, что с ним делать после распаковки? всмысле нужно ли что-то настраивать, что-нибудь дополнительно к нему скачивать?
Mafia32 :: Ну смотря под какую винду ставишь. В 9X надо в файле *.dat, который лежит в папке с сайсом раскоментировать строки типа »; EXP ». В NT там тоже какой-то dat в его папке и там тоже также раскоментировать надо. Ну еще на http:\\reverising.kulichiki.com в разделе «Отладчики» есть дополнения к отладчику, испарвляющие некоторые ошибки (там указано какие). Можно еще скачать IceDump (чтоб делать дампы прям в отладчике) и IceExt (или FrogIce если у тебя 9X), чтоб прятать сайс в памяти. Ну вот в принципе и все.

SLV :: В winice.dat раскомментировать строке перед EXP, убедившись перед этим, в существовании стоящих после этого слова путей

SLV :: Mafia32 пишет:
цитата:
В NT там тоже какой-то dat в его папке и там тоже также раскоментировать надо.


В NT/XP/2k эта папка %WinDir%\system\Drivers.

Ри :: что значит раскомментировать?
ставлю, вернее до сих пор качаю=), под ХР

sanek :: Ри пишет:
цитата:
что значит раскомментировать?


; ‹= перед строкой убрать точку с запятой

SLV :: Тебе не помешало бы выучить какой-нибудь язык программирования высокого уровня.

Ри :: Mafia32 пишет:
цитата:
Ну еще на http:\\reverising.kulichiki.com в разделе «Отладчики» есть дополнения к отладчику, испарвляющие некоторые ошибки (там указано какие).


сайт не работает, можно взять это где-нибудь еще?

Mafia32 :: http://www.reversing.kulichki.com/ - вот правильная ссылка




Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту...



Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту прогу, прога конечно плохая но защита в ней это просто жуть какая-то! PEiD при общении с ней уходит в партизаны, нормально (если можно так выразиться) работает только один дампер PE Tools, сечется SoftIce, с помощью IceExt 0.62 удается его скрыть но только до первого перезапуска проги после чего она его опять-таки обнаруживает, с Олей прогу исследовать невозможно потому что Оля в итоге сдыхает от огромного числа исключений (Армадилла с Аспром нервно курят в сторонке), в SoftIce прогу тоже исследовать невозможно т.к. нужно будет постоянно перезагружаться, оба дизассемблера W32Dasm и IDA показывают чушь. Кстати любые мониторы файлов и реестра прога тоже безжалостно уничтожает, после установки нет никаких новых веток реестра.
Даже не знаю что придумать, все крякерские инструменты можно смело отправлять в трэш УРЛ вроде бы еще работает: http://216.158.130.132/gen/dm132.zip

Посмотрите плз, можно даже не ломать - просто жутко интересно что же это за зверюга такая - рукотворная (созданная самими разработчиками программы) или это все-таки какая-то неизвестная PEiD навесная защита? И как с такими зверями обращаться если еще где встретятся?
fuck it :: кул, если все так как ты сказал то эта кул !

SLV :: Она чем-то хитрожопым зрпакована (Corupt resourses)...

SLV :: Gloomy , а что за прога-то. Про что она, а то эта хрень отладчик детектирует и мне её не запустить (пока, надеюсь )

Gloomy :: SLV пишет:
цитата:
Corupt resourses


А ты как хотел чтобы тебе все ресурсы были? И что ты с ними будешь делать? Искать их в дизассемблере бесполезно там не код а ахинея. В Айсе кстати я пробовал ловить GetWindowTextA - поймал и в итоге вышел на адрес такого вида: 6C291DCC. ИМХО, даже для стека и памяти это многовато.

Не знаю для чего прога, в данном случае это неважно - защита гораздо интереснее.

Gloomy :: Мда, пошел уже пятый час с момента запуска простого скрипта:

Lagain:
esto
jmp Lagain

И до сих пор даже окно нага не появилось Возникают глубокие сомнения в полезности этой процедуры...

ZX :: Прикольная защита, конечно не такая страшная, но прикольная.

Gloomy :: ZX
Очень информативно Нормально сдампить и импорт прикрутить чтобы работала смог?

-= ALEX =- :: я тоже скачал, решил полностью весь код пройти, задолбался, столько циклов прошел полиморфных :)

Gloomy :: -= ALEX =-
И как успехи с прохождением кода? Прошел? В принцпе я даже дамп умудрился сделать (правда не на ОЕР а где-то неизвестно где, в районе проверки введенного серийника) и ресурсов в этом дампе живых много но вот с импортом (брал ОЕР 47CF8C, его показал PEiD) полный завал - там такая гора функций не обнаруживается что дизассемблировать каждую просто нереально, нужна какая-то автоматизация.

test Re: Gloomy :: Кстати если поставить бряк на FindWindowA то все понятно почему
Gloomy пишет:
цитата:
любые мониторы файлов и реестра прога тоже безжалостно уничтожает


Заодно и до OEP дойти быстрее можно.

ZX :: Gloomy
Я вчера просто посмотрел, сейчас вот решил занятся. Попробую импорт восстановить.

infern0 :: там самое прикольное - это ее определение айса. Когда это обходишь то сдампить на оепе уже не проблема. А вот с импортом пока тоже туго.

Gloomy :: Всем занятие нашел, все DarkMailer ломают

infern0 пишет:
цитата:
сдампить на оепе


А как до него дойти? Стандартный «bpm esp-4» не катит т.к. вызывается очень много раз.

ZX :: Да импорт это что-то.
Gloomy
А ОЕР я в PEiD посмотрел, как и ты. Потом когда распаковалось все вбил туда int 3, и приземлился уже там. Ну импорт это...
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...
ЗЫ Когда на ОЕР стоишь загляни в карту памяти (ужас) и какие-то намеки на UPX.

infern0 :: По адресу c00000 находится DLL защиты. Она выполняет всю инициализацию
импорта и расшировку секции кода. У нее подпорчен заголовок но это легко
лечится (четыре секции, границы определяются на глаз)
В ней каждая функция предваряется достаточно прикольным прологом.
Вот например экспортируемая функция SI_detection (на самом деле это фэйк -
просто вывод месбокса :)

code:00C02206 ; Exported entry 1. SI_detection
code:00C02206
code:00C02206 public SI_detection
code:00C02206 SI_detection:
code:00C02206 push eax
code:00C02207 jmp short loc_C0220D
code:00C02209 ; -------------------------
code:00C02209
code:00C02209 loc_C02209:
code:00C02209 jmp short loc_C02212
code:00C02209 ; -------------------------
code:00C0220B db 93h ; У
code:00C0220C db 7Ah ; z
code:00C0220D ; -------------------------
code:00C0220D
code:00C0220D loc_C0220D:
code:00C0220D call loc_C02209
code:00C02212
code:00C02212 loc_C02212:
code:00C02212 pop eax ; EAX = C02212
code:00C02213 add eax, 1Dh ; EAX = C0222F - начало обработчика SEH
code:00C02219 push eax
code:00C0221A xor eax, eax
code:00C0221C push dword ptr fs:[eax]
code:00C0221F mov fs:[eax], esp ; установка SEH
code:00C02222 mov eax, [eax] ; вызов исключения
code:00C02224 test [edi+ecx*4+0], ah
code:00C02228 pop eax ; тут после SEH получаем адрес
code:00C02229 xchg eax, [esp] ; исключения минус 3ch = c021e6
code:00C0222C retn

смотрим обработчик SEH

code:00C0222F sub_C0222F proc near
code:00C0222F
code:00C0222F _CONTEXT = dword ptr 18h
code:00C0222F
code:00C0222F push edi
code:00C02230 push ebp
code:00C02231 push ebx
code:00C02232 mov eax, [esp+_CONTEXT]
code:00C02239 mov ebp, [eax+_CONTEXT.Esp]
code:00C0223F mov ebx, 486262DEh
code:00C02244 xor ebx, 486262E2h
code:00C0224A mov edx, [eax+_CONTEXT.Eip]
code:00C02250 sub edx, ebx ; EIP = EIP - 3ch
code:00C02252 mov [ebp+4], edx ; запишем в стек
code:00C02258 sub [eax+_CONTEXT.Eip], 0FFFFFFFDh ; пропустим пару левых байт
code:00C02262 pop ebx ; для корректного выхода
code:00C02263 pop ebp
code:00C02264 pop edi
code:00C02265 push 0
code:00C02267 pop eax
code:00C02268 retn
code:00C02268 sub_C0222F endp

Т.о. после обработки сгенерированного исключения мы попадаем на реальный код процедуры
расположенный по адресу c021e6

code:00C021E6 sub_C021E6 proc near
code:00C021E6 mov eax, ds:dword_C2CBB4
code:00C021EB push esi
code:00C021EC push 0Dh
code:00C021EE mov esi, [eax]
code:00C021F0 call getErrorMessage
code:00C021F5 pop ecx
code:00C021F6 push eax
code:00C021F7 push 0
code:00C021F9 push ds:dword_C2CBB4
code:00C021FF call dword ptr [esi]
code:00C02201 add esp, 0Ch
code:00C02204 pop esi
code:00C02205 retn
code:00C02205 sub_C021E6 endp

Все остальные процедуры обрабатываются аналогично. Немного пристальнее взглянув видна следующая
система: берется процедура, перед ней ставится байт 0xe9 (что-бы наебать дизассемблер), в конце
добавляется отстой с SEH и все. Если идти с начала секции кода, пропуская лидирующие e9h то можно
легко ручками отметить все процедуры. А гуляя по коду жмем на call и нужная нам процедура будет
вверху. Пока так - продолжаю ковырять :)

infern0 / TSRh team

ps: как хоть протектор этот называется ?

pps: а еще нашел вот такие интересные строки:

"License from TimeHASP is expired"
"No TimeHASP found"
"No HASP found"
"No Fidus key found"

типа она и с донглами умее дружить или очередная подъебка :)

infern0 :: да - процедура определения айса начинается с адреса c0876a вроде...

Gloomy :: ZX пишет:
цитата:
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...


Ну я вообще-то никого не заставлял, дело чисто добровольное - не хочешь дальше копать так забрось ее, лучше своими делами займись.

infern0 пишет:
цитата:
ps: как хоть протектор этот называется?


Мне почему-то кажется что это вообще самодельная защита. Но если это какой-то новый криптор тогда стоит раскапывать его дальше чтобы знать как снять при необходимости.

infern0 пишет:
цитата:
типа она и с донглами умее дружить или очередная подъебка :)


Это вряд ли, с ней никаких драйверов даже нет.

Заметил интересную штуку: дамп что на ОЕР что просто так (вообще без отладчика) получается одинаковый - это меня глючит или это опять какие-то штучки защиты? Пытаюсь вручную восстановить импорт но судя по объему неопределенных функций это минимум на неделю. Нельзя ли как-то автоматизировать восстановление?

Чем добрался до кода - судя по листингу вроде бы IDA? Я уже заколебался все время перезагружаться чтобы SoftIce прятать а IDA файл не берет, анализирует немного и падает. Потыкал в настройки поставил режим чтобы как бинарник анализировала - вроде дело пошло но очень медленно, оставлю на ночь может что и получится. Какая версия IDA? У меня древняя 4.15 наверное потому и не работает

ZX :: infern0 пишет:
цитата:
ps: как хоть протектор этот называется ?


Да мне бы тоже хотелось это знать. Такого импорта я еще не видал. Там видать кроме импорта будут заморочки, еще какая-то беда с ресурсами. Не получается их перестроить в дампе, возможно заголовок файла испорчен, пока не смотрел.

ZX :: Gloomy пишет:
цитата:
Ну я вообще-то никого не заставлял


Так интересно же.
Gloomy пишет:
цитата:
Нельзя ли как-то автоматизировать восстановление?


Пытаюсь что-нибудь придумать

infern0 :: Gloomy пишет:
цитата:
Чем добрался до кода - судя по листингу вроде бы IDA?


дык я же написал - сдампил дллку поправил малек и грузанул в иду :)
в общем я спать - ну ее в сад эту защиту - никуда она не денется...

infern0 :: если я правильно понимаю то пропатчив эти единички на нолики можно спрятать от нее айс

code:00C09A8A mov [ebp+var_4], 1

code:00C09F93 push 1

Dr.Golova :: Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!

RottingCorpse :: А где еще применялось?

-= ALEX =- :: Dr.Golova хех, дак ты оказывается пакеры писал или пишешь... :)

infern0 :: если меня не обманули то это Tristana (c) DrGolova / RedPlait

.::D.e.M.o.N.i.X::. :: Dr.Golova пишет:
цитата:
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Варез еще никто не отменял:) Значит кто-то из своих либо сам пишет DarkMailer, либо «одолжил» разработчикам DarkMailer’а... В любом случае надо искать среди тех у кого он был на руках...

infern0 :: я так понял что все забили на этот протектор, да ?

Gloomy :: Никто не забыт, ничто не забыто - у меня вчера Инет кончился, не успел ничего написать в форум ИДУ оставлял на ночь но она все-таки повисла - видимо черезчур старая, не понимает приколов протектора Dr.Golova . Придется идти напролом и вручную восстанавливать импорт потому что злой Dr.Golova явно не поделится исходниками и не скажет как его восстановить.

Если кто дойдет до победного конца раньше хорошо было бы написать статью т.к. оказывается этот «Tristana (c) DrGolova / RedPlait» штука редкая, экзотичная но мощная.

RottingCorpse :: копаем потихоньку :)

ZX :: Копаем.

infern0 :: Разобрался с айсом - теперь прога его не видит. С импортом действительно весело, виртуальная машина рулит :)

-= ALEX =- :: infern0 странно, у меня прога всегда работает под отладчиком :)

infern0 :: а там прикол был просто... Кстати я импорт получаю чистые весь кроме user32.dll...

Gloomy :: infern0 пишет:
цитата:
виртуальная машина рулит :)


А в каких еще протекторах она еще применяется? Было бы очень любопытно взглянуть... Да и чисто теорию почитать не мешало бы...

infern0 пишет:
цитата:
импорт получаю чистые весь кроме user32.dll...


Плагин для Imprec писал или просто так само получается? У меня вообще завал с неопознанными функциями

ыыч :: Dr.Golova пишет:
цитата:
Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)
«В жестоком мире живем» :)

SLV :: ыыч , ты вроде забыл поменять раскладку (RUS/ENG)

ssx :: SLV пишет:
цитата:
ыыч, ты вроде забыл поменять раскладку (RUS/ENG)


ага, есть маленько :)

интересно, Доктор сюда снова зайдет?

infern0 :: Gloomy пишет:
цитата:
Плагин для Imprec писал или просто так само получается


само. ну ессно после небольшого патча.

Dr.Golova :: ыыч пишет:
цитата:
Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)


Немного доработанный.

ssx :: :) И как это интересно такая приватная вещь попала в дикую природу?




Jonson Исследование программы на VB... Вопрос в аудиторию...



Jonson Исследование программы на VB... Вопрос в аудиторию...

Имеется программа, написанная на VB. Хочется ее «немного отучить от наглости требования денег», а посему ряд вопросов:

1. Какими инструментами (доступными) необходимо обзавестись для исследования VB? Пробовал пользоваться SoftICE, но «заблудился» в сплошных CALL в MSVBVM60.dll и ничего вразумительного так и не понял.

2. Программа использует подключение к и-нету для проверки правильности введенного кода. Как это примерно реализуют в VB? Может хоть так (в листинге программы) найду «необходимый» участок кода (для BPX в ICE-е).

3. (общий вопрос) Неужели VB сложнее при «взломе» чем остальные языки?

Заранее спасибо всем, кто примет участие...

P.S. Читал, что VB компилит программы в 2-ух режимах: P-Code и Native Mode. В моем случае отладчик WKTVBDE сругался, что типа программа не в P-Code. Означает ли это что мой случай - это Native? Или он может ошибаться, ибо CALL’ов в ней (на функции типа ___vb.....) - НЕМЕРЯНО!!!!
MoonShiner :: 1) Если Native, то также как и с обычными... IDA+Softice. Также редакторы ресурсов для VB. Отличие только в том, что юзаются всякие левые функции типа _VB...
2) Поищи всякие функции с подозрительными именами... Прочитай мануал по функциям msvbvm60.
3) Геморройнее это из за пункта 1.

ЗЫ У тебя Native и тебе повезло:)

Jonson :: А поподробнее про редакторы ресурсов (навскидку, хотя бы названия программ - полезу искать)... а также мануалы про функции msvbvm60. У меня стоит Visual Studio .NET 2003 и MSDN к ней. Но там я не нашел описаловки функцию VB (хотя может я что-то и не доустановил из MSDN)...

Gloomy :: Jonson
1. Просмотрщик ресурсов VBDE (можно взять на wasm.ru, пользы от него правда маловато но иногда он показывает адреса откуда начинаются обработчики событий), отладчик по вкусу (мне нравится OllyDbg). От дизассемблера толку маловато будет, разве что msvbvm60.dll им дизассемблировать (в этом случае рекомендую Win32Dasm).
2. Залазь отладчиком в msvbvm60.dll, ищи там функцию InternetOpenA (и пр. функции, см. wininet.dll), смотри как называется экспортируемая фукнция и лови ее (можно прямо в библиотеке). В особо тяжелых случаях я даже пропатчивал системную библиотеку втыкая в нужные места команду int3 (код CC).
3. Взлом не сложнее - он более трудоемкий. Большая часть времени уходит на блуждания по коду виртуальной машины. А уж если используется p-code тогда вообще полный завал - считай что из msvbvm60.dll вообще выбираться не будешь т.к. вся работа происходит там.

Jonson пишет:
цитата:
WKTVBDE сругался, что типа программа не в P-Code


Это значит что либо прога была чем-то упакована (распакованные проги на Васике бесполезно пихать в WKTVBDE, все равно ничего толкового не получишь) либо это действительно не p-code.

Начинай ломать как обычно: посмотри реакцию проги на неравильный серийник и далее по обстоятельствам. Скажу лишь что большая часть программ на Васике ломается посредством излова функций __vbStrCmp и __vbStrComp (по названию наверное догадаешься что они делают). Если не ошибаюсь MC707 когда-то давал УРЛ на сайт про взлом программ на Васике.

Про функции: дизассемблируй библиотеку msvbvm60.dll и смотри экспортируемые функции - других методов я не знаю.

Что за прога-то? Может быть УРЛом поделишься если она не шибко здоровая по размеру?

Jonson :: 2Gloomy
Спасибо за совет. Прога сильно специфична (addon к Flight-симулятору) и, соответственно, сильно большая (около 56 мегов). Пока лазил по ней SoftICE вроде как нашел участок, в котором по введенному мною номеру генерируется ссылка типа «http://www.сайт_производителя.com/мой_введенный_к од ‹- вероятнее всего, после легальной регистрации эта ссылка станет рабочей, т.е. вызывающая программа получит по ней либо ответ, либо что-то еще. А если код вводить «от-балды», то получаю сообщение, что типа »... либо и-нета нету, либо сайт недоступен»....

Gloomy :: Jonson пишет:
цитата:
генерируется ссылка


Теперь лови ее в отладчике и дорабатывай так чтобы она стала правильной. Или можно идти от окна с ошибкой. Все-таки рекомендую OllyDbg - с ним исследовать проги на Васике гораздо проще и быстрее.
Главное после отлова функции вылезти обратно в код проги - наверняка это окно для ввода серийника просто наг после удаления которого будет доступна вся прога. Хотя возможно и более тяжелая ситуация если например код используется для расшифровки чего-то.

Jonson :: ОК. Спасибо за участие... Пошел дальше ковыряться (скачивать OllyDbg, кстати, он сильно от ICE-а отличается?). Если что - еще раз обращусь...

P.S. Классный форум!!! Буду теперь почаще наведываться... ;-))))

Jonson :: Еще маленький вопросец.

Как то попадалась програмка запакованная BitArts Crunch просвятите - что за пакер? Я в тот раз так и не нашел на него распаковщика, а с ручной распаковкой у меня пока еще туговато (я тока учусь :-))))))

RottingCorpse :: BitArts Crunch попакован либо Fusion либо Titanium от той же фирмы....
На Crunch распаковщик есть на protools.anticrack.de

Gloomy :: Jonson пишет:
цитата:
Классный форум!!!


Не классный а ЛУЧШИЙ

Jonson пишет:
цитата:
скачивать OllyDbg, кстати, он сильно от ICE-а отличается?


По внешнему виду - сильно, сам наверное уже заметил. Главное все плагины для него скачать не забудь

Jonson пишет:
цитата:
Если что - еще раз обращусь...


Wелкам!




GPcH Хоть кто нибудь взломал Антивирус Stop! ? Сабж



GPcH Хоть кто нибудь взломал Антивирус Stop! ? Сабж
Gloomy :: GPcH
Было дело, Madness релизил для KpNemo Team. Потом я пытался его ковырять но забросил т.к. там много пошифрованных кусков, открутить их вроде бы можно но геморроя много плюс неизвестно сколько такой ломанный антивирус проработает - возможно после первого же обновления баз разработчики его забаннят. К тому же сам по себе антивирус плохой, пару байт в вирусе изменишь и он его уже не видит.
Если хочешь - изучай, stripper’ом распакуешь а потом уже ручками в отладчике фикси все пошифрованные места (коих там туева хуча).

WELL :: Ну я как всегда в таких постах добавлю =)
Плохой это антивирь уровня каспера...

GPcH :: WELL пишет:
цитата:
Ну я как всегда в таких постах добавлю =)
Плохой это антивирь уровня каспера...


Да, DrWeb рулит, просто я решил стпросить, может кто все же взломал?

WELL :: GPcH
McAfee тоже рулит =)

XoraX :: GPcH пишет:
цитата:
DrWeb рулит


беее..кака..

Styx :: ГЫ, тема для голосования - Кто какими антивирями пользуется?

Bad_guy ::
цитата:
DrWeb рулит,McAfee тоже рулит =)


Настоящие крэкеры антивирём не пользуются ! Это глупо если ты профи пользоваться антивирусом, на мой взгляд. Из сети сейчас уже не так страшно вирус подцепить качая проги - сейчас уже инет под неплохим контролем фильтров... А из писем только глупые секретарши могут ПИФ файлы запускать...

XoraX :: Bad_guy пишет:
цитата:
Настоящие крэкеры антивирём не пользуются !


ну в такой формулировке я бы назвал это лишними понтами :)
а например на домашнем компе антивирус действительно не так важен имхо..

GPcH :: Bad_guy пишет:
цитата:
Настоящие крэкеры антивирём не пользуются ! Это глупо если ты профи пользоваться антивирусом, на мой взгляд. Из сети сейчас уже не так страшно вирус подцепить качая проги - сейчас уже инет под неплохим контролем фильтров... А из писем только глупые секретарши могут ПИФ файлы запускать...


Частично ты прав, но иногда порой бывает интересно узнать, какую херь тебе в аттач захерачили

[ChG]EliTe :: Bad_guy
Согласен! Я тут уже писал раз несколько что удалил антивирь года 2 назад и Абсолютно не расстороился... И вирей ко мне не забигало уже тоже года 2... ни Blaster ни Sasser все это лажа....
Это раньше было время когда вири в МБРах сидели и винты форматили... а сейчас... :-\ Зайдите на viruslist например много ли там сейчас новых вирей которые систему рушат да еще и залазят как нить хитро..?!?!?!?

P.S› А вообще я антивирь убил тогда когда он за***л кричать на мой софт, в том числе и на самописный
DrWeb вообще отдыхает... Захочешь ДотНет поставить.. Выбирай или Вэб или Дот.... Вот лажа то

WELL :: Dr.Web был лажей до версии 4.31b. Потом они сделали скан не только на код но и на ресурсы. И обмануть его стало сложнее (но не невозможно).
То же самое относится и к Макафи.
А ставить антивирь или нет - это уж каждый для себя решает.

ViNCE [AHT] :: WELL пишет:
цитата:
McAfee тоже рулит =)


Ну раз на то пошло - Петя Нортон рулит...

WELL :: ViNCE [AHT] пишет:
цитата:
Ну раз на то пошло - Петя Нортон рулит


Неа. Не рулит. Он ничем не лучше каспера. Пару байт меняешь и усё...




V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то...



V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то прога незапускается, просто загружается а потом без всяких месаг вылетает
врсия Армы, как пишет PEDI 1.хх-2.хх, помогите может у кого-то такое было. ??
бара :: возможно, что это защита уже софтовая проверяет CRC или размер где...

WELL :: Может попробовать поискать ссылки на ExitProcess или чего-нить в этом духе.
Может и правда проверка целостности кода...

V0ldemAr :: мда, наверно я че то не то сделал, сидел в Олли короче прога вирубается через это:
mov eax,[eax]
а в еах очень большое число то есть прога вылетает при доступе к памяти. :((
мда придется ещераз попробовать распаковать.
Кстати Очень странно что когда я пробовал ПеТулзами снимать дамп то провобще видавала Екзекюшн Еррор. :((

Mario555 :: V0ldemAr пишет:
цитата:
вроде распаковал сабж, но чего-то прога незапускается


А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...

V0ldemAr :: Блин, рас такий умный скажы в чем тут дело :) я вроде все сделал

MozgC [TSRh] :: Mario555 пишет:
цитата:
А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...


Да ладно, дофига прог запускаетмя сразу

infern0 :: Mario555 пишет:
цитата:
Сейчас мало какие проги сразу после распаковки запускаются


можно посоветовать пропатчить hands.sys... :))

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
hands.sys


Поправочка: curvehands.sys :)

бара :: а может brains.sys

RottingCorpse :: ili straight_IZVYLINY’s_in_da_brain.sys :)

Mario555 :: infern0 пишет:
цитата:
можно посоветовать пропатчить hands.sys... :))


И что это интересно у меня с руками не так ?!

.::D.e.M.o.N.i.X::. пишет:
цитата:
Поправочка: curvehands.sys :)


Ну это вообще верх остроумия - ах*уенно смешно.

Или вы все не встречали прог с проверкой на распакованность ?! Мне последнее время в основном только такие и попадаются. Что Alfaclock, SIGuardian или Perl Editor - у кого-нить сразу после распаковки запустились ? а все проверки на наличие протектора в этих прогах мне просто приглючились ???

infern0 :: не лезь в бутылку - это злой крякерский юмор...

бара :: я вообще против таких нападок всегда был... Вообще не понимаю, почему на этом форуме некоторые считают, что имеют право посылать новичков на *** и подтрунивать над товарищами по цеху. Зачинщиков в баню короче. Семь суток чтобы не евши...

infern0 :: бара пишет:
цитата:
Зачинщиков в баню короче


ну вот один:

бара пишет:
цитата:
а может brains.sys


бара :: поймал поймал Так меня этот чёрт - RottingCorpse совратил на преступление Я ищо молодой и неопытный А он плохим словам тут учит...
Так я просто продолжил абстрактный ряд синонимов, не проэцируя их на персоналии...

V0ldemAr :: Мда, народ тут веселый, ладно
Короче никакой проверки там нет, это глюканул, кроме секции CODE, не востоновил DATA,
но єто ничего недало, всмысле прога дальше незапускается, но хотябы еррор выдает.
Короче сидел в Олли и нашол в чем глюк, глюк в том что импорт я невесь востоновил.
Вот пример функции из которою Импрек неопознал и я незнал что с ней делать и просто удалил:
01107018 push ebp
01107019 mov ebp,esp
0110701B sub esp,104
01107021 push esi
01107022 push edi
01107023 push 1132EC0
01107028 call [1126070] // = ntdll.dll/0218/RtlEnterCriticalSection
0110702E mov ecx,[1132CE4] // DWORD value: 003A9978
01107034 mov eax,[112B8C0] // DWORD value: 0001EED7
01107039 xor edi,edi
0110703B mov [1133640],eax // DWORD value: 000085D4
01107040 cmp ecx,edi
01107042 je short 01107057
01107044 mov eax,[ecx]
01107046 cmp eax,edi
01107048 je short 01107057
0110704A mov edx,[113363C] // DWORD value: F1100000
01107050 sub [eax],edx
01107052 add ecx,4
01107055 jmp short 01107044
01107057 mov ecx,[1133098] // DWORD value: 003A9928
0110705D cmp ecx,edi
0110705F je short 01107074
01107061 mov eax,[ecx]
01107063 cmp eax,edi
01107065 je short 01107074
01107067 mov edx,[113363C] // DWORD value: F1100000
0110706D sub [eax],edx
0110706F add ecx,4
01107072 jmp short 01107061
01107074 mov eax,[1133280] // DWORD value: 0112BC9C
01107079 movzx esi,word ptr [eax+12]
0110707D call 011224FD
01107082 mov ecx,[1133644] // DWORD value: 00000000
01107088 lea eax,[eax+ecx+7640005E]
0110708F push eax
01107090 mov eax,[112BAC0] // DWORD value: 00000212
01107095 add eax,esi
01107097 push eax
01107098 mov eax,[1133284] // DWORD value: 01100000
0110709D sub eax,esi
0110709F add eax,[112B8C0] // DWORD value: 0001EED7
011070A5 push eax
011070A6 call 01104074
011070AB mov ecx,[1133098] // DWORD value: 003A9928
011070B1 add esp,C
011070B4 cmp ecx,edi
011070B6 mov [ebp-4],eax
011070B9 je short 011070CE
011070BB mov eax,[ecx]
011070BD cmp eax,edi
011070BF je short 011070CE
011070C1 mov edx,[113363C] // DWORD value: F1100000
011070C7 add [eax],edx
011070C9 add ecx,4
011070CC jmp short 011070BB
011070CE mov ecx,[1132CE4] // DWORD value: 003A9978
011070D4 cmp ecx,edi
011070D6 je short 011070EB
011070D8 mov eax,[ecx]
011070DA cmp eax,edi
011070DC je short 011070EB
011070DE mov edx,[113363C] // DWORD value: F1100000
011070E4 add [eax],edx
011070E6 add ecx,4
011070E9 jmp short 011070D8
011070EB mov ecx,[1132CE8] // DWORD value: 003A3C28
011070F1 cmp ecx,edi
011070F3 je short 01107108
011070F5 mov eax,[ecx]
011070F7 cmp eax,edi
011070F9 je short 01107108
011070FB mov edx,[113363C] // DWORD value: F1100000
01107101 sub [eax],edx
01107103 add ecx,4
01107106 jmp short 011070F5
01107108 mov eax,[1133284] // DWORD value: 01100000
0110710D mov ecx,[112B8C4] // DWORD value: 0000714B
01107113 push edi
01107114 add ecx,eax
01107116 push dword ptr [112BAC4] // DWORD value: 000000D1
0110711C push ecx
0110711D push dword ptr [ebp-4]
01107120 call 011014AC
01107125 mov ecx,[1132CE8] // DWORD value: 003A3C28
0110712B add esp,10
0110712E cmp ecx,edi
01107130 je short 01107145
01107132 mov eax,[ecx]
01107134 cmp eax,edi
01107136 je short 01107145
01107138 mov edx,[113363C]
0110713E add [eax],edx
01107140 add ecx,4
01107143 jmp short 01107132
01107145 push ebx
01107146 xchg eax,edx
01107147 xchg dx,dx
0110714A xchg eax,edx
0110714B push edx
0110714C out dx,eax
0110714D pop ebp
0110714E xor dl,[ebp-7F]
01107151 or cl,[edx]
01107153 fild qword ptr [edx]
01107156 dec ebx
01107157 lahf
01107158 push ebp
01107159 mov esi,8D14C134
0110715E call 662E61AF
01107163 retn

Вот и все. Кто уже такоэ видел, и как боролся, подскажыте.

бара :: по арме Mario555 спец у нас и Feuerrader - у них туториалы про это есть да и опыт распаковки немалый... Так что рекомендую связаться с ним по e-mail и обсудить как выйти на поверхность из этого... нехорошей ситуации.

V0ldemAr Re: бара :: Да сенкс.
Но у Feuerrader-а тутор без КОПИМЕМ - а, и в туторе нет того что уменя попалось :(

Mario555 :: V0ldemAr пишет:
цитата:
Вот пример функции из которою Импрек неопознал


Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...

Mario555 :: бара пишет:
цитата:
арме Mario555 спец


Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...

V0ldemAr :: Mario555 пишет:
цитата:
Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...


Может что-то предложыш, а то я уже неделю парюсь, распаковал уже кучу своих прог упакованой армой негде нету такого :((

Mario555 :: V0ldemAr
У меня такого не было... все проблемы с импортом решались правкой «magic jmp» (ну это ессно кроме 3.7a - там с импортом повеселее сделано :)).

бара :: так туториалы видать безымянные которые мне прислали по её снятию не твои ? тогда понятно...

V0ldemAr :: Mario555 пишет:
цитата:
с импортом решались правкой «magic jmp»


это ти про jle XXXXXXXX

Mario555 :: V0ldemAr пишет:
цитата:
это ти про jle XXXXXXXX


Это я про тот, который определяет что писать в iat - адрес апи или переходник.

V0ldemAr :: Mario555 пишет:
цитата:
Это я про тот, который определяет что писать в iat - адрес апи или переходник.


Опа, а где эго искать неподскажеш??

Mario555 :: V0ldemAr пишет:
цитата:
Опа, а где эго искать неподскажеш??


Дык как обычно - бряк на запись в iat - попадёшь на цикл обработки импорта, ну а там уже смотри где и что записывается и куда jmp’ы направлены.

А ты вручную функции определял что-ли ???

ViNCE [AHT] :: Mario555 пишет:
цитата:
Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...


Марио, с тебя Олли-скрипт против армы!

musulmanin :: недавно нашел хорошие туторы по распаковки армы(и не только)...
http://www.hackemate.com.ar/cracking/

musulmanin :: ViNCE [AHT] пишет:
цитата:
Марио, с тебя Олли-скрипт против армы!


хорошо бы

V0ldemAr :: Mario555 пишет:
цитата:
А ты вручную функции определял что-ли ???


Угу, а что?

Mario555 :: ViNCE [AHT] пишет:
цитата:
с тебя Олли-скрипт против армы!


Не думаю, что возможно написать скрипт, который будет полностью снимать арму с copymem.

V0ldemAr пишет:
цитата:
Угу, а что?


Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.

EGOiST[TSRh] :: чета я щас тоже нарвался..с мэджик джампом не восстановилось ешо туча ф-ий..странно

V0ldemAr :: Mario555 пишет:
цитата:
Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.


А какой еще способ есть чтобы определить функции?

EGOiST[TSRh] :: V0ldemAr
почитай статью Драгона, там как раз используется этот метод..

p.s. восстановил импорт таки..прикол в том что арма не по порядку их прописывает, так что ловить на записи апи, может оказаться неправильным..

infern0 :: EGOiST[TSRh] пишет:
цитата:
ловить на записи апи, может оказаться неправильным


зато это легко помогает нати magic jmp и пи следующем запуске брякнутся сразу на нем :)

EGOiST[TSRh] :: не, правильно есесно.просто надо менять етот джамп когда цикл тока начинается..

Mario555 :: EGOiST[TSRh] пишет:
цитата:
прикол в том что арма не по порядку их прописывает


Функции из разных библиотек перемешаны ? Iat за пределами exe ? если да, то это 3.7a.
Там ещё и антидамп по типу, как в ACProtect.

PS для распаковки 3.7a есть скрипт. Да и если вручную распаковывать - один фиг скрипт писать придётся, хотябы чтобы iat упорядочить.

EGOiST[TSRh] :: да не, все по порядку..просто арма их не по порядку обрабатывает а как то по своему..

Gloomy :: Новую тему решил не создавать поэтому пишу сюда: давно пытаюсь распаковать полезную в хозяйстве прогу Easy CD-DA Extractor (http://www.poikosoft.com/download.html 4,5 Мб). PEiD определяет Армадиллу 1.хх-2.хх, другая программа IsItArma (http://databack4u.com/snc/download/trashreg.zip) тоже определяет Армадиллу. Очень смущает вид кода в отладчике, вот картинка загруженой программы: http://tinysoft.nm.ru/dbg.png Посмотрел пример из статьи про распаковку Армадиллы - там все полностью пошифровано. А здесь чистый код да еще и ресурсы в любом редакторе спокойно правятся (!). Как такое возможно? Все типичные армадильные фокусы типа двух процессов и файла в папке temp присутствуют - значит прога действительно упакована Армадиллой. Но почему тогда код и ресурсы доступны? Может кто с таким уже сталкивался? И главное как тогда ее распаковать?

V0ldemAr Re: Gloomy :: Ну ты чувак даеш, это же и есть версия 2.хх она тем и отличается. :))
Прочти тутор HEX-а по снятию армы, очень поможет.
Кста, я тоже хотер распаковать Easy CD-DA Extractor, но блин у меня она незапускается под Вын2к, хз что делать.
Кто-то может подсказать что нужно делать?????

V0ldemAr :: EGOiST[TSRh] пишет:
цитата:
почитай статью Драгона, там как раз используется этот метод..


дык какраз прочитал, перед тем как на форум зайти,
вот вопрос, а как сохр дерево импорта если мы с проги вылетаем?
Где нужно остоновится?




GPcH UnpackMe (C++) Кому надоели крякми - вот:



GPcH UnpackMe (C++) Кому надоели крякми - вот:

http://gpch.int3.net/other/UnpackMe.rar
KLAUS :: Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно

Bad_guy :: Да уж, C++ Builder тоже не подарок

ZX :: Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)


Mafia32 :: А в чем прикол? Запаковал аспром и все? Не понял я зачем качал...

XoraX :: Bad_guy пишет:
цитата:
Да уж, C++ Builder тоже не подарок


дык :) это ж почти дельфи :))

KLAUS :: Mafia пишет:
цитата:
Не понял я зачем качал...


Вот таже фигня....

Styx :: А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ

GPcH :: KLAUS пишет:
цитата:
Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно


Неа! Это новый аспр - 1.3.1 Вот и спрашиваю, никто не научился находить OEP в этом чуде,

GPcH :: Mafia32 пишет:
цитата:
А в чем прикол?


Я и не прикалываюсь
Mafia32 пишет:
цитата:
Запаковал аспром и все?


Да, правда распаковать вручную сколько не пытался не получилось, может кто копал новый аспр?Mafia32 пишет:
цитата:
Не понял я зачем качал...


Не знаю - я никого не заставлял, тем более сказал, что это всего лишь UnpackMe

GPcH :: Styx пишет:
цитата:
А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ


Не! Надо было GPcH Protect’ом или Alex Protect’ом

RideX :: XoraX пишет:
цитата:
Bad_guy пишет:
цитата

Да уж, C++ Builder тоже не подарок

дык :) это ж почти дельфи :))


A VC++ MFC - это почти VB :))

ViNCE [AHT] :: ZX пишет:
цитата:
Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)



Слышь, у тебя получилось его ломануть? Именно снять ограничения?

GPcH :: RideX пишет:
цитата:
A VC++ MFC - это почти VB :))


Может еще скажешь, что Asm и QBasic это одно и тоже???

RideX :: GPcH пишет:
цитата:
Может еще скажешь, что Asm и QBasic это одно и тоже???


Я имел ввиду, может быть такое, что из mfcXX.dll, msvcrt.dll, mfcXXXX.dll ты так же не будешь вылазить как это бывает с VB прогами, потому я написал ПОЧТИ :) Продукты от Borland в ЭТОМ случае отлаживать намного проше, т.к. ты находишься в одном модуле, а не скачешь по разным DLL и у тебя перед глазами не call ?AfxMessageBox@@YGHPBDII@Z (или что-нибудь похуже, или в отладчике call по ординалу), а обычный MessageBoxA. Прога MFC VC++ - это, братан, не API C++ ;) Если тебе это не встречалось - это не значит что такого не бывает, не все пишут на Win32 API :) Чем одинаковы Asm и QBasic, я не понял.

В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages, Borland не Microsoft, runtime DLL’ки с Виндой не поставляет :))

GPcH :: RideX пишет:
цитата:
Чем одинаковы Asm и QBasic, я не понял.


это прикол

RideX пишет:
цитата:
В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages


OK

ZX :: ViNCE [AHT] пишет:
цитата:
Слышь, у тебя получилось его ломануть?


Я посмотрел, что его надо вручную ковырять и отложил на суботу-воскресенье, щас времени нет. И инлайн там сложновато сделать - проверка CRC.

WELL :: GPcH пишет:
цитата:
Надо было GPcH Protect’ом


А это что за ботва ?

KLAUS :: Такое воббще существует...
WELL
Что-то не бось на подобии «Checony.........»

GPcH :: WELL пишет:
цитата:
А это что за ботва ?


Это моя первая и единственная защита на VB: http://gpch.int3.net/soft.php

PS: Это VB, так что не обсирай, и так понятно, что все проги им защищенные MSVBVM60.DLL будут требовать

KLAUS :: GPcH
Печально, а не пробывал переписать на Delphi\Cи ??

WELL :: GPcH
Да. переписать было бы неплохо.

ZX :: ViNCE [AHT] пишет:
цитата:
Именно снять ограничения?


Вроде ни на что не ругается.




DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь



DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь ~ 0.77 mb!
Вроде бы на первый взгляд всё легко - 480038 --› B001C3
Но в этом случае при попытке перейти в режим Heal & Boost следует неминуемая перезагрузка... типа защита..

P.S. Посоветуйте пожалуйста, как обойти эту защиту, а то после вызова
480540 call 480038 комп перезапускается...
Mafia32 :: Я ломал PCMedic недавно, правда версия 6.3xxx. Там, по-моему, в 2х местах происходит перезагрузка. Попробуй определи эти процедуры и за’nop’ь. или бери отладчик и DeDe. Находи в DeDe процедуру TrackBar1Change и начинай ее отлаживать. Сначала определи те места (у меня их было 2), где происходит перезагрузка. Смотри условные переходы, ведущие на них. Программа Throttle этой же фирмы имеет защиту один в один и если в PCMedic я патчил каждый усл.переход, то в Throttle я просто занопил перезагрузку. А вычислить то место, где собственно перезагрузка. Чтоб тебе было полегче, вот внутренности процедуры перезагрузки из версии 6.3, я думаю они остались такими же.

0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret

Mafia32 :: Если будут еще вопросы, то спрашивай, я отвечу. Если совсем никак, я скачаю и пришлю тебе патченный exe.

DOLTON :: Mafia32
Большое спасибо за разъяснения.
На словах всё пока понятно... буду разбираться :)
Mafia32 пишет:
цитата:
Если будут еще вопросы, то спрашивай, я отвечу.


Через некоторое время сообщу как идут дела...

ZX :: DOLTON
Интересно, что это за пакер, мож кто знает? Распаковывается без проблем, но все же интересно.

DOLTON :: ZX пишет:
цитата:
Интересно, что это за пакер, мож кто знает?


PEiD знает, спроси у него :))

ZX :: DOLTON пишет:
цитата:
PEiD знает, спроси у него


Пойду обновлю, он мне не признавался, гад такой

DOLTON :: ZX пишет:
цитата:
Пойду обновлю, он мне не признавался, гад такой


Мой только после долгих пыток сознался

P.S. PECompact 2.0x Heuristic Mode -› Jeremy Collake

MozgC [TSRh] :: В версиях 5.хх перезагрузка была примерно в 10 местах....

Mafia32 :: Я версии 5 не ломал, я впервые решил взломать медика, когда твою[MozgC] статью про распаковку просматривал. :-) Но в 6-ых в 10 местах точно не было... Кажется, 2-3 места всего. Или я уже забыл, помню, что просто было все нопить. :-)

EGOiST[TSRh] :: а кейген?

Mafia32 :: Чего кейген? Я не исследовал алгоритм.

DZmey :: EGOiST[TSRh]

В инете уже есть готовые кейгены к Медику :)

DOLTON :: MozgC [TSRh] пишет:
цитата:
В версиях 5.хх перезагрузка была примерно в 10 местах....


В 6.х перезагрузка вызывается из 14 мест, из них 9 - так называемых плохих перезагрузок...
Остальные 5 - для перезагрузки по желанию в случае успешной оптимизации...
В Win XP принудительная перезагрузка происходит 5 раз, первый при перемещении ползунка
в положение Boost, остальные - в конце, при сохранении результатов оптимизации.
В остальных системах тоже вызывается, но уже из других мест :)

Mafia32
Ещё раз спасибо за помощь!

Nitrogen :: EGOiST[TSRh]
кейген реально.. особливо на hll, а на асме я просто не нашел одной нужной функции.. из самой проги было обломно ее рипать, а переписывать самому было лень.. так и бросил на половине :(

DZmey :: Nitrogen
А что за функция

MozgC [TSRh] :: да там есть одна...
call KeygenPCMedikPls

DZmey :: MozgC [TSRh]

Ясно, наверное тогда call KeygenPCMedikPlZ

DarKSiDE :: Mafia32

цитата:
0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret



Хе….хе.. Я к примеру ничего не нопил, а нашел CALL-ы к этому куску кода и все места КРОМЕ где есть текст, что типа «хотите перезагрузиться сейчас или потом?», их примерно 9 или 10 мест и переходы JLE заменил на JMP-ы, т.е. мы перепрыгиваем вызов данного CALL-а.
Вот меня один вопрос мучает. Ну почему большинство нашего брата к РЕСомраст-у ленятся писать инлайн патчи? Ведь сколько я видел релизов ПиСиМедика, ГеймГайн и Троттл – все кряк ЕХЕ. ИМХО. Странно мне вот не в лом лишний инлайн написать. Чего и всем желаю!

Styx :: DarKSiDE
Я делал также

DarKSiDE :: Styx
Молоток! А инлайн писал к этим прогам? Я да. Вот только с TRIAL версиями заморочка. Там PECompact сам себя распаковывает двумя последовательными циклами. И прыжок на ОЕР тоже. Дак мне пришлось в 3 местах отлавливать распаковку чтобы до JMP OEP добраться! А в FULL версиях элементарно, там конец рспаковки - это реальный JMP EAX, где в ЕАХ адрес ОЕР. Вот!

Styx :: DarKSiDE
Не он мне нетак часто PEComp попадается, да и снять его нифиг делать

DarKSiDE :: Styx
Хе... Я не о том, что снять! Это и ежу понятно. А о том, что наверное лучше и меньше по размеру инлайн, чем ЕХЕ-шник? ЕХЕ-шник поломать и упаковать UPX-ом много ума не надо. А инлайн - надо сломать прогу да еще и мозги напрячь, чтобы рабочий инлайн написать.




Bad



Bad_guy CRACKL@B CrackMe #4 - ГОТОВ БЫТЬ КРЯКНУТЫМ ! Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !
Он рассчитан как на новичков, так и на профи (4 крэкми в одном + бонус). Ломать надо подбором правильного кода - никаких патчей, лоадеров + дополнительное задание - подробности в readme.txt внутри архива. Этот крэкми вобрал всё лучшее от трёх предыдущих !

http://cracklab.ru/crackme/clab4.rar (180 Кб)
DOLTON :: Bad_guy пишет:
цитата:
Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !


Урряяяяяяяяя!

DZmey :: Bad_guy

Скачал - приступимс =))

Mafia32 :: Реально аспр? А так замаскировано под UPX...

Styx :: Понеслась ......

Mafia32 :: не, не аспр,все-таки. Легко распаковалось. Видимо какой-то скрамблер на UPX.

FEUERRADER :: Ох, Bad_Guy, новичков ты уже сбил маскировкой под аспр, а что дальше ждешь :)))))

Mafia32(гость) :: FEUERRADER

Вообще-то меня это не сбило совсем, я просто сделал замечание по ходу...

Mafia32(гость) :: Код первого уровня - 643.

Mafia32(гость) :: Блин, ломаю не за своим компом. Софта нет реверсного... черт....

Mafia32(гость) :: Извиняюсь!!! Не то имя юзал.

1-ый уровень: Mafia32 - Newbie579

DOLTON :: 1 уровень:
DOLTON
Newbie464

PalR :: Hi, I’m Bad_guy !
Newbie1270

FEUERRADER :: Name: FEUERRADER
Code 1: Newbie741
Code 2: 927F6C594633200DFAE7D4C1AE9B8875624F3C
Code 3: search...30%
Code 4: search...0%

CReg [TSRh] :: Name: CReg
Stage1: Newbie353
Stage2: 6D605346392C1F1205F8EBDED1

Stage3 - это практически CRACKL@B CrackMe #3. Все тот же MD5, но только теперь цикл на 29999 итераций.
И там теперь строка - это шестнадцатиричное число (4 байта).
Точнее говоря, там код - это шестнадцатиричное число (8 символов - ’0’ -’9’, ’A’ - ’F’).
Введенная строчка переводится в число, потом ксорится с числом ********, затем переводится в строчку в виде десятичного числа. Ну и потом цикл на 29999 итераций. То есть брутфорсить долго надо :(

FEUERRADER пишет:
цитата:
Code 3: search...30%


Гм... а откуда 30%? Готов поспорить, что в ближайшие сутки (на самом деле значительно больше) тут код никто не запостит (может только Bad_guy ). Или код кто-нибудь угадает?

FEUERRADER :: CReg
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.

CReg [TSRh] :: FEUERRADER
FEUERRADER пишет:
цитата:
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.


Конечно надо :) И ооочень долго :)

Kerghan :: Элементарно, хотя я уже даааавненько ничего не ломал
Kerghan
Newbie704
08F8E8D8C8B8A8988878685848382818
копаю дальше :-\

Bad_guy :: CReg [TSRh] пишет:
цитата:
То есть брутфорсить долго надо :(


Не правда, если там ломать «с умом» то брутфорсить нужно будет практически нисколько - это что касается 3 кода. А про 4 пока не говорю.

Bad_guy :: Mafia32 пишет:
цитата:
Видимо какой-то скрамблер на UPX.


А там в конце написано какой, но это немножко не правда.

GPcH :: Не качается
Киньте кто нибудь в мыло: gpch_soft@tula.net

Mafia32 :: GPcH

У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download

DOLTON :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Прекрасно скачалось Оперой 7.23... без всяких Quick Download :)

Ara :: 1-й этап
Name:Ara
code1:Newbie276
Идем дальше!

Styx :: Styx
Newbie440
594C3F3225180BFEF1E4D7CABD
0045F2A3

а дальше

GPcH :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Ничем не качается

Styx :: GPcH
Давай я те на мыло кину

CReg [TSRh] :: Styx пишет:
цитата:
0045F2A3


:)))) А я-то подумал, что там совпадать должно... :) Даже не пробовал дальше трейсить... :D
Мде, классная наебка :) Респект Bad_guy’ю :)

Telex :: Мне, как болельщику «больно» смотреть, что события развиваются несколько замедленно... :)
Хотя заслуги Bad_guy ’я делают этот вид соревнований более интересным, чем какой-либо (другой) спорт (Моя точка зрения )

KLAUS :: ТАк ну распаковать распаковалась...UPX
на D6.
KLAUS
Newbie384

Styx :: CReg [TSRh]
Гы, я не гарант что нет более правильного варианта

Styx :: Это лишь моё решение

Bad_guy :: Styx
Поздравляю, ты нашёл баг, о котором я не подумал. А так вообще там есть ещё один достаточно легкий способ - кто читал статью про первый крэкми этот способ должен помнить.

Bad_guy :: KLAUS
Теперь запакуй - распаковать не проблема.

Ara :: Name:Ara
Code2:8d8175695d5145392d211509
Поехали дальше!

KLAUS :: Bad_guy
ДА я заметил, что размерчик здравенький уж очень получился у тя.....

Styx :: Bad_guy
А в четвёртом долно Go написаться или я неправ?

Ara :: Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???

Ara :: Name:Ara
Code1:Newbie276
Code2:8d8175695d5145392d211509
Code3:0045f2a3

Bad_guy :: Ara пишет:
цитата:
Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???


А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3

Bad_guy :: Styx пишет:
цитата:
А в четвёртом долно Go написаться или я неправ?


Go - только два символа, а ещё будет несколько.

DZmey :: Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...

Bad_guy :: DZmey пишет:
цитата:
0045f2a3
57757757


Не, это однозначно неправильно. Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...

DZmey :: Bad_guy

Дак знаю что не правельно просто прикол ... типа еррор =)

Bad_guy пишет:
цитата:
всякие Муншайнеры, Нитрогены


ты так говоришь как будто ... их по три человека ...
трое муншайнеров ;))

Black Neuromancer :: Name: Black Neuromancer
Codes:
1) Newbie1660
2) 05EACFB4997E63482D12F7DCC1A68B70553A1F04E9CEB3987D 6247

Пока всё, с утра посмотрю ещё - может и получится что-нить отрыть.

vins :: vins
1) Newbie448
2) 6f6255483b2e211407faede0d3

Прикольный крякми

Ara :: Bad_guy пишет:
цитата:

А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3


Я еще потом все равно поковырял на 3 шаге (вернулся с 4-го)- там адрес создается по которому в 4-м переход делается. Значит неправильно сделал что-то с 3-м.

DZmey пишет:
цитата:
Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...


Из-за 3-го СН!!! 4-й код любой укажи-все равно переход один и тотже будет!

V0ldemAr :: Гы, а на счет упаковки, уменя минимум вышло 210 432
[ AsprPE by BGCorp ] однако :)))

name: V0ldemAr
code1:Newbie731
code2:BEAD9C8B7A69584736251403F2E1D0BFAE

А этот крекми PeID определяет как Аспр, а я всегда проверяю еще и -=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер, определил как УПХ мод, и снимается как УПХ :))))
попа и все :))

Madness :: Bad_guy
Спасибо за прогу :)

Madness
Newbie715
1505F5E5D5C5B5A59585756555453525
0045EC84

Последний код пока не скажу, пущай остальные покопаются. А напишет «GoXXX URWINNER». XXX-вырезано, потому как может помочь.

›Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...
Спят они, утром выкладывать надо. ;)

-= ALEX =- :: мде... только отошел после вчерашнего, а тут уже млин запостили... ну че скачаю хоть поглядеть...

WELL :: Ну вот. Вчера на работе весь день был, а там инет отрубили. Всё самое интересное пропустил.

Nitrogen :: Bad_guy
лично я тут.. читаю со второй страницы.. даже скачал, даже запустил :).. дальше даже не делал попытки посмотреть :)

Madness
вах. ты первый? респект! :)
p.s помнишь ты traffic-что-то-там кейгенил?.. он еще через mmc запускался?.. вот мне нужно что-то подобное отломать, а из инструментов тока ида.. можно такой софт из иды отдебажить?

Madness :: Nitrogen
›не делал попытки посмотреть :)
Зря, прикольная штучка. Одна наколка с md5 чего стоит :) Только Bad_guy стоило 2 используемые функции засунуть куда подальше, а то в глаза сразу бросается, тогда б долго ковырялся. Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.

›вах. ты первый?
Обижашь, единственный :P

off:
›ты traffic-что-то-там кейгенил?
Ага, было дело, там щас старфорс кста поставили :) Ковыряемся по-маленьку.

›он еще через mmc запускался?
Ага.

›можно такой софт из иды отдебажить?
Нуна. Ищи *.ocx или dll какую-нить и пихай его в иду. А мне отладчик в иде мне не понравился, хотя мож не умею готовить :D

GPcH :: Styx пишет:
цитата:
Давай я те на мыло кину


И сегодня нифига не качается, помоги плиз: mailto:gpch_soft@tula.net

Nitrogen :: Madness
с ocx и dll и так понятно.. отдизасмить без проблем.. вопрос как _отдебажить_ :).. дллка из иды не запускается

-= ALEX =- :: -= ALEX =-
Newbie574
513E2B1805F2DFCCB9A693806D5A4734210EFB
0045EC84

все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...

RideX :: Madness
Чётко сработал, респект :)
С третьим так я и не понял, аналогично твоему номеру подходят, например, и 0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)

Madness :: Nitrogen
Ну дык. Я и говорю, что сайс лучше :)
Попробовал, вроде получилось :) Почитай чего ида говорит. Debugger-Process Options-Application. Тут поставь exe, который вызывает dll (сам напиши). Попробовал на примере dll из fasm’a.

-= ALEX =-
›все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...
Реальный адрес процедуры2 получается после правильного кода3. Последний код расшифровывает строку и патчит код.
Кстати, нашел еще 1 код3 :)
А кодов4, по-моему, может быть остаточно много.

Bad_guy :: V0ldemAr пишет:
цитата:
-=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер


Ну вот когда он станет популярынм и его буду обламывать :)

Madness пишет:
цитата:
0045EC84


Абсолютно верно.

Madness пишет:
цитата:
Последний код пока не скажу, пущай остальные покопаются.


Спасибо.

MoonShiner :: 3 кода есть. 4-й пока не смотрел:(

-= ALEX =- :: Madness процедура2 - это случаем не 0045ED30 ?

Bad_guy :: RideX пишет:
цитата:
0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)


Да, эти адреса тоже подходят, но тот должен быть (0045ec84). а найти процедуру просто - там допущена ошибка - процедура возвращает значение в ту же переменную, которая используется рядом с циклами md5, что опытный крэкер должен был бы заметить.

Madness пишет:
цитата:
А кодов4, по-моему, может быть остаточно много.


Да.

Bad_guy :: Madness пишет:
цитата:
Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.


РеверсМи, однако

MoonShiner :: 3-й код находится ваще без проблем. Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.

Bad_guy :: MoonShiner пишет:
цитата:
Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.


Без брутфорса можно было обойтись легко.

Styx :: GPcH
Письмо ушло

Madness :: -= ALEX =-
›процедура2
А ты как думаешь? ;)

цитата:
Реальный адрес процедуры2 получается после правильного кода3.


Bad_guy
›процедура возвращает значение в ту же переменную
Даже не в том дело, у тебя там 2 бесхозные процедуры в коде TForm1, что всегда подозрительно. Dede не переварил покореженные ресурсы, потому имена дельфийским/bcpp функциям давал вручную, ну и заметил :) Как их спрятать можно было не скажу :P

RideX :: seg000:0045F1A5 mov eax, ds:dword_462C30
seg000:0045F1AA xor eax, 5E571599h

x-pef:
seg000:00462C30 dword_462C30 dd 0 ; DATA XREF: seg000:0045EC84
seg000:00462C30 ; seg000:0045F1A0

бара :: Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник

V0ldemAr :: бара пишет:
цитата:
Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник


Чювак берешь васм.ру береш там исходник хешера на масме и пишеш.
Я за пол часа написал к этому крякми, но исходника недам.
Кстати скорость 6 пар./с на моем Дюроне 1200

GPcH :: Styx пишет:
цитата:
Письмо ушло


Спасибо.
Но пока за 10 минут я только смог распаковать и найти первый код:

GPcH
Newbie322

PS: Попробую со следующими

Bad_guy :: Madness пишет:
цитата:
Как их спрятать можно было не скажу :P


Если б захотел наверное спрятал бы, и против Dede была мысль код поставить. Но это ж ведь крякми, причём на мастерство, а не на брутфорс, патч и т.д.

Bad_guy :: Madness
Ты молодец ! Пока ещё больше никто не доехал до конца...

бара :: V0ldemAr
Спасибо за идею чувак

P.S.
Кстати слово «чувак» переводится как «кастрированный баран». Это для справки тебе, чтобы никому не писал больше таких слов

Bad_guy :: Ну что, кто же всё таки 4-ый код найдёт ?

бара :: Первый код нашёл (Newbie903)
а на второй и дальше забил

так как
11111111111111111111111111111111111111 вторым ввёлся, но сообщения об ошибке нет и нет сообщения что код правильный. Имхо, фигли **аться, если там достаточно переходы поменять в 4-х местах.... Не по мне короче. Для любителей кейгенов програмка...

Bad_guy :: бара
Ну так запакуй тогда попробуй чтоб работало и было меньше 185 Кб.

Bad_guy :: Люди, мож кто хочет запостить ещё на каких форумах (крэкерских) этот крякмис - я был бы рад, только не говорите, что он здесь уже обсуждается.

бара :: Bad_guy
Хорошо, запаковать попробую и выслать, если размер смогу такой малый сделать....
P.S.
Madness выходит крут немеряно...

-= ALEX =- :: бара ну а ты что думал :) я тоже особо не спец в кейгенах, мне проще пропатчить ...

Ara :: В пять утра нашел правильный третий код, с 4-м похоже будет глухо!!!

Ara :: Bad_guy , а у тебя кейген есть?

-= ALEX =- :: Ara а кейген для чего ? для 3-го и 4-го :)

KLAUS :: Bad_guy
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...

.::D.e.M.o.N.i.X::. :: Bad_guy
Короче скачал я это дело, но мне лень было для себя генерить, короче мне по душе пришлась дополнительная задача - итак у меня вышло 183Кб против твоих 185кб :)
При распаковке наткнулся на интересную строчку .:[ AsprPE by BGCorp ]:. - типа под аспр канает, на самом деле UPX, даже никаких антиотладочных приемов не насувал, хотя может я и не заметил:)
P.S. Тебе замылить или где-нибудь выложить мой анпак в 183кб?

KLAUS :: .::D.e.M.o.N.i.X::.

Лучше рассказать, как такой результат получил!

бара :: да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...

V0ldemAr :: .::D.e.M.o.N.i.X::. пишет:
цитата:
итак у меня вышло 183Кб против твоих 185кб :)


Уменя минимум вышло 210к, ну типа распаковал и удалил секции пакера и фсе.
а потом УПХ 1.24, и вышло 210 432 байт
Чего там еще там можно удалить???

KLAUS :: У меня UPX её зажал, а вот Aspack после зжатия ошибку выдал (про FSG уже не говорю)!

Styx :: Madness
А как ты заставил DeDe файл этот сьести. У меня тока Classes info выкатил и всё?

.::D.e.M.o.N.i.X::. :: KLAUS пишет:
цитата:
Лучше рассказать, как такой результат получил!


У меня еще не окончательный результат - есть идея убрать еще несколько килобайт и никаких PE Rebuild’ов!!! - все только ручками. После завершения работ выложу на всеобщее обозрение и раскажу что по чем...

KLAUS :: .::D.e.M.o.N.i.X::.

Ништяк, будем ждать....

Ara :: -= ALEX =- пишет:
цитата:
Ara а кейген для чего ? для 3-го и 4-го :)


Ну с 3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.

Bad_guy :: Ara пишет:
цитата:
Bad_guy , а у тебя кейген есть?


А нафига он мне.

KLAUS пишет:
цитата:
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...


Вообще то я не очень хочу статью писать -идей новых почти в этом крэкми не было.

.::D.e.M.o.N.i.X::.
Выкладывать не надо - достаточно рассказать.

бара пишет:
цитата:
да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...


UPX 0.72, однако - это вам ни какой-нибудь аспротект.

V0ldemAr
210 кило - плохо. Аспаком исходный (чистый) файл паковался в 180 Кб.

Ara пишет:
цитата:
Ну с3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.


Зря вы 4-го испугались - в третьем ведь «собака порылась»...

бара :: Напишите туториал по поиску кодов. А то я сколько туториалов не читал, всё мимо - как ключи нашёл Madness я так и не въехал. Софтайс я не загружал - через Olly только пробовал ключики найти. Подскажите кто так искал. Интересует логика...
А то вот на днях 3D Hockey 1.06 ломали - там переходы меняли, а ключик хотелось бы тож найти. Как без софтайса енто дело оформить ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Уменьшил на пару кило распакованный файлик, только вот UPX зараза перехотел паковать - буду заново стараться...

бара :: а нафига паковать-то если люди уже логику генерации ключа просекли и способны кейген сбацать... ?

KLAUS :: бара пишет:
цитата:
Напишите туториал по поиску кодов


Во во...полностью согласен.
Патчи патчами....а вот как генерилось, так я и не догнал к сожалению, единственное что понял, так это что в Normal кол-во символом зависило он того сколько символов в нике ( или я ошибаюсь????)!!!

KLAUS :: бара
Ну для начала нужно его распаковать и поглядеть какой размер (у меня вышло 678) а в запакованном 186, ну вот и нужно хотя бы до такого размера ужать попытаться!

бара :: Так я давно распаковал. Первое что сделал. Взял процдамп и распаковал. Запаковать не смог. Вот я и спросил
1) Логика поиска серийника на ДАННОМ конкретном примере (в Olly желательно);
2)что меняли в экзешнике (желательно по пунктам).

бара :: KLAUS
Зависело по формуле: Длина = Длина предыдущего кода * 2
А потом уже дополнительные проверки
И ещё проверки на то, чтобы первые символы 2 были числом вроде бы.

.::D.e.M.o.N.i.X::. :: KLAUS
У меня распакованный вышел 516 кб (без импорта), аспаком не пробовал упаковывать, но UPX ужал это дело до 183 кб. Со второй попыткой дважды промахнулся, решил пойти поспать, завтра с утричка заново на свежую голову возьмусь...

Madness :: Styx
›А как ты заставил DeDe файл этот сьести.
А я говорил, что заставил? Цитату неохота искать, я говорил что dede подавилось секцией ресурсов (ее, кста, даже resrebuilder не желает восстанавливать, опять руками надо), потому вручную пришлось имена функциям давать, из-за чего и наткнулся на бесхозные функции.

Bad_guy
›идей новых почти в этом крэкми не было.
Зато красиво вышло, не то что прошлое. Еще разок спасибо за 2 часа сна прошлой ночью :D

бара
›Интересует логика...
:) Я подобрал байты, которыми должен пропатчиться был код, а через них и код4. Это, кста, через зад, прямой путь намного проще и понятнее.

›способны кейген сбацать... ?
Кейгены можно сделать только к код1,2,4. Кодов3 минимум 2.

ЗЫ. Я че та не понял, все паковать бросились? :lol:

MoonShiner :: Странно... Я склепал брутфорс для 4-го кода. Так бы оставил и в течение часа он бы подобрал верный код... 2-3 байта из 5-ти с достаточно большой вероятностью угадываются... А дальше перебор... Но шняга в том, что у меня подвисает прога на некоторых номерах... То есть приходится перезапускать прогу. Для полного перебора в моем случае ее нужно перезапустить раз 180 примерно:) Седня ковырну и улучшу...

ЗЫ Поздравьте, чуваки, я диссер написал наконец то:)

-= ALEX =- :: MoonShiner ПОЗДРАВЛЯЮ !!!

Bad_guy :: MoonShiner
Да, в 4ом этапе побрутфорсить немного надо, но очень недолго... если брутфорсер хороший написать.

Bad_guy :: MoonShiner
А что такое диссер ?

MoonShiner :: Диссертация... я по матметодам в экономике в аспирантуре. Хочу за один год отстреляться, диссертацию дописал уже... Седня доклад перед советом.

Bad_guy :: MoonShiner
А, вот что.
Удачи !

MoonShiner :: Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy , поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...

бара :: пишите туториал кто как искал коды... Харе хвастать

- = $pY = - :: И всё таки, хотелось бы узнать 4 код, может кто приведёт его тут ...

Да и интересно было б туторы почитать, хоть один

SLV :: А я только начал исследовать crackme (был в offline).
OEP = 45FF18 :)

MoonShiner :: Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.

- = $pY = - :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Было бы не плохо, а вот про остальные коды, тоже интересно.

Styx :: Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?

MozgC [TSRh] :: Я вообще не собирался этот крэкми качать и ломать, т.к. я немного отошел от крэкинга на время... Сессия + занялся программированием...
Но всякие долбоебы мне начинают в аську орать, что крэкми бэдгая - это супер показатель уровня, и что я ламер вонючий, раз в теме про этот крэкми я че-то не отметился... Чела я послал на хуй, но за живое меня это задело...
В общем харэ жаловаться, вот:

Имя: MozgC
код1: Newbie480
код2: B9AB9D8F81736557493B2D1F1103
код3: 0045EC84

код4 я говорить не буду, кому интересно могу сказать последний символ =) Потом прога пишет что я победитель и при выходе кое что невеселое эмулирует.

Madness :: MoonShiner
›Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать.
Чего моего согласия то спрашивать, бери, да пиши. Если есть желание, могу свои комментарии добавить к тутору(соавторство).

Styx
Оно типа пытается все с диска удалить, эта вся байда в последней процедуре Form1.

Madness :: Bad_guy
Когда код 4 сказать то можно?

Bad_guy :: MoonShiner пишет:
цитата:
Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy, поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...


Ну в награду гуру крэкерства... давай не будем говорить подробности - пускай ломають... сами. А 4х паролей много...

Bad_guy :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Если будешь писать - пиши про всё - разные читатели бывают... Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.

Styx пишет:
цитата:
Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?


Нет, но то что пишет Мунш тоже имеет место.

MozgC [TSRh]
Молодец, и ты добрался. Есть в TSRh оказывается крэкеры, которые мой крякмис сломать могут

Madness пишет:
цитата:
Когда код 4 сказать то можно?


А зачем его говорить то - пускай сами ломают. Ну вообще Мунш наверное в своей статье всё опишет, а говорить здесь на форуме код не думаю что надо.

MoonShiner :: Madness пишет:
цитата:
Чего моего согласия то спрашивать, бери, да пиши.


Просто ты был первый, потому и не знал, каково будет твое отношение к тому, если я буду писать тутор... Да из-за нехватки времени глубоко и не копал, потому все будет чисто технически (для достижения цели) описано...
Bad_guy пишет:
цитата:
Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.


Спору нет... Лично мне с технической точки зрения поиск 3-го кода показался сложнее чем 4-го:)

Надеюсь, к выходным я напишу полный вариант поиска всех кодов. Но сильно меня не пинать, если я этого не сделаю:) Траблы со временем из-за скорой сдачи кандминимума:(

Kerghan :: MozgC [TSRh]
да уж. хотя я писал не совсем это, точнее даже совсем не это. спросил просто...
ну ладно, а то забанишь еще

MoonShiner :: Статью дописал. Сегодня отдам Bad_guy-у на рецензию и оформление в нужном стиле.

KLAUS :: MoonShiner
Ништяк.....теперьосталось дождаться когда она в свет выйдет

бара :: если что - шлите статью сразу мне - переделаю как надо... А то будете размещать её месяц...

-= ALEX =- :: прикольная статья ! ждите...

MozgC [TSRh] :: Kerghan
Забудь мой ник, а я забуду твой. Все будут довольны.

Bad_guy :: -= ALEX =- пишет:
цитата:
прикольная статья ! ждите...


Уже дождались ! Только что выложил на www.cracklab.ru

Mafia32 :: MoonShiner

Кульная статья! Молодец!

MoonShiner :: Спасибо:) 3 часа седня грохнул, пока на работе ее писал...

бара :: merci...

Mafia32 :: MoonShiner

Извини, плз, но можно вопрос? Про LocalLock... По-подробнее. Я ставлю бряк на нее, софт-айс не выскакивает. Я просто забыл про hmemcpy со времен использования вынь98, а тут вдруг ты так невзначай бросил... :-)

Madness :: Второй код3 - 0045EC82 :)

MoonShiner :: Mafia32 , у меня выскакивает:) Че за винда у тебя? Кстати, тут пролетала тема про эти функции.

KLAUS :: MoonShiner

о Thanks за статейку

- = $pY = - :: MoonShiner

Офигенная статья, спасибо !!!

Mafia32 :: MoonShiner

WinXP Sp1




Mafia32 tELock Хотелось бы задать вопрос по этому криптору. Вообщем, дошел я...



Mafia32 tELock Хотелось бы задать вопрос по этому криптору. Вообщем, дошел я до OEP. Сдампил с помощью PE-Tools, который сам восстановил секции. Восстановил импорт импреком. Вроде бы все нормально, однако прога не запускается. В чем может быть проблема?
бара :: есть утилита уже давно для автоматической распаковки. Так что забей...

Mafia32 :: Не, охота самому. :-)

-= ALEX =- :: Mafia32 ну если охота самому, то сам найди почему вылетает. здесь не экстрасенсы сидят :P

V0ldemAr :: Mafia32 попробуй снимать дамп при помощи ЛордРе, может помочь.

XoraX :: бара пишет:
цитата:
есть утилита уже давно для автоматической распаковки.


хех.. последнюю версию уже она не снимает :)) так что самому все равно нужно уметь.

бара :: уметь нужно... Согласен. Только вот столько уже крипторов развелось, что прямо беда.... Вручную распаковывать каждую программу геморно. Надо спасибо сказать создателям автоматических распаковщиков А то бы мы из отладчиков и не вылезали - как пещерные бы стали

XoraX :: бара пишет:
цитата:
А то бы мы из отладчиков и не вылезали


зато прикинь сколько экспы бы заработал

бара :: тут уже такие волкодавы бы были - голыми руками 3-й старфорс бы снимали

Noble Ghost :: бара пишет:
цитата:
тут уже такие волкодавы бы были - голыми руками 3-й старфорс бы снимали


:shocked:
/whois «эти волкодавы»?

Grim Fandango :: народ, я в танке. Где эта утилита для распаковки?

Grim Fandango :: И еще, какая последняя версия tELock?

dMNt :: версия последняя (паблик) - 98 со всякими буквами :)
а распаковщик х.з. на programmers tools посмотри

[ChG]EliTe :: Grim Fandango
Ушло мылом... Проверяй почту

Grim Fandango :: ну что ж, пока нет, будем ждать, но спасибо заранее.

[ChG]EliTe :: Щя точно ушло!

SGA :: Я По Этой Статье Хорошо и довольно быстро рапаковал.
http://uinc.ru/articles/25/

Mario555 :: Mafia32 пишет:
цитата:
Восстановил импорт импреком


Насколько я помню в telock и т.п. можно без resolver’ов обойтись.




X0E-2003 Не могу распаковать ? :(...



X0E-2003 Не могу распаковать ? :( http://www.mp3towav.org/download/midconverter.exe

Народ, чем эта дурь запакована и как ее распаковать?

Вес: 1.20МБ

PeiD и PE Shniffer из PE TOOLS ничего в сигн. не нашли
-= ALEX =- :: хрен знает чем запакована. вообще нахера знать что чем запакована, бери да распаковывай руками. «Не могу распаковать», мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!

Black Neuromancer :: -= ALEX =- пишет:
цитата:
мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!


наверно так и есть, он хочет чтобы ему на блюдечке все выложили, а может он просто не включил хардкорного сканирования в PeiD, а вообще правда все ручками делать

Mafia32 :: Ну зачем так народ. Человек помощи попросил, а ему так отвечают... Некоторые прям Unpacking Gods. Без обид!

Mafia32 :: X0E-2003
Это аспр. Версия 1.2X. Как я могу судить из отладчика. Я пробовал после того как сдампил посмотреть PE-Sniffer’ом и PEiD. Последний почему-то слетел с эксепшн, а снифер нормально засвидетельствовал аспр. Обнови сигнутуры!

Mafia32 :: Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.

ZX :: Mafia32 пишет:
цитата:
Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.


а подсказать, что ее стриппер распаковывает не судьба?

KLAUS :: ZX
Ну а малоли у него 98.....

Mafia32 :: ZX

Да как-то привыкши руками... :-)




Mafia32 Установка Soft-Ice (в последний раз!) Привет всем! Сто миллионов раз...



Mafia32 Установка Soft-Ice (в последний раз!) Привет всем! Сто миллионов раз я поднимал эту тему и на WASM, и на старом кряклабе и в рассылках... Проблема в следующем. Начинал я заниматься реверсингом под Win98, где у меня Soft-Ice 4.05 работал превосходно. Но вот я купил себе ноут, на котором стоит Windows XP Home Edition. Скачал себе сайс с сайта .::Deomonix::.’a, поставил, ребут. Все работает круто. Но вот я перезагружаюсь и захожу снова. Все! Больше сайс не всплывает. Т.е скорей всего он всплывает, но его окна не видно. Система стоит, после второго CTRL-D отвисает. Я пробовал ставить все подходящие патчи к сайсу с reversing.kulichiki.com. Ни хрена! Буду очень благодарен за любую помощь по этому вопросу, за любые советы.
Да, можно пользоваться Olly, что собственно я уже полгода и делаю. Однако при работе с такими вещами как аспр, арма, да пусть тот же SVK, с олли чувствуешь себя иначе нежели с сайсом. И вы это знаете...
бара :: вывод тут один: XP Home Edition - г**но
на том же сайте были патчи к софтайсу - попробуй как последнее средство.

AnteC :: выход - Olly если не надо копаться в ring-0 :)

Mafia32 :: AnteC
Понимаешь, олли хорош, когда работаешь с уже распакованной\расшифрованной программой. Здесь на нас играет вся его «интеллектуальность». Например, распознавание ASCII\Unicode строк. Но когда имеешь дело с незнакомым для тебя протектором... Что бы ни говорили, но первым в этом деле должен идти софт-айс. А уж отработав протектор сайсом, можно взять олли и, когда уже знаешь код, написать скрипты под него и сделать то же самое, но олли.
бара
Я ж говорю, ставил все патчи. Ни хрена!

бара :: тогда качай 4.2.7 который - Driver Studio - там же лежит...

CCh :: AnteC пишет:
цитата:
вывод тут один: XP Home Edition - г**но
на том же сайте были патчи к софтайсу - попробуй как последнее средство.


у меня было тоже самое с айсом под XP Professional. Выходит все икспишки - г**но??
Пришлось от айса отказаться... неохота перегружаться из икспи в 98 все время...

бара :: мне тоже странно. Я предпочёл поставить на дополнительный раздел W98 (через Partition Magic 8.0.2) чем му*охаться с этими патчами и рисковать Винни.
А насчёт распаковки - Mario555 вон и последний аспр распаковывает в Olly и армадиллу без проблем. Надо только к олли всякие плагины и скрипты скачать и приловчиться к новому отладчику 10d версии Step 3 который (у меня уже такой скачан).

TOR :: Поставь ХР Profesional без сервиспаков.Полная установка ds2.7,пару раз перезагружаешься, сносишь ее ,потом ставишь айс с сайта .::Deomonix::.’a. Это мой метод установки. В чем загвоздка так и не дошли руки разобраться.

Mafia32 :: TOR
И че все работает?
бара
Где качал?

Mafia32 :: А я кстати посмотрел, у меня олли 1.09d step4...

SeDoYHg :: Mafia32 пишет:
цитата:
1.09d


Ну, ты даешь, даже у меня 1.10 b

Mafia32 :: Вот именно, что олли надо со скриптами. А просто исследовать протектор без всяких примочек достаточно проблематично. Мне вот на WASM MozgC говорил, что так и не смог под XP сайс сделать. Вот интересно, как он выкручивается...

Kot :: А ты ставил сайс в boot, manual or System? Ставь manual. Ставь видиокарту Universal video.
А вообще есть 3-три рицепта, если какой не работает то след. пункт, и по кругу.
1.Найти работающий айс
2.Поменять систему
3.Поменять Hardware

Попробуй вынь 2к. Прекрастная система!

бара :: Как ни порадоксально вам покажется, обновлять олли надо через ссылку в самом олли в абоуте.

Mafia32 :: Кот:

Ставил я именно бут.Universal Video. Что значит найти ’работающий’ айс? А я что делаю? Поменять hardware - что именно менять? А ось менять я не хочу.

TOR :: Mafia32
Работает.Режим загруки boot.Universal Video.

SIM :: Ставь в таком порядке:
_http://reversing.kulichki.../files/debug/si405wnt.rar
_http://reversing.kulichki...iles/debug/sinstallnt.exe
_http://reversing.kulichki...les/debug/osinfoxpsp1.rar

У меня Win XP SP1a Corp Rus. Сайс нормально работает (бывает что зависает, но очень редко).

Mafia32 :: А зафиг 4.05 ставить? Sinstallnt на него надо устанавливать что-ли? :-))

SIM :: Mafia32 пишет:
цитата:
А зафиг 4.05 ставить? Sinstallnt на него надо устанавливать что-ли? :-))


Нужно ставить обязательно поверх 4.05. Без него 4.27 запускается только на один сеанс.

Mafia32 :: OK.Попробую. Спасибо

Mafia32 :: Спасибо огромное всем принявшим участие в этой теме. Особенно тому, кто первым сказал, что ставить надо в бут! Я все время ставил на мануал, а на бут ни разу не пробовал. но теперь возникло еще 2 проблемы. 1-ая: в рабочем сайсе не двигается мышь, хотя я поставил,что мышь - USB и Microsoft IntelliMouse. 2-ая: у меня ноут и если закрыть «крышку», то комп переходит в ждущий режим. Так вот, после установки сайса комп из ждущего режима вывести нельзя... Буду очень благодарен за помощь.

Noble Ghost :: Вот и у меня сайс под NT глючит. Проблема такая же:
Mafia32 пишет:
цитата:
сайс не всплывает. Т.е скорей всего он всплывает, но его окна не видно. Система стоит, после второго CTRL-D отвисает.


Пробовал несколько разныз сайсов. Патчей. Единственное, что получилось сделать-- это увидеть BSOD
Win2000 SP4. Может кто поможет?

Styx :: Noble Ghost
У меня была такая проблема.
Поставил всё с Demonix-а и в настройках Load with Win (или что-то типа этого).

Styx :: Noble Ghost
У меня была такая проблема.
Поставил всё с Demonix-а и в настройках Load with Win (или что-то типа этого).

Gloomy :: Mafia32 пишет:
цитата:
в рабочем сайсе не двигается мышь


Это скорее всего из-за фирменных драйверов (если ты их вообще ставил), у меня в Айсе тоже мышь не работает, сильно глючит из-за фирменных дров. Поэтому ее приходится отлючать

Noble Ghost пишет:
цитата:
увидеть BSOD Win2000 SP4


Если ты в Вин2000 Айс запускаешь то возможно дело в сервис-паке или в каком-то спец-софте. У меня стоит Вин2000 (рус., копия с лицензии, без всяких сервис-паков и обновлений) - она отлично с Айсом дружит, все работает.

Mafia32 :: Спасибо всем! Я уж давно айс сделал, просто тему не закрыли. :-)

Noble Ghost :: Gloomy пишет:
цитата:
возможно дело в сервис-паке или в каком-то спец-софте.


Про это я читал на васме... Винду все равно EN хотел поставить, но как-то без сервиспаков хреново: иногда бсоды показывает, ингда просто глючит. Ладно, как поставлю EN, так проверю.

Gloomy :: Noble Ghost пишет:
цитата:
без сервиспаков хреново: иногда бсоды показывает


У меня ситуация с точностью до наоборот - как какой-нибудь сервис-пак поставлю глюки начинают переть аки гады из-под коряги. Рекомендую ставить именно английскую версию, по моим наблюдениям она стабильнее работает (была бы возможность себе бы только английскую версию купил). Кстати Вин2000 англ. бывает в двух вариантах: американская и европейская, в американской нет поддержки русского и все программы с русским интерфейсом будут исписаны кракозябрами.

Noble Ghost :: Gloomy пишет:
цитата:
Рекомендую ставить именно английскую версию


Специально полколледжа оббегал для того чтобы найти ее. Вроде бы европейская, тк хозяин диска под ней сидит.

-=atol=- :: to Mafia32:
1.сперва удаляешь файлы ntice.sys, siwsym.sys, siwvid.sys из Windows\System32\ если они есть
2.ставишь http://reversing.kulichki...iles/debug/sinstallnt.exe
3.применяешь atol.newmail.ru/Soft-Ice/SIWSYM.REG и atol.newmail.ru/Soft-Ice/SIWVID.REG

ну и все у меня работает на ура

Noble Ghost :: -=atol=- пишет:
цитата:
3.применяешь atol.newmail.ru/Soft-Ice/SIWSYM.REG и atol.newmail.ru/Soft-Ice/SIWVID.REG


404

-=atol=- :: а так:
atol.newmail.ru/Soft-Ice/siwsym.reg
atol.newmail.ru/Soft-Ice/siwvid.reg

Mafia32 :: -=atol=-

Ты читал мой предыдущий пост? Я все сделал уже. спасибо!

Noble Ghost :: Mafia32
Это теперь мой топик

Pitty :: http://cracktools.palm-uae.com/files/patchxp.zip c этим патчем все работает как часы.
Sice 4.05. Даже заработал 4.2.7., но правда до первой перезагрузки. В общем я ставлю 4.
05 распаковываю патч и перезагружаюсь. И полный , то есть простите .

Noble Ghost :: Pitty
Там же patch XP ...




sanek mIRC v6.12 - Вроде просто но......... Когда многие стали подключаться к...



sanek mIRC v6.12 - Вроде просто но......... Когда многие стали подключаться к #Cracklab решил и я поставить iMRC v6.12
Программа mIRC v6.12 –30 дней дала для использования по халяве.
Решил попробовать сломать, peid говорит с++ v7.0
В WIN32Dasm нашел переход, переправил сохранил, прогрмма не запускается.
Решил в OLLY попробовать поменял переход программа говорит зарегина.
Сохранил запускаю прога не запускается (т.е. запускается и выгружается тут же).
Наити кряк или сериал не проблема на #Cracklab парни пердлагали серНум СПАСИБО!!!
Просто интересно почему при замене всего одного перехода прога не дает себя запустить.
Что это защита от стринг рефференс взлома мудренная? Или все намного проще?
Ну не может же прога проверять конкретный переход.
В реестре прога хранит количество дней и это легко убирается с помощью REGCleaner(а)
После затирания реестра все равно изменненная прога не запускается опять дают 30 дней и все.
004C2365 . BA D0F85800 MOV EDX,mirc.0058F8D0
004C236A . B9 E8F45800 MOV ECX,mirc.0058F4E8
004C236F E8 1CFAFFFF CALL mirc.004C1D90
004C2374 . 85C0 TEST EAX,EAX
004C2376 0F84 BB000000 JE mirc.004C2437 ‹======= изменяемый переход
004C237C . C605 42F55800 ›MOV BYTE PTR DS:[58F542],0
004C2383 . 33C0 XOR EAX,EAX
004C2385 . EB 09 JMP SHORT mirc.004C2390

Может кто из опытных капнет свою версию наверняка там такая же байда.

Black Neuromancer :: Ну ептить, ее ломать с полпинка, там всего два байта надо заменить по-моему один при вводе сериника, другой при старте программы, чтобы она серийник не проверяла.

А вообще там проще написать кейген, алгоритм там легкий, правда я его вычислял только одним путем, хотя там есть два способа вычисление по имени разных правильных серийников.

Если что на канале обращайся.

Mafia32 :: Black Neuromancer

Блэк, ты не прав! В 6.12 идет проверка CRC32. Смена байт приведет к падению программы. Что надо делать:
при старте программы ставишь бряк на GetModuleFileNameA. После срабытывания прощелкиваешь раза 2 по F5, пока не окажешься здесь:
call 00454660
cmp eax, 00000002
je 004D48B4
cmp eax, 00000003
je 004D48B4
xor ecx, ecx
call 004DDAC0
xor edx, edx
test eax, eax
setne dl
mov dword ptr [0059A15C], eax
mov eax, edx
ret
Запомни это место! Оно встречается в версиях вплоть до последней. Один из условных переходов идет на выход. Делаешь так: запускаешь оригинальную прогу, смотришь как они ведут себя в ней, затем патченную и смотришь как там. Различия заметишь, патч в изменной их.
И еще: патчить в 2-ух разных местах, просто не красиво и не оптимально. Лучше пропатчить сразу процедуру CALL mirc.004C1D90. Вписать туда
mov al,1
ret
Или что там она должна возвращать если проверка успешна. Вот и все.

sanek :: Mafia32
Спасибо!!!!
Mafia32 пишет:
цитата:
при старте программы ставишь бряк на GetModuleFileNameA. После срабытывания прощелкиваешь раза 2 по F5, пока не окажешься здесь:


Здесь я не понял про F5 мож ты перепутал. Ну да ладно.
А я ведь здесь проходил но видно не внимательно.
Прога регится но при новом открытии все равно кричит 30-дней.
Но это уже другое дело вообщем спасибо тебе.
Возможно кто тутор напишет по поиску сер/нума, пропатчивание, и про проверку СRC
В разделе «Новичку» ему был бы самый раз.

Mafia32 :: sanek

нет, почему про F5 я не перепутал. Просто функция GetModuleFileNameA несколько раз вызывается. Нажимая F5 ты выходишь из сайса и даешь проге работать до следующего вызова GetModuleFileNameA. Почитай help по сайсу. Второе: такого не может быть, что ты пропатчил САМУ процедуру по адресу 4C236F и прога не зарегилась! 100%! Я сейчас специально для тебя нашел на сайте AHTeam статью biow0rm’a. В точности то же самое что я тебе сказал. Я писал кряк на 6.14 недавно, там было так. В 6.12 так же.

sanek пишет:
цитата:
Возможно кто тутор напишет по поиску сер/нума, пропатчивание, и про проверку СRC


То есть? Вообще или в данной проге? Почитай biow0rm’a. У него номальные статьи для новичков (и вроде не только :-))) - хотя я ни одной не прочитал :-)))) . иди на сайт AHTeam и читай!

ZX :: Патч три байта :)

sanek :: Mafia32

004C236F E8 1CFAFFFF CALL mirc.004C1D90 ‹==Либо здесь mov al,1
004C2374 . 85C0 TEST EAX,EAX
004C2376 0F84 BB000000 JE mirc.004C2437 ‹===Или здесь изменяемый переход
Регится и с изменением на mov al,1 и с изменением переходаJE mirc.004C2437
Но открываешь заново вылетает наг и говорит сколько дней осталось. И в меню регистрация появляется, вводиш любой код пропадает и говорит зарегина. Открваываешь заново та же история.

Mafia32 :: Епт... заходишь прямо в call. Пишешь хиевом там
mov al,1
ret
Все! Прога зарегена! Ничего не вылетает! Принимает любой СН, пишет его куда надо и все! Полностью!

Mafia32 :: Я не понимаю проблемы! Находишь отладчиком\дизассемблером процедуру эту. Заходишь туда. Сразу будет какой-нибудь push ebp, mov ebp,esp. Ну вот их то и меняешь на то, что я тебе говорил. вот и все. Это же элементарно понять. Тут патчем ломать минуту от силы и 2 писать кряк и 3 выкладывать на cracks.am :-)))

sanek :: Mafia32 пишет:
цитата:
Епт... заходишь прямо в call. Пишешь хиевом там
mov al,1
ret
Все! Прога зарегена! Ничего не вылетает! Принимает любой СН, пишет его куда надо и все! Полностью!


Слов нет!!!

ZX :: Я так посмотрел там патч можно забабахать, для всей шестой серии, включая еще невышедшего релиза :)

Noble Ghost :: А без патча? Серийник кто-нибудь надыбал?

Mafia32 :: Noble Ghost

Ну я на свое имя доставал... Там генерация не сложная.

SouL :: Noble Ghost
Та там его искать дело трех минут... ставишь бряк bpx SendDlgItemMessageA, а дальше сам... Да и кеген писать там хз... Правда вначале я малеха повозился с таблицай(не вкурил в начале) ... thks CReg за совет ....

Perch :: Noble Ghost пишет:

цитата:
А без патча? Серийник кто-нибудь надыбал?


Noble Ghost если есть желание, оставь мыло я тебе скину сырец кейгена сделаный еще Dr.Golova к версии еще до 6.xx, но ничего не поменялось, вплоть до последней 6.14...сырец для дельфей но это не важно.

Noble Ghost :: Perch
Спасибо, конечно, но
Perch пишет:
цитата:
сырец для дельфей но это не важно.


SLV :: У меня он тоже есть. Там и на MASME-е есть.

CReg [TSRh] :: Perch пишет:
цитата:
сырец кейгена сделаный еще Dr.Golova к версии еще до 6.xx, но ничего не поменялось, вплоть до последней 6.14.


а вот и не правда там поменялись ограничения на длину имени

Perch :: CReg [TSRh] пишет:

цитата:
а вот и не правда там поменялись ограничения на длину имени


Если честно то не проверял...но по крайней мере с моим коротким ником и до 16 символов все путем

Perch :: CReg [TSRh] .
Все-таки я не очень понял твое выражение на счет длины имени...
Вот смотри, то что имя должно быть не менее 5 символов - это работает еще с версии 6.01 может и раньше(просто для нее я компилил) в максимальную сторону прога сьедает имя длиной и в 50 символов(больше не вижу смысла, и этого много) и в реестре что 98-х, что XP’й все путем. Другой вопрос что в About’е mIRC’а помещается имя длиной до 23 символов. И естественно строить кейген на не умещающееся имя в About’е - некорректно, но что мешает поставить фильтры на длину имени, здесь нет никаких проблем.
Вообще я имел ввиду алгоритм вычисления регкода - он прежний.

CReg [TSRh] :: Perch пишет:
цитата:
Вот смотри, то что имя должно быть не менее 5 символов


в версии 6.14 минимальная длина - 4 символа, а что касается длины, то ее ограничивать тоже некорректно :)
вот недавно совсем нашел релиз от команды EMBRACE, в котором в инфо было написано буквально следующее:

цитата:

Install mIRC, use our keygen, enjoy.

** WORKING KEYGEN **

you say, whats wrong with acme’s? seems there’s a
limit on the length of your name with their keygen,
which isn’t the case with ours. for example try:

«fooled fucker_____________________________!»

as username, you’ll get incorrect results with
acme’s and not with ours.

gay reason? whatever you think! this is a *very*
widely used app and deserves a fully functional
keygen. With lots of love for ACME :)

- EMBRACE



хотя я кейген раньше них зарелизил :) и у меня все работает правильно :)

Perch :: CReg [TSRh] пишет:

цитата:
в версии 6.14 минимальная длина - 4 символа, а что касается длины, то ее ограничивать тоже некорректно :)


Нет проблем, поправлю :)

цитата:
хотя я кейген раньше них зарелизил :) и у меня все работает правильно :)


=))))




Demode Есть желающие обсудить будующие проблемы? Здравствовать и радоваться!...



Demode Есть желающие обсудить будующие проблемы? Здравствовать и радоваться!

Сотворил статью с некоторыми рассуждениями о будующем и с чем Сообществу предстоит столкнуться в Исследованиях.
Небольшая цитата:
«И опять пресловутое «Но». . .
Представьте некий востребованный Объект размером ~1,5-2,0М кода (посмотрите объемы папок с Объектами на Ваших машинах: почти от «0», до «далее везде» МБ, усредненно - 15-20МБ) с разветвленной многоуровневой защитой а-ля CrackMe#4, который при прохождении очередного защитного уровня, вместо message’жа об ошибке «тактично» промолчит об этом, запомнет это и на 2-3-й запуск Объекта, или через какое-то время, или что-то там еще обрушит систему да так, что при следующем запуске оказывается, что системы-то и нет! Реализация займет не более нескольких сотен байт кода, т.е менее долей % объема кода! Настоящая иголка в стоге сена. И не реагирурющая на магнит - как же ее детектировать?! Заметьте, ЗАР (Защита с Активной Реакцией) не есть вирус в классическом понимании, это совершенно обычный код. Боюсь, что антивирусы здесь будут бессильны.
Желаете пример? У Вас NT-подобная ОС? Удалите NTdetect.exe и продолжайте спокойно работать, только не пытайтесь перезагружать систему а то придется доставать дистрибутивы и практиковаться в инсталяции ОС и прочего. Теперь восстановите NTdetect.exe из мусора и можете перевести дух!
Банально? Примитивно? Зато это сработает, а Сообщество должно задуматься. »

Большая часть статьи посвящена методологи.

Есть желание обсудить?

С уважением,...

Sh[AHTeam] :: Вот когда тебе позвонит легальный юзер, у которого из=за глюка в твоей защите ~ нулся биллинговый сервер, тогда ты и узнаешь что такое Разгневанный Юзер с Активной Реакцией :)))

dMNt :: похоже вопль неудачного программера после выхода кряка

Demode :: Sh[AHTeam] пишет:
цитата:
Вот когда тебе позвонит легальный юзер, у которого из=за глюка в твоей защите ~ нулся биллинговый сервер, тогда ты и узнаешь что такое Разгневанный Юзер с Активной Реакцией :)))


Пологаю, будет наоборот - ты с утречка сделаешь «Turn On» и будешь наблюдать пустой комп. . .
А разгневанные юзеры что-то не спешат «загрысть» MS из-за глюков - примеров в достатке .. .

[ChG]EliTe :: Demode пишет:
цитата:
А разгневанные юзеры что-то не спешат «загрысть» MS из-за глюков - примеров в достатке


Несовсем уловил мысль... Но все же...
Чет я не припомню глюков _легально_купленной_ винды (да и нелегально тоже) что бы она при падении всю инфу с собой забирала...

Demode :: [ChG]EliTe пишет:
цитата:
Несовсем уловил мысль... Но все же...
Чет я не припомню глюков _легально_купленной_ винды (да и нелегально тоже) что бы она при падении всю инфу с собой забирала...


Если падение системы в компании более 70 пользователей - пустяк, и, плс, не надо сразу про кривые руки. Тем более, что руки были не мои (но это не важно). Первоначальный предмет диспута как раз о том, не ждет ли это (падение с полной «очисткой» машины) впереди? почему? как это возможно? и как этому готовиться и противостоять?

И это не важно: коли, диспут пошел по-Жванецкому, те. перешел на личности, без проблем.

Ветку можно закрыть.

Если у кому-то из бывающих здесь эта тема интересна - пишите R091003@km.ru - обсудим!

Успехов всем!

[ChG]EliTe :: Что касаеться виндов на серверах это нада дождаться бара он любитель этой темы.. :)
Я больше nix увожаю... там все только от /dev/hands зависит ....

По теме: на описанные тобой меры увожающие себя конторы не пойдут т.к. сказал Sh[AHTeam] потом г0вна не оберешся от разгневанных юзверей... тем более что хорошую прогу все равно сломают... не сломают так по кредитке купят..... одну на всю россию :))))
Из этого мораль для фирм: Пиратства не избежать, а вот репутацию попортить себе можно в два счета..
Тем более еслиб захотел давно бы вредоносный код (кстати попадающий под 272 УК) в проги бы встраивали... Уж не думаешь ли ты что просто никто до этого еще не додумался

AlexZ CRaCker :: Да, прикольно... Вот случай вспомнил: исследую одну прогу, вижу РегНум сравнивается с кракозябрами. Cкопировал из Оли в блокнот. Слово «подарок». Ну я нашол свой РН, и забил. А щас уже итересно, что там могло получиться
Х/з наших разработчиков-одиночек. И в другую прогу (под Аспром) тоже прикололся, вбил это слово. - она ваще с «синим экраном смерти» при запуске вылетать стала.

ZX :: Demode
LOL
никто не купит прогу с деструктивной функцией, а если купит то только для того чтоб она покрушила данные и после этого подать в суд на производителя проги и содрать годовой бюджет фирмы.
Ты вообще не знаешь о чем говоришь? Если к проге не будет кряка то ее никто и не купит, наверно :)
Покупают проги не из-за того, что не могут найти к ним кряка, а из-за того, что не хотят нарушать закон(менталитет такой у некоторых) и хотят иметь у себя на компе честно зареганную версию и общатся с производителем проги на правах покупателя и предъявлять ему претензии ну и т.д.
Короче спрячь подальше свою статью...

Demode :: [ChG]EliTe пишет:
цитата:
По теме: на описанные тобой меры увожающие себя конторы не пойдут т.к. сказал Sh[AHTeam] потом г0вна не оберешся от разгневанных юзверей... тем более что хорошую прогу все равно сломают... не сломают так по кредитке купят..... одну на всю россию :))))
Из этого мораль для фирм: Пиратства не избежать, а вот репутацию попортить себе можно в два счета..


а кто вам сказал что это все ждет user’ов?!? нет, уважаемые, это ждет Сообщество !
пример: Crackme#4 - один из уровней защиты - адрес нужный процедуры. а вот другой адресок даже на уровне Исследования «уведет» в full down. Ваши действия ? ? ? ? ? И об этом тоже есть пару абзацев в статье.
И не путайте развлечения к crackme с бизнесом ! и О «репутации» - представь: ты курежишь банкомат. к тебе продходят люди в униформе и советуют не пораниться о разодранное железо? или дают советы как управиться с агрегатом? или у них другие намеренья?? Но при этом в обычной жизни банкомат может выдать тебе фальшивку или просто сглотнуть карточку. Что ты подумаешь о уважаемом банке??
К тому же, незадокументированные функции - вещь загадочная .. .

Demode :: ZX пишет:
цитата:
Покупают проги не из-за того, что не могут найти к ним кряка, а из-за того, что не хотят нарушать закон(менталитет такой у некоторых) и хотят иметь у себя на компе честно зареганную версию и общатся с производителем проги на правах покупателя и предъявлять ему претензии ну и т.д.


Полностью согласен!

деструкция не для user’ов, она против Сообщества!

SLV :: Demode , а где эту байду почитать можно?

Demode Re: SLV :: на размещение,често говоря, не расчитывал ..
мой ящик R091003@km.ru - сброшу.

ps. еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .
(маленькая шпилька- - )

Demode :: [ChG]EliTe пишет:
цитата:
Тем более еслиб захотел давно бы вредоносный код (кстати попадающий под 272 УК) в проги бы встраивали... Уж не думаешь ли ты что просто никто до этого еще не додумался


Ты почти, те. локально, прав. Наверно, додумались гораздо раньше.
Позволь вопрос: как часто или случалось ли вообще у тебя , что бы система уходила в ступор ? ты никогда не связывал это с результатами исследований (чужих)?

Sh[AHTeam] :: Demode
Чувак, тема обсуждалась еще во времена ФИДО. Я помню обкашливание подобных вопросов году этак в 96 :) И результатом подобных флеймов был, как обычно, нуль. Так никто такую деструктивную защиту и не создал, на моей памяти. Самая деструктивная защита, которую я видел, была в поделке «моноавтора», некоего Лялина, в проге «диагностика автомобилей». И там после многочисленных не очень хитрожопых проверок частенько вызывалась ExitWindowsEx, которая тупо шустро ребутала 98 винду. Результатом такой «защиты» стал повышенный интерес к ней, и был написан кейген. и более того, прога от рождения работала только под 9х виндой. После успешного лечения она запахала под 2000/ХР. Успешно закейгененная :)

Demode :: SLV пишет:
цитата:
Demode, а где эту байду почитать можно?


на размещение,често говоря, не расчитывал ..
мой ящик R091003@km.ru - сброшу.

ps. еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .
(маленькая шпилька- - )

Sh[AHTeam] :: Demode пишет:
цитата:
Пологаю, будет наоборот - ты с утречка сделаешь «Turn On» и будешь наблюдать пустой комп. . .


А по каким критериям ты отличишь злобного кракера от простого юзера с легально купленным отладчиком?

Demode :: Давайте остановимся!
Не стоит так уж сильно «цепляться» к деструкции, основная мысль была не об этом:
о явном недостатке работ медотологического уровня по фундаментальным проблемам.

Последний пример:
чем и как работать с PE-заголовком в случае использования структурных исключений?
(см. пример из моей статьи «Странный случай...» тогда повезло, а могло и НЕ повести.

я, к моему сожалению, к числу знающих не отношусь, а знать интересно.

Есть что сказать и не только про PE-заголовок - R091003@km.ru. Конструктив приветствуется!

Topic is close!

Demode :: Sh[AHTeam] пишет:
цитата:
А по каким критериям ты отличишь злобного кракера от простого юзера с легально купленным отладчиком?


юзер - анализирует, кракер - и анализирует и делает.
не очень представляю юзера что пробует узнать что программа делает если несколько изменить путь (к примеру ) регистрации. Пару раз «да» в начале отвечал?!?

Demode :: SLV

Если это твоя статья «Элементарное снятие CD CHECK» , могу отправить почтой. . .

Sh[AHTeam] :: Demode пишет:
цитата:
юзер - анализирует, кракер - и анализирует и делает


Логично. Подлянку кракеру подставить можно. Но мне кажется, что итоговым результатом будет рассылка кряка от разозлившегося крякера по всем крак-архивам. Даже если крякер и не собирался вначале релизить крак, то после слета системы автор проги будет в списке самых заклятых врагов. И кракер сделает все, чтобы автор больше не получил с проги ни копейки. Если он конечно не полный ламер :)

Demode :: Sh[AHTeam] пишет:
цитата:
Логично. Подлянку кракеру подставить можно. Но мне кажется, что итоговым результатом будет рассылка кряка от разозлившегося крякера по всем крак-архивам. Даже если крякер и не собирался вначале релизить крак, то после слета системы автор проги будет в списке самых заклятых врагов. И кракер сделает все, чтобы автор больше не получил с проги ни копейки. Если он конечно не полный ламер :)


И с этим согласен!
У тебя Солодовников в «друзьях» ?!??!

Цитата из статьи «И так, Сообщество должно быть готово поиграть в саперов без права на ошибку. Точнее, стоимость ошибки уже известна - полное восстановление локальной системы. Вот только когда это случится?? После чего??? И сколько участников Сообщества и сколько сторонних пользователей будут в зоне потенциальной опастности от действий активированных ЗАР????»

вопрос: сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??
То что тебя «раздразнили» - понятно..

Цитата» Пожалуй, старашилок уже достаточно.

И так, перед Сообществом стоит необходимость кардинально пересмотреть свое отношение к методологии и уделять больше внимания к фундаментальным проблемам.
Пример: Что многие знают о РЕ-заголовках кроме того, что РЕ нужно править при распаковке и восстановлении таблицы импорта?
Ответьте сами себе.»

еще цитата «И последний пример: блестящая, профессиональная статья «Исследование алгоритма работы упаковщика ASPack v1.08.03» (чье авторство - не знаю) может вызвать у неподготовленного читателя только зубную боль, тошноту и головокружение. НО именно на исследовании такого класса и уровня основывается возможность прочих персон относительно просто преодолевать баръер уровня распаковки!
Те. на основе фундаментальных работ базируются работы, посвященные более конкретным проблемам, а уж на них - работы остальных участников Сообщества по отдельным Объектам. Этакая классическая пирамида знаний.
Заключение.
Прочное и крепкое здание можно строить только на добротном фундаменте. Для Сообщества это означает уделение должного внимания именно методологии и фундументальным вопросам. Иначе Сообщество рискует из Сообщества единомышленников превратится в кружок по интересам эгоистов, обремененных манией величия.
А это уже не интересно. . . »

Чиркани мне на почту - пришлю статью об утилите PUFFER_v4.01
Удовольствие обещаю!
А ведь в ней (утилите) не все так прозрачно

KLAUS :: Demode

Прнишли мне на ящик полностью свою статью ну и если что статью об утилите PUFFER_v4.01
klaus#crazy.ru

AlexZ CRaCker :: Demode пишет:
цитата:
вопрос: сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??


Вроде есть виртуальные тачки...


P.S. Крэкера не обманешь, чё-нить придумают.

Sh[AHTeam] :: Demode пишет:
цитата:
У тебя Солодовников в «друзьях» ?!??!


А кто это такой ?
Demode пишет:
цитата:
сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??


ЛИЧНО я после второго-третьего слета, когда до меня дойдет, что виноват автор защиты, поставлю вмварь или сделаю образ каким-нить Ghost-ом. И восстановление будет занимать 10 мин. И принципиально эта защита будет сломана и зарелизена, я буду готов потратить на это и месяц и два и три, даже если прога мне нафик не вперлась :) Действие равно противодействию.

Что такое обильно цитируемое «сообщество»? Масонский орден?
Я лично занимаюсь краком в основном из коммерческих соображений, хотя иногда и люблю поковырять какую-нить защитку для души или для друзей. И в основном я все делаю в одиночку, самостоятельно. За помощью обращаюсь в самых крайних случаях, когда захожу в тупик.
И если ты считаешь деструкцию фундаментом хорошей защиты, то эффект ты можешь получить прямо противоположный :)

Demode :: AlexZ CRaCker пишет:
цитата:
Вроде есть виртуальные тачки...
P.S. Крэкера не обманешь, чё-нить придумают.


Почитай статью 0-ring - меньше иллюзий будет на будующее. ..

AlexZ CRaCker Re: Demode :: Я вобще-то в курсе.
ЗЫ Ты сам представил, что сказал? Не все, надеюсь, такие помешаные.

Demode :: Sh[AHTeam]

Не цитируемое, а упоминаемое.
Злишься -? а ведь я в статье писал не о деструкции как методе защиты, а о методологии как средства меньше раз заходить в тупик. возможная деструкция - только пример,,

А кто это такой ? ASPack 2.11c -› Alexey Solodovnikov (к слову)

Я лично занимаюсь краком в основном из коммерческих соображений, хотя иногда и люблю поковырять какую-нить защитку для души или для друзей. И в основном я все делаю в одиночку, самостоятельно. За помощью обращаюсь в самых крайних случаях, когда захожу в тупик.
Колхоз - дело добровольное, а что ты здесь делаешь, одинокий волк? или все-таки член команды AHTeam??
Так вот, обладаешь знаниями, есть чем поделиться - делись. легче будет другим. нет - к чему этот диспут??
ну это ты и сам знаешь. ..

Sh[AHTeam] :: Demode пишет:
цитата:
Злишься -? а ведь я в статье писал не о деструкции как методе защиты, а о методологии как средства меньше раз заходить в тупик. возможная деструкция - только пример


Злиться? и не думал. С чего бы мне на тебя злиться. Вот если защита снесет у меня ОС, тогда да, буду зол как тысяча чертей на автора защиты.
Поясни, что такое фундаментальная методология. Наука о методах?
Есть изречение, приписываемое +ORC - «If it runs, it can be defeated».
Может, мы вообще о разных вещах говорим. Я просто встрял в разговор про деструкцию и высказал свое мнение что снесение ОС как метод противодействия крякеру не имеет перспектив.
Про Солодовникова я знаю конечно же, забыл смайлик поставить :)
Demode пишет:
цитата:
а что ты здесь делаешь, одинокий волк? или все-таки член команды AHTeam??


Член, член. К команде присоединился в прошлом году, с целью совместного зарабатывания денех. А сюда захожу убить время и развлечься :) ну мож подсказать иногда кому-нить чего-нить.

Demode :: Sh[AHTeam] пишет:
цитата:
ну мож подсказать иногда кому-нить чего-нить


если знаешь о PE-заголовке со структурными исключениями:
есть .exe с такими извратами. отладчики его не бурут, РЕ-редакторы - тоже.
Чем с ним работать и как? Что такое dos-заглушка, что в ней есть?
Как быть?

и самое главное: действительно говорим о разных вещях. так сложилось.
я писал о медотологии , а большенство «уцепилось» за деструкцию.
т.е востребованы работы уровня «Исследование алгоритма работы упаковщика ASPack v1.08.03»
но их МАЛО!

Demode :: Sh[AHTeam] пишет:
цитата:
ЛИЧНО я после второго-третьего слета, когда до меня дойдет, что виноват автор защиты, поставлю вмварь или сделаю образ каким-нить Ghost-ом. И восстановление будет занимать 10 мин. И принципиально эта защита будет сломана и зарелизена, я буду готов потратить на это и месяц и два и три, даже если прога мне нафик не вперлась :) Действие равно противодействию.


а если ты (пока дойтет) «удружишь» десятку знакомых??
а если система рухнет через неделю, через две после изысканий?
Вариантов могу предложить с дюжину.... Вот и будешь восстанавливаться методично и регулярно, а о друзьях подумал?!

«Попробуйте зашвырнуть комара - он не летит! Те. он летит и плюет на вас!» М.Жванецкий.
Крэкеры всегда «догоняющие» , а значит, что придумывать проще!

KLAUS :: Demode
THANKS всё получил!!!

Demode :: KLAUS

any time!
не забудь чиркануть впечатление...

ps. в заначке еще с десяток статей. . . .

Sh[AHTeam] :: Demode пишет:
цитата:
если знаешь о PE-заголовке со структурными исключениями:
есть .exe с такими извратами. отладчики его не бурут, РЕ-редакторы - тоже.
Чем с ним работать и как? Что такое dos-заглушка, что в ней есть?


Выложи куда-нить поглядеть, любопытно...
dos-заглушка, это та часть проги которая пишет «this program requires ms win» и есть варианты, когда в нее пишут полноценную прогу, которая дублирует по функциям основную и работает под всеми ОС (дос, винда, полумух).

Kerghan :: я тут всю эту хрень читать не стал, так что если это уже говорили, то... ничего уж тут не поделаешь

Demode
Такую защиту вирусом признают полюбому
Недословная цитата:«Самовольное изменение, удаление, ...» а по сему лучше не стоит злить органы... не половые конечно

Demode :: Sh[AHTeam]

это программа из моей статьи «Странный случай MVP Bridge»
там есть ссылка

Demode :: Kerghan

Дружище, дело в другом: невозможно отследить причино-следственную связь между крэкенгом и возможными последствиями, растянутыми во времени. . .
вот и будешь ты (потенциально) сидеть перед пустым компом и гадать с чего бы это ? какая программа ? кто и когда??
тебя full down,
а как это назвать - не важно . ..

Sh[AHTeam] :: Demode пишет:
цитата:
это программа из моей статьи «Странный случай MVP Bridge»
там есть ссылка


Мдя. Ты 16 битные проги видел вообще когда-нить? Естессно там никаким PE не пахнет :)
Вот потом и появляются термины про «PE-header со структурными исключениями».
Нормальная 16-битная прога, будет работать под вин 3.11, если ты такие помнишь. Это еще по инсталлятору было видно :)

Demode :: Sh[AHTeam]

термин «PE-header со структурными исключениями» введен KK в книге «Техника и Философия..... 2000»
он там рассматривает UniLink только не понятно как и чем работает ..
если знаешь - по-подробнее на почту, плс.

AlexZ CRaCker :: Demode
Чёт ты ЭкстримПрот изобретаешь. Тебе уже все сказали что от таких методов ничего хорошего ни для кого не будет.

Sh[AHTeam] :: Demode пишет:
цитата:
термин «PE-header со структурными исключениями» введен KK в книге «Техника и Философия..... 2000»


Не читал такой книги. Дело в том, екзешник этой проги вовсе не РЕ! А NE - обычный 16-битный екзешник, прекрасно грузится в иду. Понимаешь, бывают всякие форматы исполнимых файлов, и РЕ - частный случай. Например бывают *.com для ДОСа :) А эта прога написана и скомпилена в 16-битной версии. И PE-header к ней приплетать совершенно не нужно - не имеет он к ней никакого отношения вообще.
Грустно, если методологию защит с встроенной бомбой будут разрабатывать такие девелоперы. Извини, что перешел на личности, просто ностальгия накатила по тем временам, когда были модемы на 2400 и не было никакого инета. Приходилось мозгом думать :)

KLAUS :: Прочёл первую статью - мое мнение всё очень размыто, большого интереса она на меня не произвела. И конечно же я совсем не согласен «через какое-то время, или что-то там еще обрушит систему да так, что при следующем запуске оказывается, что системы-то и нет» - такую защиту будет ставить только полный шизифреник, и как уже говорилась сам же себя неприятностей и наживёт, после того как у 10 простых пользователей накроется система.
Demode - без обид, я лишь высказал своё мнение.

P.S.
Скачал прогу со второй статьи, щас буду глядеть....

Demode :: Я все понял,и так:
Вы (кто высказывается) упорно не хотите признать, что без методологических работ жизнь будет туда как труднее и опастнее... можно подумать, что все «асы» и в состоянии сделать что-нибуть похожее на LodrPE. можно поверить на слово ?!?!.
когда вы пробовали на «зуб» какую-нибудь прогу или crackme#4, кто-нибуть задумался что может получить «в ответ»?
Никто! Все так уверены и безмятежны?? ЗДРЯ!
да, я лично не смогу такое написать, но могу определить направление и алгоритм. и все же , кто-то будет первым и тогда уже будет поздно.
а что бы не было позно - нужны работы о фунтументальном,а не банальные «ствам бряк и вот вам, готово!»
нужно изучать работы «классиков», а их-то и МАЛО. Почему? а потому что не спрашиваем! И это и есть МЕДОТОЛОГИЯ.
вернее ее отсутствие.

Каждый делится своим опытом, но он базируется на чужом более фундаментальном опыте. я За его расширение, но это значит, что мастерам придется трудиться. не нам.... а все остальное, о чем был жаркий диспут - доведенный до предела пример.
И тут же «шизофреник» . . грустно . .
Хотя нашелся бы программер - с удовольствием бы с ним поговорил!

Давайте закончим,
порядком надоело. . .

Styx :: Дык а чё тут в реализации то сложного?
Любой среднененький програмер сможет забацать нефиговую гадость.

EGOiST[TSRh] :: ну вы завернули тут конечно...можно было по меньше терминологии..не думаю что многие поняли вабще о чем речь

з.ы. сори за офф

Demode :: EGOiST[TSRh]

Вы знаете, и у меня такой же осадок остался . . .
Пожалуй, пора заканчивать болтологию...

EGOiST[TSRh] :: кстати, у меня система слетает с переодичностью раз в 2 недели... может уже начали?

з.ы. офф?

Demode :: EGOiST[TSRh]

Предыдущие ораторы обычно говорили о шизофрении. . .

а про Вашу систему: Кто это знает? а вот задуматься о том как этому противостоять? почемут-о никто не хочет. . .

Методов предупреждения-то ( даже потенциального нету) , как и профилактики. .
Методологии фундаментальной нет. Вот и все.
Успехов!

EGOiST[TSRh] :: как это нечем противостоять...как это нет профилактики... щас все(достаточно) продуманные люди делают полный бекап системы..разве это не профилактика или противостояние?

бара :: ПРО ТЕМУ:
Причём тут реверсинг ? Пишите Касперу и тп товарищам. Защиты от дурака нет и не будет. Если дурак - надо не подпускать к компьютеру. Дурак убъёт любую систему посредством разведения тараканов и тп

SLV :: Вообще то reversing и cracking это разные вещи. Нельзя их путать...

WELL :: Demode пишет:
цитата:
еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .


А че за статья ?
Sh[AHTeam] Еще Stamp 0.81d пытается дельнуть файлы при неверной контрольной сумме ехе-шника. =)

А вообще в странах бывшего СССР люди привыкли к крякнутым прогам.
Если юзеры узнают, что прога может убить им ОСь, то они уже начнут плохо относится к автору.
А особо ярые поклонники могут и по голове настучать =)

Demode пишет:
цитата:
Дружище, дело в другом: невозможно отследить причино-следственную связь между крэкенгом и возможными последствиями, растянутыми во времени


Если начнут вплотную прогу копать, то всё найдут...

И вообще добавлять в прогу деструктивный код - не клиентоориентированный подход =)

KLAUS :: Да что тут думать, когда-то было ново проверка CRC, щас этим уже никогог не удивишь, Протекторы всё защищенней и защищенней идут и что - не останавливает же от взлома, так и тут появится новая технология появятся метеды её обхода!

SLV :: KLAUS пишет:
цитата:
Протекторы всё защищенней и защищенней


А крекеры всё умнее и умнее

KLAUS :: Ну от этого никуда не дется!

[ChG]EliTe :: Demode
Конечно могу ошибаться но у тебя болше филосовский подход к вопросу нежели практический... имхо..

MozgC [TSRh] :: Я считаю что это гон с включением деструктивных функций.




Макс помогите крякнуть прогу(не webmoney) помогите взломать прогу myproxy (...



Макс помогите крякнуть прогу(не webmoney) помогите взломать прогу myproxy ( http://www.strowd.com/download/11905/myproxy.exe )
или мож кто-то её уже релизил?
ZX :: Макс пишет:
цитата:
не webmoney


Не может быть

Макс :: ZX
УРАААА!Я на них забил

Noble Ghost :: Макс пишет:
цитата:
не webmoney


Поздравляю! Только не надо говорить помогите. Задавай лучше конкретные вопросы.

бара :: Парень который раз предлагает вам что-то сломать. Хватит. Пусть сам учится ломать... Или на бабки его пора ставить

Макс :: бара
ну не все же такие умные как ты, есть и безмозглые , как я

ZX :: Макс
Если скажешь какие там ограничения на триале, может и возьмусь

WELL :: бара пишет:
цитата:
на бабки его пора ставить


На webmoney =)

Макс :: WELL
а лучше на его креки:))))))))))))))))))))))))))))))))

Макс :: ZX
там 30 дней ограничение

Mafia32 :: Макс

Там аспр! Я взял, щас пробую распаковать. Кто может подсказать. Вот такая проблема:
после помещения в стек SUPER EAX переходим вот сюда:

004D19E7 33C0 XOR EAX,EAX
004D19E9 55 PUSH EBP
004D19EA 68 091A4D00 PUSH MyProxy.004D1A09
004D19EF 64:FF30 PUSH DWORD PTR FS:[EAX]
004D19F2 64:8920 MOV DWORD PTR FS:[EAX],ESP
004D19F5 8B1D C84A4D00 MOV EBX,DWORD PTR DS:[4D4AC8] ; MyProxy.004D5F8C
004D19FB 8B1B MOV EBX,DWORD PTR DS:[EBX]
004D19FD FFD3 CALL EBX
004D19FF 33C0 XOR EAX,EAX
004D1A01 5A POP EDX
004D1A02 59 POP ECX
004D1A03 59 POP ECX
004D1A04 64:8910 MOV DWORD PTR FS:[EAX],EDX
004D1A07 EB 0A JMP SHORT MyProxy.004D1A13
004D1A09 ^E9 721AF3FF JMP MyProxy.00403480
004D1A0E E8 111DF3FF CALL MyProxy.00403724
004D1A13 5F POP EDI
004D1A14 5E POP ESI
004D1A15 5B POP EBX
004D1A16 E8 8D20F3FF CALL MyProxy.00403AA8
004D1A1B 90 NOP

И где здесь OEP? Вообще, что делать здесь?

Макс :: Mafia32
ну вот поэтому я и спросил,не е..у где ОЕР ,мож ты поймёшь

RideX :: Месяц - два назад OEP был такой (19 stolen):

004B4DB0: 55 push ebp ;OEP
004B4DB1: 8BEC mov ebp,esp
004B4DB3: 83C4F0 add esp,-010
004B4DB6: 53 push ebx
004B4DB7: 56 push esi
004B4DB8: 57 push edi
004B4DB9: 33C0 xor eax,eax
004B4DBB: 8945F0 mov dword ptr ss:[ebp-10],eax
004B4DBE: B8B84A4B00 mov eax,004B4AB8 ;Super EAX
004B4DC3: E8FC1EF5FF call 00406CC4 ;_InitExe

DOLTON :: У меня OEP такой: 405a14.
Только что-то он мне не нравится..

Макс :: её наверно надо как и винрар ломать,убирать НАГ и анлимит триал

Mafia32 :: Макс

Распакуй сначала.

Макс :: Mafia32
а ты как распаковал????

RideX :: Mafia32 пишет:
цитата:
И где здесь OEP?


Вот он:
004D19D4: 55 push ebp
004D19D5: 8BEC mov ebp,esp
004D19D7: 83C4F4 add esp,-0C
004D19DA: 53 push ebx
004D19DB: 56 push esi
004D19DC: 57 push edi
004D19DD: B894164D00 mov eax,4D1694
004D19E2: E82D41F3FF call 405B14

IAT: 4D817C, Length 7A0

Mafia32 :: RideX

Как искал? Доходил до того места, которое я указал?

ZX :: Завтра Well статью будет писать по инлайн патчу для этой проги.

Макс :: ZX
это радует :))))))

Madness :: Помнится там куски кода были покриптованные, а ключиков то даже самых захудалых нету :(

ZX :: Madness
самое интересное что работает ;)

Макс :: Madness
да там по ходу в инете серийник проверяется

ZX :: Все работает и ничего не просит.

Макс :: ZX
пропатчил???

WELL :: ZX пишет:
цитата:
Завтра Well статью будет писать по инлайн патчу для этой проги.


Если не передумаем =)

ZX :: WELL
:)

KLAUS :: ZX

Здравенько забодяжил....

Макс :: WELL
не передумай пожалуйста

-= ALEX =- :: WELL не надо статей. кому надо сам разбиреться, это не очень уж и легко... а так быстро прикроют эту лавочку... (эт я про солода)

Макс :: -= ALEX =-
ты думаешь разработчики здесь вааще были?вряд ли

-= ALEX =- :: Макс конечно были, да и не раз...

WELL :: Макс пишет:
цитата:
ты думаешь разработчики здесь вааще были?вряд ли


Ну когда я про Dr.Web написал, то через пару дней вышла новая аерсия, где были пофиксены косяки.

KLAUS :: Еслиб разрабодчики не заходили на подобные саты/фрпумы никогда бы нет вышел asprot 1.30-31 и тому подобные вещи!

RideX :: KLAUS пишет:
цитата:
никогда бы нет вышел asprot 1.30-31


Вышел бы, вышел и ещё выйдет, это его работа.

Мне кажется, наивно полагать, что Солод. до того глуп, что нуждается в этом туторе. Можно просто скачать патч и посмотреть затем под отладчиком что там и как :) Но уже совершенно другой вопрос, что таких патчей единицы, а когда начнут патчить все кому не лень, он что-нибудь придумает ;) Тогда получается, делать такие патчи нельзя, чтобы он ничего не придумывал :)))

SIM :: 2 Макс
Давай мыло, я тебе патч кину

k0lubok :: SIM
кинь и мне тоже пожалуйста k0lubok (cat) yandex.ru

WELL :: RideX пишет:
цитата:
Тогда получается, делать такие патчи нельзя, чтобы он ничего не придумывал :)))


Нельзя ломать проги, а то авторы их защищать будут =)

ZX :: WELL
:)

WELL :: ZX
=)

KLAUS :: RideX пишет:
цитата:
Вышел бы, вышел и ещё выйдет, это его работа.


ВОт поэтому он и работает, т.к. знает что ему протектор взломали.....а каким макаром он это узнает....лазиет по подобным фичам!

SIM :: 2 k0lubok
Кину тока МАКСу

RideX :: KLAUS
Если бы и не ломали, он бы всё равно обновлялся, какой пользователь стал бы покупать «мёртвый» проект? Маркетинг, однако. Freeware тоже обновляются, хотя их никто и не ломает :)

ZX, WELL
:)
Во, я про тоже: «Волков бояться - в лес не ходить.», потому и ломаем, всеми доступными методами :)

k0lubok :: SIM
Жадина, что тебе стоит

RideX :: KLAUS
Ещё, я где-то здесь уже писал, проги защищённые последними версиями аспра вылетают с ошибкой на WindowsXP SP2 RC1, так что в аспре, возможно, что-то будет опять изменяться, если, конечно, это не какой-то баг этого сервис пака.

SIM :: k0lubok
Был бы у тебя ранг побольше... Может ты солод и или разаработчик..

Perch :: SIM пишет:

цитата:
k0lubok
Был бы у тебя ранг побольше... Может ты солод и или разаработчик..


=)))
Я с KLAUS ’ом согласен.

Макс :: SIM

да не сенькью уже пропатчил!

k0lubok :: SIM
А что у солода маленький ранг?

Mafia32 :: k0lubok

:-))) Чувак, ты знаешь вообще кто такой Солод?

DillerXX :: k0lubok - это:
1) Солод прикалывается :)
2) Чувак типа МАКСа, который зашёл случайно на этот форум в поисках какого-то редкого крека (как и я кстати!), и ему вдруг понадобилась именно эта прога =)
3) Ему нечего делать :))))
4) Мысль заканчивается
5) Мысль о том, что кто-то продолжит мою закончившуюся мыль... :)

k0lubok :: Mafia32
:) Знаю, но кряк все таки хочется

SLV :: У меня вообще эта не WM не запускается :(

KLAUS :: RideX пишет:
цитата:
Если бы и не ломали, он бы всё равно обновлялся


Если только физуально, а так можно было считать что тип создал не ломаемый протектор, который нет смысла улучшать , т.к улучшение может повлечь за собой появление дыры в защите!

Макс :: SLV
да я понял уже что это полная КУЙНЯ, поэтому решил учиться крекингу

DillerXX :: Макс

Браво! ;)

Ara :: Макс
А если учиться еще и хакингу, можно и WM хакнуть как-нибудь

ZX :: Ara пишет:
цитата:
А если учиться еще и хакингу...


Еще один...

SIM :: Всем кто крякнул сабж
Там есть опция «пароль администратора», так вот он сохраняется но никак себя не проявляет. Кто-нибудь разобрался с этим?

Ara Re: ZX :: Ты что, реально подумал, что я хакингу собрался обучаться???
Просто предложил...




Ra$cal Объясните неразумному.... В программе вижу TEST EAX,EAX Ну и как это...



Ra$cal Объясните неразумному.... В программе вижу TEST EAX,EAX Ну и как это понимать. Регистр сам с собой сравнивается или со значением, которое было туда положено перед тем, что там сейчас. И какие способы с этим разобраться?????
CReg [TSRh] :: Ra$cal пишет:
цитата:
В программе вижу TEST EAX,EAX Ну и как это понимать.


Логическое умножение (побитовое). Не портит первый операнд. Используется для выставления флагов.
Ra$cal пишет:
цитата:
И какие способы с этим разобраться?????


Прочитать книгу по ассемблеру.

WELL :: Обычно после TEST eax,eax идет условный переход в зависимости от значения флага.

dMNt :: еще добавлю от себя :) обычно такая конструкция для проверки используется: ноль или не ноль

SLV :: Обычно перед этим test eax,eax есть call. Входишь в него и пишешь xor eax,eax; inc eax; ret.

XoraX :: SLV
плохой совет. ведь такие call’ы далеко не всегда отвечают за регистрацию. это ведь могут быть простые безобидные функции.
лучше ничего не править наугад.

infern0 :: WELL пишет:
цитата:
Обычно после TEST eax,eax идет условный переход в зависимости от значения флага.


видать с оптимизирующими компиляторами ты на сталкивался... Переход может быть далеко не сразу после, да и вообще перехода может не быть а будет например setnz...

MozgC [TSRh] :: infern0
Он же сказал обычно, зря ты к словам придираешься.

RottingCorpse :: гы

33, C0, 40, EB, XX :)

Nitrogen :: RottingCorpse
33c040c3 в процедуре проверки рулит ;)

RottingCorpse :: зато знаешь как рулит СС когда под рукой нету отладчика,а нужно определить место «западла» ? :-))))

Ra$cal :: То есть таким образом правильный рег проверяться не может??? Это я смотрю crackme Zephyrous #2. Пропачить элементарно, как узнать правильный рег?????




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




Anxiety СКАЧАЙ IDA Pro 4.5... IDA Pro v4.5



Anxiety СКАЧАЙ IDA Pro 4.5... IDA Pro v4.5

Сейчас ее можно качать с www.ttdown.com (...сайт весь в красивых рагулях)

http://five.ttdown.com:81...20v4.5.0.762.CR.part2.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part3.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part1.exe
http://five.ttdown.com:81...20v4.5.0.762.CR.part4.rar
http://five.ttdown.com:81...20v4.5.0.762.CR.part5.rar

Хотелось бы знать в чем отличие версии 4.5 (10мб) от версии 4.3 (30 мб)
Что урезали?

MC707 :: Ничего не урезали. А добавили. А 10М - это скракед демо. В 4.5 отладчик есть теперь.

MoonShiner :: Да. У меня ИДА 4.5 с СДК занимает 29 мегов. Так что эта ботва - демка.

MC707 :: MoonShiner
Странно. А у меня 4.5 - 47 метров...

MoonShiner :: У меня в архиве... :)

Styx :: У меня как у MC707 - Retail

WELL :: У меня 4.5 около сорока Standart-версия с ключиком.

WELL :: С http://www.ttdown.com/ я тоже качал - фигня.

MaZaFaKeR :: А у меня её вообще нет...

RottingCorpse :: а я вообще 3.86 юзаю :)

ZX :: MC707 пишет:
цитата:
В 4.5 отладчик есть теперь.


где брал, если не секрет?

MC707 :: ZX
на ftp.exetools.com

ZX :: MC707
Там уже нет.

искал, но везде версия без отладчика

MC707 :: ZX
Очень плохо искал. Я только что оттуда.

ftp://ftp.exetools.com/SH...E/IDA.Pro.4.51.770.Retail/

Вот это не подскажешь что такое?

ZX :: Спасибо, конечно, но там пароль просят, по ходу опять поменяли.

MC707 :: ZX
Они его щас каждый день меняют.
И зайти и посмотреть - сложно, да?

ZX :: Регистрация прикрыта

MC707 :: ZX
Нда... Ну оставь тогда свое аську или на крайняк мыло. Я тебе по дружбе пасс скажу :)

XoraX :: дайте лучше ida 4.6

RottingCorpse :: или ida longhorn , а может IDA/2, или idaX :)

-=[DRUID]=- :: Зашел я exetools.com а там последнее 2002 то делать или адрес не тот?

MC707 :: -=[DRUID]=-
У них в основном сейчас все действие на форуме и на фтп творится
А сайт толи забросили, толи некогда им заниматься. Либо специально

V0ldemAr :: Сейчас качаю оттуда
http://yachtseajays.com/i...A_Pro_4.51.770_Retail.rar

[RU].Ban0K! :: V0ldemAr
Пошло качаЦА Спасибо а линк... там и правда 29 мегов




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

-----------------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret
---------------------

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!...



XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!
понимаю, что есть ImpREC, но бывает, что он некоторое не узнает. в аспре конечно можно угадать в большинстве случаев, но все равно
ZX :: Эт щас тебе всего много наговорят, а лучше всего использовать инструменты(отладчик, дизассемблер) и самому исследовать прогу, что из чего берется - получишь незабываемые впечатления и научишься не задавать подобные вопросы.


P.S.
Я не пытаюсь обидеть, а говорю дело.

WELL :: XanderDBB
Смотришь на адреса нераспознаных функций в ImpRec’e ставишь бряки, трэйсишь и узнаешь какие апи-шки юзаются. Вроде так.

Mario555 :: WELL пишет:
цитата:
трэйсишь и узнаешь какие апи-шки юзаются


Обычно от трейса апи протектора толку мало. Там лучше просто смотреть на принимаемые/возвращаемые значения, и на расположние функции в Iat.

KLAUS :: Прочитал бы про ручную распаковку Аспротект’а там это описанно!




Goodwin777 Olly DBG Опять проблема, опять к вам за помощью!!! Когда что то...



Goodwin777 Olly DBG Опять проблема, опять к вам за помощью!!! Когда что то хочу отладить (лишь некоторые проги), вместо анализа кода они запускаются. Надеюсь суть проблемы видна!
MC707 :: Где ж ты такие проги берешь? У меня раз наверное так было.
Скорее всего они запакованы чем-то эдаким....

Ну и в Ольке опции проверь, закладка events-›make first pause at...

WELL :: Goodwin777
Посмотри чем прога запакована

SLV :: Что за прога?

Goodwin777 :: Да шашки Макса Хорина! Может кто что с ней подскажет! А то разобраться с ней не могу. Кстати упакована она AsPack 2.12. Стрип - Шашки 1.0 или 1.1.

SeDoYHg :: Goodwin777 пишет:

цитата:
Да шашки Макса Хорина!


А что ты в них хочешь отладить?

ZX :: Дай ссылку.

WELL :: Goodwin777
Так ты прогу распаковал?

Kerghan :: нечего-то вы не знаете
1вариант. после запуска программы нажми в отладчике Ctrl+F2(иногда помогает, но запуск программы в таких случаях просто редкий глюк олли)
2вариант. Узнай EP. найстрока олли-›Events-›System breakpoint. Загружай, прога стопорнет на адресах 77.... Ставь бряк на EP. F9. усё :)

Mario555 :: Хм... никогда таких прог не видел... ссылку то всё-таки дайте...
А если на EP сделать Loop, а потом приаттачится к процессу, то тоже сглючит ?

Goodwin777 :: Седня ночью выложу! И еще cracme3 badgay (я на нем хотел научиться UPX распаковывать) такая же бредятина!

MC707 :: Kerghan
Я вообще-то про это тоже говорил

Kerghan :: MC707
блин, внатуре %-)

ilya :: Goodwin777 пишет:
цитата:
И еще cracme3 badgay (я на нем хотел научиться UPX распаковывать) такая же бредятина!


там всё нормально распаковывается при помощи Оли

Goodwin777 :: Ну так это ж я!

ZX :: Goodwin777 пишет:
цитата:
Ну так это ж я!


И что?

Goodwin777 :: У меня редко что получается по инструкции

ZX :: Goodwin777 пишет:
цитата:
Да шашки Макса Хорина!


Дай ссылку чтоль на прогу.

Goodwin777 :: Блин скачать не успел! В Яндексе поищи... Кстати я там всех выигрываю!!!

Mario555 :: Goodwin777 пишет:
цитата:
В Яндексе поищи...


Нам по твоему делать больше не фиг ? Оно вообще кому надо ? Ты создал тему и задал в ней вопрос, а потом ещё пишешь «В Яндексе поищи»... П*здец...




ZX Система сообщений форточек У меня такие вопросы



ZX Система сообщений форточек У меня такие вопросы
1) Каким образом найти откуда сообщение вышло?
2)Как определить обработчик сообщения?
В смысле того где находится эта информация и как эта структура обзывается. Где находятся сами объекты, в какой структуре и где эта структура есть.
Если кто знает поделитесь инфой.
SeDoYHg :: ZX

По-моему, тут что-то было по теме.
Система перехвата функций API платформы Win32

ZX :: SeDoYHg
Не эт не то. Интересует отслеживание сообщений, а не перехват апи.

SeDoYHg :: ZX пишет:

цитата:
Интересует отслеживание сообщений


Недопонял Тебя что хуки интересуют ? Поясни.

ZX :: Нет не хуки, а те структуры, которые используются для передачи сообщений и в процессе их обработки.

SeDoYHg :: ZX

Давай определимся в понятиях, предположим какая-то программа вызвала CreateProcess, эта апишка имеет две структуры StartupInfo и ProcessInformation, эти структуры чем то заполняются. И тебе надо знать чем? Так?

ZX пишет:
цитата:
отслеживание сообщений


Это только через хуки.

SeDoYHg :: ZX пишет:
цитата:
Стукнись в аську


У меня сейчас нет аськи

ZX :: Тогда попытаюсь объяснить что мне надо:
Описание той структуры, где производится сопоставление номера сообщения с адресом обрабатывающей это сообщение процедуры окна или контрола.

SeDoYHg :: ZX

Честно говоря, я с данной проблемой не сталкивался. Я с начала подумал, что ты именно про хуки ведешь речь, с ними я работал.

А вообще, это тебе для чего? Я не совсем представляю, что может дать эта информация.

P.S. Порылся по книгам по системному программированию - там то же ни хрена нет

ZX :: Возьми и отправь сообщение, уникальное, батону и напиши обработчик этого сообщения для батона, а потом посмотри что происходит в отладчике. Используются какие-то структуры при передаче этого сообщения, которые явно указывают на обработчик этого сообщения. Вот мне и интересно. Ну в принципе почти разобрался, а что это может дать - подумай...

SeDoYHg :: ZX

Блин, так это нужно было обрабатывать собственные сообщения... Я понял так, что ты хочешь поймать сообщение чужого процесса. Вот, блин, русский язык, гворим одними словами, но о разных вещах

SeDoYHg :: ZX пишет:
цитата:
а что это может дать - подумай...


надо помедитировать перед отладчиком

ZX ::
И опять нет. Я хочу найти точку где сообщение отправляется, именно тот SendMessage, отловив только обработчик. Во так по-моему нормально сформулировал.
Опять нафиг запутался.
Хотя, конечно, условным бряком это все отлавливается. Но если сообщение замусорить, то такой подход не прокатывает и бряк отдыхает. Но есть структура, предположительно, которая помнит, кто сделал сообщение и откуда оно послано. Ее то я и хочу поиметь. Вот и все.

SeDoYHg :: ZX

Мне уже интересно , точно помедитирую... Как наступит простветление обязательно сообщу.




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал
----------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var addr

gpa «Process32First»,«kernel32.dll»
mov addr,$RESULT
bphws addr,«x»
eob lab1
eoe lab2
run

lab1:
var k
add k,1
cmp k,3
je lab11
esto

lab11:
bp [esp]
bprm cbase, csize
eob lab12
run
lab12:
sti
sti
mov [eip],000228e9
eob final
eoe final
run

lab2:
esto

final:
var l
mov l,cbase
add l,csize
log l
cmp eip,l
jb end
esto

end:
cmt eip, «Tipa tempOEP tuta»
bpmc
ret
----------
блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




TheOldMen Подскажите новичку У меня проблема.



TheOldMen Подскажите новичку У меня проблема.
Если програма запущена я могу иследовать ее действия спомощью SoftIce, а там с помощью addr ‹програма›, а потом bpx (или другим), например ShowMessageBoxA. Но как мне иследовать действия програми если она незагружена (addr ‹програма› видаст ошибку)
bUg. :: TheOldMen
по-моему это Unreal(Softic’ом)можно IDA.

TheOldMen Re: bUg. :: Тогда как мне определить в IDA (его работу я не понимаю) какие функции (например RegOpenKey) виполняются при запуску проги?

MC707 :: Нда... дебажить прогу без отладчика..... хехе

ViNCE [AHT] :: MC707 пишет:
цитата:
Нда... дебажить прогу без отладчика..... хехе


..и дизассемблировать без дизассемблера

WELL :: TheOldMen пишет:
цитата:
Но как мне иследовать действия програми если она незагружена (addr ‹програма› видаст ошибку)


Используй дизассемблер. Например IDA или WDasm.

MC707 :: TheOldMen пишет:
цитата:
Тогда как мне определить в IDA (его работу я не понимаю) какие функции (например RegOpenKey) виполняются при запуску проги?


Там русским языком англицкими буквами будет написано
Возьми доку по IDA-е и не задавай глупых вопросов.

KLAUS :: TheOldMen
HIEW машинный код анализируй

SeDoYHg :: KLAUS пишет:
цитата:
HIEW машинный код анализируй


Ты издеваешься над ним ? Он с идой не работал даже ...




FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на...



FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на жизнь? :)
SLV :: Чё-то не качается. Наверное nm перегружен

SLV :: Опа, у меня аватар «человеческий».
for i:=1 to 3 do writeln(«Ура!»)

Dragon :: FEUERRADER

seg002:004011B9 push 0 ; lpWindowName
seg002:004011BB push offset aOllydbg_0 ; lpClassName
seg002:004011C0 call ds:FindWindowA

По классу окна значит ищешь. В принципе можно, ведь поменять имя уже созданного класса нельзя. Придёться разработчикам настройку сделать, как в iceext, где имя сервиса выбырать можно.

KLAUS :: Я может не понял, эт для того чтоб OLLY отрубать?
Ну так он её же и трайсить нормально...может не понял просто для чего!

Dragon :: Бывает такое, запускаешь прогу и видишь что-нибудь типа «обнаружен отладчик, работать ни хрена не буду», вот для чего это надо. Хотя можно и вырубить olly - GetWindowThreadProcessId + TerminateProcess.

FEUERRADER :: Dragon
Реализация простая, поэтому для разработчиков может пойти как анти-отладочный приём, к тому же это по-моему единственный способ найти олю запущенной в системе, т.к. защита от IsDebuggerPresent уже есть. Надеюсь топики кряклаба Солод не читает :)

KLAUS :: FEUERRADER
Ну если пргша будет уже загружена в OLLY, то можно будет спокойцнор трайсить ( пока она не запустится)!!

ZX :: FEUERRADER пишет:
цитата:
Надеюсь топики кряклаба Солод не читает :)


Не переживай, читает. :)

Mario555 :: FEUERRADER пишет:
цитата:
единственный способ найти олю запущенной в системе


Не единственный... посмотри например протектор SoftDefender.
А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

GL#0M :: Mario555

Это точно, помню ещё статейка какая-то была на болгарском про обноружение оли...

RideX :: FEUERRADER
Ещё можно убить процесс через ф-ции TlHelp32, по имени файла.

Aster!x :: › А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

Сие реализовано в новой версии плагина HideDebugger ;-)

Mario555 :: Aster!x
Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Aster!x пишет:
цитата:
Сие реализовано в новой версии плагина HideDebugger ;-)


И когда сие творение можно будет потестить ?

PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Aster!x :: › Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Если там какие-то антитрассировочные фишки то вряд ли что-то можно сделать, если поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)

› PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Это к автору OllyDbg, я сам был удивлён когда попробовал переименовать exe’шник.

› И когда сие творение можно будет потестить ?

Не знаю, нужно ещё доделать мессаги об ошибках, то бишь сочинить их на аглицком, что-то я никак не соберусь ;-)

XoraX :: Aster!x пишет:
цитата:
сочинить их на аглицком, что-то я никак не соберусь ;-)


дык швыряй сюда, толпа переведет :D

nice :: Сейчас с парсером разберусь, и хочу написать крякми_олли_детектор.
Понабрал изи разных статей, там будет около 10 шагов примерно :)

Парни а про переименование оли, вы не пробовали посмотреть ехе, я нашел там прямое вхождение простым поиском
ollydbg.exe (у меня 0050F780)
Кажется корень зла там ;)

RideX :: Aster!x
Надо же, как я угадал с ТулХэлп, не зная что Оля не переносит другого имени , хотя, как я понял, никто об этом не знал :)

Aster!x пишет:
цитата:
поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)


Действительно, вполне может пригодиться :)

Mario555 :: RideX пишет:
цитата:
хотя, как я понял, никто об этом не знал :)


Это давно было в ACPRotect... Process32First и Process32Next.

Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

PS хотя если поменять название «OllyDbg.exe» в таблице экспорта самой Оли и в таблицах импорта плагинов, то и присутствие OllyDbg.exe в папке будет не обязательно.

Aster!x :: › Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

Если действительно так, то Olly не нужны никакие другие защиты кроме как против IsDebuggerPresent ;-)

Aster!x :: Проверил, действительно работает вроде ;-), всё выкидываю из плагина противообнаруженческие фичи и релижу новую версию ;-)

RideX :: Только что проверил, всё так и есть как сказал Mario555 , всё работает :)))

Aster!x :: Только вот странно, Pulya всё-равно прибивает Olly, с переименованным exe’шником, даже не знаю, придётся наверно противотерминатную фичу оставить.

Mario555 :: Aster!x пишет:
цитата:
Pulya всё-равно прибивает Olly


У ACPR кроме проверки имён есть ещё одна подлянка, в смысл которой я там до конца и не въехал... функция Process32Next возвращает не только PID самого процесса, но и PID процесса который его инициализировал (в данном случае PID Olly) а вот как он опеределяет, что Olly - это не какой-нить там explorer.exe - это непонятно... (хотя может привелегии процесса смотрит или прям так по имени и проверяет - если не explorer, то убить нахрен).

PS кста прибивается любая прога (соответствующего статуса ессно) инициализирующая ACPR, а не только Olly.

Aster!x :: › возвращает не только PID самого процесса, но и PID процесса который его инициализировал

Точно, я как-то не обращал на это внимание, нужно будет всё-таки пофиксить, тогда не придётся экзешник переименовывать.
Вот оно:

typedef struct tagPROCESSENTRY32 {
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
char szExeFile[MAX_PATH];
} PROCESSENTRY32;

th32ParentProcessID
Identifier of the process that created the process being examined. The contents of this member can be used by Win32 API elements.

Bad_guy :: Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра... собственная разработка. Ну уж извините за хвастовство. кстати библиотечка коммерческая и приватная - никому не раздаю :)

AlexZ CRaCker :: Bad_guy
Раз уж крэкеры пишут защиту чтобы её снимать , тогда хоть обходные пути оставляй

Aster!x :: › Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра...

Против лома нет приёма... (как там дальше? ;-)
Проверять реестр, сканить папку Program Files - глупо, хотя и не удобно бороться с такими методами обнаружения но можно ;-)




XPiS Бряк на строку из ресурсов (NEED HELP) Помогите найти бряк на нужную...



XPiS Бряк на строку из ресурсов (NEED HELP) Помогите найти бряк на нужную строку (я её в ресурсах нашел). Нигде в WinDasm, IDA её нет, как ни искал. Но как отловить её в вызове MessageBox? Не ставить же бряк на LoadString (около 30 вызовов) и разбираться в её параметрах? Каков общий простой подход к этому вопросу?
TITBIT :: Ты что хочешь поймать? Окно, мессагу...

XPiS :: Разве не понятно? MessageBox.

Goodwin777 :: Может есть файл(*.INI, *.lng или типа того) откуда строки подгружаются?
Тогда смотри по ним

XPiS :: Да нет. Строка в исполняемом модуле (что и обидно) - я её нашел.

TITBIT :: Ссылку на прогу дай.

XPiS :: http://download2.flashfxp...FlashFXP_30_RC4_Setup.exe

XPiS :: Главная загвоздка. Я бы мог поставить бряг на MessageBox, но не могу!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!
Под отладчиком ввожу кей (из нета взял), оня говорит, что все ок, потом говорит, что надо перезагрузиться (т.е. вываливается из отладчика) и потом говорит, что мой кей с ~ или.

TITBIT :: Рульная прога. У меня к ней Crack есть. Могу выслать...

AlexZ CRaCker :: XPiS
иногда помогает:
push _ID_твоей_строки_h

MozgC [TSRh] :: Ну найди свою строку хекс редактором. Узнай адрес этой строки в памяти (например с помощью LordPE), ну и ставь bpm на этот адрес, если у тебя MessageBox не срабатывает...
А так тебе AlexZ CRaCker правильно сказал. Очень часто работает и такое что строки из ресурсов грузятся функцией, перед которой идет push id_строки. Вот например в exescope ты палишь ID строки своей, например там будет: 256, «You entered invalid code». Значит ID строки = 256 или 100h. Грузишь файл в иду и ищешь там push 100h. Возможно это будет место в котором считывается строка из ресурсов.

Nitrogen :: XPiS
мля нашел что ломать.

1) есть рабочий универсальный кряк для этой проги
2) какой в баню messagebox, когда на сколько я помню прога на delphi написана
3) push ‹id-искомой строки›
4) еще может лежать массив из id-шников, тогда нужно искать рефер на него (обычно в hiew помогает F6)

XPiS :: Nitrogen
1. cpp@tut.by. Между прочим, интересно ломать для себя.
2. Ты не прав. Или проги на дельфи не используют родные WINAPI? MessageBoxA? М-да...
3. Этого нет. Обыскал все. Кстати hex редактором не нашел строку!!! Вроде она в Unicode...?
4. Это вряд ли подойдет...

dMNt :: XPiS

2. Если сознательно не писать на WinAPI - то нет.. Обычно юзеры форму рисуют похожую на окно MessageBox’A
3. Если строка в ресурсах то она палюбому Unicode. А ты ее push в Hex ищешь или в decimal? ;)

SeDoYHg :: dMNt пишет:
цитата:
Обычно юзеры форму рисуют похожую на окно


Не знаю насчет форм, но в одной проге увидел такое, что чуть со стула не упал, все ’MessageBox’ были обычными ДиалогБоксами, маразму прогаммистов нет придела 8).

sanniassin :: Смотрим в ресурсах номер строки (например «65265, «Window Background»») переводим номер строки(т. ~ 5265) в hex и ищем в файле «push 0FEF1h (номер строки в hex’е)»

WELL :: XPiS пишет:
цитата:
Или проги на дельфи не используют родные WINAPI? MessageBoxA? М-да...


Большинство использует ShowMessage вместо MessageBox’a

Nitrogen :: XPiS
а какую собственно говоря строчку ты искал?.. первое что приходит на ум, это:

CODE:004F0874 push eax
CODE:004F0875 push offset aIncompleteOrIn ; «Incomplete or Invalid Registration Key»
CODE:004F087A mov eax, [ebp-0Ch]
CODE:004F087D call sub_446F54
CODE:004F0882 push eax
CODE:004F0883 call MessageBoxA_0
CODE:004F0888 xor eax, eax

p.s нет, мля, стандартно messagebox проги писаные на дельфи не используют.. WELL тебе правильно ответил

AlexZ CRaCker :: XPiS
Если уж там дествительно незнаю что (я правда незнаю!), то попробуй тогда на CreateWindowA, CreateWindowExA -(скорее всего), etc.
Наверное ты по LoadString поймал бы уже.

XPiS :: Народ, я бы все отловил, мля, но ввожу кей (украденный), она говорит, что все хорошо, и говорит что надо перезапуститься (что бы проверить) и соответственно вываливается из отладчика.
Там в натуре MessageBox. Сам бряки на импорты ставил других сообщений.
Вот последний результат:
Есть процедура, которую вызывают кучу (›100) раз (связанную с LoadString). В ней я знаю как отловить нужный мне параметр, т.е. выполнить необходимые мне действия. Конечно, находясь я в отладчике, я бы написал ret и все дела, но !!! я не в отладчике. Вопрос: как узнать кто её вызвал? Может сгенерировать какую-нибудь ошибку и узнать адрес исполнения? Не понимаю...

AlexZ CRaCker :: XPiS
Ты в чём это чудо дебажишь?
Если в Олли, то был один случай: после распаковки Оля на многие бряки не останавливалась. ТРВ, конечно, работал нормально. Сайс - думаю тоже будет нормально работать.

XPiS :: Прости за безграмотность, что есть ТРВ и каков конкретный совет чтобы узнать кто все же из многочисленных вызовов вызывает мою процедуру (без дебаггера).

Noble Ghost :: XPiS пишет:
цитата:
что есть ТРВ


TRW2000 -- km дебуггер под вин9х.

Nitrogen :: XPiS
без дебагера говоришь?.. на стеке лежит адрес возврата?.. переписывай «свою процедуру» что бы она брала адрес возврата и выводила его мессадж-боксом..

p.s пu3дeц ты объясняешь.. ничего не понятно из твоих вопросов.. ты бы блин сказал КАКОЙ ИМЕННО ТЕКСТ ИЩЕШЬ

AlexZ CRaCker :: XPiS
Если строка в юникоде - припалить ID трудно. Т.к. ты не ответил, в чём дебажишь - то SoftICE поймает тебе любые вызовы, происходящие в системе, а не только твоего процесса.
(Ctrl-D перед запуском твоеё проги, и ставь нужный бряк)
А TRW2000 - это офигительный отладчик. К сожалению, китайский автор забросил этот проект, и под NT этого отладчика небудет.




Mario555 Olly Detect Вот наш



Mario555 Olly Detect Вот нашёл тутор интересный, может кто захочет почитать: http://biw.rult.at/tuts/pum_detectolly.zip
Например про метод SetUnhandledExceptionFilter я до прочтения этой статьи ничего не знал ;)
-= ALEX =- :: спасибо за ссылку, прочитаем...

Mario555 :: Хе, а самое прикольное, что использование самой этой апи необязательно...
Например в XP она выглядит так:

77E7E5A1 MOV ECX,DWORD PTR SS:[ESP+4]
77E7E5A5 MOV EAX,DWORD PTR DS:[77ED73B4]
77E7E5AA MOV DWORD PTR DS:[77ED73B4],ECX
77E7E5B0 RETN 4

Тоесть если в проге будет код вида:

0040102C MOV ECX,_ExcpHandler@0
00401031 MOV EAX,77ED73B4
00401036 MOV DWORD PTR DS:[EAX],ECX
00401038 XOR EAX,EAX
0040103A DIV EAX

то эффект будет таким же, как от использования апи. Ну а получение самого адреса 77ED73B4 для другой машины проблемы не представляет - по GetProcAddress определяем адрес SetUnhandledExceptionFilter, а там ищем MOV EAX,DWORD PTR DS:[xxxxxxxx].

-= ALEX =- :: я тоже был удивлен «способностью» данной функции... а оно оказывается вон как :)

Mario555 :: Ещё оказывается olly после любой остановки (срабатывание бряка или исключение) устанавливает свои значения
DR регистров (если в его списке Hardware Breakpoints ничего не установлено, то нули), соответственно можно искуственно создать два исключения - в обработчике первого запись в DR определённых значений, в обработчике второго проверка этих значений. Если в коде между этими исключениями сработает какой-либо бряк, то olly изменит значения DR, а это будет обнаружено при проверке. Ессно такую проверку можно «растянуть» и запутать - ведь DR регистр то не один ;) Вот такой вот AntiTrace, без всяких там rdtsc и контрольных сумм.

Интересно, это баг olly или такое есть в любом ring3 отладчике...




newborn Advanced Instant Messengers Password Recovery 2.31 Advanced Instant...



newborn Advanced Instant Messengers Password Recovery 2.31 Advanced Instant Messengers Password Recovery 2.31

Кряков в сети нет, последняя версия сломаная была 2.20

http://www.elcomsoft.com/AIMPR/aimpr.zip
розмер : 553 Кб

В некоторых месенджерах не даёт узнать пароль больше 3 символов.

серийный номер в виде: MGPR-8HPY-WP3D-MX6F-AYZWR-YPER-QQRAT

Прога нужна для всоминания паролей к месенджерам, которые забылись :)

З.Ы. Попросили сломать и застрял, но интерсно было б узнать как ?
З.Ы.2 Запаковано Аспром (ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov) легко роспаковывается Стриппером, стриппер пишет есть спёртые байты.
З.Ы.3 Очень хотелось бы узнать как вотановить спёртые байты и дальнейший способ взлома.
MozgC [TSRh] :: В программах от ElcomSoft используется обычно криптование процедур. В этом случае полноценный взлом без хотя бы 1 ключа невозможен.

newborn :: MozgC [TSRh]
Ну дык, можна и без ключа, типа кракед ехе, только помогите мне, направте меня на путь истенный

guest007 :: newborn пишет:
цитата:
Ну дык, можна и без ключа


Как ты будешь без ключа криптованые участки расшифровывать?
MozgC правильно тебе сказал, нужен хотя бы один ключ.

DFC :: newborn .
Похоже либо ты не знаешь что такое «покриптовано AsPr’ом»...либо прикидываешься.

SGA :: DFC пишет:
цитата:
«покриптовано AsPr’ом»


ПРям так и Хочется после этих слов поставить ©
=)

DFC :: SGA .
Да перестань подкалывать :)

sanniassin :: Патчик:
lctm.narod.ru/AIMPRPatch.rar
password: crackl@b

-= ALEX =- :: sanniassin ну сказано же, нужен ключик для раскриптовки процедур... а ты тут патчи раздаешь :)

Mad :: Только он почему то пассы из МСН не даёт.

Mad :: Значит, что бы придумать лекарство для этой проги, надо вначале ключик купить?

DFC :: sanniassin .
Значить гришь 22 байта пропатчил...

CReg [TSRh] :: Mad пишет:
цитата:
Значит, что бы придумать лекарство для этой проги, надо вначале ключик купить?


да, надо

Ara :: Спертых байт примерно 40.
mov al,1
ret
на процедуру проверки и все рулит(в распакованном виде)


P.S.
Только действительно пароль не дает. Что-то значит есть такое...

Mad :: Них... себе защита. Наверно одна из самых лучших

Mad :: Дак , а почему она пасс от МСН не показывает тогда?

sanniassin :: DFC
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло

ЗЫ: а что такое MCH?

dMNt :: там что-то покриптованно
но однако если смотреть под отладчиком - он пароли восстанавливает... но не показывает :)
так что.... :)

newborn :: sanniassin
Спасибо за патч, пропатчилось, но там такая же байда как и в других краках к предыдущим версиям, вот версия 2.20 которую скачал у китайцев, там также, взломано, а пароли не показывает.

dMNt пишет:
цитата:
там что-то покриптованно
но однако если смотреть под отладчиком - он пароли восстанавливает... но не показывает :)
так что.... :)


Угу, ну и замутили они, там стопудово должна быть какаято фича...

sanniassin пишет:
цитата:
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло


Можеш мне росказать, плиз new_born собака bk.ru

DFC :: sanniassin пишет:

цитата:
DFC
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло


Жду to_dfc@mail15.com

Mad :: МСН=messenger , тоесть что-то наподобие аси , только подругому :)

Ara :: sanniassin

Закинь мне тоже
mailto:ara86@inbox.ru

Ara :: Подправил прогу немного, все выдает, только потом виснет

newborn :: Ara
Можно, было б глянуть, и что ты там поправил, а то я уже запарился искать :(

Ara :: Прогу уже перекроил всю, там было что-то типа
PUSH EBP
PUSH DWORD PTR DS:[43BD20] ‹--- хэндл Edit
CALL SetWindowTextA
Вписал в ИМХО не особо нужную процедуру вывода информации о файле.
Вызывал два раза, когда пароли вычислятся. Где-то накосячил - прога висла, я это дело броcил.
Потом по другому пошел - на «незарегеной» проге, пока только 4 символа вывел.

newborn :: Ara
Если что получиться больше, оставь сообщение плиз, а то, я уже задрался, никак не могу вычислить где эти 3 символа проскакивают.

sanniassin :: Вроде пофиксил:
lctm.narod.ru/AIMPRPatchFix.rar
пароль тот-же

newborn :: sanniassin
Тоже не плохо, но как то оно через раз показывает нормальные пароли, странно, говорят что без ключа нельзя, а ты вот хоть такое и без ключа сделал, или у тя ключ есть ?

Mad :: Млин. Работает. А можешь рассказать как ты крякал? И этот кряк надо разослать по всем сайтам :) Редкая вещь

sanniassin :: newborn пишет:
цитата:
или у тя ключ есть ?


Нету ключа у меня

Mad :: Во мега крякер :)

Ara :: Во блин, а уменя только 3 циферки выдает и все.

Я засунул пароли в мессагу, что прога не зарегена и бросил ее ковырять.




sanniassin IcePatch 4 WinXP Можно ли где-то достать сабж или что-то подобное...



sanniassin IcePatch 4 WinXP Можно ли где-то достать сабж или что-то подобное для WibXP
MoonShiner :: Для каких целей? Сокрытие отладчика что ли? Тады юзай iceext. тута оно лежит.

sanniassin :: IcePatch нужен, чтобы менять (цитата из readme):
1. INT3/FGJM (backdoor interface from the good old DOS age)

this interface is used by dldr and wldr to communicate various
commands to winice.

2. INT3/BCHK (backdoor interface for BoundsChecker)

this interface is used by BoundsChecker to communicate various
comamnds winice.

if you have BoundsChecker then you will have to patch it
manually...

3. INT68/4300/F386 (system debugger installation check)

the INT68 interface is used by the VMM to communicate with a
system debugger which winice pretends to be (in real mode).

note that this method is not winice specific, it detects any
system debugger.

programs that wish to communicate with a system debugger will
fail when you change this magic number.

4. INT41/004F/F386 (system debugger installation check)

the INT41 interface is used by the VMM to communicate with a
system debugger which winice pretends to be (in protected mode).

note that this method is not winice specific, it detects any
system debugger.

programs that wish to communicate with a system debugger will
fail when you change this magic number.

5. 0202,7A5F (VxD device IDs for winice and siwvid)

both winice and siwvid appear as VxDs to the VMM. and since
both of them export VxD services they have unique IDs.

valid device IDs are in the range 0x0200-0x7FFF, to avoid
collisions consult Ralf Brown’s INTLIST.

6. SICE,SIWVID,SIWDEBUG,WINICE (VxD and module names)

VxDs are supposed to have device names, so are our friends as
well. winice also adds a new VxD to the system which exports
Win32 services (SIWDEBUG).

due to the way these names are stored/used in the files you have
to preserve their lengths. well, one day we may do a better job
and fix this little problem, but right now none of us has the time
for it... if you do then feel free to contribute to the project.

С его помощью очень легко скрыть SICE от SF3

MoonShiner :: Все что ты написал юзается прогами только для обнаружения отладчика. IceExt все это дело прикроет. А вот от старфорса ты с помощью вышеперечисленных методов ниче не скроешь, поскольку int1, int3 он юзает в своих целях.

sanniassin :: MoonShiner пишет:
цитата:
А вот от старфорса ты с помощью вышеперечисленных методов ниче не скроешь


Ну не знаю у меня SICE не детектится
Я не собираюсь SF ломать, просто влом ребутиться када охота поиграться




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




Cracker Win32Dasm v10 Млин.... какого Х.. васм не все жрет????????????????...



Cracker Win32Dasm v10 Млин.... какого Х.. васм не все жрет????????????????
Я мля прогу да delphi6 компильнул, решил код васмом разобрать - хрень!!!Ни Х.. происходит.....
Тока про DeDe и IDA не говорите ..... сам все знаю.....
SeDoYHg :: Cracker

Наверно мы телепаты%), что там у тебя нет так %). По идее должен воспринимать... а там хрен его знает :). Что хоть пишет?

Cracker :: Ваше ниче не пишет.... если че писал бы... я бы написал че он пишет!!!!!!
Просто жму открыть файл... указываю путь... и все.... 0 действий...

sanek :: Cracker пишет:

цитата:
Ваше ниче не пишет.... если че писал бы... я бы написал че он пишет!!!!!!
Просто жму открыть файл... указываю путь... и все.... 0 действий...


С W32dasm_ом такая хрень была и у меня только c Borland C++

Cracker :: И как с этим бороться?

nice :: Cracker
Может у тебя ехе заблокирован отладчиком ДеДе или чем то аналогичным?
Попробуй 93 версию + патчи = 10, взять можно на protools.cjb.net

sanek :: nice пишет:

цитата:
Попробуй 93 версию + патчи = 10, взять можно на


Кстати попробовал только что w32dasm9 без патчей - дизасемблирует, а w32dasmv10- виснет.
Почему???

SeDoYHg ::
sanek пишет:
цитата:
Почему???


спроси у разработчика :), мы же не телепаты :))))). Ну или под отладчиком поганяй :), узнай причину.

WELL :: Я вообще wdasm не юзаю...

MARcoDEN :: А чего тебе WDASM сдался? Есть более интеллектуальные тулзы, сам знаешь какие .

Cracker :: ТИПА IDA ??? Неохота по модему 30 метров качать!!!!!

Grim Fandango :: версия 10 не является оригинально, это левая поделка... а сам автор уже дааавно забил на Wdasm. Bratalarm forever!

SeDoYHg :: Cracker

Сходи в комп. клуб и скачай. У ИДы альтернатив нет. Все остальное суксь!

Grim Fandango :: SeDoYHg пишет:
цитата:
Сходи в комп. клуб и скачай.


или купи диск.. типа Навигатор Хакера... там такого полною

Mario555 :: Есть в header’е параметр SizeOfOptionalHeader указывает он размер от поля Magic до начала описания секций, так вот если этот параметр увеличить и соответственно переместить описания секций, то файл будет грузится нормально, а вот W32dasm’му он совсем не понравится ;) Кстати Olly тоже от таких выкрутасов будет не в восторге... она конечно прогу загрузит, но секции не считает и в WinMain не остановится.

SeDoYHg :: Grim Fandango пишет:
цитата:
или купи диск..


Я себе купил диск «Программисту на Визуал Си++» Так там было две версии ИДы, сайс, боундчекер и PEDump :).

Grim Fandango :: SeDoYHg пишет:
цитата:
«Программисту на Визуал Си++»


lol =)

SeDoYHg :: Grim Fandango

Это я так написал там было нормально написано, по английски :)

Grim Fandango :: нет, я вообще с содержания и названия улыбался. =)

SeDoYHg :: Grim Fandango

Это точно, я сам обрадовался, когда увидел содержимое диска :)

MC707 :: У меня тож такой диск был, я его покупал года 4 назад, там еще сайс 4 и ида 3.5 была.

SeDoYHg :: MC707

У меня две иды было :), 3.45 и 4.1.5 =)

Lawyer :: У меня была такая проблема. Она у меня заключалась в том что в пути к фаилы были русские буквы типа: C:\Мой документы\проги\варез\proga.exe
Я решил ее так. Скопировал прогу в корневой католо «С:\» создал папку с енглишь названием, и у меня все заработало... попробуй, может проблема в этом, хотя я могу ошибаться.

ufo_maniac :: про WinDASM 10 точно не знаю, но у версии 8.93 есть серьезное ограничение на длину полного пути к открываемому файлу. даже не 256 символов, а кажется 64.
так что я на 95% уверен, что если ты сделаешь как предлагает Lawyer, даже если ты не использовал русские буквы, всё покатит!

а вообще-то зря вы к етой проге с пренебрежением - для несложных случаёв имхо это идеальное средство.

ZX :: ufo_maniac пишет:
цитата:
а вообще-то зря вы к етой проге с пренебрежением - для несложных случаёв имхо это идеальное средство.


это для каких таких случаев? Я вот что скажу, кому лень разобраться с OLLYDBG тот юзает виндасм. И не надо народ вводить в заблуждение, виндасм умер и точка. Это теперь орудие ламера, пытающегося выглядеть крутым крякером. Потому как, ни один здравомыслящий из нашей породы сейчас в виндасм не полезет. Кто не любит OllyDbg и юзает айс и иду это тоже не полезут в виндасм, потому как ловить там нечего..

PS обидеть никого не пытался.

dMNt :: КГ/АМ

ufo_maniac :: черт его знает... при всем моем уважении...
да и не крякер я вовсе, а тестер. просто живу уже давно, тогда еще олли не было.
с вдасма начинал, и с диска его не сотру. иногда в нем сразу видно то, что в иде еще надо раскопать.
иногда он правильно показывает то, с чем она справляется слабо. на васме недавно такое прочел, звиняйте, ссылку не дам - лень искать, правда. и сам с таким сталкивался.
конечно он прочно устарел, и уже не оживет, но не собираясь никому ничего навязывать, считаю что наряду с другими тулзами его попользовать не вредно.

Grim Fandango :: ufo_maniac пишет:
цитата:
наряду с другими тулзами его попользовать не вредно.


согласен.




Destroyer Вопрос по Дельфи в асме Подскажите пожалуйста как отломить...



Destroyer Вопрос по Дельфи в асме Подскажите пожалуйста как отломить дельфийский таймер. Во всех дельфийских прогах он выглядит стандартно. Вот его код:

0044B804 . E8 9397FFFF CALL testtime.00444F9C ; creation of form
0044B809 › 33C0 XOR EAX,EAX ; beginning of timer
0044B80B 55 PUSH EBP
0044B80C 68 29B84400 PUSH testtime.0044B829
0044B811 64:FF30 PUSH DWORD PTR FS:[EAX]
0044B814 64:8920 MOV DWORD PTR FS:[EAX],ESP
0044B817 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0044B81A E8 D1FDFFFF CALL testtime.0044B5F0 ; ‹- здесь происходит TranslateMessage и DispatchMessage
0044B81F 33C0 XOR EAX,EAX
0044B821 5A POP EDX
0044B822 59 POP ECX
0044B823 59 POP ECX
0044B824 64:8910 MOV DWORD PTR FS:[EAX],EDX
0044B827 EB 15 JMP SHORT testtime.0044B83E
0044B829 ^E9 3E81FBFF JMP testtime.0040396C
0044B82E 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]
0044B831 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0044B834 E8 4B000000 CALL testtime.0044B884
0044B839 E8 9684FBFF CALL testtime.00403CD4
0044B83E 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0044B841 80B8 9C000000 ›CMP BYTE PTR DS:[EAX+9C],0
0044B848 ^74 BF JE SHORT testtime.0044B809 ; end of timer
0044B84A › 33C0 XOR EAX,EAX

при выполнении DispatchMessage код написанный в таймере выполняется.
Если занопить этот call или DispatchMessage , то прога зацикливается.
Как убрать этот код или убрать/остановить сам таймер? Наверняка есть стандартные методы для этого.

XoraX :: самый стандартный метод - открываешь файл редактором ресурсов, ищешь таймер и удаляешь событие OnTimer.

Grim Fandango :: или ставить его на 999999999999 =)

WELL :: Ну если в таймере ничего хорошего не делается, то иногда можно сразу в начало процы поставить ret

AlexZ CRaCker :: Destroyer
Надо ловить и НОПить самый первый вызов SetTimer, тогда и событие OnTimer, соответственно, не будет выполняться.

Grim Fandango :: всё же самый быстрый способ для Делфи, найти на форме таймер и удалить, как и сказал Xorax

Destroyer :: Ща попробую

TITBIT :: Grim Fandango пишет:
цитата:
всё же самый быстрый способ для Делфи, найти на форме таймер и удалить, как и сказал Xorax


Действительно лучший способ. Сам юзал.....

AlexZ CRaCker :: Да никто и не спорит... просто ресурсы после распаковки могут быть в стельку убитые
И в инлайне таким образом таймер кильнуть можно.

Destroyer :: Редакторы ресурсов не берут. А как узнать что происходит при выполнении DispathMessage? И как отловить SetTimer?

Grim Fandango :: bpx SetTimer
что-то такое... точно не помню...
А прога упакована?

AlexZ CRaCker :: ха-ха
AlexZ CRaCker пишет:
цитата:
Надо ловить и НОПить самый первый вызов SetTimer, тогда и событие OnTimer, соответственно, не будет выполняться.


Destroyer
DispathMessage тебе ненужен

AlexZ CRaCker :: Destroyer
Есть ещё способ, только я про него забываю всегда: отправить прогу в DeDe, там всё увидишь. А пакованую он дампить умеет.

Destroyer :: Прога была запакована AsPack. Bpx SetTimer, попробую. А про DispatchMessage я спрашиваю так, как может этот таймер и что-то полезное делает (хотя вряд ли), просто хотел занопить там одну процедурку.

Grim Fandango :: еще попробуй GetLocalTime и GetSystemTime...

Destroyer :: Прога ищет в запущенных процессах filemon,regmon,windasm,softice (в таймере) и убивает их. Какие апи надо ловить, которые дают инфу о процессах (список всех запущенных)?

Это код процедуры, кот. выполняется при нажатии клавиши при вводе сер.ном. По адресу кот. в ecx находится текущий символ., он сравнивается с 0d, получается если текущий символ 0d, то выполнится колл и пойдет дальше проверка. Но что есть 0d в ASCII?

004BF2B5 ¦. 8BEC MOV EBP,ESP
004BF2B7 ¦. 66:8339 0D CMP WORD PTR DS:[ECX],0D
004BF2BB ¦. 75 07 JNZ SHORT XSpider.004BF2C4
004BF2BD ¦. 8BD0 MOV EDX,EAX
004BF2BF ¦. E8 A8FDFFFF CALL XSpider.004BF06C
004BF2C4 ¦› 5D POP EBP ; 01392E40
004BF2C5 \. C2 0400 RETN 4

Mario555 :: Destroyer пишет:
цитата:
которые дают инфу о процессах (список всех запущенных)?


CreateToolhelp32Snapshot, Process32First/Next - это считывает процессы, ещё прога может искать по имени класса окна или по заголовку окна - это всё FindWindow, или бывает GetDesktopWindow и т.д.

Destroyer пишет:
цитата:
softice (в таймере) и убивает их


Мда... а это как ? Убить ring0 отладчик ?
filemon, regmon, softice обычно ищутся по CreateFile(»\\.\SICE»,..).

А проще всего - попробуй найти все эти строки в exe и смени их.

Destroyer :: Да найти строки в ехе я первым делом попробовал, на счет softice, он его конечно не убьет, просто я на дельфи быстренько прогу накатал, и посмотрел. Походу прога ищет все это по названию файла, не по заголовку. Но filemon и regmon находятся и с другим именем файла. Mario555 спасибо , попробую по CreateFile.




Макс исходники кейгенов Дайте пожалуйста ссылки ,где можно скачать исходники...



Макс исходники кейгенов Дайте пожалуйста ссылки ,где можно скачать исходники кейгенов на асме или на дельфях со вставками асма
DiveSlip :: Поройся в примерах для масма, что устанавливаются с ним, там есть такой пример (у меня в папке Examples3/Regkey2), из которого можно без особых усилий написать кейген, что раньше я и делал:)

бара :: заходи к нам на пагу - там в аттачах полно на асме кейгенов разных и линки. Только внимательно просмотри всё так как поиска по сайту автоматического нет.

Макс :: всмысле в файлах?Что-то я там не нашел ничего про асм

AlexZ CRaCker :: Макс
ИМХО, лучше на делфе пиши, используя АПИ или КОЛ. Будет не так много весить как с ВЦЛ, и не так долго делать будешь, как на чистом Асме. Если алго рипнуто из проги, то перед Асм вставкой регистры сохранить не забудь (и восстановить в конце.)

Макс :: AlexZ CRaCker
а как их сохранять и восстанавливать,а то я со вставками асма ниеогда не делал

dMNt :: вы б еще на vb посоветовали
asm, asm and once again asm ;)

AlexZ CRaCker :: Макс

Function Generate(name: тип): тип;
begin
asm;
pushad
-/-/-/-/-/-
popad
end;
end;

Говорят ещё, что eax, ebx, ecx можно не сохранять... но имхо, лучше сохранить. Можно ещё по выбору регистры сохранить: Push ‹регистр›
Восстановить: pop ‹регистр›
И прочитай что нибудь про Асм, ато ты даже этого незнаешь.

Макс :: а как потом из например edi вывести результат в edit2

AlexZ CRaCker :: Макс , если пишешь на Делфе, то лучше всего и писать на Делфе без Асма. Т.е. разбираешь алго, и переписываешь на паскаль.
Если уж так охота на асме, то:
procedure qwerty;
begin
asm
mov SN, edi
or
mov offset SN, edi
end;
SetWindowText(Form.edit1.handle, SN);
or
Edit1.text:=SN;
end;
Или прямо в коде асма:
push offset ‹SN: array of char›
push hEdit1 // надо предварительно взять хендл Едита1
call SetWindowText
Всё зависит от типа переменной, от передачи параметров функции, либо использования процедуры и переменной... Много от чего зависит. Кстати, очень рекомендую вскрывать кейген и прогу в отладчике (одновременно) и изучать, эксперементировать, - очень продуктивное обучение (дебугеры ведь не только для взлома :) Советую попытаться разобраться самому. Лучше один раз поюзать отладчик, чем 64h раза спросить.

Aster!x :: AlexZ CRaCker
› Говорят ещё, что eax, ebx, ecx можно не сохранять...

Неправильно!
Можно не сохранять только:
eax, edx, ecx

AlexZ CRaCker :: Aster!x
Ну это я ошибся%. Да, edx. незаметил.

Ara :: AlexZ CRaCker пишет:
цитата:
Макс
ИМХО, лучше на делфе пиши, используя АПИ или КОЛ. Будет не так много весить как с ВЦЛ, и не так долго делать будешь, как на чистом Асме. Если алго рипнуто из проги, то перед Асм вставкой регистры сохранить не забудь (и восстановить в конце.)


Ты не прав в корне! Только что для прикола на WinZip кейген сделал, сперва в делфи пытался, потом бросил и на асме за 30 минут написал! ASM - RULEZZZZZZ

GL#0M :: Асм рулит, сто пудово. И никакие дельфи вставки не сравнятся, на асме всё быстрее. Книжки читайте больше.

Runtime_err0r :: бара

цитата:
заходи к нам на пагу - там в аттачах полно на асме кейгенов разных и линки.


А URL не подскажешь ?

WELL :: На асме лучше делать.

бара :: Runtime_err0r пишет:
цитата:
А URL не подскажешь ?


так кто тебе мешает посмотреть на кнопочку WWW внизу моего поста

ufo_maniac :: бара пишет:
цитата:
так кто тебе мешает посмотреть на кнопочку WWW внизу моего поста


никто не мешает - нету такой кнопочки. а сайт хороший (я там был).

Runtime_err0r :: бара

цитата:
так кто тебе мешает посмотреть на кнопочку WWW внизу моего поста


Сорри, туплю

AlexZ CRaCker :: Увидел, тексты типа: «Ты не прав в корне. Лучше на асме».
ОН В СТЕК СОХРАНЯТЬ НЕУМЕЕТ! КАКОЙ АСМ?!

dMNt :: AlexZ CRaCker пишет:
цитата:
ОН В СТЕК СОХРАНЯТЬ НЕУМЕЕТ! КАКОЙ АСМ?!


аааааа!!!!!! 0_0

/me в истерике

TITBIT :: Макс пишет:
цитата:
где можно скачать исходники кейгенов на асме


Вот один patch maker. Он генерит патч + исходники на Асме, которые подправив можно забацать кейген.
Брать здесь - Uneversal patcher

TITBIT :: Ссылка не коректно отобразилась - вот еще раз Universal Patcher

бара :: лучше описане бы запостил как ето юзать... А то хрень какая-то... не фурычит - пока будешь изучать можно патчи штук по 10 забабахать уже на асме самому.

TITBIT :: бара пишет:
цитата:
лучше описане бы запостил как ето юзать...


Да там же все просто. Заполняешь от балды все строчки, указываешь файл, затем сравниваешь оригинал с пропатченым - далее указываешь проге чтоб она вывела исходники : ==SOURCE==. Ну а далее все зависит от фантазии... Открываешь файл с расширением ==ASM== и меняешь его содержимое, удаляя ненужное, добовляя тебе нужное....
бара пишет:
цитата:
не фурычит


Что именно?

Ara :: AlexZ CRaCker пишет:
цитата:

Увидел, тексты типа: «Ты не прав в корне. Лучше на асме».
ОН В СТЕК СОХРАНЯТЬ НЕУМЕЕТ! КАКОЙ АСМ?!


ДА, эт верно. Кста, взял на делфе свой патч - 400 кило (без VCL), на асме - 8 кило! Почему на делфе такой здоровый (Д7), нету ж ВСЛ.

Aster!x :: Если правильно писАть то на Delphi будет ~ в два раза больше(для Delphi7) чем на asm’е.

WELL :: Ara пишет:
цитата:
Почему на делфе такой здоровый (Д7), нету ж ВСЛ.


А какие модули у тебя в uses ?

AlexZ CRaCker :: Незнаю, незнаю... Что там за патч на 400 Кило... Вот, кому интересно, могут взглянуть на патч, написаный на делфе (50 Кб, картинки, музон)
Link

DFC :: AlexZ CRaCker .
Но он упакован UPX’ом...а так 111 Кило...Хотя не 400...:)

0010 :: AlexZ CRaCker
а можна исходников, очень нада :)

MARcoDEN :: А еще есть консольный вариант. Врубай VC, Win32 Console и вперед! Размер небольшой и С++ поприятнее асмы будет, имхо .

ilya :: вот исходники крака и кейгена на асме http://ilyacr.narod.ru/other/crackvskeygen.html




Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)



Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)
http://www.mario-files.newmail.ru/OllyFinder.exe
Таким образом можно искать произвольную строчку в процессе или вообще не строчку, а последовательность байт... такое не переименуешь.
PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ? Ребут-то оно покруче будет, чем просто убивать найденный дебугер ;)
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.
-= ALEX =- :: Mario555 пишет:
цитата:
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.


ну ловить просто-напросто вызовы апи TerminateProcess. и смотреть на параметры передаваемые... или как ты там скрываешь .. :)

-= ALEX =- :: скачал файл, посмотрел исходник. интересно реализовано... заинтересовало, щас попробую написать антифиндер %)
ЗЫ ну ни как меня на олю не тянет, хоть убей... :(

test :: Mario555
А у меня твой OllyFinder уже не находит :(

Aster!x :: › PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ?

Ну и что? Можно и ещё к каким-нить системным процессам применить, но вот только зачем?
Если приложение не умеет уживаться с моим софтом или виндой то думаю стоит его кильнуть, пусть разработчики сами с ним играются.

Зы: отладчик третьего кольца беззащитен и способов его обнаружения можно придумать множество. А с TerminateProcess можно бороться и вполне эффективно, и это уже реализовано, теперь «Pulya» не может прибить Olly ;-)

Mario555 :: -= ALEX =- пишет:
цитата:
ну ловить просто-напросто вызовы апи TerminateProcess


Это не серьёзно, уж тебе-то, как автору протектора должно быть понятно, что главное - это не способ убивания процесса отладчика, а получение «dbg найден»/«dbg не найден», дальше уже можно делать всё что угодно...
Перехватывать тоже будет не просто, если вокруг проверки понаставить всяких rdtsc, DRx check и т.п.
К тому же такую проверку можно пускать отдельным Thread’ом с низким приоритетом, который будет постоянно проверять наличие отладчика (дампера или любой другой crack tool) во время работы основной проги.

test пишет:
цитата:
А у меня твой OllyFinder уже не находит :(


Что же ты такое сделал ? Единственный способ спрятать olly, который я вижу - это смена ImageBase, но ведь можно считать эту ImageBase и высчитать нужное значение параметра BaseAddress для ReadProcessMemory. Хотя вот если Olly Obsidium’ом пакануть...

Mario555 :: Aster!x пишет:
цитата:
теперь «Pulya» не может прибить Olly ;-)


А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Aster!x пишет:
цитата:
приложение не умеет уживаться с моим софтом


Если софт - это отладчики... Ребут всего лишь способ ответных действий на обнаруженную прогу...

test :: Mario555
Да нет. Просто у тебя нет проверки кода как в Arme вот и все.Хотя и в память где rep cmps можно напихать мусор и еще много чего.А вот твоя идея (Хотя вот если Olly Obsidium’ом пакануть...)как раз очень интересная.Да еще. кроме оли я ничего не использовал!

Mario555 :: Плагинам не понравилась Оля пакованая Obsidium’ом :( Без плагинов работает...

-= ALEX =- :: Mario555 только что закончил работу, написал OllyHider для твоего OllyFinder’a... :)
ЗЫ нет ниукого сдк по написанию плугинов для ольки, желательно на асме...

Aster!x :: Mario555
› А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Мы не ищём легких путей поэтому будем дописывать плагин, чтоб не действовать таким грубым способом как переименование ;-)

test :: -= ALEX =-
masm_inc.zip - not tested если хочешь

-= ALEX =- :: test ну давай... мыло мое видно тут.

dMNt :: ну и мне киньте masm_inc.zip
вот сюда --› dmnt((AT))ledex D0T ru

PS: спасиба, пришло :)

-= ALEX =- :: test пасибо.

WELL :: Aster!x
А твой HideDebugger.dll обновился?
Если да, то где качнуть можно?

Aster!x :: WELL
Пока нигде нельзя качнуть, постараюсь в ближайшее время доделать messag’и и выложить в народ.

WELL :: Aster!x
Будем ждать

Mario555 :: -= ALEX =- пишет:
цитата:
написал OllyHider


Выложи где-нить.

test :: Mario555
Мне кажется что лучше наверно патчить системный модуль потому как с двумя процессами это не
пролезет.

test :: Вот попробовал с армой все вроде работает без rename ollyexe .Тока hbpx перестал работать..

test :: Извиняюсь. все в ОК! работает.Просто теперь на тот адрес проверки нет перехода после Process32First.

-= ALEX =- :: Mario555 пишет:
цитата:
Выложи где-нить.


вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)

newborn :: -= ALEX =- пишет:
цитата:
вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)


Что то я не могу скачать, может кто переложит на другой сервак ?

GL#0M :: newborn
Известная тема с фаталом :(
http://kon.ldx.ru/OllyHider.exe

newborn :: GL#0M
Спасибо, этот фатал частенько стал падать...

Mario555 :: -= ALEX =-
Думал, что переименование в таком количестве приведёт к глюкам в работе Оли, но всё нормально работает :)
Хотя конечно можно поискать строчку (последовательность байт) которую нельзя переименовывать, но такая строка будет встречатся только один раз и её можно аккуратно переправить вручную.

Aster!x :: Mario555

Фигня все эти методы, я правда не смотрел но судя по обсуждению читаем память Olly в поисках сигнатур через ReadProcessMemory? если да то можно не париться, есть фича в новой версии HideDebugger, которая обломает вам эту возможность :-) , знаю знаю, что пора плагин в народ кидать, но вот обнаружился необычный глюк на винде FEUERRADER’а(XP sp2) с IsDebuggerPresent, придётся алго менять видимо, поэтому выход плагина задерживается, sorry.




Ara Брекпойнт в Делфи7 Друзья, растолкуйте - отлаживаю прогу и не могу бряк...



Ara Брекпойнт в Делфи7 Друзья, растолкуйте - отлаживаю прогу и не могу бряк поставить на код главной формы.
На другие мои проги бряки ставятся нормально.
RideX :: Два варианта:

1) Project -> Options -> Compiler -> Debugging...
2) {$D+}
Затем Project -> Build

SLV :: В коде пишешь
...
asm
int 3
end;
...
и ставишь bpint 3

Ara :: RideX , к сожалению, не работает! Опции дебаггера я уже давно все перетасовывал-бестолку

SLV , ты не понял вопрос - встроенный отладчик не ставит бряки и только в одном модуле одной проги

SLV :: Ara , я имел ввиду айс...






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS