Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



Покойник Ребята, подскажите, есть ли статьи по работе SoftIce в XP со Ребята,



Покойник Ребята, подскажите, есть ли статьи по работе SoftIce в XP со Ребята, подскажите, есть ли статьи по работе SoftIce в XP со всеми его ньюансами?
dragon :: Работа ничем не отличается, только примочки разные(IceDump под 9x, и IceExt под XP, правда под XP тоже IceDump есть и у меня всё это сразу стоит).

P.S. Что, неужели и на том свете софтайс тоже популярен???

X0E-2003 :: To: dragon
Я хотел спросить, что лучше IceDump или IceExt под XP ???

MozgC :: IceExt конечно.

dragon :: Почему только IceExt, лучше когда они с IceDump’ом вместе стоят.

MozgC :: Ну IceExt и скрывает лучше и дампить тоже может + дополнительные полезные команды.

dragon :: Да, IceExt действительно лучше скрывает. Ни один протектор(ну кроме StarForce) айс не видит. А вот с дампами хуже - после нескольких раз винда падает. Вот поэтому и держу у себя NTIceDump.

Gerix :: Плюс в IceExt есть маленькая игрушка.Мелочь, а приятно

MozgC :: Не знаю, у меня дампит всегда нормально, а что насчет обнаружения, то армадилло есть поставить опцию Enchanced SoftIce Detection тоже засекает....

dragon :: Ну если так поставить, то армадилло подсекает файлы айса на диске, а не загружен он или нет.

MozgC :: Да, но это уже слабость IceExt’a. Вообще это напоминает Createfile... Но с этим все справляются.. Вообще можно кстати поговорить со sten’ом, чтобы он сделал так, чтобы IceExt скрывал Айс и от этого..

dragon :: Да, и за одно, чтобы IceExt его от своего же Symbol loader’а не скрывал, а то нужно иногда бывает прогу сначала отлаживать, а никак...

MozgC :: Насчет symbol loader’a это уже был отдельный разговор в форуме на reversing.net.
По-моему он тогда сказал что это не будет исправлять. Это надо пачтить symbol loader, чего он делать не собирается.




YuPiter Ребята, посмотрите пожалуйста этот крякмис. Как быстро его с Ребята,



YuPiter Ребята, посмотрите пожалуйста этот крякмис. Как быстро его с Ребята, посмотрите пожалуйста этот [Url=http://filez.warpor.net/uploaded/RegMe.zip]крякмис[/url]. Как быстро его сломаете? Это мой первый опыт. Защита построена на кейфайле.
YuPiter :: упс... че то не вышло.. ВОт ссылка:
цитата:
http://filez.warpor.net/uploaded/RegMe.zip


Kerghan :: Довольно-таки оригинально. Впринципе даже хорошо, но пакнуть пожалуй стоило АСПротектом. Еще недчет, строки находятся элементарно в hex’е, за пять минут нащел что-то вроде проверки 450bd0-450c40. Щас еще повожусь.
ЗЫ: на делфи лучше бы такое не писать

YuPiter :: я специально не запаковывал, чтобы легче было вам смотреть. Финальную версию естественно запакую. кстати, какой пакер-протектор посоветуете для шароварной проги?

Kerghan :: Обсидиум или АСПротект[New Strain],
а если посильнее сжать хочешь, то ПЕКомпакт.
ЗЫ пока не доламал еще

Kerghan :: EasyRun v2.0 !KeyFile!
Registration.Name
Registration.E-mail
Registration.Code

А где первая версия?

YuPiter :: первая есть, но там без толковой защиты

MozgC :: 2Yupiter если хочешь протектор выбрать, то армадилло или обсидиум. Аспротект лучше не надо, т.к. его ломают все кому не лень (если конечно не будешь криптовать процедуры, но ведь это можно и в других протекторах)

YuPiter :: обсидиум это клево, но может быть будет у кого-нибудь ключЪ на него?

Kerghan :: MozgC
Тот, кто смог сломать АСпротект, сможет и другие протекторы ломануть, это дело времени. Благо документации по распаковке достаточно.

MozgC :: нет

аспротекчиков как говна, а тех кто умеет распаковывать армадилло НА ПОРЯДОК меньше.

Kerghan :: Кряк готов 424 кб
буду уменьшать

ЗЫ надобы еще кейген замутить

MozgC
ты не ломанул еще?

MozgC :: Kerghan кого не ломанул ?

Kerghan :: MozgC
http://filez.warpor.net/uploaded/RegMe.zip

MozgC :: Я не смотрел, щас времени немного, коммерческие заказы надо делать и фак дописываю....

RideX :: Если патчем, то тут ломать вообще нефиг:

450B49: 753F jnz
450B52: 741C jz

и патч на здоровье, хоть причину - хоть следствие :)

bi0w0rM :: MozgC, подскажи тогда хорошую доку по снятию Армадилы.

Kerghan :: RideX
Можно еще проще
450c2f mov edx, 450bdc

MozgC :: bi0w0rM а я не в курсе, сам бы не отказался почитать.

dragon :: Ну блин времени нехватает, но я уже дописываю, скоро будет. Вроде сойдёт для 3.10 или 3.20.

RideX :: Kerghan

450B49: 753F jnz
Так то это для подстраховки, можно не трогать

450B52: 741C jz
меняешь всего один байтик 74 -> 75 и прога довольна

bi0w0rM :: MozgC пишет:
цитата:
bi0w0rM а я не в курсе, сам бы не отказался почитать.


Hex тут описывал у себя на xtin.org , но там старовата версия - 2.61

Такой нигде нет, т.к. уже уверенно шагает Арма 3.01

Гадость: по старым версиям и туториалы и анпакеры, а по новым - ХРЕН!

MozgC :: уже уверенно шагает Арма 3.20...

Nitrogen :: для автора сего:

кейфайл - http://tsrh.crackz.ws/tsrh.zip

для все остальных:

вы че с дубу попадали - это КРЯКМИ! никто не защищает крякми какими нибудь пакерами/протекторами. допустимо только если _автор_крякми_сам_написал_пакер_протектор_

.::D.e.M.o.N.i.X::. :: Nitrogen пишет:
цитата:
вы че с дубу попадали - это КРЯКМИ! никто не защищает крякми какими нибудь пакерами/протекторами. допустимо только если _автор_крякми_сам_написал_пакер_протектор_


А никто и не говорил, что это крякми, просто автор проверяет свою защиту для программы как я понял.
P.S. А у Вас в TSRh кто-нить копал DHTML Menu Builder 4.5 ?????

Nitrogen :: .::D.e.M.o.N.i.X::.
учимся читать:

цитата:
Ребята, посмотрите пожалуйста этот [Url=http://filez.warpor.net/uploaded/RegMe.zip]крякмис[/url]. Как быстро его сломаете? Это мой первый опыт. Защита построена на кейфайле


цитата:
P.S. А у Вас в TSRh кто-нить копал DHTML Menu Builder 4.5 ?????


tsrh.crackz.ws/search
если нет релиза - значит не ломали...

.::D.e.M.o.N.i.X::. :: Nitrogen пишет:
цитата:
если нет релиза - значит не ломали...


То что нет релиза я знаю, но вот мож кто пытался? А? А то что-то никто сломать не могет, хотя защита на Serial и проверка на Http.

Guest :: Я же тебе сказал, что завтра Keygen выложу (если хочешь с описанием как попасть на FTP и как сделать тоже, подожди трохи, я просто еще пьян.

.::D.e.M.o.N.i.X::. :: Guest пишет:
цитата:
Я же тебе сказал, что завтра Keygen выложу (если хочешь с описанием как попасть на FTP и как сделать тоже, подожди трохи, я просто еще пьян.


О’кей, жду.




Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение),



Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение), пожалуйста, ламеру какой из многочисленных языков программирования, стоит (лучше всего, с точки зрения применения, а не сложности) освоить?
В совершенстве знаю ASM. Просматривал Delphi, C++ Builder, C#, и т.д. и т.п. Ни на одном не смог остановиться, т.е. выбрать. Помогите, плиз!
Зарание всем спасибо.
Kerghan :: Visual C наиболее распрастранен, пожалуй на нем и стоит остановиться

dragon :: Остановиться стоит на C++, а Visual C++ или Borland C++ builder - разница только в IDE, язык то один и тот же.

Начинающий :: Спасибо.
Про C++ понял, а что лучше использовать?: Visual C++ или Borland C++ builder
Может кто еще подскажет, какую инфу где скачать или какую прикупить, для более понятного освоения снуля.
Еще раз спасибо.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Visual C++ или Borland C++ builder


Они отличаются лишь тем, что на Borland C++ builder интерфейс связывать с кодом очень просто (нажал на кнопку, вот тебе и событие OnButtonClick), а на Visual C++ все надо ручками делать:)))))) Ну и размерами создаваемых программ, хотя кого сейчас интересует размер программы??????

Начинающий :: Меня интересует размер прог тоже, а на какой из них больше инфы, и что лучше по Вашему мнению, по мне так лучше все ручками, взять ту же распаковку (к примеру Армадило или ASPR New Strain), кто-нибудь пробовал автоматом распаковать? Если да, то, что у кого получалось? А ручками можно сделать что хош.
А вообще я просто хочу выбрать язык для изучения, и чтоб инфа была подходящая, и чтоб он не устарел как бейсик, чтобы потом не переучиваться. Просто я не могу изучать поверхностно. На изучение ASM’a допустим у меня ушло почти 2,5 года по 4 часа каждый день. Не подумайте что я тормоз просто во всем разбираться люблю досконально.
Спасибо.

Guest :: Я вообще тоже знаю токма ASM, с пол месяца назад начал изучать C++, нашел Borland C++ builder, с подсказки MozgC, и сейчас его пока просто просматриваю, вообще в инете больше инфы на Visual C++, но все одно и тоже - подходит и к Borland C++ builder, и Visual C++. У меня есть пара вопросов: если ты "любишь работать ручками и в совершенстве знаешь ASM", то накой хрен тебе другой язык? По мойму этот язык был есть и будет всегда, а на нем ты можешь писать что хочешь! Или уже просто надоело стучать пальцами по клаве? Или уже память не та?; Ну с аспром я разобрался влет, а вот с армодилой только с dragon’овой подсказки, я думаю всем бы было интересно увидеть твое решение!

Начинающий :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках, армадило это не есть эффективная защита:
1. При желании можно взломать (слишком много желающих потому как там не все так просто)
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз).
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения.

Guest :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках?
1. При желании можно взломать (слишком много желающих потому как там не все так просто) - не все справляются с этой защитой.
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз). - помойму они меняют раз в неделю.
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения. - ? -Вообще на сегодняшних компах это не особо заметно.
Но все же я так понял ты можешь защитить программы лучше???

Начинающий :: Но все же я так понял ты можешь защитить программы лучше??? Во всяком случае я думаю именно так. Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.

Guest :: Это не реально! Небыло еще таких прог которые бы мы не смогли сломать сами либо с чьей нибудь помощью. Давай крякми.

Начинающий :: Вообще я просил мне помочь с выбором языка, всем спасибо, а крякми выложу куда нибудь завтра после работы.

Guest :: Слушай, Начинающий, судя по твоему IP, ты с где-то рядом? Ты случаем не Соколовский Е.?

Начинающий ::

Guest :: Давай по телефону.
Антон Л.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.


Мне больше нравиться другой подход. Пакуешь UPX-ом, потом изменяешь файл, да так, чтобы даже GUI и ProcDump не смогли распаковать. Перед этим делаешь в проге проверку на размер в байтах как минимум в трех местах, причем незаметно. Крякер распаковывает с помощью айса, потом восстанавливает импорт, потом проверяет работает ли прога и O-o-p-s она самопроизвольно удалилась, да еще и ntkern.dll с собой прихватила, тогда крякеру даже Бил Гейтс не поможет

Начинающий :: .::D.e.M.o.N.i.X::. - хороший вариант, но если крэкер будет работать не с айсом, а с чем нибудь другим? У меня проще: если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов, прога просто удаляется вместе с архивом и прежними версиями даже из реестра, можно конечно сделать и так чтобы удалялось еще и пол Винды. Есть только два способа это предотвратить, по мойму:
1. Нужно знать хорошо ASM под DOS;
2. Спросить у меня как это сделать.

freeExec :: Начинающий
цитата:

что прога сотрется если будет запущена вместе с отладчиками



Если ЕХЕ файл запущен то его не сотрешь :(э

цитата:

сотрется как распакованная так и в скачаном архиве



Сканирование всех дисков в поиске архива (а если он скачен не с офицального сайто, то за имя его не кто неручается; че искато) слишком сумно и подозрительно, ктому же все продвинутые перцы запускают новые проги, в хутшем случаии с пользовательскими привелегиями,я так только из под гостя, который даже найдя свой архив, будет бессилен
ИМХО это не актуально, да и написать на 30 метров надо постораться :)

freeExec :: Начинающий

цитата:
если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов


И как же ты собераешься это установить?
Слыхал про уязвимость связанная с тем, что программа не может узнать она сама послала себе SendMessage, или это внешняя программа. А тут уже открываются новые возможности, как запуск процесса с привелегиями программы.

Да еще когда работает отладчик твоя прога отдыхает.

Начинающий :: А переделаю я наверное крякми YuPiter’a, если он конечно будет не против, чтобы всем уже кто сломал было понятно - что к чему, и сразу в нем же будут коментарии - подписи на против того что я изменил в его крякми, чтобы работало, и описание того, что напишу сам, что к чему. - Этакое учебное пособие кто сможет до него добраться. Предупреждаю зарание:
1. иметь дискету для загрузки
2. иметь дистрибутивы тех прог в которых захотите просмотреь крякми и ОС в которой работаете.
3. Если не знаете ASM даже не пытайтесь!!!
4. (для чайников) Если не знаете как перевести из 16-ричной в двоичную, не портите свой комп.
Что будет:
1. Удаление основных файлов ОС.
2. Удаление любого упоминания о проге.
3. Удаление всех тех программ которые будут запущенны на момент взлома (даже из реестра). Кстати для тех кто хочет почистить реестр - "милости прошу"!
Что иметь: текстовый редактор под ДОС, ASM под ДОС, мозги, и самое главное - желание.

Начинающий :: Для freeExec, не говори гоп пока не перепрыгнешь!!!

Начинающий :: Жду согласие YuPiter’a.

Guest :: Евгений, я знал что ты хороший програмист, но чтобы ты смог замутить такое, не верю. Если все правда, то что ты говоришь может обсудим по телефону?

Начинающий :: Антон, по телефону потом, жди крякми, тебе будет полезно для развития. Сохрани все файлы желательно на другом диске!!!

Guest :: Я завтра к тебе на работу заеду! ОК?

freeExec :: Не стоит меня пугать, я в свое время вирусы разбирал и писал, все хитрости знаю. И ИДА тут как раз поможет, т.к. не че не удалится :)

MozgC :: Почитал я этот бред

1) Начинающий. Написать можно все угодно, только вот в настоящей проге ты не будешь иметь права такое применить, соотвественно все твои ухищрения - это только в КРЭКМИ да и то как-то неинтересно. В том смысле что ума много не надо винду запортить. А по нормальному слабо защитить? Тот же армадилло, который ты говоришь слабая защита, вреда никому не делает, винду не запарывает, файлы не стирает.
2) Тебя послушать так тебе надо прям фамилию Солодовников взять и протекторы делать. Смешно.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




[EGOiST][TSRh] ExeShield Deprotector тут вот протектор есть .. ExeShield.....



[EGOiST][TSRh] ExeShield Deprotector тут вот протектор есть .. ExeShield..
я написал депротектор предлогаю потестить.. и ешо мне нужна помощь..
кто хочет помочь обращайтеся..

hxxp://24.61.221.150/egoi...eshield.decryptor-ego.rar
freeExec :: Ты еще дай на чем его затестить

[EGOiST][TSRh] :: довел до ума.. потестите.. http://www.exeshield.com/
качаешь сам протектор.. ченить протектишь и используешь декриптор ))

hxxp://MozgC.narod.ru/exe...1.5.final-egoist.tsrh.rar

Bad_guy :: А вот и прямая ссылка на сам протектор (щаз как раз качаю 1476 кб)
http://www.exeshield.com/exeshield-trial.exe

[EGOiST][TSRh]
Кстати, а зачем тестить - ты что не уверен, что правильно написал ?

И еще: ни разу не видел проги, которая была запакована этим exeshieldом...

Как там тэсэрэаш поживате ???

[EGOiST][TSRh] :: поживаем нормально.. Ж)

вот последняя версия.. Bad_guy посмотри...

hxxp://24.61.221.150:6666...1.5.1.small.tool-tsrh.zip

RideX :: У меня почему-то сам ExeShield не запускается, хотя скачал с оф.сайта :(
(Windows XP, SIce неактивен)

[EGOiST][TSRh] :: у тя наверно Сайс стоит да?.. он с ним ваще не запустится..
используй фрог и 9x или ME....

RideX :: 2[EGOiST][TSRh]
Потестил на другом компе, WindowsXP/без САйса, твой депротектор (потрошитель :) работает, "вывернул" всё прекрасно и загенерил всё правильно... Сам ExeShield глюкавый, не может файл с индексированным битмапом запаковать, файлы им пакованные распухают, он их какой-то требухой набивает что ли? Ладно, отвлекся от темы, короче всё ОК!

2All
М-да... Такое ощущение, что ExeShield написан на Visual Basic или даже на FoxPro :( Когда "потрошитель" :) EGOiST’а выворотил из пакованного *.exe лицензию и ещё один *.exe, когда во время работы я глянул в рабочую папку проги и увидел скрытый *.exe с расширением tmp, в котором не хватало здоровенного куска, захотелось глянуть в сам ExeShield... Ну глянул... Я, так понимаю, в других протекторах, написанных на Delphi, после слова procedure идет слово asm :), а в этом это слово, наверное, не встречается ни разу :))) Он, по видимому, весь собран из VCL компонентов, во там какие есть: PEStuff, VCLZip, VCLUnZip, DCPCrypt, BIOSHelp, SHA1, md5, Rijndael, WinXP (это они manifest компонентом прилепили :), ну мож ещё че-нибудь... В ресурсах (SECONDAPPEXE) лежит целый экзешник :))))), его можно достать и запустить, а он напишет: Error 1001, unable to unpack files. Короче, работает, только unable... :))) Блин, чё-то на ха-ха пробило :) А я чё подумал что он на Basice написан, они в своей справке написали, что мол если Ваша прога на VB5/VB6 и если её защитить нашим протектором, будет ваще круто!!! А так-то она на C++ Builder написана - это уже не Delphi, это гораздо круче :))) Я недавно где-то UnfoxAll скачал и захотел её на какой-нибудь FoxPro’шный файл натравить, натравил, такого я ещё нигде не видел! Короче, FoxPro’шный экзешник - это папка с расширением *.exe, в которой навалены файлы иконок, картинок, скриптов и прочей дребедени... это надо видеть :)))

P.S. Я сегодня немного пьян, и не сяду уже за руль... :)))




digger Unknown packer!!! помогите разобраться с прогой...



digger Unknown packer!!! помогите разобраться с прогой...
PEiD 0.9 говорит Win32 PE Unknown
в peeditore следующие секции:
.text ; .rdata ; .data ; .rsrc ; Have ; a nice ; day! ;
вот такие секции
в рестораторе все ресурсы просматриваются
подскажите что делать с прогой
как распаковывать...
MoonShiner :: Да итить вас по периметру!!!! Линка кто давать будет???

digger :: Для MoonShiner: прога называется Pattern Maker ver. 4
где взять не знаю сам у френда взял

MoonShiner :: Нихрена не нашел, сам ищи линка и посмотрим.

dj :: Для MoonShiner:
Посмотри здесь : http://www.hobbyware.com/support_v4.htm
Пакет весит где-то 6 метров.

freeExec :: ИМХО если Ре1Д не определил, то найти автоматический унпак врятли представляется возможным, а знание названия при при ручной распаковке не особо ценно

Bad_guy :: ...Вот и первые жертвы, надеющиеся только на PEiD.
"Инженер, умеющий считать только на калькуляторе - не инженер".

Что касается программы, то если она упакована, то ресурсы там вряд ли есть - посмотри в Рестораторе - они должны быть попорчены. + ни одной текстовой строки, которая есть в интерфейсе в коде не будет. Если же строки есть и ресурсы все доступны - то в чем вопрос - дизассемблируй и поехали...

.::D.e.M.o.N.i.X::. :: Bad_guy пишет:
цитата:
помогите разобраться с прогой...
PEiD 0.9 говорит Win32 PE Unknown
в peeditore следующие секции:
.text ; .rdata ; .data ; .rsrc ; Have ; a nice ; day! ;
вот такие секции
в рестораторе все ресурсы просматриваются
подскажите что делать с прогой
как распаковывать...


Но изменять ресурсы нельзя:((( Виндовоз говорит, что прога выполнила недопустимую операцию и т.д. и т.п. Сталкивался я с такой херней. По-моему это Soft какой-то там протектор. Грузишь в айс и тупо идешь по коду F10, после того как востановиться импорт, там тупо идет прыжок на OEP.
P.S. Правда в новой версии там переходники создаются, так что в ImpRec не восстанавливается около 2-3 функций. Их в айсе мона посмотреть.

MoonShiner :: Седня вечером докачаю - гляну




den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая



den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая программка Alchemy Network Monitor 4.9.7, «поломаная»(не до конца) tEAM-LUCiD. В ней осталась не работающей функция загрузки сохранненого файла настроек(юзается ф-я mfc OnOpenDocument), при попытке загрузить файл-настроек , выдается NAG скрин=( , пытаюсь восстановить данную ф-ю. Подскажите пожалуста в каком направлении копать.....
ЗЫ: брякаться на наг-скрине пробовал... не помогает
maybe руки не прямые.. =(
Kerghan :: если функция вырезана под чистую, то это болты :(

den :: дык, в том то и дело, что при вызове ф-ии OnOpenDocument(она есть в импорте),
каким-то образом выводится окошко НАГ’а (зис фичез вор ин регистеред версион онли =\ )...

Kerghan :: ты бы ссылочку дал или на мыло мне скинул kerghan@pisem.net

тока если больше полутора метров на мыло слать не надо

MoonShiner :: Да запихни файлик в ИДУ, найди этот тухлый наг, просмотри кроссрефы на него и все.

Kerghan :: MoonShiner

цитата:
maybe руки не прямые.. =(


ты уверен, что он сможет это сделать

den :: собсно прога h**p://www.demvar.lv/soft/sistema/monitor.exe

дык, про кроссрефам на НАГ в иде полазил и в si потрейсил.. побрякался.... НАГ могу нахрен убрать.. там несложно, а вот оживить ф-ю, которая загружает файл настроек не могу.
PS: прога запакована asprom (исследовал уже распакованную прогу)

MozgC :: Kerghan пишет:
цитата:
MoonShiner

цитата: maybe руки не прямые.. =(

ты уверен, что он смо


А МунШайнер тут причем ?



Guest123 UPX? Подскажите, вот нахожу в файле upx:
421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
PeID говорит OEP: 4061EE
как это просчитывается? 421fC4 - 35ee?
я, что то не пойму...

И вот еще:
После распаковки ReTools получался дамп, который, не мог изменить ImpRec 1.62+
Только, когда я с помощью LordRe сделал дамп, я его смог изменить.
Почему, неужели ReTools не коректно дамп создает???

freeExec :: Вообщене стоит доверять всяким ПЕИД, хотя для УПХ наверняка найден верно. А джамп помойму относительный, ты посмитри что Айс показывает

Guest123 :: freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...

.::D.e.M.o.N.i.X::. :: Guest123 пишет:
цитата:
freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...


Грузишь в айс, потом ставишь bpx getprocaddress, F5, F12, потом смотришь чуть ниже и видишь
что-то типа:
61 POPAD
E92A42FEFF JMP 4061EE
Вообще-то мне сдается, что ты не тот прыжок нашел. Проверь как я тебе написал через айс.

MozgC :: А я честно скажу я не знаю почему так =)
Можете помидорами бросаться =)

Kerghan :: MozgC
ты это к чему?

Guest123 :: Господа тот самый прыжок!!!
Я раньше уже ковырялся с UPX да и 000000 там их много после последней инструкции....
Я свой файл запаковал и думаю «дай ручками распакую», распаковал, и решил одну длл уже не свою распаковать, а эта DLL есть upx+ручками модификация, мне и понадабилось узнать какой OEP, а там такая же бяка ff ff 3a 22???

MozgC :: Kerghan
К тому что стыдно мне что я точно не знаю. Вот и думаю, щас будете смеяться надо мной, кричать «ламер! ламер! » и помидорами бросаться =)

Kerghan :: MozgC
ламер! ламер!

лови помидоры

MozgC :: мде...

Kerghan :: мда

freeExec :: Кхе-кхе ты по этому джампу на Ф8 жал? И вообще этот джамп в прочессе работы программы правится, а ХИЕВ показывает то что в файле находится.

MozgC :: Хехе, реально сказал.

BSL//ZcS :: Мужики, вы чего?

Блин. Времени нет нифига, работа и всё такое, на форумы давно уже не пишу, только просматриваю изредка. Но этот топик - это просто нешто какое-то. И здесь, и на васме. :(

2 Guest123:

Всё на самом деле гораздо проще.

Во-первых, ты неправильно понимаешь формат отрицательных чисел. На писюках они в дополнительном коде: грубо говоря, отрицательное число это - дополнение целого до единицы. neg(x) = not(x) + 1 Например, байт -5 равен (not(5) + 1) = (0FA + 1) = 0FB

Так что, 0FFFF35EE это не -35EE ни разу. Это -0CA12, у той же хьюшки в калькуляторе можешь посмотреть.

Во-вторых, ты неправильно понимаешь формат машинного кода команды перехода. При такой записи:
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
к адресу следующей за джампом команды (421FC4) надо прибавлять не то, что тебе пишет дизассемблер (он это один раз уже сам проделал), а смещение взятое из самой команды.

В коде E92A42FEFF это последние четыре байта в обратном порядке: 0FFFE422A.
Набрав в том самом хьюшкином калькуляторе 421FC4+FFFE422A ты легко получишь адрес перехода - тот самый 4061EE.

В-третьих, это не баг Hiew. Это поведение неочевидно и неприятно, но вполне логично. А ты неправильно понимаешь формат записи адресов хьюшкиным дизассемблером. ;)

Локальные смещения в хьюшке показываются с точкой в начале. В том же upx-овском распаковщике двумя командами выше того popad есть безусловный переход в рамках секции, и у него точка есть. У этого перехода точки нет - из чего можно сделать вывод, что хьюшка, не найдя в файле секции, в которую попадает этот адрес, обрабатывает его как глобальный, а, поскольку файл пакованый, и данных в секции меньше, чем распакованном виде, глобальное смещение в файле вылетает за верхнюю границу файла и становится отрицательным.

Так что, с этим всё правильно, хотя, конечно, SEN мог бы как-нибудь обработать такие случаи. Свои глюки у хьюшки есть, но этот не из их числа.

А насчёт того, что тебе наговорили - не слушай их, они тебя плохому научат. ;) Адрес перехода на oep у upx-а зашит при упаковке и при работе не правится. Искать переход на oep как-нибудь ещё, в твоём случае тоже совершенно не обязательно - у большинства упаковщиков (не протекторов) этот переход находится на глаз, у upx-а он вообще идёт последней командой в секции распаковщика, в общем, ошибиться сложно. На васме тоже отличились: никаких четвёртых гигабайтов и нулевых колец в глобальном смещении по файлу быть не может, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.

Ладно, что-то я разошёлся. :) Опять, по своему обыкновению, наехал на всех подряд. :)

ЗЫ: Единственный, кто порадовал, это MozgC, который на этот раз, на удивление, занял совсем несвойственную ему позицию. ;))

nice :: BSL//ZcS
Пасибо за разьяснения, а то ламер-ламером, теперь понятно стало, сейчас по мучаю, что бы автомата добится

MozgC :: Позиция мне свойственна. Если я не знаю, то я говорю, что не знаю. Если я знаю, то говорю то, что знаю =)

MoonShiner :: Дааа... BSL//ZcS опять всех залошил и засрал:) Вдвойне обидно, что и ответно наехать нельзя, так как он прав:)

Runtime_err0r :: BSL//ZcS

цитата:
, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.


Вот это, блин, новость !!!! Что это за дамперы такие интересно ??? Ни разу не видел, чтобы после дампа прога, запакованная UPX’ом работала на другом компе (на своём-то она, ясен бивень, пойдёт ). Так что либо MAKEPE в TRW2000 либо Revirgin’ом.

MoonShiner :: А у меня работала:) И до сих пор работает. Может имелся в виду какой нмть непорегенный аспак? Там уж точно импреком его колбасить - извращение.




MoonShiner Предлагаю послать Солодовникова в дурдом Ковыряю тут второй вечер



MoonShiner Предлагаю послать Солодовникова в дурдом Ковыряю тут второй вечер какой-то его новый аспр. На основании всяких извращений, что любимый всеми дядька там наворотил, выношу на повестку дня предложение: определить борца с крякерами в желтый дом. Если нас будет много, то шансы на успех имеются. Сами подумайте, если куча народу орет, что кто-то псих, ежу ясно, что к этому кому-то начнут присматриваться:)
MozgC :: Муншик, Hex настаивает, что это либо аспр на заказ, либо извраты программиста, но не новая версия аспра.

dragon :: Не не, Солодовников ещё ничего, а вот автору XtremeProtector’а туда точно пора. А ещё лучше его определить на работу мусор разгребать, в наказание за свой протектор...

MoonShiner :: Ну скажем так, что это мож и не новый аспр, но с новыми извратами:) Меня и так устраивает.
2dragon: А это мысль. Почему только мы мучаемся, разгребая сотни килобайтов полиморфного мусора? А разработчики этим со своими творениями явно не занимаются. Надо тесты устраивать для писателей защит. Разрешить выпускать только те, которые сам же производитель и поломает без исходников и с подробным тутором. А остальных - в дурдом.

dragon :: Без исходников и с подробным тутором свой упаковщик поломает только автор UPX - upx -d ...

MoonShiner :: LOL:)))) Или тот же Солодовников свой непорегенный аспак.

dragon :: Ну тот же солодовников может и аспр 1.2 снимать без всего - caspr ... ...

Так же я предлагаю, что бы Солодовникову в психушке скучно не было, надо бы к нему в компанию засадить весь персонал Protection Technology и заодно автора XProtector’а, им там будет о чём побеседовать, только представьте себе, что они напишут, если их потом выпустить...

Bad_guy :: Я конечно понимаю, что это юмор. Но зря вы так, ведь Солодовников доказывает раз от раза, что он замечательный программист, который способен создавать весьма приличный низкоуровневый код, причем совершенно точно зная эффект его работы.
А вот в дурдом хочется посадить всяких авторов «тетрисов» и «саперов», которые и такие то программки не могут прилично сделать. А точнее даже не в дурдом, а хочется сказать: «Мальчик, иди лучше продавать пирожки в Макдональдсе».

MozgC :: А я считаю, что Солодовников слишком много хочет за свой продукт. 100$ это имхо очень много. За 89$ можно купить Armadillo Basic. Но этот Armadillo Basic уделает ASPR в какаху.

MoonShiner :: 2Bad_guy: И не подума спорить! Я абсолютно с этим согласен. Похоже, дядька Солодвников сутками в MSDN-е зависает, да в айсе. Но это тоже довольно нездоровое поведение, так что... :)
2MozgC: Недавно мы с драконом затрагивали этот вопрос. Армадилла не всегда применима. Существуют проги, в которым армаду применять нельзя.

MozgC :: Ты про то, что иногда проги после упаковки армадиллой не работают? Если про это, то убирание CopyMEM II иногда помогает. Хотя каждую неделю релизятся новые версии армадилло и авторы заявляют что баги правятся, в частности говорят, что все больше файлов теперь нормально упаковываются. Я сам не проверял последние версии, у меня 3.10, но может сейчас уже все ок?

MoonShiner :: Да не про то я! Динамическая распаковка-упаковка снижает скорость работы проги. А где скорость важна - сие нехорошо.

MozgC :: А ну это да, но ведь в основном упаковывают разные приложения, представляющие из себя программки мелкого и среднего уровня, типа офисных приложений. Там скорость особо не нужна. А в играх и всяких мощных прогах, 100% нагружающих компьютер ясен пень армадилло применяться не будет. Но для игр и мощных прог обычно применяют другие защиты.. Так что для оставшегося армадилло вполне подходит.
Ну будет у меня процедура по кнопке ОК происходящая выполняться на 0.001 сек а 0.01 сек, ну и что? =)

Bad_guy :: В принципе самая мощная штука, что в Аспре, что в Дилле - шифрование блоков кода, определенных автором защищаемой программы и доступных только в зарегверсии. А остальное - в принципе ломаемо крэкерскими силами.
Мозг, вот ты говоришь 100$ - дорого. А я считаю, что это не так, просто надо связывать цену с бизнесом, а «было б 10 рублей - я б купил - это детский подход: ребенок думает «я не куплю мороженое, а куплю прогу», а бизнесмен думает «я потрачу X% прибыли, дабы увеличить ее потом в n раз». Но вот если бы я собирался покупать что-то из этих двух выбрал бы все таки Armadillo. Почему? Не потому, что я сэкономлю 11 долларов, а потому, что мы (крэкеры) просто обожаем ломать Аспр, нам интересно что нам приготовил на этот раз наш соотечественник дядя Лёша, а это не на руку не одному из программистов которые «защитились» аспром, ведь их проги в итоге будут поломаны, а Леша уже получил свою сотню, ему уже гипотетически пофиг, хотя он в этом и не признается :)
А вот с Армадиллой иначе: Мне пару раз, как и вам наверняка попадались проги, им защищенные и какая первая мысль возникает «Ой, что-то новое, а я и не знаю как это распаковывать...» и я после этого ищу пару унпакеров, не подходят - ладно, фиг с ней - не буду ломать, у меня тут есть пара за аспротектеных, вот их то я щас и расковыряю, а эту армадиленую как-нибудь потом, когда стану «Hex’ом»...

MozgC :: Bad_guy
Ты меня неправильно понял. Дорого я имел в ввиду по отношению к остальным протекторам.
А все что ты написал можно было бы заменить одним предложением, которое я в принципе уже сказал: «Я бы взял армадилло потому что его труднее ломануть»
И дело не в том, что это что-то новое, а в том что просто труднее.
Когда я учился распаковывать аспр, у меня было совсем мало опыта, но я все-таки осилил его примерно за неделю полностью, причем на тот момент новую версию. А сейчас, уже относительно набравшись опыта, и садясь распаковывать армадилло, с помощью dragon’a, я понимаю, что разница огромная и аспр = десткая игрушка (не принимать во внимание частные случаи типа ATCLock, StarStrider, Reget, Справочник Лекарственных Средств)
Вот и все...

Runtime_err0r :: Вот результаты голосования на XTIN:
http://www.woweb.ru/cgi-bin/poll.cgi?user=hz&id=1

dragon :: Просто кто-то листинг с IP адресами прокси достал и испытывал...

.::D.e.M.o.N.i.X::. :: dragon пишет:
цитата:
Не не, Солодовников ещё ничего, а вот автору XtremeProtector’а туда точно пора. А ещё лучше его определить на работу мусор разгребать, в наказание за свой протектор...


А что с Xtreme такого нехорошего? Мусор не нравиться разгрибать? Просто нужно с ним долго посидеть, часов так 3 и он тебе всю праду откроет:)

dragon :: .::D.e.M.o.N.i.X::.
C Xtreme нехорошо то, что он айс определяет, даже если IceExt последний поставить. А без него тяжело, к тому же там ещё и драйвер протектора есть - xprotector.sys

.::D.e.M.o.N.i.X::. :: dragon пишет:
цитата:
C Xtreme нехорошо то, что он айс определяет, даже если IceExt последний поставить. А без него тяжело, к тому же там ещё и драйвер протектора есть - xprotector.sys


Ну вот и сам ответил на вопрос. Никакие IceExt @!#$ йшины не нужны. Просто заменяешь драйвер протектора на пустышку и обрабатываешь все исключения

dragon :: Сначала надо код протектора просмотреть а то там много таких штук типа

XPROT___:005F611F sidt qword ptr [esp-2]
XPROT___:005F6124 pop eax
XPROT___:005F6125 add eax, 7ACh
XPROT___:005F612A
XPROT___:005F612A loc_0_5F612A: ; CODE XREF: XPROT___:005F612Dj
XPROT___:005F612A ; XPROT___:005F6132j
XPROT___:005F612A cmp byte ptr [eax], 0
XPROT___:005F612D jnz short loc_0_5F612A
XPROT___:005F612F cmp byte ptr [eax], 0
XPROT___:005F6132 jnz short loc_0_5F612A
XPROT___:005F6134 mov byte ptr [eax], 1

Ждёт, когда драйвер 245-е прерывание перехватит. Вот когда все такие найду, тогда можно и драйвер подменять.

PalR :: Из названия темы ясно-началась паника.




bi0w0rM Что на ваш взгляд для крякера лучше? сабж!!! XP или w2k? Давайте



bi0w0rM Что на ваш взгляд для крякера лучше? сабж!!! XP или w2k? Давайте обсудим...
dragon :: А какая собственно между ними разница то? В крякерском отношении они абсолютно одинаковые.

bi0w0rM :: dragon пишет:
цитата:
А какая собственно между ними разница то? В крякерском отношении они абсолютно одинаковые.


Я тоже так думаю. Но есть ли проги, которые например только на XP идут? Или _только_ на 2k?

Kerghan :: да таких мало очень. NT он и есть NT

MC707 :: А лучше ставить XP + 98

-= ALEX =- :: DOS рулит !

freeExec :: Z80 forever!

DeMoNiX :: Да в XP кстати пару очень интересных фунок добавили (очень классных для распаковки протекторов, в частности Armadillo), их нет в 2000, но я все равно сижу в 2000+98=рулез!

-= ALEX =- :: XP+98=рулез

XoraX :: вин2003 - рууууль

-= ALEX =- :: XoraX а я еще не видел такого :(

bi0w0rM :: MC707 пишет:
цитата:
А лучше ставить XP + 98


A chto v etom horoshego?

DeMoNiX пишет:
цитата:
Да в XP кстати пару очень интересных фунок добавили (очень классных для распаковки протекторов, в частности Armadillo), их нет в 2000, но я все равно сижу в 2000+98=рулез!


Aga! Vot vidish, dragon! Ya ghe govoriL!

bi0w0rM :: -= ALEX =- пишет:
цитата:
XoraX а я еще не видел такого :(


Vidimo Win 2003 Server ??

MC707 :: bi0w0rM пишет:
цитата:
A chto v etom horoshego?


Ну уже много раз говорили об этом. Некоторые проги идут только на 98, нек только на NT.
Плюс протестить прогу, патч, ... нужно и на том и на сем для уверенности!

Kerghan :: Впринципе ХР вполне достаточно. Пока что ни одной проги не попалось, котрая бы по ХР не шла. Хотя я бы 98 поставил для TRW, да диск бить не охота

MozgC [TSRh] :: XP + 98

-= ALEX =- :: MozgC [TSRh] Поддерживаю...

DiveSlip :: XP+Win98+Linux+FreeBSD - вот это поистинне универсально...

freeExec :: еще psII+XBOX

DiveSlip :: Не знаю, не пробовал.

MC707 :: Kerghan пишет:
цитата:
Впринципе ХР вполне достаточно. Пока что ни одной проги не попалось, котрая бы по ХР не шла. Хотя я бы 98 поставил для TRW, да диск бить не охота


здесь я имею ввиду совместимость наоборот. Т.е. да, под ХР практически все иде, но если ты написал прогу на ней, то не факт что она пойдет под 98. И есть много еще таких юзверей у которых стоит эта ипостась

angel_aka_k$ :: MC707
должен заметить что 80% работают на XP
(этим все сказанно !!!)

MC707 :: Для angel_aka_k$: Должен заметить, что я к большинству не отношусь...

nice :: bi0w0rM
Если памяти хватает, то ставь ХР + VirtualPC

infern0 :: XP как host-система + Virtual PC в котором все по вкусу...
Перймущества - возможность отката изменений дисков, быстрая перезагрузка и т.д.




MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в



MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в память. Снять с нее дамп - не проблема в любом случае. Взять тот же WinHex на худой конец. Проблема потом заключается в том, чтобы хэдер восстановить. Ну вот меня смууутные сомнения терзают, что невозможно его восстановить. Вот позавчера экспериментировал на Аспре 123, но сильно не увлекался. Как думаете - реально?
freeExec :: Что за хедер ты хочешь востановить?

MC707 :: Ну win32 PE естественно
Может неправильно выразился, но имел ввиду восстановить таблицу импорта, секции и тп

MoonShiner :: дык хидер то берется обычно от оригинала... Или я че то не догоняю? А аспр оригинальный хидер вродь нигде не хранит, даж в пошифрованном виде.

MC707 :: Вот я и говорю, что хэдер остается от исходного, запакованного. Он ессно неправильный. Задача - найти правильный. То что аспр (как и любой другой нормальный пакер) не хранит старый хедер - ежу понятно. Это-то и есть главная задача

MozgC [TSRh] :: Какая нафиг главная задача. Исходный заголовок берется либо от запакованного файла, либо создается программой которая снимает дамп, на основке секций и их параметров в памяти.

MC707 :: Для MozgC [TSRh]: Да вот нифига. Где ты такой дампер видел, которая хедер сама восстанавливает? (я не говорю про procdump, который с аспром123 не работает). Если ж было так - то все пакеры/протекторы были бы давно в отстое. Снял дамп - и нет пакера/протектора.

infern0 :: lordPE
ессно import/export и релоки ручками или соотв. тулзами

MC707 :: Для infern0: Ручками не дано (для аспра), а тулзы его так исковеркают, что он вообще восстановлению не будет подлежать

MozgC [TSRh] :: Я вообще не догоняю проблему?

freeExec :: MC707 пишет:
цитата:
Ручками не дано


А чеже тему так назвал?




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни



LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни дифирамбы... кому статьи писались вообще не поняно...понимающий он и так поймет... ну вот хоть бы одна статейка с нормальным описанием (что, для чего и почему) нет.! Ээээх!
angel_aka_k$ :: LT
попроси мозга написать об аспротекте у него хорошо статьи получаются

Kerghan :: если один раз читать, х..н че поймешь. Прочитай раза четыре, поаробуй распаковать че полегче, снова читай etc.

-= ALEX =- :: А лучше самому неделю посвятить отладчику и аспру, тогда точно сам все будешь знать и другим советывать...

MozgC [TSRh] :: LT для начала прочитай статью про распаковку NetVampire, там вроде более менее получилось. Хотя как мы там с freeExec’ом ОЕП искали это неправильно. В том случае оно сработало, но можно сказать что это совпадение. В общем лучше ерундой не заниматься и искать по bpm esp-4 или bpm esp-24
Т.е. ставишь бряк на MapViewOfFile запускаешь прогу зааспренную, когда функция MapViewoFfile вызовется из программы (для этого смотри в правый нижний угол окна айса, там должно будет быть имя упакованной проги) то убирай этот бряк и ставь бряк «bpm esp-4» (это для NetVampire, вместо esp подставь число которому равен esp на EP запакованной программы, например «bpm 12FFC4-4») И жми F5 пока не увидишь выход на ОЕП, в данном случае будет jmp eax. В eax в это время будет адрес OEP. Таким образом ты найдешь OEP нормальным способом, ну а дальше по статье. В общем может я зря это все написал, но я бы очень советовал прочитать эту статью для начала. Ищи ее на крэклабе. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить... А потом уж и до аспра доберусь...

LT :: Мозг, а может попробуешь.. написать статью или дай мне что почитать только с сылками. Заранеее благодарен.

MozgC [TSRh] :: Ну написать может и напишу, только не скоро. Что почитать я тебе сказал - статью про NetVampire которая лежит на крэклабе.

LT :: ок. гляну ща

Runtime_err0r :: MozgC [TSRh]

цитата:
. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить...


А ты уверен, что это кому-нибудь нужно, кроме тебя ??? По этим пакерам статьями уже весь Инет завален (хотя большинство из них явный бред - либо автор «забывает» про восстановление IAT написать либо ещё где-нибудь накосячит, хотя на XTIN и на WASM.RU статьи действительно очень толковые), да и в вашем FAQ тоже есть раздел по распаковке. А вот толковых статей по ASPR’у действительно нет так что давай про ASPR лучше пиши

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А ты уверен, что это кому-нибудь нужно, кроме тебя ???


Как раз мне это нафиг не нужно. А вот когда меня в аське начинают доставать как распаковать упх, причем люди которые уже несколько месяцев занимаются крэкерством и которые уже что-то ломали а не только крэкми, вот это реально удивляет. Ну а PE Compact и ExeStealth таких крэкеров просто убивают =)

Madness :: Runtime_err0r
›А вот толковых статей по ASPR’у действительно нет
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему. Я, помнится, свой первый аспр очень долго распаковывал, проходя до оер вручную по десятку раз.

MozgC [TSRh] :: Толковая статья эта после которой все понятно и не приходится вручную проходить до ОЕП по десятку раз.

nice :: MozgC [TSRh]
Полностью согласен, у хекса в статьях проходят «простые» термины,
который видимо они используют в своём кругу, а ты сам допирай,
хорошо если представляешь о чем идет речь, а если нет

DeMoNiX :: nice пишет:
цитата:
Полностью согласен, у хекса в сиаьях проходят «простые» термины,


Хохол он и в Африке хохол:)))

MozgC [TSRh] :: =)

GL#0M :: Да... Ну ты даёшь DeMoNiX

Runtime_err0r :: Madness , MozgC [TSRh]
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется

Madness

цитата:
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему.


Кто-то спросит - ну как же можно так ?
Дуракам всё можно ! Я же ведь дурак
© Шнур

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется


Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.

Runtime_err0r :: MozgC [TSRh]

цитата:
Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.


Согласен - ты пишешь хорошие статьи и «разжёвываешь» там все тонкости

MozgC [TSRh] :: Ну вот постараюсь про упаковщики тоже нормально написать... Надеюсь получится. Идет набор бетатестеров =)

UnKnOwN :: Для MozgC [TSRh]:
Бета тестеров для чего...?

MozgC [TSRh] :: Да шучу я, но все равно надо будет тройке-пятерке новичков дать почитать, прокомментировать перед тем как статью в инет выкладывать...

Kerghan :: самые лучшие тестеры находятся на этом форуме

[RU].Ban0K! :: Для MozgC [TSRh]:
Самое главное не отмазываЦа от критики...

UnKnOwN :: Для Kerghan: Вот это ты прямо в яблочко

LT :: Пер @!#$ уквы этой статьи хоть написаны? :)

MozgC [TSRh] :: LT пишет:
цитата:
Пер @!#$ уквы этой статьи хоть написаны? :)


Угу, мало того, написан аж первый абзац! =)
А вообще щас с работой бодяга, освобожусь числа 4 декабря, и тогда сразу в бой, дописывать статью!

LT :: Ждем с нетерпением!

GL#0M :: Для MozgC [TSRh]: Так какие упаковщики-то взял?

.::D.e.M.o.N.i.X::. :: Runtime_err0r пишет:
цитата:
Да есть статьи толковые, у Hex’а, например


Hex вообще хрен знает для кого пишет:) Сейчас то все понятно, а вот когда любительски начинал, то хз для кого он пишет...

angel_aka_k$ :: .::D.e.M.o.N.i.X::.
хз я лично учился по статьям hex’a и собственно по его статьям научился распаковывать проги так что спорный вопрос по поводу его статей мне наоборот кажется что самые толковые статьи как раз у HEX’a покрайней мере он пишет так что потом понять можно вон например volodia написал статью так я там 50% не х...... не понял и не стал вообще доконца ее читать мозги просто расплавляются от его статьи и вся проблема в том что он написал научным языком !!! а это всегда напрягает мозги а hex пишет нормальным языком и все понятно !!!! просто думать надо а не бегло читать !!!!

angel_aka_k$ :: Runtime_err0r пишет:
цитата:
А вот толковых статей по ASPR’у действительно нет


я пишу про 1.3 надеюсь нормально получится покрайней мере стараюсь все описать и подробно разжевать почему так а не подругому :))))))
вобщем все равно вам судить так что посмотрим может толково получится

test :: Для LT: Не теряй время! Есть хорошие стати по распаковке почти всех протекторов включая
Armadillo copymem2&nanomites ,aspr1.23RC4.Правда один минус они не на русском,но зато
наглядность там очень хорошая.Неплохо конечно если кто перевёл бы но там очень много материала.Если есть желание дам ссылку.

GL#0M :: test
Конечно давай. Переведём если что.

LT :: 2test давай , вон и переводчики нашлись.

P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?

MozgC [TSRh] :: LT пишет:
цитата:
P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?


Ты про что?

LT :: ну ты сам говорил, что оер там не верно искался

MozgC [TSRh] :: Да, но ОЕП это мелкая часть распаковки. Остальное там нормально написано, и говорить нах она нужна как-то...

LT :: ну сорьки... ну если я не найду оеп все остальное ...вернее всего остального и не будет.

MozgC [TSRh] :: А для я кого написал как ОЕП найти по нормальному? Для себя чтоли?

test :: Для LT: http://www.hackemate.com....589186cbc517d78f692920e2b

test :: Для GL#0M: Если сможешь на spanish http://www.hackemate.com....589186cbc517d78f692920e2b
Я использую X-Translator Platinum,т.к. Wordовские doc с сохранением форматирования текста и картинок как в оригинале делает
только он. другие не нашел,если кто подскажет что получше то спасибо.

GL#0M :: test
Сейчас сяду переводить...

GL#0M :: Рульный сайт, я о нём не знал, т.е. раньше на нём этого не было, помоему.

angel_aka_k$ :: test пишет:
цитата:
aspr1.23RC4


вообщето там далеко не 1.23 rc4 [аля asprotect 1.3]
то простой 1.2x [new strang] распаковывается с пол пинка так что проверяй инфу прежде чем постить !!!!!

-= ALEX =- :: Да я тоже нигде не встречал статей про новый аспр, мы одни тут такие, кто с этим аспром разбирается, а один тут воще патчит его :)

RideX :: -= ALEX =-
Что, продвигается дело?

infern0 :: Для -= ALEX =-: у HEXа есть отличная статья про новый аспр- там все толково расписано. Причем лежит она у него уже минимум месяц...

-= ALEX =- :: infern0 Мне не надо статей, я сам впринципе умею такие аспры распаковывать...
RideX Дело продвигается нормально...

test :: Для angel_aka_k$: 138-ASProtect 1.23rcx por Juan Jose.rar - архив, Programa: Advanced File Organizer v.2.1 (ASProtect 1.23 RC4)
у меня вроде есть?

test :: Для angel_aka_k$: Не могу зайти на сайт чтоб ссылку дать точно, вот качал архив (actualizacion octubre 2003) - это обновления
в этом архиве лежит.Наши статьи конечно лучше и я изучаю материал используя всю доступную информацию, и кто пишет статьи
(любые!) им очень благодарен, я читаю всё и по возможности с практикой.На других языках конечно сложнее понять тему Но
ведь переводят их и ничего!Я начинающий и любые советы принимаю!

test :: Для GL#0M:Если хочешь перевести не только для себя то я диск дам со всем материалом и крэкми что скачал, осталось только
несколько крэкми оригиналы докачать.А то на офиц,сайтах уже некоторые обновлены а например с HASPом и вообще
не найти наверно.Проверил пока не всё конечно но армадиллу распаковал по туториалу первый раз.Если не проблема качать
то есть ссылка еще на ftp если что скажи или лучше контакты дай пришлю файллист с пояснением.

GL#0M :: Для test: Вот мои контакты

GL#0M :: test
Куда пропал-то? Чего файллист с пояснением не прислал?

angel_aka_k$ :: test
давай лучше ссылку на этот переводчик ( давно уже хочу иметь переводчик на тачке )

LT :: 2Мозг, не выходит по твоему. Вернее выходит, но как то не так: бряк срабатывает, но в правом нижнем у. совсем другая программа(CSRCC), несколько раз пробовал.

До того до пробовался, что комп стал глючить - по иконке любой кликаешь, а открывается не программа, а свойства файла. Это фигня все, с этим я разборался - от чего и почему.

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

GL#0M :: angel_aka_k$
Да это промт (x-translator бывший qtrans) ваще-то. Так что качать долго придётся.

LT :: 2UnKnOwN да Софтайс это чудит. :)

LT :: 2angel_aka_k$, Promt XT Family хороший, ищи, качай..версий правда несколько. Лучше конечно диск купить по дешевке, если есть где.

angel_aka_k$ ::
в том то и дело что я поиском в сети не занимался и если что то надо не когда не найду :((((( вот и здесь....... так что если не сложно то кинте мне ссылку не хотите в форум кинте на мыло заранее сенкс
просто иногда переводчик очень нужен а нету :(((((

LT :: Тов. Мозг, че делать таааа?! (это я все о том же)

2angel_aka_k$, увижу скажу.

MozgC [TSRh] :: Надо жать F5 до тех пор пока в правом нижнем углу будет не CRSS или как он там =) а нужная программа. Т.е. ставишь бряк на MapViewOfFile, запускаешь прогу и когда бряк сработает, то жмешь F5 пока функция будет вызвана не сервисом CRSS а аспровой прогой.

test :: Для GL#0M: Да небыло инета!Отправлял раз 5 мыло сервер глючил или GPRS если не получил через пару дней выйду с другого места там связь получше. Если что залью куда нибудь все новые статьи которые не выложены на их сайте или переводчик ну вобщем там подскажешь.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Надо жать F5 до тех пор


пока не посинеешь

MozgC [TSRh] :: =)))
Да ну на самом деле больше 5 раз не бывает =)

angel_aka_k$ :: MozgC [TSRh]
да я в курсе :))))))) кстате как говорится о птичках короче я тут мозгами пораскинул и нашел более простой способ востановлению IAT так вот теперь не знаю дописать тот что есть ( сложный но дает понять всю структуру построения IAT ) или написать более простой способ ( очень поверхностно дает понять что и как ) вот советуй :))))))))))))

MozgC [TSRh] :: Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.

LT :: 2MozgC Все равно не получается по F5 проходит раз 5 и на 6-ом открывается программа. Вот так.

MozgC [TSRh] :: =) Хех, ну значит я гуру какой-то, у меня всегда работает. Че за программа то ?

LT :: да я взял Net Vampire 4, чтоб скорей понять как аспр распаковывать.

MozgC [TSRh] :: Ну я щас проверил. Ставлю бряк MapViewOfFile, запускаю vampire.exe, первые 2 раза прерывается в CSRSS, но третий раз в Vampire, так что по-моему ты что-то путаешь или делаешь не так. Уверен на 95%.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.


ок буду писать то и то !!!!

Mario555 :: При запуске распакованной проги [ASPR 1.0] вылетает такая вот хрень: «Can t open C:\Program Files\~\dumped_.gex!» , что за gex такой ? Это какой-то приём ASPR’a , или я криво распаковал ???

LT :: 2Мозг, ты когда бряк ставишь у тебя, что в нижн. пр. уг. Софтайса? я думаю может из за этого.

.::D.e.M.o.N.i.X::. :: Тут блин ковыряю ATClock 1.2 - так там аспр вжился в прогу так, что надо аж около 15~20мест исправлять + откуда то появилось ~12 API аспра (причем по разным адресам!!!).
angel_aka_k$
Могу ссылку дать - такого я еще не видел...

MozgC [TSRh] :: Ну стандартно, пишешь bpx MapViewOfFile когда еще находишься в а.п. Idle а когда бряк поставился то уже в а.п. приложения или сервиса в котором загружена kernel32.dll, обычно в CSRSS.

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Там короче после первого колла поставь прыжок на нужный колл. Там после первого колла и между «вторым нормальным коллом в дельфи прогах» понапихано очень много аспровых коллов, их просто перепрыгивай, на «второй нормальный дельфийский колл» =))), потом еще переходы занопь после последующих коллов в главной ветви программы, это все проверки аспровые, они на ExitProcess указывают. И тогда останется примерно 4-5 проверок, которые не совсем сложно найти. Регистрация стандартная - подменой адреса строки зарегенного пользователя.

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Могу ссылку дать - такого я еще не видел...


давай
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


я так и не вкурил где это делается, скок аспров перелопатил не где не смог подменить. На скоко мне память не отшибает там в getprocaddress надо пихать свое имя точнее адрес где оно хранится, или я не то сказанул
P.S. все в выходные буду писать статью, и поломаю ченить заодно!!! блин на работе достали просто проходу не дают из - за работы не х...... не успеваю, поэтому статья задержалась но в выходные точнее завтра сяду и допишу
P.S.S. MozgC [TSRh] кстате я тут попробовал простой способ нех..... не получилось оказалось геморойнее чем сложный я просто думал что мне места хватит а не хватило :(((( да и то на что я расчитовал не получилось ( я просто хотел весь гимор на importrec повесить а она сдохла :((((( отказалась апи востанавливать поэтому остается только геморойный способ зато все чисто и аккуратно )
ну вобщем на выходных сам оценишь способ востановления :)))))

-= ALEX =- :: ждёмс статью....
P.S. я тоже что-то не могу разобраться с способе MozgC [TSRh] , чтоб прога была зарегена :)

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...

GL#0M :: angel_aka_k$
-= ALEX =-
-= ALEX =- пишет:
цитата:
я тоже что-то не могу разобраться с способе MozgC [TSRh], чтоб прога была зарегена :)


Я могу ошибаться (не разбираюсь в этом так хорошо), но это способ не MozgC [TSRh].
Я так понял речь шла об этом:
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)

angel_aka_k$ :: GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


дык вот я и не понял как это осуществить

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...


ок посмотрю

nice :: angel_aka_k$
«Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»»
А говорил не читаешь туторы

-= ALEX =- :: где-бы эту статью найти.... а вообще нахожу я эти апи, нахожу примерно где надо изменить на свое имя, но нифига не происходит, т.е. все по другому не так как в статье...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Смотри ящик:)))

infern0 :: Для .::D.e.M.o.N.i.X::.: а в моем ящике нету :)

.::D.e.M.o.N.i.X::. :: infern0
Был бы еще ящик твой:)))

MozgC [TSRh] :: angel_aka_k$ , -= ALEX =- да вы что издеваетесь? По-моему этот способ знают уже все кроме вас =)
Алекс, отошли angel’у те скроиншоты что я тебе слал если остались. Хотя они у меня тоже вроде остались...

GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


Хз, статьи этой не читал, а когда сам начал так делать не помню...

angel_aka_k$ :: -= ALEX =-
angel_aka_ks@pisem.net - шли сюда :))))) заранее сенкс
MozgC [TSRh]
у мня тут проблемка точнее я забыл просто эта как в фотожо @!#$ елать чтоб поруски писал а то начал картинки доделывать и руский не вкакую еси знаешь подскажи и еще чем лучше обрезание делать картинкам ????
.::D.e.M.o.N.i.X::.
уже качаю седня гляну интересно че там :)))))))))

MozgC [TSRh] :: Ну с русскими шрифтами у фотошопа всегда была проблема, можно например в реестре изменить кодировку HKLM\System\CurrentControlSet\Control\Nls\1252 -› c_1251.nls, не факт что поможет (но я так делаю),
можно еще скачать попробовать шрифты вот эти http://www.beos.ru/files/BSFontsCyr13.zip, тоже не факт что поможет. Обрезать можно инструментом Crop в фотошопе или тем же инструментом в простейшем ACD Photo Enchancer (ACDSee -› CTRL+E)

RideX :: MozgC [TSRh] пишет:
цитата:
1252 -› c_1251.nls, не факт что поможет


В 99% случаев поможет, если нет попробуй добавить 1250 -› 1251, иначе используй «чисто» кириллический шрифт. MozgC всё точно написал, мне добавить нечего :)




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




У меня вс



У меня всё качается ... они просто сделали как на народе - сначала жмёшь еа ссылку, открывается окошко с новой ссылкой, а по ней уже качается файл

YDS :: Для -= ALEX =-: Проблема не только с FlexibleSoft Dialer, то же самое например и с Essential NetTools: http://www.tamos.ru/ent3.zip. Аспр разнообразен, однако

-= ALEX =- :: Hex пишет:
цитата:
А на счет inline патчера: раньше можно было это делать. Т.к. CRC и OEP лежали в .adata в открытом виде. А ща я не знаю как вы себе это представляете. Ща настройки аспра зашифрованы.


Приятно было увидеть здесь HEX’a... но я смотрю он форумы не читает и до сихпор не верит, что можно пропатчить аспр ...

Hex :: Может и правда от жизни отстал... Ща скачаю отреверсю этот патчер как-нить и тогда поверю можно это или нет :) А про продукты tamos я у ся на xtin’e писал. Там супер прикольно работают с ресурсами.

-= ALEX =- :: Hex пишет:
цитата:
Ща скачаю отреверсю этот патчер как-нить и тогда поверю можно это или нет :)


поверь возможно.... тока особо не ковыряй :)

Hex :: Мдя, реально возможно. Тока это ж блин не inline patch. Вы ж меня не пугайте. Это уже типа встраивание loader’a в exe файл. Inline patch подразумевает неизменность размера файла, а не вот такое наращивание. Inline - это типа между строк, т.е. как обычный патч, тока в условиях запакованости, типа как с UPX, а это уже outline patch. А ваще прикольно извратнулся. Похучил функции :) Уже смешно становится. Если дальше будет так все развиваться то протектор будет хучить, потом мы будем у протектора хук отбирать, а потом назад ему отдавать :) Я вот тока не понял как ты с CRC справился? Времени просто нет чтоб досматривать твои дебри. И еще я не понял зачем везде вот это:
alex:00401BE3 068 pusha
alex:00401BE4 088 call $+5
alex:00401BE4
alex:00401BE9
alex:00401BE9 loc_401BE9: ; DATA XREF: sub_401918+2D2o
alex:00401BE9 08C pop ebp
alex:00401BEA 088 sub ebp, offset loc_401BE9
.................
alex:00401BDF 068 popa

Чтоб в ebp 0 получить? но зачем? Чем это лучше xor ebp,ebp?

Madness :: Hex
›Inline patch подразумевает неизменность размера файла
А если покриптованные функции в этом патче вставить надо назад, они, как понимаешь, в пару байт не влезут, чего тады делать то?

›как ты с CRC справился
Мапит файл, правит чего изменилось, подсовывает как рез-т mapviewoffile.

Hex :: ›А если покриптованные функции в этом патче вставить надо назад, они, как понимаешь, в пару байт не влезут, чего тады делать то?
Тады это не inline patch :) А чо? так важно чтоб прога была именно inline патчером? Я просто изза названия офигел. Если даже так пропатчили тоже круто.

P.S. Да тут уж солодовников просчитался, проверять надо и образ файла в памяти и сам файл на диске...

MC707 :: Hex пишет:
цитата:
Да тут уж солодовников просчитался


Зря ты это добавил . Он ведь так и сделает

-= ALEX =- :: Начну по-порядку: в последней версии я хучил всего-одну функцию getprocaddress в момент создания IAT для loader #3, «Если дальше будет так все развиваться то протектор будет хучить, потом мы будем у протектора хук отбирать, а потом назад ему отдавать :) » вот этой мысли я не понял, в общем по барабану.... дальше зачем call $+5 etc, чтобы узнать текущее расположение, т.е. virtual address (патч универсальный, в каких-то переменных хранятся данные, а чтобы читать из них при компиляции необходимо такая конструкция (я не в HIEW свой патч делал,а в блокноте :) чистый асм листинг)). Как убить CRC - › пересчитать его заново, солод лоханулся и проверяет «свое тело» тока на определенной длине, остается только исправить PE Header.... исправит этот баг - не проблема, т.к. можно опять же подсунуть первоначальную длину файла.... По-другому пропатчить такой «крутой» пакер НЕВОЗМОЖНО, и ни в какие строки патч не разместить.... ТОЛЬКО ТАК :)

Madness :: Hex
›и сам файл на диске...
Ну тады еще подменить createfilea (я при распаковке dll часто подменяю файл и прокатывает) и се.

-= ALEX =-
› ТОЛЬКО ТАК :)
Не будь столь категоричен :)

nice :: -= ALEX =-
У меня нод как на первой так и на этой версии орет, и блокирует доступ, на недельке посмотрю, может, что и удастся скрыть от глаз, а вообще конечно оригинальная идея, -= ALEX =- - молодчина!

-= ALEX =- ::

.::D.e.M.o.N.i.X::. ::

-= ALEX =- :: .::D.e.M.o.N.i.X::. это ты к чему ?

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Это типа тебе:)

Не в тему:
Тут сидел в форуме по KOL (объяснять, что такое я думаю не стоит:) и увидел такое:
procedure MemPatch(filename:string);
const buf:array[0..1] of byte=($00,$90); // Первый байт - хоть что, второй опкод nop'а
var
rw:cardinal;
sti:tstartupinfo;
lpPi:tprocessinformation;

begin
// Создаем процесс
if not CreateProcess(nil,PChar(filename),nil,nil,false,CR EATE_NEW_CONSOLE or
NORMAL_PRIORITY_CLASS,nil,nil,StI,lpPI) then
begin
ShowMessage('Can''t find...');
exit
end
else
while true do
if readprocessmemory(lppi.hProcess,pointer($4A1C91),@ buf[0],1,rw) // Читаем один байт по адресу 00441785
then
if buf[0]<>$0 then // Проверяем на распакованность, если не 0 - то распаковалась
begin
// Подождем, пока asprotect проверит память, иначе будет писать 'Protection Error 15'
sleep(300);
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($4A1C91), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C92), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C93), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C94), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C95), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C96), @buf[1],1,rw);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
exit;
end;
end;

Прочтите внимательно!!! -= ALEX =-
случаем не твое творение по loader’y (если ты его еще помнишь) на KOL переводят???

-= ALEX =- :: @!#$ моё творение ! без спросу так делают.... хоть бы комменты мои убрали.... так кто там собирается переводить на KOl ? :)

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Зайди на мастера и увидишь:)))

-= ALEX =- :: щас пойду поругаюсь....

-= ALEX =- :: .... это мой знакомый Igi(t) написал, так что ругаться не буду, он в моей команде был DiZER TEAm

MozgC [TSRh] :: Я вообще не в курил что за КОЛ и кто че где про че написал ? =)

-= ALEX =- :: это для дельфи.... типа кому лень на winapi писать, может воспользоваться этим, там все упрощено, в общем почитай...

Madness :: MozgC [TSRh]
delphi.mastak.ru
http://xcl.cjb.net/

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Классная штука, особенно писать патчеры, в чистом виде одна форма незапакованная весит 9 кб (+ еще релоки отрубить так вааще прелесть). Все прелести визуального программирования + любимый паскаль:)))

xZ :: Вот я никак не могу понять людей, которые пишут на пасКАЛе
Он ведь убог совсем! Взять хотя бы Си, а еще лучше асму - вот это другое дело

Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?

В стандарте паскаля так точно нельзя сделать, мож в дельфях можно?

Особенно для меня странно, когда реверсеры (которые, кажется , должны хорошо знать асму) пишут на этом Ацтое (вы только посмотрите, какой код генерируют компиляторы дельфей! )

xZ :: ЗЫ это не флейм, а так, типа просто ИМХА

Greetz flyes out to Kerghan:

Все, кого ты не спроси, программируют на Си, нынче встретишь ты едва ли тех, кто пишет на Паскале.

angel_aka_k$ :: xZ
я лично только на ассме и с++ не перевариваю

xZ :: angel_aka_k$
Большо-ой тебе респект

Асма решает, это правда

MozgC [TSRh] :: xZ пишет:
цитата:
Вот я никак не могу понять людей, которые пишут на пасКАЛе
Он ведь убог совсем! Взять хотя бы Си, а еще лучше асму - вот это другое дело


Глупость полная. Все зависит от умения программировать. Что по возможностям то не думаю что на Дельфи нельзя написать чего-то что можно на Си. Некоторые возможности в С++ реализованы удобнее, некоторые наборот. Факт в том что я видел миллион примеров огромных просто программ на Дельфи, которые могли заткнуть за пояс любую программу на Си. И вообще это глупо так сравнивать, как десткий сад - это отстой, это рулит.

MozgC [TSRh] :: Одно дело как говорит angel_aka_k$ что он С++ не переваривает. Это его мнение, его дело. Но говорить Паскаль - отстой, это выходит за рамки своего мнения и выглядит по крайней мере глупо...

xZ ::
цитата:
Это его мнение, его дело


цитата:
ЗЫ это не флейм, а так, типа просто ИМХА


цитата:
Особенно для меня странно, когда реверсеры...


Мозг, ты бы прочитал повнимательнее

Я думаю, что любой профессиональный программер согласится, что Си гораздо мощнее паскаля - см. хотя бы это:

цитата:
Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?


Я считаю, что если и спорить, то только с аргументами, так что моя идея просто такова, что Си гораздо мощнее + большой выбор компиляторов, хорошо оптимизмрующих код.

А что касается паскаля, то мне кажется, что ты должен знать (я на примере дельфей), что код там убогий.

Я провел множество времени за отладкой чужих приложений, поэтому я встречал десятки таких «перлов» у дельфей, что меня это приводило просто в состояние полного зависания

Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)

Я думаю, что ты сам много раз видел проги на дельфях и билдере, и надеюсь, что ты видел и на Си (дизассемблированный листинг). Мне кажется что этого уже достаточно, чтобы сделать выводы о качестве кода. При этом я сейчас говорю о компиляторах MS VC 6/7, далеко не самых качественных - взять хотя бы тот же Intel C Compiler или LCC32.

Я вполне понимаю, почему в инете (да и вообще) так много дельфи-программистов. Потому что большинству из них сильно не хочется напрягаться и чуточку шевелить мозг[/]ами

Действительно, зачем @#$ть мозги, когда можно просто кинуть на форму компонент - и у тебя уже готовый браузер, анимированные кнопочки и много чего еще красивого, что можно сделать за 5 минут (я не о разработке компонентов).
Это даже программированием не назовешь - видел я таких людей, которые типа все из себя такие крутые, красивые проги на дельфях делают (с помощью чужих компонентов), а на деле - не могут написать простейшую сортировку.

Опять же следует отметить, что Паскаль разрабытывался для обучения людей програраммироканию, и только.

А с точки зрения возможностей языка, то здесь Паскаль в пролете, так как отсутствует преобразование типов, нормальные классы (хотя можно говорить и об обычном Си без классов), указатели(!)[/] (ссылочный тип - полнейшее убожество).

Вот и все, что я хотел сказать. Сорри за такой длинный пост, просто наболело, так как в универе заставляют программировать именно на паскале, а асм начнется позже.

Для меня только один вопрос остается без ответа:

цитата:
Зачем люди, знающие Си, пишут на паскале?


цитата:
Глупость полная.


Ну что же, ты имеешь право на свое мнение (естественно!), но, все-таки, будь поскромнее, учитывая то, что судя по твоим постам ты имеешь не очень большой опыт программирования (сорри, если я ошибаюсь).

xZ :: эээ... ну и пост получился

xZ :: О! Как удачно! Прям только что нашел на сайте Hex’а:

цитата:
Nick: beginner [10.07.2003 ¦ 16:11:17]
sorry за оффтопик, но все же: как в си называется функция, которая получает коды символов? В дельфи вроде ord(), а в си незнаю. А то я тут кейген пишу(написал уже), и эта функция нужна очень.


xZ :: Прикольно, мой ранг заблокирован!

= 1

xZ :: Типа у этого форума глюк - первые несколько моих сообщений я писал незарегистрировавшись, а теперь он мне везде пишет ранг = 1 :))))))

___________________________________________
just test

MozgC [TSRh] :: xZ пишет:
цитата:
но, все-таки, будь поскромнее, учитывая то, что судя по твоим постам ты имеешь не очень большой опыт программирования


Можно указать конкретно по каким постам видно что я имею не очень большой опыт программирования? Я не говорю что имею большой опыт. Но все-таки?

MozgC [TSRh] :: Не смотря не все твои комментарии (их оспаривать не буду, тем более смотрю ты из тех людей что готовы спорить до потери пульса =) я скажу одно и скажу еще раз. Если смотреть конечный продукт, то есть миллион просто замечательнейших прог на Дельфи и говорить что Паскаль отстой - это глупо и необдуманно, а на фоне этого миллиона программ и необоснованно.
Это все равно что Виндовс обсирать, однако ты им пользуешься, это удобно и если его бы не было, щас бы сидели и смотрели до сих пор на синий экран виндовс коммандера.

Inferno[mteam] :: Вступлюсь за MozgC, хотя он в нем(в заступничестве), скорее всего, не нуждается...
Вот ты, xZ, задал вопросик насчет паскаля, а я тебе задам встречный
вопрос, причем на 70% уверен, что ты на него не сможешь ответить :).
Собственно вопрос:
Как в Си сделать кнопки с битмапом на них, причем кнопки должны быть расположены
на панели, ниже меню(как, например, в Internet Explorer).
Панель - CDialogBar или Rebar. В дельфи это делается мгновенно.
В си для CDialog - тоже не проблема. А для CDialogBar ? Сможешь?

nice :: xZ пишет:
цитата:
Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?


А зачем тебе это? Это хороший стиль программирования? Это необходимость?
Про си есть поговорка: СИ настолько мощный язык программирования, что бесконечный цикл выполняется за 10 секунд,
а по поводу мнения проффесиональных программистов почитай: http://delphi.vitpc.com/article/language.htm

Ты сам то пробовал на LCC32 писать? Код качественный не спорю, а по гемморойности на асме проще чем на lcc32.

Есть альтернативы delphi: tmtpascal и freePascal

Тема бесконечная...

infern0 :: xZ пишет:
цитата:
Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)


а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.

-= ALEX =- :: @!#$ ну вы тут баталию устроили, тема-то какая.... создали бы отдельную тему и доказывали до усёру, какой язык программирования лучший...

.::D.e.M.o.N.i.X::. :: Вопрос мона??? А нафиг в Delphi асм есть???:))) Т.е. берете KOL+MCK и вперед на асме все писать. Все прелести визуального программирования + асм + маленькие проги. Что еще надо??? :)))

Nitrogen :: .::D.e.M.o.N.i.X::.
если знаешь асм, то зачем delphi+kol?.. берешь и пишешь все на асме под w32.. код-то еще меньше будет

-= ALEX =- :: Nitrogen я с тобой полностью согласен, я вот только недавно перешел на ASM, но уже радуюсь-ненарадуюсь :)

xZ ::
цитата:
Что по возможностям то не думаю что на Дельфи нельзя написать чего-то что можно на Си. Некоторые возможности в С++ реализованы удобнее, некоторые наборот.


Раз уж ты так написал, то скажи, что именно тебе в Си не так удобно, как в Паскале.

xZ :: infern0

цитата:
а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.


Ты уж извини конечно, но C++ Builder - это не Си, это лишь одно название, которое совершенно не подходит к содержанию. Просто люди попытались объединить красоту, компактность, наглядность, ... (здесь перечисляются все преимущества Си ) с возможностью использовать кучу компонентов Дельфей. Что из этого вышло судить вам, но как показывает пример выше

цитата:

xZ пишет:

цитата:
Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)



а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована



Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована XtreamLok - так выдал PEiD, да и в PE присутсвует Xlok. Если, кто распаковывал помогите, разобраться с ней.
-= ALEX =- :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно

Runtime_err0r ::
цитата:
Скачал прогу под названием AudioStudio


Откуда скачал ??? Ссылку-то дай ...

Vlad :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно
Для этого надо поставить бряк например на начало программы, а потом уже esp-4. При ставки бряка например на loadlibrary он выдает мне сообщение, что типа загружен дебегер или ..., сама она на VisualBasic. Скачал exe крякнутый (tsrh) открыл его LordPe и посмотрел на ImportTable, адрес для нее откуда взяли не пойму. В запакованной (000...), что-то типа такого, а в крякнутом (001D...). И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.

MozgC [TSRh] :: Vlad пишет:
цитата:
Для этого надо поставить бряк например на начало программы, а потом уже esp-4.


Alex сказал тоже самое.

Vlad пишет:
цитата:
И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.


Попробуй новую версию IceExt’a - не факт что поможет, но может быть. Кто-то говорил что там улучшено скрытие айса, хотя армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...

MozgC [TSRh] :: Vlad пишет:
цитата:
При ставки бряка например на loadlibrary


Попробуй ставить бряк на конец апи, т.е. на ret
И попробуй менять bpx/bpm x

-= ALEX =- :: правильно тут говорят

Nitrogen :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..

Vlad :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------
Тот самый (AudioStudio.locked)

Nitrogen :: мдя.. запускаешь прогу..
дампишь то что есть..
сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
заменяшь эти 400h байт в .lock файле..
переименовываешь .lock в .exe..
типа все.. softwrap во всей красе..

метода by bishep&oxen // tsrh

Vlad :: сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
-------------------------------------------------- -------------------------------------------------- ---------------------------------
Может я че то не знаю, но как их сохранить. Я первый раз с этим сталкиваюсь. Секция text там не полная.
VirtualSize: 001D1350
RawSize: 001D2000
Если я правильно понял ты имеешь в виду сохранить недостающию байты в секцию text. Как видно из VirtualSize и RawSize.

Nitrogen :: в hiew выделить блок.. сохранить блок.. вставить блок

Vlad :: Открыл я в hexworkshop сдампленный exe и крякнутый exe и сдамплинный audiostudio.exe (который типа запускает lock файл).
Смотрю с OEP в крякнутом exe и в моем сдампленном exe (который lock) и т.д. exe, в крякнутом байты и во всех этих exe файлах совершенно разные. Ни хрена не помю че за херь.
P.S. Ща попытаюсь разобраться. Бл... завтра в школу.

infern0 :: MozgC [TSRh] пишет:
цитата:
армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...


херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.

MozgC [TSRh] :: infern0 пишет:
цитата:
херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.


Ну факт в том, что арма все таки видит айс+айсэкст =)




UnKnOwN Какой - то новый AsProtect ????? Вот рылся в инете и нарыл вот такой



UnKnOwN Какой - то новый AsProtect ????? Вот рылся в инете и нарыл вот такой новый Протектор

http://www.ultraprotect.com/

Скриншоты :

1. http://www.ultraprotect.com/image/sshot1.jpg
2. http://www.ultraprotect.com/image/sshot2.jpg

Что то он уж больно похож на настоящий.
Kerghan :: не, это не новый...это старый...
жалкая пародия на аспр

XoraX :: Хекс про нее писал на ХТИНе.... Сказал, что плагиат с аспра...

Madness :: Раньше оно так и называлось - ultraprotect, но видать не судьба была раскрутиться, и переименовались в ACProtect :)
Прикалывает меня надпись внизу страницы: ACProtector Key Words и т.д. Очень похоже на следование советам статьи типа «как сделать мою страничку посещаемой», гы.

UnKnOwN :: А кто что может сказать про вот этот ASPR

ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov

Это что и есть эта версия типа 1.3 ????

MozgC [TSRh] :: ASProtect 1.23 RC4 - последний build вроде 08.07 или 07.08
1.3 - на то и есть build 08.24




MozgC [TSRh] ASProtect Patcher Начинаем тему заново.



MozgC [TSRh] ASProtect Patcher Начинаем тему заново.
В общем 1 пост сильно не по теме - предупреждение. Второй - бан.
Kerghan :: MozgC [TSRh]
походу придеться открыть новый форум «ASProtect In-line(or Out-line) by -=Alex=-»

MozgC [TSRh] :: Kerghan без обид, первое предупреждение. Я и многие другие заходят на форум и когда видят новые сообщения в теме то хотят увидеть там что-то новое ОБ ОБСУЖДАЕМОЙ ТЕМЕ, а не что-то там от косяка. Первая тема разросласб до 20 страниц. По теме там было страницы 3-4. Вторая тема моментом разрослась до 7 страниц, по теме там 1 страницы. Давайте не будем флудить тут. Если нечего сказать по теме - не говорите. На это сообщение тоже отвечать не надо.

-= ALEX =- :: Скажу по теме.... щас буду коврять прогу пакованную ASProtect 1.30, на которую мой патч не сработал. При быстром осмотре узнал, что mapviewoffile не вызывается :( поэтому пишет «corrupt file etc»

MozgC [TSRh] :: Может новый какой-то аспр? Как называется прога на которой не сработал ? Насчет corrupt file тоже самое было и с ProxyInspector но в принципе тогда дело было в mapviewoffile а тут ты говоришь что он не вызывается... странно я ни разу не видел чтобы в аспре не вызывалась mapviewoffile, Аспров 1.30 я только 3 смотрел, но там работало....

mnalex :: Я предыдущие форумы читал бегло и не все, из-за флуда. Вопрос. Насколько я понял этот патчер ломает AsProtect 1.2 1.3 и т.п. А как насчет 1.2х ? Его он берёт?

Kerghan :: mnalex
да

-= ALEX =- :: а не проще проверить ? я думаю что должно, т.к. принцип остался тот же...

-= ALEX =- :: MozgC [TSRh] В том то и дело, что нету там MapViewOfFile.... у меня вообще бряки в последнее время не срабатывают :( но дело в том, что при создании IAT для loader#3, там в списках MapViewOfFile нету :) Но зато подозрительные ReadFile, SetFilePointer etc, короче будет время я еще посмотрю...

F :: Может ктонибудь это чудо кинуть на мыло =) а то я из прошлых постов так линк и не мог найти на патчер
f4y@mail.ru

MozgC [TSRh] :: -= ALEX =- кинь и мне плиз, надо пропатчить ProxyInspector, а патчер твой че-то не могу найти у себя, хоть и помню что качал. Или давайте мне я выложу на tsrh.crackz.ws.

UnKnOwN :: у меня лежит http://www.unknown-ua.nm.ru/apnew.rar 28 кб.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Может новый какой-то аспр?


это тот по который я говорил тот про который пишу :)

-= ALEX =- :: angel_aka_k$ Расскажи в чем особенность этого АСПра...

-= ALEX =- :: Давайте подумай над названием моей тулзы... Обновил патчер, сделал поддержку тем XP... спасибо DeMoNiX’у ;)

-= ALEX =- :: ... мне тут syd прислал полностью ту прогу, на которой мой патчер не сработал.... щас буду ковырять

angel_aka_k$ :: -= ALEX =-
короче 3 апи поковерканы так что их просто не узнать весь прикол в том что допустим getprocaddress возращает адрес апи допустим getmodulehandlea а последущая процедура смещает этот адрес так что получается getprocaddress !!! это я например написал так как щас точно не помню с какой апи смещение до getproc идет что еще нового короче все мы знаем что есть набор jmp ов которые указывают на iat offset пример jmp (iat offset ) ну а в IAT offset сами знаете что так вот после аспра получается call/jmp (aspr ) !!!! IAT offset вообще нету еще из нового теперь на начало апи бряк не поставишь (аспр палит) исковеркан инит ехе тоесть все мы не раз видели такую картину :
push ebp
mov ebp,esp
......
первый call
xor eax,eax
а в первом call :
push ebx
mov ebx,eax
.......
call getmodule
mov eax,[xxxxxxxx]
........
call куда то
....
call на инит а в нем цикл где из определенного адреса берутся адреса для прыжков на дальнейшию иницилизацию так вот после аспра такая картина

мусор
xor eax,eax
:) это не все там где был getmoule такая картина
мусор
mov eax,[xxxxxxxx]
........
call куда то
......
call на инит а в нем все тот же цикл только он не работает !!!! так как в eax заносится не адрес проги а адрес аспра а в нем аспровый цикл те кто ковырял 1.23 RC3 то узнают его те кто не ковырял просто изучите процедуру на которую мы попадаем при bpm esp-24 и сразу поймете. вобщем в цикле на инит расшифровываются адреса проги тоесть в eax попадает зашифрованный адрес потом он смещается делится и в итоге в eax попадает нормальный адрес проги и аспр кидает прогу на него потом возврат идет опять на цикл и поновой расшифровываем адрес и опять прыжок и т.д. ( в 1.23 это было зделано для того чтобы спрятать mov eax,xxxxxx подсказка xxxxxx расшифровывается 1 раз !!! ) так это что касается инита что еще нового ? да помему нечего защиту от айса я не ковырял так как iceext спасет SEH вообще не встретил может они где то и есть но я не думаю что они стали другие ( xor eax,[eax] ) проверки на sice 2 одна на exeption ведет вторая где то в глубинах что то с памятью я просто другим способом это дело обошел вроде все если что то упустил то не значительное если не понятно обьяснил то ждем нашу статью ( я & MozgC ) задержка в написание произошла из за армадилы 3.40 я тут два дня в ней разбирался и распоковал саму её и прогу ей пожатую :))))) полностью разобрался в ней интересный криптор особенно наномиты класно аргонизованны мне понравилось

-= ALEX =- :: Короче я нашел способ пропатчить этот «новый» аспр.... только пока такие проги «редкость»

UnKnOwN :: Re: -= ALEX =-

Напиши чё за прога просто интересно чё за новый aspr....

Небось уже 1.4 дядя Солод выпустил ???

-= ALEX =- :: прогу наверное не получиться показать, т.к. она авторская, syd ее сделал... вот он ее запаковал каким-то 1.30 аспром, там по-другому идет проверка CRC, т.е. полиморфным кодом генерятся адреса апи (MapViewOfFileA,CreateFileMappingA,GetModuleFileNa meW)...

angel_aka_k$ :: -= ALEX =-
для меня лично проще распаковать этот аспр и не парится тем более что распаковка занимает максимум 30 минут ( с IAT долго возится ) а потом файл без пролем можно ломать при чем как обычно триал отпадает сам так что это луче чем пачить его :) а нащет генерации апи я же говорил что наверняка что то забыл я видел эту генерацию :))))))))) просто забыл упомянуть о ней так как подругому обошел это :) и как то не заморачивался нащет crc хз не смотрел мне оно не надо я все что нужно зделал в памяти jmp [iat offset] получил и секцию с адресами апи и все мне собственно для анпака не чего больше и не добыло поэтому crc я не смотрел :))))))))))

MozgC [TSRh] :: angel_aka_k$
А по-моему за алексовым патчером ближайшее будущее. У меня подозрение что такими тесмпами аспр скоро станет одним из самых геморных протекторов и распаковать его будет долго и не просто... Уже щас видно как он вживается в дельфи программы. У меня плохое предчувствие что через какое-то время аспр и программа будут как одно целое...

Madness :: MozgC [TSRh]
›через какое-то время аспр и программа будут как одно целое...
И борланды встроят его в компиллер...

MozgC [TSRh] :: Madness пишет:
цитата:
И борланды встроят его в компиллер...


Лол, реально =)

angel_aka_k$ :: MozgC [TSRh]
ну тыж мня знаешь я не ищу легких путей :)

MozgC [TSRh] :: Да я тоже патчером воспользовался пока только один раз для ProxyInspector’a, другое дело когда в упор не можешь распаковать или в будущем когда возможно это будет проблемой... Вот тогда на помощь и будет приходить патчер. Тем более патчер - более чистый способ, вместо того чтобы релизить например 1-2Мб cracked.exe можно зарелизить 20Кб патчик - удобно.

-= ALEX =- :: сделать патчер не проблема. я и этот новый аспр пропатчил, дело в подходе к реализации... так что кому распаковать легче, а кому и пропатчить :)

mnalex :: 1 Делаю:
aspr_patcher.exe -› AtClock.exe (PEid -› ASProtect 1.23 RC4 Registered)
2 Результат:
AtClock.exe (PEid -› ASPack / ASProtect x.xx -› Alexey Solodovnikov)
Старт -› Вылет :(
W32Dasm (Ver 8.93++) -› Вылет :(
??? Вот из дыс ???

Хренотень - тень отбрасываемая хреном на что либо :)...

MozgC [TSRh] :: Какая версия ATCLock?

Kerghan :: mnalex
кажется было что-то подобное вроде с ArtCursor

MozgC [TSRh] :: -= ALEX =-
Действительно при патче ATClock v 1.1 build 120 возникает ошибка, точнее не при патче, а при попытке запустить пропатченный файл. Если надо могу кинуть AtClock.

-= ALEX =- :: посмотрим...

-= ALEX =- :: патч мой работает нормально, дело в самой проге, он просто берет и закрывается :(

-= ALEX =- :: ATClock v 1.1 build 120 мож кто поковыряет, мне эта прога понравилась, но что-то вылетает она. Тестируйте вместе с моим патчем...

MozgC [TSRh] :: -= ALEX =- пишет:
цитата:
Тестируйте вместе с моим патчем...


Используй вместе с моим крэком =)

Madness :: -= ALEX =-
Возможно размер проверяет (и там не дураки сидят)...

-= ALEX =- :: да вроде размер не проверяет, там что-то вылетает при апи аспра, или я туплю ?

UnKnOwN :: -= ALEX =- пишет:
цитата:
ATClock v 1.1 build 120


а, где можна взять ???

Дайте ссылку, если не влом...

-= ALEX =- :: короче там проверка стояла по адресу 00542074, там надо поставить EB... Щас буду с регистрацией разбираться




Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb)....



Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb). Peid пишет «ASProtect 1.23 RC4 Demo». Перед переходом на OEP есть команда «REP STOS BYTE ...» , если это выполнение краденых байт, то как их найти.

PS: Stripper’ом не распаковывается.
Madness :: Mario555
Скорее это затирание этих самых байт.

angel_aka_k$ :: Mario555
push ebp
mov ebp,esp
sub esp,0c
mov eax,00413120
OEP 004131e8
IATRVA=00418000
IATSIZE=00000500

Mario555 :: angel_aka_k$

IATRVA=004180c8
IATSIZE=000003b8

Дык откуда байты то взялись (как найти ?).

OEP 004131e8 ??? - это почему.

Я вписал эти байты, поставил OEP 004131e8, но дамп всё равно виснет.

MozgC [TSRh] :: Ставлю на Angel_aka_k$ =)

angel_aka_k$ :: MozgC [TSRh]
:)))))
Mario555
хочешь узнать откуда байты хорошо no problemmmm
bpx mapviewoffile
2 срабатывание в теле аспра
ф11
bpm 0012ffa0 ( аля esp-24)
и изучаем дешифратор адресов а там глядишь и байты найдутся
и вопросы отпадут
а зависание хехе ты IAT востановил ??? LOL
P.S. файл распаковывается за 2 минуты

Mario555 :: angel_aka_k$ пишет:
цитата:
дешифратор адресов


Это куча «живого кода» ? Ты в статье о «antivirus stop 5» не стал описывать как найти адреса (а жаль, что не стал). Я ваще не понимаю как там можно что-то найти.

angel_aka_k$ пишет:
цитата:
IAT востановил ???


Делал так:

Call c32f00
Call c3313c ‹----- занопил
Mov EDX, [EDI]
Mov [EDX], EAX

Там EDX = 4180c8,
Потом f 4180cc l 1000 0,
После цикла создания Iat вернул на место Call c3313c, и сдампил после Call [eax].

Где ошибся?

Дык где дампить-то надо, после Call [eax], или перед getmodulehandle (как antivirus stop 5) ?

MozgC [TSRh] :: Дампить можно где угодно, можешь на начале спертых байт, можешь перед прыжком на спертый колл.
В частных случаях дампять после создания импорта и проверки CRС...
Если дампишь после создания импорта то надо дампить не после call [eax] а после выхода из этой процедуры, в которой находится call [eax].
Там же так
jmp вверх
popad
call xxx ‹-- тут внутри сех и call [eax]
...... ‹--- А тут дампишь.

Но так дампят - только когда дамп не работает (если его сдампили на оеп) в остальных случаях надо дампить на ОЕП. Я обычно дампил на рете в конце мусора.

Mario555 :: Sorry, я просто статью не до конца дочитал, и полез спрашивать.

Как искать адреса всё равно не понял (особенно как их в куче мусора за 2 минуты найти...).

MozgC [TSRh] :: Mario555 для дельфи прог можно особо не искать. Прочитай статью Hex’a «новые варианты». Там он описывает как найти эти спизженные байты для дельфи прог. Работает в 3х случаях из 4х. Для этого случая тоже. Так что прочитай и поймешь.

angel_aka_k$ :: IMHO проще 1 раз понять этот дешифратор чем обламыватся 1 раз из 4
Mario555
разбери код на который ты попадаешь при bpm 0012ffa0 и сразу все поймешь там спертые байты кстате в статье о stop я писал как найти последний байт так что внимательней !!!!
вобщем дамп снимай на getmodulehandlea
потом импорт надо востанавливать !!! а не просто сдампить и пытатся заставить прогу работать короче после занупивания цикли прогу и востанавливай импорт не пугайся там будет много мусора ты просто среди него найди адресса аспра и отресолвь их остальное showinvalid и сute fink’s и все если зделаешь все правильно файл будет работать

Mario555 :: angel_aka_k$ пишет:
цитата:
востанавливай импорт


С импортом всё было OK, висло на Call Dword ptr xxxxxx (в дампе xxxxxx было 000000) , в оригинальной проге в xxxxxx было 407b28, поменял Call Dword ptr xxxxxx на Call 407b28 и прога запустилась.

Пытаюсь распаковать подобные проги, чё то пока не получается. Хоть версия аспра и одна, а всё по разному.

angel_aka_k$ :: Mario555
не знаю че ты там на косячил у меня все ок запускается без правки dword

MozgC [TSRh] :: angel_aka_k$
Я так понял он дампил после создания импорта, когда еще API аспра не выполнились и не выбрали способ запуска программы, т.е. не записали адрес дальнейшего выполнения в ту ячейку.

angel_aka_k$ :: MozgC [TSRh]
наверно :) хз его трудности я посмотрю на него кода он чуток посложнее прогу возьмет :)

Mario555 :: angel_aka_k$ пишет:
цитата:
я посмотрю на него кода он чуток посложнее прогу возьмет


??? Я и с этой-то, как видишь, справиться не мог. И распаковывать ёще только учусь.

angel_aka_k$ :: Mario555
я тебе даю понять что ты не научишся распаковывать до тех пор пока не начнешь вникать в то что делает критор/пакер/протектор !!!! разбирайся !!!!! изучи дешифратор изучи посторение переходников и жизнь твоя станет легче !!!!

Mario555 :: У меня опять проблемка: ftp://listsoft.ru/pub/8431/artefactsetup.zip (3,5 MB), какой-то словарь-переводчик. Тот же ASPR, распаковался вроде нормально. При запуске дампа появляется наг, а при нажатии на «продолжить» прога висла (примерно так же, как в статье о «antivirus stop 5» ), потом висла ещё где-то (не помню адрес); если это всё подправить, то она запускается (можно открыть MainScreen), но при нажатии на любой пункт меню (на иконке в трее), опять падает.

OEP: 00047B24

push ebp
mov ebp, esp
mov ecx, 00000016

PS: Если я криво распаковал, то почему она запускается ?

PPS: Архив с EXE и Dll весит 280 кб.

angel_aka_k$ :: Mario555
хехе это апи аспра !!! так что смотри как в оригенале читай статьи и глядишь получится :)

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
PS: Stripper’ом не распаковывается


Stripper 2.07 берет даже Aspr 1.3:)))

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. \
У меня стриппер 2.07 даже инит не восстанавливает, не то распаковать нормально...




Radiovandal Помогите взломать Picant 5.2.2 Всем привет. Если у кого есть...



Radiovandal Помогите взломать Picant 5.2.2 Всем привет. Если у кого есть наработки по пакету программ PicantIDE 5.x.x (http://www.picant.com/c2c/download/picant522.zip размер 4,6Mb) то дайте ответ пожалуйста (или пришлите на мыло slabvand@mail.ru), а то по поводу этой программы ничего вразумительного в инете не нашёл. Как продлить срок работы вроде разобрался (по умолчанию 15 дней), но хотелось
зарегистрировать (там плагины приличные), а насчёт этого все мои старания оказались малоэффективны.
P.s Заранее спасибо.

Yokel :: Что за программа, чем защищена???

Radiovandal :: Cудя по всему программа защищена Armadillo. А сама программа является интегрираванной средой разработки прог
под PIC мк поддерживает c2c-plus p2p-plus компиляторы. Вобщем прога серьёзная и думаю нужная.

odIsZaPc :: Если там действительно Armadillo, а ты действительно новичек, то бросай, рано еще Арму распаковывать. Другой вопрос, если тебе кто с форума поможет... ИМХО, Armadillo - это не тот протектор, который можно распаковать прочитав пару статей....

MozgC [TSRh] :: Radiovandal, я могу чисто попробовать распаковать (а дальше будешь сам или кто другой патчить). Так что если нужен распакованный .exe то я может гляну.

Radiovandal :: В полне устроит и такой вариант, буду рад любой помощи.
P.s
Большие проблемы надо решать вместе....

UnKnOwN :: MozgC [TSRh]

Хотиш попробовать ?

Свяжись со мной, заделаем ...

Radiovandal :: Укажи как с стобой связаться по подробнее и реально заделаем!!!
Буду очень благодарен...

Radiovandal :: народ!!! Жду советов. Пока крякнуть не удалось....

odIsZaPc :: Шарят люди.... Пойду-ка я отсюда...

Radiovandal :: Народ!!! Я всё ёщё здесь и пока удалось лишь крякнуть триал срок!!! Но чтоб зарегистрировать ее как положено....(крепкий протектор).

XoraX :: Radiovandal , ну давай, выкладывай распакованый ехешник...

MozgC [TSRh] :: Интересно как ты мог крякнуть триал срок если там армадилло ?




MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и только ЗДЕСЬ! Значит так.



MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и только ЗДЕСЬ! Значит так.
Кому нужен крэк пишете в этой теме сообщение.

В сообщении указывается:
1) Точный URL к программе (не к сайту а самому файлу программы)
2) Точный размер программы
3) Ее предназначение.

При невыполнении этого, сообщения будут просто удаляться.
Помните, что никто не обязан вам ничего ломать или помогать иным способом. Не нужно надоедать. Оставьте здесь свое сообщение и просто ждите. Сломают - ответят здесь же. Не сломают - не ответят =)
Все темы с просьбами крэков вне этой темы будут удаляться и вплоть до бана. Надеюсь все понятно. Крэкеры (возможно новички) которым нужна помощь именно объясняющего характера по прежнему могут создавать новые темы. Всем удачи.
Вшьщтв :: Всем привет!!! На сайте http://compebook.ru есть учебник «Электронный учебник по Excel XP»-это электронная книга с паролем,который не могу подобрать.Может у вас получиться.Заранее благодарен!Удачи!

MC707 Re: Вшьщтв :: Значиттся так, Вшьщтв.
Для своего компа я пасс нашел. Подозреваю, что у тебя он будет другой. Поэтому копаем глубже и получаем, что нужно только занопить джамп по адресу 403E49. Если уж так надо могу патчем поделиться ;)
Кстати имхо подбирать этот пасс - дело неблагодарное. Он состоит из 15 символов типа JHG324QWV...

Dimond :: MC707,был бы тебе очень благодарен за сылку на патч!Ещё раз спасибо!

MC707 :: На: http://exchange.bugz.ru/i...excel.book.crack-bugz.zip

Жду комментов, потому что проверить работоспособность не могу, т.е. он патчит, и все как и было, т.к. он, собака, серийник, который я ввел где-то прописал и теперь она у меня вечно зарегистрированная

dido1 Re: MC707 :: В реестре найди EBook.
Замени параметр DWord c 00 на 01.
Регистрация снята. Если обратно то ясно.

Dimond :: Супер!!! Патч работает!!! Молодец!!!Пытался вручную,но джамп по адресу 403E49 не нашёл.(ближайшие 403E44 и 403E46).Мoжет другой?
В любом слуае Оромный Thanksss!!!

MC707 :: Обрашчайтесь еще

Bob :: MozgC [TSRh] А ты выдели эту тему ЖИРНЫМ ФОНОМ, чтоб все слепые замечали :-))

XoraX :: Bob ? форум вроде не позволяет этого. но это уже флейм пошел...
Мозг, ты бы удалял оффтопиковые месаги.

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

-= ALEX =- :: DOLTON тиы говоришь коллекция пасбянсов, там одна прога или куча малньких-пасьянсиков :) ?

MC707 :: Он имел ввиду одну универсальную прогу-пасьянс из 370 штук

Bob :: Автор этого пасьянса все предыдущие версии тоже аспром защищал и как я понял следит за всеми новинками Солодовникова.

MozgC [TSRh] :: Насчет пасьянса просите Angel’a, думаю, что только он пока из здешних частых обитетелей распакует Аспр 1.30

-= ALEX =- :: ну я типа распаковал эту прогу. Щас вот ее ковыряю...

MozgC [TSRh] :: Там не ASProtect 1.30...

-= ALEX =- :: MozgC [TSRh] пишет:
цитата:
Там не ASProtect 1.30...


да, мы с тобой только что выяснили...

WebMaster :: Помогите пожалуйста взломать программку Perl Editor v5.4.1 от DzSoft
Вот линк и размер:
http://www.dzsoft.com/download/dzperl541.exe
Размер 1.8Мб
Из названия думаю понятно для чего она нужна. Очень надеюсь на вашу помощь!

Solitaire :: речь пойдет о программе российского автора и, как я понимаю, это накладывает небольшие, всем понятные, ограничения (я точно знаю, что существует идея - «программы соотечественников - ломать не будем!»)
программа, на мой ламерский взгляд, очень нехорошая в плане ломания, правда к ней без проблем делается лоадер, который будет обнулять кол-во дней перед запуском, но лоадер - он и в ... лоадер! я хочу, чтобы ее кто-нить попробывал сломать нормально! если уж не серийник подобрать, то хотя бы кракед.ехе сделать. там, кроме счетчика дней, есть как в небезызвестном Tweak-XP Pro поганый наг,

XPiS :: URL: ftp://ftp.altap.cz/pub/altap/salamand/sal25b3.exe
Size: ~1.3mb

Лучший файл менеджер (если не верите, то поймете, что Total Commander и рядом не стоял - извините, если фэна задел).

Я ломал сам, но программа работает некорректно:
1. При вызове Диалог About все идет к чертям.
2. (самое неприятное)После нескольких пробегах мышкой по меню плагинов или из вызовов
оные отказываюся работать вообще (и это при замене 1 байта(типа je на jne) в exe!).
Подозреваю какую-то странную защиту?
Замечание: Не запаковано. Чистый vc++. Но ценные штуки в памяти делает.
Заранее благодарю.

Kerghan :: Solitaire
вроде части текста не хватает, в том числе и ссылки

MozgC
а тема процветает, уж и сам не знаю, хорошо это или плохо

angel_aka_k$ :: XPiS
LOL не че там странного нету мде 2 места правим и все пашет
1) чтоб нага не было 004a0d4b ( jne › jmp )
2) чтоб триала не было 004a0d2d ( jae›nop )

WebMaster :: Изивините, что надоедаю.. Просто интересно, взял ли кто-нить прогу уже посмотреть которую я попросил? Программа честно очень нужна мне по работе. MozgC, Kerghan может хоть вы посмотрите, вы проде самые активные участники! Или любой другой кто? Мне все равно... Был бы очень очень признателен!!!

Mario555 :: -= ALEX =- пишет:
цитата:
ну я типа распаковал эту прогу. Щас вот ее ковыряю...


Как ты избавился от ошибки при закрытии проги ?
Интересно, как её ломать после распаковки...

Kerghan :: WebMaster
щас гляну

XPiS :: angel_aka_k$

Цитата:1) чтоб нага не было 004a0d4b

Меняем и ничего. Нага то нет, но:
После нескольких пробегах мышкой по меню плагинов(чтобы их собственные менюшки загрузились) или из вызовов
оные отказываюся работать вообще

!!!

angel_aka_k$ :: XPiS а я просто волшебник и у меня все пашет

Aragon :: Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.

[RU].Ban0K! Re: Aragon :: Aragon пишет:
цитата:
Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.


на еХетооlZ есть все версии...

Runtime_err0r :: Aragon

цитата:
Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.


У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...

XPiS :: angel_aka_k$

По второму rva:004a0d2d - cmp word ptr... а не jae.
Извини, но ты не прав.
Объясняю.
Меню Plugins-›останавиливаемся мышком на одном, ждем загрузки его меню. То же самое делаем еще на нескольких разных (для верности 5-7). Потом попробуй запустить какой-нибудь (если и запуститься(?), то другой уже нет).

angel_aka_k$ :: XPiS одно могу сказать значит у нас разные версии так как по второму 004a0d2d у меня jae вобщем я уже выкинул ее но у меня все пахало

Aragon :: [RU].Ban0K! пишет:
цитата:
на еХетооlZ есть все версии...


Спасибо за ссылку,я раньше на него заходил видил белый экран и уходил,видимо защита от ламеров.Видимо был ламером.

Runtime_err0r пишет:
цитата:
У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...


Буду ждать.

Aragon :: [RU].Ban0K! пишет:
цитата:
на еХетооlZ есть все версии...


Спасибо за ссылку. Я раньше на него заходил смотрел на белый экран и уходил.
Видимо защита от ламеров. Значит был я лам......

Runtime_err0r пишет:
цитата:
У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...


Буду ждать.

Kerghan :: Aragon пишет:

цитата:
Видимо защита от ламеров


типа такая http:\\exetoolz.com\

2 [RU].Ban.OK!
ты сайт доделывать собираешься? а то всё учеба, учеба...

MozgC [TSRh] :: Ребят, давайте по теме ок?

PS. На это можете не отвечать.

Runtime_err0r :: Старые версии UPX’а (060 - 0993): _http://www.zone.ee/Runtime_err0r/UPX_OLD.rar

[RU].Ban0K! :: Kerghan пишет:
цитата:
ты сайт доделывать собираешься? а то всё учеба, учеба...


Маза фака эХзамины... сессия... может повеситЦа ещё успею... (блин 10 начинаю здавать... а учить... забыл :) )
Сайт... собираюсь... чувака нашёл который мне 200 мегов прог зальёт, осталось только сдёлать комментарии, ну и статей куча нужна...
... блин а ещё столько мыслей... было начал протектор делать... потом чтото ещё начал... теперь большая идея ... но другая... :)
Короче как всегда идей полно... когда сессссия...

MozgC [TSRh]
Извиняюсь....

Inferno[mteam] :: hi to all,

Вот уж не ожидал, что буду постить в этой теме, вроде раньше сам крякал проги.
Но чего я не умел, так это ломать VBasic проги. Так что, help!
Мне не раз помогали на этом форуме, надеюсь помогут и в этот раз.

основное ограничение - невозможность создать ландшафт больше чем на 257х257.
Landscape-›Size-›недоступны кнопки: 2049, 1025, 4097.

Название проги: Terragen
Что делает: создает фотореалистичные скрины ландшафтов с водой, облаками и т.д.
http://www.ashundar.co.uk...gen/tg2/tginstall0919.exe
вес около 3-х мегов.
запакована aspack’ом.

MozgC [TSRh] :: WebMaster
http://MozgC.com/dzsoft.p...or.5.4.1.cracked-tsrh.zip
Вот крэк, я че-то поздно заметил что ты эту прогу просил...
А вообще мог бы и сам поискать, я ее еще в середине ноября релизил.

AHTOxA :: ЗАПРОС!!!!
1) http://host32.ipowerweb.c...sco/download/uiso6_ru.exe
2) 1.2 MБ (1 162 136 байт)
3) Работа с образами дисков.
Очень надо, товарищи. Может есть у кого тутор по исследованию или если кто-напишет - вообще сказка

AHTOxA :: ЗАПРОС!!!!
______________
ISO Commander v1.2
1) http://www.turtleblast.com/files/isocommander.exe
2) 509Kb
3) Работа с образами дисков.
______________
Первая программа - UltraISO 6.52, а то забыл

LT :: Moзг, где статьти пр Распаковеку?!

Inferno[mteam] :: Запрос отменяется, справился сам.

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

XoraX :: DOLTON!
MozgC [TSRh] пишет:
цитата:
Не нужно надоедать




Solitaire :: мессага планировалась такой: «речь пойдет о программе российского автора и, как я понимаю, это накладывает небольшие, всем понятные, ограничения (я точно знаю, что существует идея - «программы соотечественников - ломать не будем!»)
программа, на мой ламерский взгляд, очень нехорошая в плане ломания, правда к ней без проблем делается лоадер, который будет обнулять кол-во дней перед запуском, но лоадер - он и в ... лоадер! я хочу, чтобы ее кто-нить попробывал сломать нормально! если уж не серийник подобрать, то хотя бы кракед.ехе сделать. там, кроме счетчика дней, есть как в небезызвестном Tweak-XP Pro поганый наг, где и еще идет счет до активации кнопки «Продолжить» то, что тулза руль в своем роде - это точно, у кого есть тв-тюнер\платы захвата видео, с ней точно сталкивались, вобщем это..... iuVCR от уважаемого Ивана Ускова.
ссылка на совсем свежую версию (28.12.2004)
http://www.iulabs.com/download/iuvcr_setup_ru.exe
версия: 4.8.4.327 RU размер: 1,489,739 bytes»

но лан проглючил... пришлось вылезти по модему, но уже поздно...
на днях залез на кпнемо и обнаружил кряк новенький!!!
так что вопрос отпадает, ну и спасибо -=Alex=-’у за ломалку!!! еле-еле дошло как изменить имя, на которое зарегена эта прога (которое отображается в заголовке окна)

odIsZaPc :: Вот задачка: «КОМПАС 3D V6 Plus». Программа для машиностроительного проектирования - на мой взгляд лучшая в своем роде. Кроме того, создана русскими программерами.

Ссылка:
http://download.kompas.ko...as3DV6Plus_dis.part01.rar
http://download.kompas.ko...as3DV6Plus_dis.part02.rar
http://download.kompas.ko...as3DV6Plus_dis.part03.rar
http://download.kompas.ko...as3DV6Plus_dis.part04.rar
http://download.kompas.ko...as3DV6Plus_dis.part05.rar
http://download.kompas.ko...as3DV6Plus_dis.part06.rar
http://download.kompas.ko...as3DV6Plus_dis.part07.rar
http://download.kompas.ko...as3DV6Plus_dis.part08.rar
http://download.kompas.ko...as3DV6Plus_dis.part09.rar
http://download.kompas.ko...as3DV6Plus_dis.part10.rar
http://download.kompas.ko...as3DV6Plus_dis.part11.rar
http://download.kompas.ko...as3DV6Plus_dis.part12.rar
http://download.kompas.ko...as3DV6Plus_dis.part13.rar
http://download.kompas.ko...as3DV6Plus_dis.part14.rar
http://download.kompas.ko...as3DV6Plus_dis.part15.rar
http://download.kompas.ko...as3DV6Plus_dis.part16.rar
http://download.kompas.ko...as3DV6Plus_dis.part17.rar
http://download.kompas.ko...as3DV6Plus_dis.part18.rar
http://download.kompas.ko...as3DV6Plus_dis.part19.rar
http://download.kompas.ko...as3DV6Plus_dis.part20.rar

Размер: 192508431 байт (184 Mb)

Программа защищена ключом аппаратной защиты HASP. На данный момент кряка к конкретно этой версии НЕТ. Темы на форумах по поиску кряка уже перевалили за 60 страниц - народу очень надо. Собственно мне такой лом не по зубам. Предпочтителен лом без использования эмулятора Hasp’а (имеется ввиду rhaspemu), а конкретно лом экзешника. Ну это потому что у некоторых проблемы с его установкой. В общем, попытайтесь. Кто-то мне говорил, что там довольно крутая защита. Возмется кто?

[RU].Ban0K! :: Есть садо-маза-фака-извращеНцы, качать это чудо.... ?
p.s. у меня друг ща её пытаеЦа с имулить...

.::D.e.M.o.N.i.X::. :: odIsZaPc
За определенную плату могу и скачать и взломать. Только свистни.

-= ALEX =- :: AHTOxA насчет Ultra ISO http://www.seriall.com/u/3.html

AHTOxA Re: -= ALEX =- :: Спасибо, конечно, но не катит Ни один

odIsZaPc :: .::D.e.M.o.N.i.X::. пишет:
цитата:
За определенную плату могу и скачать и взломать. Только свистни.


Сколько хочешь за кряк? Ты точно уверен, что сможешь? Там HASP последней версии... А предыдущая версия Компаса ломалась правкой около 10-ти длл-ок....

MIV :: ДОБРЫЕ КРЭКЕРЫ КТО-НИБУДБ ПРИШЛИТЕ НА E-МЫЛО КРЯК (НЕ СБРАСЫВАТЬ КАЖДЫЙ РАЗ СЧЁТЧИК А КРЯК) ДЛЯ ПРОГИ TWEAK-XP PRO 3.0.2
ЗАРАНИЕ СПАСИБО!!!

infern0 :: MIV пишет:
цитата:
ДОБРЫЕ КРЭКЕРЫ


ты где таких видел ? они уже вымерли все ....

-= ALEX =- :: MIV мне лично было очень влом ковыряться в продуктах этой компании, т.к. они написаны на VB

MozgC [TSRh] :: MIV
По русски читать умеешь? Нет? Учись. Умеешь? ТАК И ЧИТАЙ ЧТО Я НАПИСАЛ В САМОМ НАЧАЛЕ.

MRAK :: прога ClubTimer 2.41 адрес http://www.ctimer.ru/ на 100 компов.

pipen :: Надеюсь кого нибудь заинтересует программа Bookmark Explorer v1.0.137 beta (Shareware программа с ограничением
30 дней, адрес http://activeurls.com/download/bexsetup.exe размер 3.9 Мb ) которая представляет собой очень удобный инструмент для автоматического (по расписанию сосотавленному пользователем) отслеживания изменения/доступности любых страниц в интернет. Применима практически в любых областях деятельности, имеет много полезных функций, вобщем значительно облегчает жизнь. Так вот если у кого нибудь появится желание и время ощастливить многочисленных пользователей крэком для нее, то я готов поделится коллекцией тематических, отсортированных ссылок (более 1000) для работы в этой программе. Заранее признателен за любой ответ.

pipen3@yandex.ru

odIsZaPc :: MIV пишет:
цитата:
ДОБРЫЕ КРЭКЕРЫ КТО-НИБУДБ ПРИШЛИТЕ НА E-МЫЛО КРЯК (НЕ СБРАСЫВАТЬ КАЖДЫЙ РАЗ СЧЁТЧИК А КРЯК) ДЛЯ ПРОГИ TWEAK-XP PRO 3.0.2
ЗАРАНИЕ СПАСИБО


http://wmw.crackz.ws/hjkl...ll.version.crack-tsrh.zip

MozgC [TSRh] :: MRAK
У тебя тоже с русским плохо? Давай точную ссылку к файлу.

pipen
Я какнить постараюсь глянуть на днях, прикольная вроде прога. Токо щас с инетом проблемы, поэтому не знаю когда смогу скачать.

Nice & Kerghan
Не надо тут устраивать свое общение. Все вопросы и ответы не по теме задавайте и пишите в других темах.

.::D.e.M.o.N.i.X::. :: odIsZaPc пишет:
цитата:
Сколько хочешь за кряк? Ты точно уверен, что сможешь? Там HASP последней версии... А предыдущая версия Компаса ломалась правкой около 10-ти длл-ок....


Пиши в мыло, там все обсудим...

XoraX :: pipen , смотри в мыле.

MozgC [TSRh] :: XoraX
Ты уже сломал ? Мне качать?

Chirurg :: MozgC [TSRh]
Имею печальный опыт создания подобных тем.
Уверяю вас, что поток желающих скоро захлестнет все. На халяву-то..
IMHO конечно, но тему надо.. того...

Chirurg :: MRAK
Sorry, модем глючит ... Ента прога мною уже давно взломана и кряк валяется повсюду. Юзай поиск и обретешь щастье

MozgC [TSRh] :: Ну посмотрим че будет.. Пока более менее треть или половину выполняем =)

Solitaire :: MIV

скачай удалитель онлайн проверки от Реалисти, там в нфо-шнике есть ссылки на полную версию 3.0.2

кстати, на форуме imho.ws есть сообщения, ставящие под сомнение эту примочку от Реалисти... (может кто прокомментирует?)

MRAK :: MozgC [TSRh]
адрес проги http://www.ctimer.ru/clubtimer.exe есть лекарство но не работает лежит на http://crackz.ws/?i=97138 и http://crackz.ws/?i=97139 размер файла сервера не соответствует ломанный меньше.

MRAK :: Chirurg
может адресочки кинеш? а то перерыл почти все кроме этих двух ненашол

Chirurg :: MRAK
Туфта это, а не краки... Crisis team крякнули экзешник clubserver от предыдущей версии :))) (v. 2.40)
и кричат, что ура! А в версии 2.41 в клубадмине идет проверка на целостность кода сервера. И ни х..рена не крякается таким образом. Ищи меня в асе 146614834

diezel :: Да ты не профиль эт точно, я знаю

XoraX :: Chirurg , я ковырял последнюю версию, там нет проверки целостности.

XoraX :: MozgC [TSRh] , Bookmark Explorer - я убрал триал, но не получилось снять наг.
pipen сказал, что этого достаточно.... если самому интересно - то скачай...

P.S. замечу что прога убогая в плане оформления - у автора совершенно нет вкуса ;)

Саня :: Народ, ну взломайте этот Clubtimer 2.41, а? Он же уже давно вышел. А как же поддержка высочайшего уровня мозга российских хакеров? Кстати, а над кейгеном никто не думал? А то все сломать пытаются, а не пробовали ли посмотреть алгоритм проверки валидности серийника?

Chirurg :: XoraX
Есть. Если изменить хоть один байт в сервере, прога молча закрывается. Могу назвать адреса проверки (если вспомню)...

Саня
Ты читать умеешь? Взломали его. Над кмгенои я не думал и не собираюсь. Алгоритм проверки описан в статье HEX на этом сайте. Почитай...

Саня :: Если взломали - молодцы. Вот только крякой-то хоть поделились бы :)
А то тот лоадер, что везде распространен - работает криво. Сама прога-то запускается, но, например, база клиентов - не работает. Время поставить удается не каждый раз, а раза с десятого, если повезет...
Если есть рабочий кряк - вышлите кто-нибудь мне, пожалуйста, на navigator@ultranet.ru

pipen :: XoraX

Проверь почту плз.

Кстати, объясните ламеру, что такое наг и чем чревато его не снятие?

MC707 :: Отвечу за XoraX-a, т.к. он только часа через два будет. Наг - назойливо-надоедливое окошко с напоминанием о незарегистрированности программы.

MRAK :: Chirurg
так как насчет адреса к лекарству?
А то сломан сломан я одни только кривые видел.

odIsZaPc :: Короче, вот вам ссылка, тока чур никому.... :)

http://seasolution.com/Do...lease/Rus/SeaSolution.exe
Логин и пароль для скачки:
login: al
password: al01

А вот тут скачайте файл лицензии, там в readme все написал:
http://personal.primorye.ru/snaker/seasol.zip

Прога для судостроительного проектирования, Файл весит всего-то 4,44 Mb, при этом его стоимость около 1500 баксов....
Запустить ее будет элементарно, любой справиться. Нужно, чтобы она не только запустилась, но и были доступны все пункты из следующих меню:

File -› Output
File -› Import
File -› Export

У меня только половина доступна... Это если я код правлю, а не память.... А если правлю память, то доступны все меню, но из-за разности адресов, прога не работает в XP или 98 (в зависимости от того, где ломал)...

odIsZaPc :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Пиши в мыло, там все обсудим...


пиши

Ellie :: Народ! К вопросу о кряках на LumaPix Photofusion! Помогите убрать эту дрянь что типа по экрану ползет на готовой картинке, а? А то я крэки искала -нидде ничче, а хочется поюзать прогу, она попроще чем Фотожоп. где я ничче не понимаю. Помогите, а?

odIsZaPc :: Ellie пишет:
цитата:
Народ! К вопросу о кряках на LumaPix Photofusion! Помогите убрать эту дрянь что типа по экрану ползет на готовой картинке, а? А то я крэки искала -нидде ничче, а хочется поюзать прогу, она попроще чем Фотожоп. где я ничче не понимаю. Помогите, а?


Среди нас девушка... Ellie, посмотри тут:
http://astalavista.box.sk...h=lumapix+&submit=+search+

Chirurg :: MRAK
Я не поисковик, но нашел в 6 сек. хттп://2d.nordzone.ru

odIsZaPc :: MRAK
Я взломал его. там проверка целостности идет + таймер ставиться. У меня все работает - и на 100 компов тоже. Пиши сюда или на мыло - вложу на ftp...

MozgC [TSRh] :: odIsZaPc
Ты лучше зарелизь в инет, например на cracks.am а то прога вроде востребованная очень будет полезно.

odIsZaPc :: MozgC [TSRh]
Будет сделано!

Solitaire :: просьба посмотеть программу RegSnap v4.0
за эту программу до версии 3.хх брались парни из TSRh
но вот вышла новая версия и поиск ничего не дает :(
хорошая прога для сравнения снимков реестра, кто не знал )

ссылка на страничку загрузки:
http://www.lastbit.com/download.asp

прямая ссылка на закачку:
http://www.lastbit.com/ge...prg.asp?id=regsnap&site=1
http://www.lastbit.com/ge...prg.asp?id=regsnap&site=3 (зеркало)

размер 1.3Мб

MC707 :: Если ты про эту - RegSnap 4.0.0.1220 , то она с 12.01.04 у нас на сайте лежит мною раскуроченная :
http://exchange.bugz.ru/i...4.0.0.1220.crack-bugz.zip

Единственное, что я там не доделал - в Help-›About так и висит надпись unregistered. В лом исправлять было :)

alldemon :: плиз !!!! по адресу http://compebook.ru/pcbook.zip
лежит здравый учебник, но буржуи пароль просят ! help me

Solitaire :: MC707

да, именно про нее. спасибо! все работает!
доделал бы его чуть-чуть (я про анрегистеред),
да и кинул бы на те же cracks.am

cYbErLoRd :: Ну я уже создовал тему по поводу SkyWorker 1.2 Demo, но че-то все так и заглохло, когда разобрались, что это NE, если кто-нить все же сможет обломать ее, то буду очень признателен :)
http://astrologer.ru/soft...re/Skyworker/skywrk12.exe (1797kb) (Это астропроцессор)

odIsZaPc :: MozgC [TSRh] Зарелизил на cracks.am

Олег :: Уважаемые знатоки кряков!Помогите,кто может,вскрыть демо версию проги Офис-Склад-Магазин V4.3,которую можно скачать отсюда:http://www.freesoft.ru/fi...07&dl=0&filename=demo.exe Благодарность моя будет безгранична в пределах разумного,особенно если кто задумает приехать в гости на Украину!!!Пишите на мыло malyatko@inbox.ru

cYbErLoRd :: Олег
Твоя прога, как и моя к сожалению является ТУ файлом, так, что видимо обломс...
Хех.. а хорошоая защита получается с помошью NE файла, вам не кажеться ? :)
Мало кто знает как работать с этим форматом.

MozgC [TSRh] :: Дело не совсем в этом
Там нет принципиальных отличий
Проблема просто в том что с NE форматом многие (я тоже) чувствуют себя как не своей тарелке. А когда такое чувство присутствует, то и крэкми можно не сломать...

PS. Не будем больше обсуждать это и засорять эту тему.

mnalex :: alldemon
Там (в книжке) точно такая же защита, что и в ЕхcеlBook (то что на томже сайте), так что (ее уже здесь обсуждали и кряк делали для ехселя, непомню точно, но возможно, что и кряк тотже подойдет) ... если самому незнамо как - могу скинуть открытую, хотя там и новичек, как я, разобраться сможет...

MRAK :: odIsZaPc
Спасибо работает

odIsZaPc :: MRAK пишет:
цитата:
Спасибо работает


Наконец хоть кто-то мне спасибо сказал... Юзай на здоровье!

Александр :: Привет!!!Хакеры помогите пожалуйста с прогой, генерации чисел...Уж очень нужна, а она требует активацию, говорят что если не найду такую то уволят с работы...Помогите А??? Адрес: http://www.geocities.com/draftumc/prog.zip

Заранее ОГРОМНОЕ СПАСИБО!!!

MoonShiner :: This page is not available

MRAK :: odIsZaPc
Первый раз ктото так быстро и хорошо что то зделал
ClubTimer Administration 2.41с таблеткой работает без глюков в отличии от другими лекарств

odIsZaPc :: MRAK пишет:
цитата:
Первый раз ктото так быстро и хорошо что то зделал


Да ну? Много тут кто чего делал.... И все работало....

цитата:
ClubTimer Administration 2.41с таблеткой работает без глюков в отличии от другими лекарств


А что за глюки у других лекарств?

MC707 :: Александр
Несовсем понятно, что за прога и что она делает. Какое-то окошко и три непонятных кнопки.
Скажешь - посмотрю

odIsZaPc :: MC707 пишет:
цитата:
Несовсем понятно, что за прога и что она делает. Какое-то окошко и три непонятных кнопки.


Че-то с сим картами... Есть прога - надо ломать. Судя по цене, прога не слабая =)... Запакована TeLock 0.71. кто знает как распаковать? Я в этом пока не шарю...

MC707 :: odIsZaPc
Ты не прав, и вот почему: Cracked Draft.
Алгоритм генерации донельзя простой кейген сделать - 30 минут с черной работой .

Александр
Забирай и используй любой сериал из 24 знаков и всё!

Александр Re: MC707 :: MC707 и odIsZaPc

Спасибо ВАМ конечно, за то что помогли, прога начала работать, только она должна генерировать намного больше комбинаций, а она генерирует 3, и пишет что она все таки не зарегистрирована...извини за наглость, но просто сам никак...может еще разок посмотрите...а вообще это генератор карточек пополнения счета...

mmm :: http://host32.ipowerweb.c...sco/download/uiso6_ru.exe
Классная прога для редактирования виртуальных дисков. Все кейгены из Сети не подходят. Помогите сломать. Заранее благодарен.

UnKnOwN :: mmm пишет:
цитата:
http://host32.ipowerweb.c...sco/download/uiso6_ ru.exe
Классная прога для редактирования виртуальных дисков. Все кейгены из Сети не подходят. Помогите сломать. Заранее благодарен.


Вот корче качни может поможет :=)
http://www.unknown-ua.nm.ru/crack/

Это релиз от RORa...

там всё росписано :)

odIsZaPc :: MC707 пишет:
цитата:
Ты не прав


В чем именно не прав?

odIsZaPc :: Александр пишет:
цитата:
Спасибо ВАМ конечно, за то что помогли, прога начала работать, только она должна генерировать намного больше комбинаций, а она генерирует 3, и пишет что она все таки не зарегистрирована...извини за наглость, но просто сам никак...может еще разок посмотрите...а вообще это генератор карточек пополнения счета


А в чем проблема? Сдел 3 штуки, выключилась... Запустил снова - опять 3 и т.д..... А ты как думал? Этож Кряк!

Runtime_err0r :: odIsZaPc
Дело в том, что она каждый раз одинаковые цифры генерит
А вообще все эти генераторы карточек либо трояны либо просто фэйки, так что я на эту прогу забил сразу же после распаковки

odIsZaPc :: Runtime_err0r
Думаешь? Косяк...

odIsZaPc :: Александр
А кем ты работаешь, если тебе такие проги нужны?

MC707 :: odIsZaPc пишет:
цитата:
Судя по цене, прога не слабая =)...


Вот в этом не прав. Хотя я теперь понял, что это генератор (поэтому цена видимо такая) - а такие генераторы - фуфло.
Так что сорри если что...

Runtime_err0r :: odIsZaPc

цитата:
Думаешь? Косяк...


Я вообще никогда не думаю - это вредно
А «генератор» состоит из двух строк, которые забиты открытым текстом в прогу: 45103879502774 и 75303662234070

-= ALEX =- :: задолбали эти проги «лохотроны». Кому вы верите ? нигде нет халявы и забудьте про неё....

Radiovandal :: Всем привет. Если у кого есть наработки по пакету программ PicantIDE 5.x.x (http://www.picant.com/c2c/download/picant522.zip размер 4,6Mb) то дайте ответ пожалуйста (или пришлите на мыло slabvand@mail.ru), а то по поводу этой программы ничего вразумительного в инете не нашёл. Заранее спасибо.

X0E-2003 :: Ломаните, или скажите, что вы думаете о ней можно ли ломануть или нет.

Virtual Dj v1.08 (20-day trial)

http://download.com.com/3001-2170-10257639.html
Весит: 5.8МБ
Кульная прога для Dj’ев простота в испольховании и все такое

UnKnOwN :: -= ALEX =-
пишет:
цитата:
задолбали эти проги «лохотроны». Кому вы верите ? нигде нет халявы и забудьте про неё....


Вот это ты правильно подметил

mikh :: Привет всем!
Помогите пожалуйста с программой. Все мои старания до этого не увенчались успехом.
С Вашими правилами ознакомлен.

1) С местом расположения программки проблемка (в сети не нашел, могу выслать на почтовик)
2) Точный размер файла - 1 245 696 Байт (1,2 Мб)
3) Оценка транспортных средств

Желательно получить хоть какую-то консультацию.
Удачи всем, кто решиться попробовать.

XoraX :: mikh , кидай.
мыло внизу
¦
¦
\/

Nike :: MozgC [TSRh]
Привет!!!
У меня большая просьба.
Нужен крек к проге.
Это лучший виндовский IRC сервер. Размер 4.8 mb
http://www.ircxpro.com/ircxpro.exe
Там хитрая защита. Проверяет валидность ключа,
Путем запроса на свой домашний сайт.
Не обязательно послностью крякать.
Demo версия ограниченна количеством user’ов.
Можно просто увеличить это число.
Буду очень благодарен, если крякните.
(P.S. Обязаетльно сообщите на uve@ngs.ru) Заранее спасибо.

MozgC [TSRh] :: Сорри, но я 4.8Мб не смогу скачать, у меня инет по траффику, может кто другой посмотрит.

UnKnOwN :: MozgC [TSRh]

Давай я скачаю, :)))))

Если что свисти

Viktor :: Уважаемые! Помогите кому не трудно. Прочитал статью на этом сайте «Исследование программы Числовая мандала 1.20», решил попробовать. Скачал с www.mastertarot.net/mandala размер 1 162 240 байта, демо-версия. Стал делать по статье, но получил все абсолютно другое, может скаченный исходник уже другой (статья от 2003 г.) Помогите как её сделать полной версией. Сбросте мне на tsars@mail.ru. Зарание благодарен.

Runtime_err0r :: Viktor

Да уж, новый билд, у меня-то размер был 1155807
Ладно, может скачаю на досуге новую ... или могу скинуть старый вариант для тренировки

Barracuda :: Нужна взломанная версия программы ClubControl 3.6 Platinum или триал версия с кряком могу купить
http://clubcontrol.spb.ru/demo/clubcontrol3rus.zip
3,62 mb.
система управления компьютерным клубом ClubControl.

dido1 :: Нужен крэк.
Прога для составления карт.
http://www.vingeo.com/Digitals.zip, 790KB
Упаковщик ASPack снял. Hardlock не могу, не умею, пока.

UnKnOwN :: Barracuda

Имхо, прога галимая, лучше попробуй Network Administrator 5.5.5 (http://www.mav.h1.ru), намного лучше этой...
Попробуй, результат скажеш...

mmm :: UnKnOwN
Насчет ссылки на релиз UltraISO от ROR-а - во-первых версия старая, во-вторых - не русская. Если нет крэков, то хотя бы описание, как взломать прогу. Еще раз даю ссылку http://host32.ipowerweb.с...sco/download/uiso6_ru.exe

mmm UnKnOwN :: Вот именно, что версия не новая :-( Да и зачем русификатор, если есть русская версия? Впрочем, я уже нашел валидный серийник. Жаль, что не кейген :-( И все-таки хотелось бы ее ломануть. На будущее. Может подскажете как? У меня пока не получилось...

UnKnOwN :: mmm

Там лежит предыдущая версия проги, ехе + кейген, помоему в новой версии нечё не изменилось, помоему

Русификатор поищи в инете

Char :: Привет! Жертва - игра LuckCity. Написана на VB (6.0 вроде). Линк:
http://www.avergame.narod.ru/soft/luckcity.exe
Сжатый размер 500 кб, полный 1,3 мб. Игра енто, стратегия экономическая.
Сам пробовал колупать Soft-Ice-ом - поймал тока на hmemcpy. Но дальше - ноль. (Самое обидное - там даже аспротекта нет). Хотя я вообще не очень в кряэкинге. Но... если б хоть код иметь - и то здорово (рег. номер моей копии 3624432448). Хотя лучьше бы подсказку, как... плиз-з-з ;-)
Заранее благодарен всем!

odIsZaPc :: Char VB гимор!

Runtime_err0r :: Char
_http://www.zone.ee/Runtime_err0r/LuckCity1.exe

W32Dasm - ищешь строку Version 1.0 (Unregistered) смотришь как туда попал, там dword по адресу 48402С сравнивается с 7BA. Ставишь bpm 48402C и смотришь где в этот адрес кладётся значение.

Или меняешь 47BCCC 84 -› 85 и прога схавает любой рег. код, и создаст файл registr.lks с правильным номером

Липка :: Дайте кряк на AtClock for Windows 95/98/Me/NT/2000/XP Version 1.2 (beta)!!!
mailto:lipark@inbox.ru

Липка :: Пардон! Ща исправлюсь...
1) не знаю...
2) тож не знаю, не я скачивала, не я устанавливала, поэтому не знаю...
3) заменяет стандартный часы в трее на свои с кучей всяких разных скинов...
Программа Shareware, т.е. условно бесплатная: на 30 дней. Создаёт в реестре ветвь (каждый раз - разное имя у этой ветви), где записывает, скока осталось до конца срока. Стоит защита AsProtect. При переводе календаря на день назад отфутболивает и пишет, что срок использования закончился...

MozgC [TSRh] :: Липка
Я тебе могу выложить ATClock 1.1 beta поломанный. Не устроит? Просто ATClock трудно распаковывать...

mmm :: UnKnOwN
Вот именно, что версия не новая :-( Да и зачем русификатор, если есть русская версия? Впрочем, я уже нашел валидный серийник. Жаль, что не кейген :-( И все-таки хотелось бы ее ломануть. На будущее. Может подскажете как? У меня пока не получилось...

Сэм :: Всем привет!
нужен крэк для программы Деловар
1. URL http://delovar.info/idea/delovar.zip
2. 441168 Кб
3. Для использования в работе расчет экономических показателей рентабильности производства

MozgC [TSRh] :: Сэм
Не качается.

odIsZaPc :: Сэм
Второй раз уже пишу: НЕ КАЧАЕТСЯ!!!

Runtime_err0r :: Сэм

цитата:
нужен крэк для программы Деловар
1. URL http://delovar.info/idea/delovar.zip
2. 441168 Кб
3. Для использования в работе расчет экономических показателей рентабильности производства


На сайте лежит нерегистрабельная демка нужна RETAIL версия ...

RalF :: http://www.tradesoft.ru/d...wnload/orders/orders3.exe - 5,3M
Отличная программка - Стол Заказов Автозапчастей. - учет,ведение стола заказов.
да вот беда - trial она....

Solitaire :: X0E-2003

вот те ссылка на полную версию
(запрос на 8 страничке про прогу для диджеев)

http://www.0daycn.net/0da...QwHwvsdHGoGHoNvcHYQOG.htm

ни к чему давать непрямые ссылки (с)
=))

ps почему у меня никогда не срабатывает тег [б]...[/б] ???

Solitaire :: добавок )

http://www.0daycn.net/0da...QwHwvsdHGoGHoNvcHYQOG.htm
тычишь на любую папочку с иероглифом или нажимаешь
на ней скопировать, пихаешь во флешгет и доолжно качаться...
если не работает одна, попробуй другую




Radiovandal Помогите взломать Picant 5.2.2 Всем привет. Если у кого есть...



Radiovandal Помогите взломать Picant 5.2.2 Всем привет. Если у кого есть наработки по пакету программ PicantIDE 5.x.x (http://www.picant.com/c2c/download/picant522.zip размер 4,6Mb) то дайте ответ пожалуйста (или пришлите на мыло slabvand@mail.ru), а то по поводу этой программы ничего вразумительного в инете не нашёл. Как продлить срок работы вроде разобрался (по умолчанию 15 дней), но хотелось
зарегистрировать (там плагины приличные), а насчёт этого все мои старания оказались малоэффективны.
P.s Заранее спасибо.

Yokel :: Что за программа, чем защищена???

Radiovandal :: Cудя по всему программа защищена Armadillo. А сама программа является интегрираванной средой разработки прог
под PIC мк поддерживает c2c-plus p2p-plus компиляторы. Вобщем прога серьёзная и думаю нужная.

odIsZaPc :: Если там действительно Armadillo, а ты действительно новичек, то бросай, рано еще Арму распаковывать. Другой вопрос, если тебе кто с форума поможет... ИМХО, Armadillo - это не тот протектор, который можно распаковать прочитав пару статей....

MozgC [TSRh] :: Radiovandal, я могу чисто попробовать распаковать (а дальше будешь сам или кто другой патчить). Так что если нужен распакованный .exe то я может гляну.

Radiovandal :: В полне устроит и такой вариант, буду рад любой помощи.
P.s
Большие проблемы надо решать вместе....

UnKnOwN :: MozgC [TSRh]

Хотиш попробовать ?

Свяжись со мной, заделаем ...

Radiovandal :: Укажи как с стобой связаться по подробнее и реально заделаем!!!
Буду очень благодарен...

Radiovandal :: народ!!! Жду советов. Пока крякнуть не удалось....

odIsZaPc :: Шарят люди.... Пойду-ка я отсюда...

Radiovandal :: Народ!!! Я всё ёщё здесь и пока удалось лишь крякнуть триал срок!!! Но чтоб зарегистрировать ее как положено....(крепкий протектор).

XoraX :: Radiovandal , ну давай, выкладывай распакованый ехешник...

MozgC [TSRh] :: Интересно как ты мог крякнуть триал срок если там армадилло ?




infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added...



infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added armadillo 3.60 support

new in arma 3.60: tables are divided in 16 parts, each of them crypted using unique routine. But i found some mistake in arma code and decoding are possible and very simple. Also if VB program been protected by arma 3.60 there are some stuff like this:
push ebp
jmp ‹addr outside app›
continue:

addr outside app:
mov ebp, esp
jmp continue

e.t.c
so then u trying to run dumped file it crashed. Solution: u need to dump also a section of code located at ‹addr outside app› addresses and than add this portion of code to produced dumped exe. One tip - base address of this section are different in different execution’s of target app - so u MUST dump this section TOGETHER with main dump, otherwise it will be useless. Exact size of additional section greate shows by LordPE - just get one of ‹addr outside app›, then look in «dump region» table and locate in which region (marked as XRW) this addres points to. After dumping this region use «Add section from fil» feauture, as data select dump of this region, and change section base to base address of region. If EXE became «not valid» use «rebuild PE» feature. Thats all :) Any comments ?
odIsZaPc :: Круто...

-= ALEX =- :: infern0 еще бы и понять для чего это....

infern0 :: Встретишь прогу с армой 3.60 - поймешь. У них счас упор на наномиты - таблицы побиты на 16 кусков, каждый кусок пошифрован по своему. Функция шифрования необратимая. Еще есть надерганные куски кода и эи куски пишутся каждый раз по разным адресам с соотв настройкой переходов. Получить рабочий дамп - проблема, нужно дампить одновременно еще и сдвинутый кусок и потом добавлять его отдельной секцией к EXEшке. Типа вот так :)
Ну а таблицы мой НРек автоматом дампит и расшифровывает - ребята из силикон реалмз в очередной раз @!#$ а-лись.

XoraX :: пиз детц

odIsZaPc :: А не подскажет кто где взять полнофункциональную арму...

vins :: того гляди Солодовников разорится :)

infern0 :: odIsZaPc пишет:
цитата:
А не подскажет кто где взять полнофункциональную арму...


гы, народ проникся мощностью защиты :))
я им вообще-то рекламу не делал, совсем наоборот :)

Xorax - не все так плохо - плохо только первый раз :)))

Kerghan :: infern0
каждую неделю новая версия, ты крут

ЗЫ в такие моменты я жалею, что пошел по этому пути

odIsZaPc :: vins пишет:
цитата:
того гляди Солодовников разорится


Сологитарист Садовников (садомазо...) =)

infern0 :: Kerghan пишет:
цитата:
каждую неделю новая версия, ты крут


я просто слежу за обновлениями силиконовых парней :)

цитата:
ЗЫ в такие моменты я жалею, что пошел по этому пути


этого я не понял. хотя перечитал 2 раза.

Kerghan :: infern0

цитата:
этого я не понял. хотя перечитал 2 раза


просто хотел сказать, что если арма и дальше будет развиваться такими темпами, то из нее выйдет что-то очень... хорошее

Dragon :: Да ничего из неё не выйдет. Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь. А арму стоит чуть-чуть покопать, и тут же всё OK.

MoonShiner :: Dragon пишет:
цитата:
Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь


Угу. Xprot ;)

Dragon :: Да нет, там тоже постепенно всё понятно становиться, scrambled код легко обходиться по постоянству стека, надо проанализировать весь код драйвера и снять антиотладочные и антидамповые приёмы, а остальное несложно. Правда там написано, что псевдокод появился, что-то его не видно.




Bad



Bad_guy Попробуйте CRACKL@B CrackMe #3 Hard... Вышел новый крэкми от меня, он весьма сложный. Ну что, кто у нас тут самый продвинутый... ломайте ! Интересно кто будет первым ?
http://cracklab.narod.ru/dload/clab3.rar
175Кб
nice :: Bad_guy
Одну картинку я уже получил, но не такую красивую, как хотелось ;)

MozgC [TSRh] :: Bad_guy
Ты бы хоть соревнования устроил когда у людей каникулы... А то тут еще экзамены сдавать..

Kerghan :: MozgC [TSRh]
да ладно не отмазывайся
nice
не, ну инвалидная за две минуты находится... вот как валидную найти
Bad_guy
а ты кстате зря оставил строку «введите код», она сразу выводит на проверку

MozgC [TSRh] :: Kerghan
Да я не отмазываюсь.. Реально еще надо экзамены пересдавать, причем в другом городе...

-= ALEX =- :: щас попробую. Bad_guy я уже пакер свой почти написал, ты тоже вроде б собирался. Цитирую: «Пакер не за горами, только вот нет подходящего алгоритма по степени сжатия, чтобы хотя бы оказаться на 3 месте после UPX и ASPack.» :)

-= ALEX =- :: пока только такую картинку получил :)

блин времени нету...

odIsZaPc ::
Новый замут...
Bad_guy
Ты б хоть приз что-ль придмал.... Ящик пива например....

Dragon :: О, хоть будет чем заняться... А то я ещё ни одного crackme не пропускал, надо традицию продолжить.

Runtime_err0r :: -= ALEX =-
Эту картинку все уже получили надо теперь нормальную ...

Dragon :: Bad_guy

Ошибка 998:
Неверная попытка доступа к адресу памяти.

Это что такое?

odIsZaPc :: Особенно понравилось:
* Possible String Reference to: ’Delphi String Protect by BGCorp.’
-) типа Билл Гейтс? =) Или Борис Гребенщиков? -)))))

odIsZaPc :: Dragon

цитата:
Ошибка 998:
Неверная попытка доступа к адресу памяти.


Защита однако...

Serg :: -= ALEX =- пишет:
цитата:
щас попробую. Bad_guy я уже пакер свой почти написал, ты тоже вроде б собирался. Цитирую: «Пакер не за горами, только вот нет подходящего алгоритма по степени сжатия, чтобы хотя бы оказаться на 3 месте после UPX и ASPack.» :)


Причем оба алгоритма сжатия OpenSource :) или как минимум в obj’никах поставляются. В чем проблема - используй готовое!

br, Serg

odIsZaPc :: Serg
Этика не позволяет. Однако надо крякми ломать....

-= ALEX =- :: Serg да я не чешусь алгоритмом паковки, я уже себе выбрал :) а вот ты сам попробуй эти obj использовать по назначению, потом скажешь....

MC707 :: Интересно, регномер 5, 10 или 37-начный?

Bad_guy :: MC707 пишет:
цитата:
Интересно, регномер 5, 10 или 37-начный?


4 значный, я ещё статью напишу как вам не взломать 4 значный пароль...
-= ALEX =- пишет:
цитата:
я не чешусь алгоритмом паковки, я уже себе выбрал


Какой алгоритм то взял ? Платный будет паковщик ?
Dragon пишет:
цитата:
Ошибка 998:
Неверная попытка доступа к адресу памяти.
Это что такое?


Это значит у тебя крэкерских тулз дофига на компе вот попробуй программку:
http://cracklab.narod.ru/dload/find.rar
odIsZaPc пишет:
цитата:
Ты б хоть приз что-ль придмал


За удовольствие не платят. Это вот вы бы лучше скинулись по сотне - я бы вам крэкми каждый день писал.
MozgC [TSRh] пишет:
цитата:
соревнования устроил когда у людей каникулы


А у меня каникулы... а когда была сессия я алгоритм придумывал

НУ... КТО ПЕРВЫЙ ???

MoonShiner :: я пока не смотрел, потому как на работе, вечером гляну. Но есть идейка:) Что если наш крякмиписатель взял какую нить бмп-ху, пошифровал ее кроме заголовка, а от имени и введенного нэйма генерит какой нить хэш и расшифровывает картинку? Тады упаримся ломать. (с бмп-шкой может и прокатит как нить, а вот с jpg...)

Bad_guy Re: MoonShiner :: MoonShiner
Без комментариев.

-= ALEX =- :: Bad_guy пишет:
цитата:
Какой алгоритм то взял ? Платный будет паковщик ?


aplib... в общем я делаю не пакер, а протектор. а платный или нет, скажит народ...

odIsZaPc :: -= ALEX =-
Я - представитель народа....
Народ говорит: бесплатный =)

MC707 :: MoonShiner пишет:
цитата:
с бмп-шкой может и прокатит как нить, а вот с jpg...


Там вроде gif, что не сильно дело упрощает

odIsZaPc :: А вот интересно...
Че-то я там намаял типа call [ecx-***], но че-то усе равно несрост...
И еще: Таймер - он типа для красоты (задержка перед появлением «Invalid Passwd»=) или он тоже че-то мудрит? При беглом обзоре вроде как нет, хотя ХЗ че он там намутил....
Вроде еще какой-то цикл, работающий 30.000 раз.... Ну это уж я ткплю...
Еще: Там, где DeDe выдает ассемблерный листинг (по адресу процедурки FormShow), IDA выдает совсем другое... Полиморф Bad_GUY извращается как может. Не удивлюсь если на секретной bmp-шке (не та которую уже нашли) будет написано, что типа «Это неправильная bpm - извините, не туда попали...» -). И почему DeDe выдает нормальный листинг процедуры FormShow, а SoftIce и IDA - пошифрованный - не понимаю....

Bad_guy :: odIsZaPc
1. Таймер - он типа для красоты !
2. цикл, работающий 30.000 раз - да, часть защиты.
3. «полиморф Bad_GUY извращается как может» - нет там никакого полиморфа.
4. «Это неправильная bpm - извините, не туда попали...» - нет, такого не будет.

Serg :: -= ALEX =- пишет:
цитата:
Serg да я не чешусь алгоритмом паковки, я уже себе выбрал :) а вот ты сам попробуй эти obj использовать по назначению, потом скажешь....


А в чем трудность то ?
ASProtect на сколько мне известно юзает всем известный aplib, upx свою технологию сжатия - забыл как называется,
для первого, для всех obj’ников для ВСЕХ языков есть примеры, второй реализован в UPX.. :-\
Или ты про другое ?

br, Serg

odIsZaPc :: Типа убрал проверку на всякие там PE TOOLS’ы и WDASM’ы. Мелочь, а приятно.... =)
Правда там «access violation», но запускается... Кому интересно - переход адрес 43DCBF за’nop’ьте.

MaDByte :: 2Bad_guy
А на асме слабо было написать?
Кстати, ты знаешь что с DeDE твой Delphi String Protect не проходит?

2odIsZaPc
А может лучше записать 0хEB по смещению 0х58307?

MaDByte :: А если убить с рабочего стола ярлыки на всякие тулзы и поубивать ссылки на них в реестре, то хрен че find.exe найдет...

XoraX :: MaDByte , дык ищется тулза не в реестре, а на диске.

odIsZaPc :: MaDByte
Неа.... -)
Я вот это:

00458F04 cmp eax, +$02
00458F07 jle 00458F75

заменил на это:

00458F04 jmp 00458F75

odIsZaPc :: XoraX пишет:
цитата:
MaDByte, дык ищется тулза не в реестре, а на диске


MaDByte пишет:
цитата:
А если убить с рабочего стола ярлыки на всякие тулзы и поубивать ссылки на них в реестре, то хрен че find.exe найдет...


Вы не совсем правы... Прога ищет их не только в реестре и на диске, но и в памяти. У меня по умолчанию ловит 2 проги: Софтайс и LordPe. Если запустить еще например DeDe, то остановившись по адресу 00458F04 в EAX можно увидеть их число - 3. Не знаю почему такое ограничение в 2 тулзы, лучше уж вообще запретить запуск, если есть хоть одна...
Короче, это все несерьезно, надо ломать.... Кто скажет, че это там за цикл на 30.000 раз? Генереция хеша какого-нибудь?

Bad_guy :: «А на асме слабо было написать?»
А ты сначала этот крэкми сломай, а потом я на асме напишу.
«Кстати, ты знаешь что с DeDE твой Delphi String Protect не проходит?»
Не должно такого быть, просто кое какие строки незапротекчены.
»...то хрен че find.exe найдет...»
Правильно, а как ты хотел ?

XoraX - неправильно, по диску слишком галимо искать - винч хрустит, да и занимает это несколько десятков секунд, а тут за 1 секунд по ссылкам находится практически всё, а я ещё найденные пути хочу обработать «статистический путь» так сказать найти и там уже всё остальное поискать обычным поиском. Вообще я готовил для вас «подарок» - стирание всех крэкерских тулз, но одумался.

odIsZaPc
Подсказка: 30000 процедура - генерация хэша из ключа.
Зачем это нужно (30000 раз) - попробуй догадаться.

odIsZaPc :: Bad_guy пишет:
цитата:
Вообще я готовил для вас «подарок» - стирание всех крэкерских тулз, но одумался.


И правильно сделал. МЫ бы тебя поймали.... =)
Bad_guy пишет:
цитата:
Подсказка: 30000 процедура - генерация хэша из ключа.


Вот спосибо хорошо, Все равно мне не сломать. Но попробовать нужно.
Че-то я не понял, а где прошаренные люди?????

-= ALEX =- :: Serg я использую в своем пакере/протекторе именно aplib... и вообще у меня не возникает проблем с этим. я просто bad_guy’ю подсказал, какой алгоритм я юзаю...

Runtime_err0r :: -= ALEX =-
Кстати, я вот о чём подумал - а что если выковырять из WINRAR’а алгоритм и использовать его для сжатия EXE’шников ? RAR жмёт сильнее UPX’а и ASPack’а

-= ALEX =- :: Runtime_err0r попробуй, может быть получится... а вообще мне особо по барабану какая там степень сжатия, я собираюсь делать не супер маленький пакер, а, повторюсь еще раз, протектор. aplib - помоему подходящая библиотека

MaDByte :: odIsZaPc пишет:
цитата:
00458F04 jmp 00458F75


Виртуальному адресу 458F04 соответсвует файловое смещение 58307
Bad_guy пишет:
цитата:
Не должно такого быть, просто кое какие строки незапротекчены


Из DeDe:

* Possible String Reference to: ’А имя кто вводить будет ?’
¦
00458C78 B8588E4500 mov eax, $00458E58
Из IDA:

CODE:00458E58 _str_________________0 dd 0FFFFFFFFh ; _top
CODE:00458E74 ; DATA XREF: CODE:00458CA1
CODE:00458E74 dd 23 ; Len
CODE:00458E74 db ’=ch240;ch244;ch254; ch241;v ch248; ch250;ch254;ch244; ch242;ch242;ch245;ch184;ch170;ch248;...’,0;

(Форум символы не отобразил)

odIsZaPc :: MaDByte пишет:
цитата:
Виртуальному адресу 458F04 соответсвует файловое смещение 58307


Иначе и быть не может :), а ты как думал?

odIsZaPc :: Не ломается....
Его вообще реально хакнуть нахождением серийника?

Nitrogen :: CODE:00458D10 mov edi, 7530h
CODE:00458D15
CODE:00458D15 loc_458D15: ; CODE XREF: CODE:00458D3Bj
CODE:00458D15 lea edx, [ebp-28h]
CODE:00458D18 mov eax, ds:string_to_be_hashed ; @1st circuit eq entered serial
CODE:00458D1D call get_md5_hash
CODE:00458D22 lea eax, [ebp-28h]
CODE:00458D25 lea edx, [ebp-18h]
CODE:00458D28 call md5_hash_to_string
CODE:00458D2D mov edx, [ebp-18h]
CODE:00458D30 mov eax, offset string_to_be_hashed
CODE:00458D35 call @System@@LStrAsg$qqrv ; System::__linkproc__ LStrAsg(void)
CODE:00458D3A dec edi
CODE:00458D3B jnz short loc_458D15
CODE:00458D3D lea eax, [ebp-2Ch]
CODE:00458D40 push eax
CODE:00458D41 lea edx, [ebp-28h]
CODE:00458D44 mov eax, ds:string_to_be_hashed
CODE:00458D49 call get_md5_hash
CODE:00458D4E lea eax, [ebp-28h]
CODE:00458D51 lea edx, [ebp-30h]
CODE:00458D54 call md5_hash_to_string
CODE:00458D59 mov eax, [ebp-30h]
CODE:00458D5C mov ecx, 6
CODE:00458D61 mov edx, 1
CODE:00458D66 call @System@@LStrCopy$qqrv ; System::__linkproc__ LStrCopy(void)
CODE:00458D6B mov eax, [ebp-2Ch]
CODE:00458D6E push eax
CODE:00458D6F lea ecx, [ebp-34h]
CODE:00458D72 mov dx, 6
CODE:00458D76 mov ax, 0Fh
CODE:00458D7A call sub_458B30
CODE:00458D7F mov edx, [ebp-34h]
CODE:00458D82 pop eax
CODE:00458D83 call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00458D88 jnz short loc_458D8C

грустно..

odIsZaPc :: Nitrogen
А че грустно-то?

The DarkStranger :: Nitrogen пишет:
цитата:
md5


вот это грусно и все остальное что связанно с хэшами
вобще можно написать брутфорсе и перебрать так как настоящий хэшь найти можно точнее я уже его видел НО скоко же будет все это перебиратся ??? вот в чем вопрос и тогда сразу видно что ломать смысла нету ради интереса загружать свою тачку не в кайф причем разговор идет не об одном дне на скоко я думаю а так впринцепи что в этом крякми такого что прям вообще ??? одно могу сказать если бы в нужной программе была бы такая защита я бы ковырял а кракми ломать для того что бы выделится хм..... потратить кучу времени на пустой крякми зачем спрашивается всю защиту составляют стойкий криптоалгоритм ( придуманный НЕ БЭД ГАЕМ ) просто бэд гай его приподнес и все а теперь конечно кричит что не сломать хотя мне кажется найдется кто нибуть кто за брутит этот кракми только толку в этом не какого .....................

Nitrogen :: odIsZaPc

ну грубо говоря:

for i:=1 to 30000 do serial:=md5hash(serial);

потом первые 6 символов того что получилось сравниваем с константой

Nitrogen :: The DarkStranger
ну вот как-то чувак один из snd делал кейгенми - заключался в том, что от имени брался RCx/md5/еще что-то.. все результаты объединялись в одну строку и типа это ключ.. ну что спрашивается за лажа?..

короче лично я не понимаю _такие_ крякми

p.s 0045D18C - картинка..

odIsZaPc :: Из Code генерируется хеш, потом хеш че-то делает с Name, в результате чего возможно генерируется адрес на процедуру раскриптовки или еще что-то подобное. Я в правильном направлении копаю?

odIsZaPc :: The DarkStranger
А может md5 - это залепа какая-нибудь? А на самом деле там че-то другое? А если и вправду md5, то извиняйте - как такое ломать? Может Bad_Guy че объяснит?

odIsZaPc :: The DarkStranger
Не, наверняка была оставлена какая-то лазейка, кторая позволяет и без перебора ломануть... Хотя ХЗ этого BG...

odIsZaPc :: Nitrogen пишет:
цитата:
p.s 0045D18C - картинка..


Настоящая? =)

Nitrogen :: да на сколько я понял - имя и не нужно вовсе..

проверка - соответствие 30000xMD5HASHEDserial[1..6] константе
2ое - копайте 00458770.. там на основе hash-а (не факт, что самого последнего.. скорее всего предпоследнего) дешефруется картинка (0045D18C).. и идет проверка gif это или нет..

Bad_guy :: Nitrogen молодец, всё правильно понял. В общем то можно считать, что крэкми им формально сломан. Потому что приницип защиты он понял. Действительно, эту защиту можно взломать только перебором. Хотя ключ - всего 4 символа и сразу становится понятно зачем мне нужно хэш 30000 раз брать - чтобы замедлить перебор до безобразия, это по-моему весьма интересная идея в защите. Имя пользователя - не используется :)
Кто-то там хотел ради реальной проги брутфорсер сделать - ну какая разница ? А если я пятисимвольный или шестисимвольный пароль возьму - годы понадобятся твоему брутфорсеру.
Криптоалгоритм сделал не я, кстати это Rijndael, и хэш не я - Md5. А это что-нибудь меняет ? Давай я свой криптоалгоритм напишу - не поможет во взломе.
Вы спросите - зачем я создал невзламываемый крэкми ? А затем, что мне уже надоели умники, которые сломав второй крэкми уже начинают писать - «фу, бэд гай не умеет защиту писать». Я написал. В следующий раз буду писать уже взламываемые крэкми, но если кто-нибудь начнёт выпендриваться, то просто предложу взломать третий крэкми, вот и всё.
Кстати брутфорсом его можно взломать примерно где-то не более чем за месяц. Там символы английские большие и малые и цифры.

Bad_guy :: Кстати, если даже я выложу исходники - защиту всё равно не сломать кроме как перебором.

Nitrogen :: Bad_guy
ты хоть пароль скажи ;)..

Bad_guy Re: Nitrogen :: Nitrogen пишет:
цитата:
ты хоть пароль скажи ;)..


Нет уж, пускай кто-нибудь забрутфорсит.

odIsZaPc :: Bad_guy
А че на картинке написано?

-= ALEX =- :: Bad_guy ща поставлю брутфорсить, через месяц увидимся :) :)
P.S. картинку хоть покажи ?
P.P.S. скоро свой крякми выложу по распаковке своего пакера/протектора ...

odIsZaPc :: -= ALEX =-
В чем преимущество твоего пакера перед ASProtect например?

-= ALEX =- :: пока ни в чем, я тока «учусь»... дальше посмотрим.....

MoonShiner :: А все таки я был прав:) Практически:)

odIsZaPc :: -= ALEX =-
Сколько времени убил на него?

odIsZaPc :: MoonShiner
Не согласен что он взломан... Переборщик тоже надо грамотно реализовать...

Dragon :: Придёться сейчас сказать, раньше не мог. Я нашёл хеш функцию и подсчитал, что перебор делать бессмысленно. Сомневаюсь, что кто-то пароль подберёт, это не второй крякми с кривым 16-битным хешем.

Bad_guy :: MoonShiner пишет:
цитата:
А все таки я был прав:) Практически:)


Да, но ты чисто теоретически так решил, а Nitrogen посмотрел, разобрался...
Dragon пишет:
цитата:
это не второй крякми с кривым 16-битным хешем


Вот-вот для таких фраз и заявлений я и написал третий крэкми...

Я вас не понимаю, трудный крэкми вам не нравится. Простой ещё больше не нравится. Хотя кстати у меня тут просили крэкми совсем для новичков.
Как думаете, наверное лучше его на Visual C++ написать ? Там вроде бы меньше всякого мусора в коде и непоняток ?!

Kerghan :: Bad_guy пишет:

цитата:
тут просили крэкми совсем для новичков.


это кто же интересно?

цитата:
Visual C++ написать ?


тогда уж на асме

MozgC [TSRh] :: Для новичков лучше на асме.
Что насчет

Bad_guy пишет:
цитата:
Я вас не понимаю, трудный крэкми вам не нравится. Простой ещё больше не нравится.


То ты зря так думаешь. То что ты сделал сейчас это реально перебор. Ни к чему, а вот первый крэкми тот был в самый раз. Прикольно.

Bad_guy :: Kerghan пишет:
цитата:
это кто же интересно?


Да какой то незнакомец по имэйлу.

MozgC [TSRh] пишет:
цитата:
первый крэкми тот был в самый раз


Зато этот реализовать гораздо проще. Мне даже не пришлось ничего с откомпилированным файлом делать, а с первым я там ещё и в софтайсе сидел и в 16ричном редакторе.
Ну что, сдал экзамены ?

MozgC [TSRh] :: Да сдал, 20 часов отсыпался без перерыва =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
20 часов отсыпался без перерыва


Что у тебя за экзамены такие ???
Я вот на экзаменах как на каникулах - 2 часа в день «поучишь», а остальное время - «твоё».
Правда всё на тройбаны сдаю, стипендия - хрен с ней, копейки. Да и всё равно какая нибудь зараза тройбан всадит, даже если очень готовиться.

MozgC [TSRh] :: Да эта сессия - это какой-то кошмар был, во-первых, как будто специально все стремные экзамены собрали в одну сессию, во-вторых, я в этой сессия что-то не особо писал лекции и поэтому все пришлось учить как в первый раз перед экзаменами, в-третьих, препод, которые вел сразу 2 предмета вообще ничего не объяснял - открываешь тетрадь - набор формул, как хочешь так и учи, все это привело к тому, что готовился целыми днями, учил по ночам, часто спал по 3 часа в день. Вот и отоспался после последнего экзамена (пересдачи) =)

-= ALEX =- :: MozgC [TSRh] поздравляю !

odIsZaPc :: MozgC [TSRh]
Однако палево... Какой курс?

MozgC [TSRh] :: 3

odIsZaPc :: MozgC [TSRh]
И я 3-й... будем дружить...

odIsZaPc :: Bad_guy пишет:
цитата:
Кстати брутфорсом его можно взломать примерно где-то не более чем за месяц. Там символы английские большие и малые и цифры.


Это не совсем так, если ты не имеешь ввиду перебор до нахождения правильного ключа... Тебе-то он известен. Давай посчитаем:
У меня P1000. Вставив GetTickCount до и после 30.000 Md5, я выяснил, что сия процедура длится примерно 800-900 миллисекунд.
Считаем дальше: как ты говоришь там большая и маленькая латиница и цифры, длина ключа - 4 символа. Итого число возможных значений каждого символа - 26+26+10=62. всего вариантов ключа - 62^4 = 14.776.336. Каждый ключ подбирается 900 миллисекунд - умножаем 14.776.336 * 900 = 13.298.702.400. Делим: 13.298.702.400/1000/3600/24 = 154 дня.... 5 месяцев.... Ну если кого проц поболя P3000, то чуть более 1.5 месяца.... Но таких людей наверно не много.... Плюс проверка на соответствие первым шести символам значения «C948E0». Какова же вероятность того, что первые 6 символов полученного хеша соответствуют данным? Вот какая - (1/62)^6. А всего у нас 14.776.336 вариантов. Тогда суммарная вероятность - 14.776.336*(1/62)^6=0,000260145. Получается, что где-то 3844 потенциальных варианта... Без учета особенностей md5.... =)))))) Вот такая-вот музыка. Тока не понимаю - нахрена я это пишу?....

Эх.... если б там стоял RSA, основанный на факторизации, то теоретически перебор занял бы пару секунд. Но только на квантовом компьютере, коих в мире только несколько моделей.... Факторизация 155-ти значного числа на обычном компе заняла бы 2^155 операций (около 35 лет), на квантовом - всего 155 операций........ Ну это так... лирическое отступление..... Вспомнилась тут статейка одна....

P.S. Я нашел более быстрый md5 - это позволяет уменьшить время перебора раза в полтора...

MaDByte :: Nitrogen пишет:
цитата:
ну вот как-то чувак один из snd делал кейгенми - заключался в том, что от имени брался RCx/md5/еще что-то.. все результаты объединялись в одну строку и типа это ключ..


Это не x3chun случайно?

Bad_guy :: Кстати, ALEX, может нам протектор напару писать. А то мне одному лениво, а так может чего и сделаем общими силами. Если есть какие то мысли конкретные идеи (которые надо реализовать в первой версии!), присылай мне по мэйлу, я добавлю своих и обратно отправлю.

Ara :: Я немного не понял насчет крекми №2. Что нужно сделать? Байты для патча я нашел через 5-10 минут( Soft Ice). Смысл задачки в чем?

-= ALEX =- :: Ara там все написано в приложенном txt....

-= ALEX =- :: Bad_guy посмотрим.... я тут могу кинуть то, что успел я уже сделать... многим понравилось :)




mmm 2MozgC Статья об упаковщики



mmm 2MozgC Статья об упаковщики
mmm :: Прочитал статью «Распаковка: от самого простого к... ...чуть более сложному». Наконец-то мне кто-то популярно объяснил, как все это распаковывается :) Теперь проблем с простенькими упаковщиками не возникает. Как оказалось, почти все что написано в статье, было мне известно (насобирал инфы по инету), а вот толку было мало. Не хватало мозгов, чтобы все это собрать воедино. Короче, так держать! :)
В связи со всем этим возникли несколько вопросов:
1) секция импорта восстановлена, а можно ли восстановить также ресурсы, чтобы, например, в Restoratr-е нормально отображались?
2) можно ли вырезать из восстановленного файла код упаковщика?
3) когда выйдет следующая статья «Распаковка: от чуть более сложного к... ...еще чуть более сложному» :) ??? Хочется и с протекторами научиться разбираться.

Надеюсь, автор статьи ответит.

MozgC [TSRh] :: Спасибо за такой отзыв.
Вот отвечаю по порядку:
1) Ресурсы должны и так без проблем быть, их не надо отдельно восстанавливать, они сохраняются вместе с дампом.
2) Можно. А нужно?
3) Когда выйдет... не знаю.. Не скоро. Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела.. ПОэтому когда теперь буду писать следующую статью неизвестно, а если и буду, то наверно это сразу будет статья про распаковку армадилло без наномитов.

mmm :: MozgC [TSRh]
1) Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?
2) Чисто для интереса. Ну и в формате PE-файла заодно разберусь :) Если несложно, хотелось бы узнать.
3) А вот это жаль... Придется опять перебирать кучу статей... Это как учась в институте прочитать кучу учебников вместо одного конспекта лекций :( Но я тебя понимаю. Самому зачастую лень пару строк набрать.

З.Ы. И все таки жаль... :)

X0E-2003 :: Ну не знаю, когда я был новичком, то прочитав статью от UnixC. Изучил распаковку UPX. В то время не про какого MozgC не было слышно. Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.

-= ALEX =- :: X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...

Runtime_err0r :: mmm

цитата:
Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?


Надо, чтобы все ресурсы были в одной секции, используй Resource Rebuilder, либо PE Explorer (просто открой свой дамп и пересохрани), а ещё лучше распаковывай stripper’ом 2.03 - он сам секцию ресурсов перестраивает

Kerghan :: X0E-2003
-= ALEX =-
не поспоришь, а сдругой стороны тогда ведь не было ни аспра 1.3, ни армы 3.6 да и вообще...

mmm :: X0E-2003 пишет:
цитата:
Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.


-= ALEX =- пишет:
цитата:
X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...


Молодца все! Что ж нам теперь бросить читать все подробные статьи и читать старые книжки по работе с компом в двоичных кодах? У меня нет такой возможности. Время для меня - ценная штука. Я предпочту один раз прочесть простую ламерскую статью, чем прочитать 10 супер вумных книжек, если в итоге научусь делать одно и то же. Если мои вопросы кажутся вам глупыми, то можете не отвечать. Хотя, думаю, не многие из вас скажут что-то умное по моей работе...
Думаю, у меня есть естесственное желание научиться крекингу как можно быстрей. Поэтому и задаю вопросы, вместо того чтобы долго выуживать их из статей. Мне казалось, что этот форум и создан для таких как я (хотя бы частично). А умные :) вопросы придут со временем.
А что насчет «думать немного самостоятельно», то мне кажется, что в таком отнюдь не однообразном деле как крекинг без этого не обойтись. Но азы все равно лучше узнать от людей, которые этим давно занимаются. Я же не спрашиваю у вас по каждой проге, какой байтик в ней изменить.
В общем, надеюсь, поняли мою мысль. Я свое мнение не навязываю, но строить из себя крутых хакеров и засыпать остальных дерьмом, по моему некрасиво...

DEMON :: MozgC [TSRh] пишет:
цитата:
Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела..


Где это ты учишся, что у тебя каникулы??? А у меня ё%?ный зачет через 5 часов. Наверное сегодня яспать не буду!!!

MozgC [TSRh] :: Я согласен с mmm, тоже самое хотел написать.

mnalex :: Не, ну действительно, разве можно осуждать человека, если он интересуеться, и пытаеться узнать для себя что то новое?? И в тоже время, разве можно осуждать человека, что он ценит свое свободное личное время? Зачем всем делать одну и туже работу? Почему, кто уже прошел сам недолжен помогать вновь пришедшему? Если ты разобрался сам - честь и хвала, но будь ЧЕЛОВЕКОМ с большой буквы - помоги другому... Выже сами должны понимать, что все книги, вся наука базируеться на том, что знания передаються из поколения в поколения, а некаждый сам посебе получает яблоком по голове, и изобретает заново закон всемирного тяготения!!!! Незабывайте про это!




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added...



infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added armadillo 3.60 support

new in arma 3.60: tables are divided in 16 parts, each of them crypted using unique routine. But i found some mistake in arma code and decoding are possible and very simple. Also if VB program been protected by arma 3.60 there are some stuff like this:
push ebp
jmp ‹addr outside app›
continue:

addr outside app:
mov ebp, esp
jmp continue

e.t.c
so then u trying to run dumped file it crashed. Solution: u need to dump also a section of code located at ‹addr outside app› addresses and than add this portion of code to produced dumped exe. One tip - base address of this section are different in different execution’s of target app - so u MUST dump this section TOGETHER with main dump, otherwise it will be useless. Exact size of additional section greate shows by LordPE - just get one of ‹addr outside app›, then look in «dump region» table and locate in which region (marked as XRW) this addres points to. After dumping this region use «Add section from fil» feauture, as data select dump of this region, and change section base to base address of region. If EXE became «not valid» use «rebuild PE» feature. Thats all :) Any comments ?
odIsZaPc :: Круто...

-= ALEX =- :: infern0 еще бы и понять для чего это....

infern0 :: Встретишь прогу с армой 3.60 - поймешь. У них счас упор на наномиты - таблицы побиты на 16 кусков, каждый кусок пошифрован по своему. Функция шифрования необратимая. Еще есть надерганные куски кода и эи куски пишутся каждый раз по разным адресам с соотв настройкой переходов. Получить рабочий дамп - проблема, нужно дампить одновременно еще и сдвинутый кусок и потом добавлять его отдельной секцией к EXEшке. Типа вот так :)
Ну а таблицы мой НРек автоматом дампит и расшифровывает - ребята из силикон реалмз в очередной раз @!#$ а-лись.

XoraX :: пиз детц

odIsZaPc :: А не подскажет кто где взять полнофункциональную арму...

vins :: того гляди Солодовников разорится :)

infern0 :: odIsZaPc пишет:
цитата:
А не подскажет кто где взять полнофункциональную арму...


гы, народ проникся мощностью защиты :))
я им вообще-то рекламу не делал, совсем наоборот :)

Xorax - не все так плохо - плохо только первый раз :)))

Kerghan :: infern0
каждую неделю новая версия, ты крут

ЗЫ в такие моменты я жалею, что пошел по этому пути

odIsZaPc :: vins пишет:
цитата:
того гляди Солодовников разорится


Сологитарист Садовников (садомазо...) =)

infern0 :: Kerghan пишет:
цитата:
каждую неделю новая версия, ты крут


я просто слежу за обновлениями силиконовых парней :)

цитата:
ЗЫ в такие моменты я жалею, что пошел по этому пути


этого я не понял. хотя перечитал 2 раза.

Kerghan :: infern0

цитата:
этого я не понял. хотя перечитал 2 раза


просто хотел сказать, что если арма и дальше будет развиваться такими темпами, то из нее выйдет что-то очень... хорошее

Dragon :: Да ничего из неё не выйдет. Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь. А арму стоит чуть-чуть покопать, и тут же всё OK.

MoonShiner :: Dragon пишет:
цитата:
Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь


Угу. Xprot ;)

Dragon :: Да нет, там тоже постепенно всё понятно становиться, scrambled код легко обходиться по постоянству стека, надо проанализировать весь код драйвера и снять антиотладочные и антидамповые приёмы, а остальное несложно. Правда там написано, что псевдокод появился, что-то его не видно.

notice :: ttt

QuickeneR :: infern0, а ты можешь рассказать, как находишь в памяти таблицы?
Хотя бы в общмх чертах.

infern0 Re: QuickeneR :: в общих чертах берешь прогу, дизасмишь ее, смотришь где там используются проверки и что там перед тем как, потом привязываешься к началу этого кода и трэйсишь до нужных мест, потом бросаешь это дело на диск. Временами вызываешь процедуры расшифровки и т.д.

mnalex :: 2 вопроса:
1 Что случилось с wasm.ru
2 И где это чудо природы можно взять? (я про N-Rec 1.6 ) (а думал что на васме есть, и такой обломс - неприятно )

infern0 :: mnalex пишет:
цитата:
1 Что случилось с wasm.ru


хз

mnalex пишет:
цитата:
2 И где это чудо природы можно взять? (я про N-Rec 1.6


на васме и на зеркалах TSRh.

mnalex :: infern0
infern0 пишет:
цитата:
на васме и на зеркалах TSRh


А если подробнее? Как я уже говорил - васм накрыт, а сайтов TSRh я к сожалению ненаю , адрес то кинь...

odIsZaPc :: infern0 пишет:
цитата:
зеркалах TSRh.


Ссылку дай на эти зеркала plZ...

odIsZaPc :: infern0
Ух... еле нашел. Нихрена вы кряки прячете....

Nitrogen :: odIsZaPc

http://tsrh.crackz.ws/mirrors.php :)

odIsZaPc :: Никто не подскажет, где ключик взять для последней (3.61) Армадиллы?

mnalex :: odIsZaPc
И где ты нашел? Кинь ссылочку, а плз...

mnalex :: odIsZaPc
Я имею ввиду N-Rec 1.6

odIsZaPc :: mnalex
Зделаю тбе добряк и всем кто не хочет париться: )
http://personal.primorye....r/n-rec.1.6.tool-tsrh.zip

mnalex :: odIsZaPc
Примного Сенкс!




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.




NShut аспр 1.23 RC4 разобрал, НО!!!??? Блин хорошую штуку АС написал. Взял я...



NShut аспр 1.23 RC4 разобрал, НО!!!??? Блин хорошую штуку АС написал. Взял я тут одну програмку и решил потренироваться на его протекторе. Все распаковал, [все] работает, правда не скажу сколько бился (стыдно). :). Прога вообще регистрирована, просто хотелось посоревновать с аспром. Дык вот моя регистрационная прога перестала сохранять данные, хотя везде пишет что все ОК.
Не долга я думая вылил aspr 1.23 rc1 и запокавал свою, моя программа регистрируется в реестре. Галочки trial и key не ставил.
Самое интересное: распаковал и моя программа тоже кричит что она не зарегестрирована остальное все работает на ура.
кто знает в чем может быть наг??? никаких exceptionov не вылетает. IAT, OEP, storlen востановил!! какие будут предложения?




mmm 2MozgC Статья об упаковщики



mmm 2MozgC Статья об упаковщики
mmm :: Прочитал статью «Распаковка: от самого простого к... ...чуть более сложному». Наконец-то мне кто-то популярно объяснил, как все это распаковывается :) Теперь проблем с простенькими упаковщиками не возникает. Как оказалось, почти все что написано в статье, было мне известно (насобирал инфы по инету), а вот толку было мало. Не хватало мозгов, чтобы все это собрать воедино. Короче, так держать! :)
В связи со всем этим возникли несколько вопросов:
1) секция импорта восстановлена, а можно ли восстановить также ресурсы, чтобы, например, в Restoratr-е нормально отображались?
2) можно ли вырезать из восстановленного файла код упаковщика?
3) когда выйдет следующая статья «Распаковка: от чуть более сложного к... ...еще чуть более сложному» :) ??? Хочется и с протекторами научиться разбираться.

Надеюсь, автор статьи ответит.

MozgC [TSRh] :: Спасибо за такой отзыв.
Вот отвечаю по порядку:
1) Ресурсы должны и так без проблем быть, их не надо отдельно восстанавливать, они сохраняются вместе с дампом.
2) Можно. А нужно?
3) Когда выйдет... не знаю.. Не скоро. Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела.. ПОэтому когда теперь буду писать следующую статью неизвестно, а если и буду, то наверно это сразу будет статья про распаковку армадилло без наномитов.

mmm :: MozgC [TSRh]
1) Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?
2) Чисто для интереса. Ну и в формате PE-файла заодно разберусь :) Если несложно, хотелось бы узнать.
3) А вот это жаль... Придется опять перебирать кучу статей... Это как учась в институте прочитать кучу учебников вместо одного конспекта лекций :( Но я тебя понимаю. Самому зачастую лень пару строк набрать.

З.Ы. И все таки жаль... :)

X0E-2003 :: Ну не знаю, когда я был новичком, то прочитав статью от UnixC. Изучил распаковку UPX. В то время не про какого MozgC не было слышно. Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.

-= ALEX =- :: X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...

Runtime_err0r :: mmm

цитата:
Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?


Надо, чтобы все ресурсы были в одной секции, используй Resource Rebuilder, либо PE Explorer (просто открой свой дамп и пересохрани), а ещё лучше распаковывай stripper’ом 2.03 - он сам секцию ресурсов перестраивает

Kerghan :: X0E-2003
-= ALEX =-
не поспоришь, а сдругой стороны тогда ведь не было ни аспра 1.3, ни армы 3.6 да и вообще...

mmm :: X0E-2003 пишет:
цитата:
Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.


-= ALEX =- пишет:
цитата:
X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...


Молодца все! Что ж нам теперь бросить читать все подробные статьи и читать старые книжки по работе с компом в двоичных кодах? У меня нет такой возможности. Время для меня - ценная штука. Я предпочту один раз прочесть простую ламерскую статью, чем прочитать 10 супер вумных книжек, если в итоге научусь делать одно и то же. Если мои вопросы кажутся вам глупыми, то можете не отвечать. Хотя, думаю, не многие из вас скажут что-то умное по моей работе...
Думаю, у меня есть естесственное желание научиться крекингу как можно быстрей. Поэтому и задаю вопросы, вместо того чтобы долго выуживать их из статей. Мне казалось, что этот форум и создан для таких как я (хотя бы частично). А умные :) вопросы придут со временем.
А что насчет «думать немного самостоятельно», то мне кажется, что в таком отнюдь не однообразном деле как крекинг без этого не обойтись. Но азы все равно лучше узнать от людей, которые этим давно занимаются. Я же не спрашиваю у вас по каждой проге, какой байтик в ней изменить.
В общем, надеюсь, поняли мою мысль. Я свое мнение не навязываю, но строить из себя крутых хакеров и засыпать остальных дерьмом, по моему некрасиво...

DEMON :: MozgC [TSRh] пишет:
цитата:
Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела..


Где это ты учишся, что у тебя каникулы??? А у меня ё%?ный зачет через 5 часов. Наверное сегодня яспать не буду!!!

MozgC [TSRh] :: Я согласен с mmm, тоже самое хотел написать.

mnalex :: Не, ну действительно, разве можно осуждать человека, если он интересуеться, и пытаеться узнать для себя что то новое?? И в тоже время, разве можно осуждать человека, что он ценит свое свободное личное время? Зачем всем делать одну и туже работу? Почему, кто уже прошел сам недолжен помогать вновь пришедшему? Если ты разобрался сам - честь и хвала, но будь ЧЕЛОВЕКОМ с большой буквы - помоги другому... Выже сами должны понимать, что все книги, вся наука базируеться на том, что знания передаються из поколения в поколения, а некаждый сам посебе получает яблоком по голове, и изобретает заново закон всемирного тяготения!!!! Незабывайте про это!




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added...



infern0 N-Rec 1.6 - поддержка армы 3.60 today i rlzd N-Rec 1.6 - added armadillo 3.60 support

new in arma 3.60: tables are divided in 16 parts, each of them crypted using unique routine. But i found some mistake in arma code and decoding are possible and very simple. Also if VB program been protected by arma 3.60 there are some stuff like this:
push ebp
jmp ‹addr outside app›
continue:

addr outside app:
mov ebp, esp
jmp continue

e.t.c
so then u trying to run dumped file it crashed. Solution: u need to dump also a section of code located at ‹addr outside app› addresses and than add this portion of code to produced dumped exe. One tip - base address of this section are different in different execution’s of target app - so u MUST dump this section TOGETHER with main dump, otherwise it will be useless. Exact size of additional section greate shows by LordPE - just get one of ‹addr outside app›, then look in «dump region» table and locate in which region (marked as XRW) this addres points to. After dumping this region use «Add section from fil» feauture, as data select dump of this region, and change section base to base address of region. If EXE became «not valid» use «rebuild PE» feature. Thats all :) Any comments ?
odIsZaPc :: Круто...

-= ALEX =- :: infern0 еще бы и понять для чего это....

infern0 :: Встретишь прогу с армой 3.60 - поймешь. У них счас упор на наномиты - таблицы побиты на 16 кусков, каждый кусок пошифрован по своему. Функция шифрования необратимая. Еще есть надерганные куски кода и эи куски пишутся каждый раз по разным адресам с соотв настройкой переходов. Получить рабочий дамп - проблема, нужно дампить одновременно еще и сдвинутый кусок и потом добавлять его отдельной секцией к EXEшке. Типа вот так :)
Ну а таблицы мой НРек автоматом дампит и расшифровывает - ребята из силикон реалмз в очередной раз @!#$ а-лись.

XoraX :: пиз детц

odIsZaPc :: А не подскажет кто где взять полнофункциональную арму...

vins :: того гляди Солодовников разорится :)

infern0 :: odIsZaPc пишет:
цитата:
А не подскажет кто где взять полнофункциональную арму...


гы, народ проникся мощностью защиты :))
я им вообще-то рекламу не делал, совсем наоборот :)

Xorax - не все так плохо - плохо только первый раз :)))

Kerghan :: infern0
каждую неделю новая версия, ты крут

ЗЫ в такие моменты я жалею, что пошел по этому пути

odIsZaPc :: vins пишет:
цитата:
того гляди Солодовников разорится


Сологитарист Садовников (садомазо...) =)

infern0 :: Kerghan пишет:
цитата:
каждую неделю новая версия, ты крут


я просто слежу за обновлениями силиконовых парней :)

цитата:
ЗЫ в такие моменты я жалею, что пошел по этому пути


этого я не понял. хотя перечитал 2 раза.

Kerghan :: infern0

цитата:
этого я не понял. хотя перечитал 2 раза


просто хотел сказать, что если арма и дальше будет развиваться такими темпами, то из нее выйдет что-то очень... хорошее

Dragon :: Да ничего из неё не выйдет. Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь. А арму стоит чуть-чуть покопать, и тут же всё OK.

MoonShiner :: Dragon пишет:
цитата:
Вот есть протекторы - копаешь копаешь, так нихрена и не понимаешь


Угу. Xprot ;)

Dragon :: Да нет, там тоже постепенно всё понятно становиться, scrambled код легко обходиться по постоянству стека, надо проанализировать весь код драйвера и снять антиотладочные и антидамповые приёмы, а остальное несложно. Правда там написано, что псевдокод появился, что-то его не видно.

notice :: ttt

QuickeneR :: infern0, а ты можешь рассказать, как находишь в памяти таблицы?
Хотя бы в общмх чертах.

infern0 Re: QuickeneR :: в общих чертах берешь прогу, дизасмишь ее, смотришь где там используются проверки и что там перед тем как, потом привязываешься к началу этого кода и трэйсишь до нужных мест, потом бросаешь это дело на диск. Временами вызываешь процедуры расшифровки и т.д.

mnalex :: 2 вопроса:
1 Что случилось с wasm.ru
2 И где это чудо природы можно взять? (я про N-Rec 1.6 ) (а думал что на васме есть, и такой обломс - неприятно )

infern0 :: mnalex пишет:
цитата:
1 Что случилось с wasm.ru


хз

mnalex пишет:
цитата:
2 И где это чудо природы можно взять? (я про N-Rec 1.6


на васме и на зеркалах TSRh.

mnalex :: infern0
infern0 пишет:
цитата:
на васме и на зеркалах TSRh


А если подробнее? Как я уже говорил - васм накрыт, а сайтов TSRh я к сожалению ненаю , адрес то кинь...

odIsZaPc :: infern0 пишет:
цитата:
зеркалах TSRh.


Ссылку дай на эти зеркала plZ...

odIsZaPc :: infern0
Ух... еле нашел. Нихрена вы кряки прячете....

Nitrogen :: odIsZaPc

http://tsrh.crackz.ws/mirrors.php :)

odIsZaPc :: Никто не подскажет, где ключик взять для последней (3.61) Армадиллы?

mnalex :: odIsZaPc
И где ты нашел? Кинь ссылочку, а плз...

mnalex :: odIsZaPc
Я имею ввиду N-Rec 1.6

odIsZaPc :: mnalex
Зделаю тбе добряк и всем кто не хочет париться: )
http://personal.primorye....r/n-rec.1.6.tool-tsrh.zip

mnalex :: odIsZaPc
Примного Сенкс!




NShut аспр 1.23 RC4 разобрал, НО!!!??? Блин хорошую штуку АС написал. Взял я...



NShut аспр 1.23 RC4 разобрал, НО!!!??? Блин хорошую штуку АС написал. Взял я тут одну програмку и решил потренироваться на его протекторе. Все распаковал, [все] работает, правда не скажу сколько бился (стыдно). :). Прога вообще регистрирована, просто хотелось посоревновать с аспром. Дык вот моя регистрационная прога перестала сохранять данные, хотя везде пишет что все ОК.
Не долга я думая вылил aspr 1.23 rc1 и запокавал свою, моя программа регистрируется в реестре. Галочки trial и key не ставил.
Самое интересное: распаковал и моя программа тоже кричит что она не зарегестрирована остальное все работает на ура.
кто знает в чем может быть наг??? никаких exceptionov не вылетает. IAT, OEP, storlen востановил!! какие будут предложения?




Python



Python_Max Неважно чем запакована/запротекчена программа! Сдесь будет описан способ патча, который не требует распаковки «исследуемой» программы.
Основная мысль: Подождем пока пакер/протектор сам это сделает!
Основывается на Memory Patcher by -= Alex =- .
Надеюсь автор оригинала оставит сдесь свое мнение ;)

Python_Max :: Как все было.
Моя проблема подробно описана в теме «О patcher’e -=Alexa=-».
В двух словах: Необходимо снять наг. Прога защищена ASProtect’ом, нашел, где забить два NOP’а, чтобы решить проблему, нашел OEP, нашел jmp ‹OEP›, но изменить его на свой jump, как оказалось, невозможно. Тогда решил попробовать Memory Patcher by -= Alex =-, но с помощью него не успевались байты заменяться и наг все-равно появлялся, если записать их сразу после распаковки - Protection Error 15 :(

Решение.
Несмотря на то, что ASProtect - сила, а я, мягко говоря, начинающий (может у меня мало опыта и я ни разу не дотрассировал до конца код аспра, но мозги, слава Богу, работают :) ), вобщем я не остановился! Как оказалось ненапрасно.
Решил очередной раз посмотреть что делает программа сразу после распаковки.
Трассирование начал с OEP. Дошел до места:
mov [0074C4DC],EAX
и задумался... Посмотрел, что в EAX - там наш ImageBase 0040000, а что у нас по адресу 0074C4DC до комманды MOV? Нули! Хе-хе... Вот оно! Т.е. после этого мува у нас по вполне определенному, а главное _постоянному_ адресу [0074C4DE] находится 40h !!!

Вобщем в код мемори патчера добавил еще один ReadProcessMemory и все!
Вот кусок кода (мои комменты в квадратных скобках, комменты автора оставил):

[===============================]
while true do
// Читаем один байт [тот, который нужно изменить, не знаю почему именно этот :) ]
if readprocessmemory(lppi.hProcess,pointer($73F5EC),@ buf[0],1,i)
then
if buf[0]‹›$0 then // Проверяем на распакованность, если не 0 - то распаковалась

// [ Теперь то, о чем я говорил ]
// [ По сути, это проверка на то, закончил ли работу ASProtect ]

if readprocessmemory(lppi.hProcess,pointer($74C4DE),@ buf[0],1,i)
then if buf[0]‹›$0 then
begin
// [Это уже не нужно]
// Подождем, пока ASProtect проверит память,
// иначе будет писать ’Protection Error 15’
// sleep(300);
// [То, что вверху уже не нужно!!!]
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($73F5EC), @buf[1],1,i);
writeprocessmemory(lppi.hProcess,pointer($73F5ED), @buf[1],1,i);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
halt;
end;
[===============================]

Я думаю, что если сделать так, как я написал, то будет САБЖ !!!
Скажите плиз, что думаете по этому поводу.

Да, чуть не забыл, если кто такое уже делал, то почему не отозвались?

ЗЫ: убрав наг, я убрал триал, сам того не ожидав :)))
Thx 2 -= Alex =- 4 Memory Patcher :)

MozgC [TSRh] :: Блин это же убого... лоадеры... Я бы лучше не релизил программу чем релизить лоадер. Хотя не думаю что есть вариант что нельзя сделать cracked.exe, но можно лоадер. Всегда лучше распаковать, чем делать лоадер.

Python_Max :: Я ее релизить не собираюсь.

А cracked.exe распакованный ты бы выложил?

MozgC [TSRh] :: А я все время выкладываю =) И не только я. А лоадеры вообще многие за релиз не считают.

-= ALEX =- :: ну а теперь начнем по теме. вот этот адресок $74C4DE это чисто для тебя только такой. почему - попытаюсь объяснить. как я уже и говорил - многослойная паковка. чтобы что-то куда-то распаковать надо выделяется память. (VirtualAlloc) причем адрес указывающий на выделенную память может быть разным, а на других осях и вовсе другой. код же распаковщиков, или назовем его «тело аспра» оффсетнонезависим (о как назвал), поэтому ему по барабану какой будет адресок.... поэтому можешь радоваться что на твоем компе ну или даже пускай на такой же ОСи работает такой лоадер. Ну а если хочешь сделать лоадер для аспра, который будет точно на OEP останавливаться, придется пару деньков, а может даже и больше просидеть в отладчике и полностью проходить все этапы распаковки проги... можешь взглянуть как это делает asprdebuger (про который все тут речь ведут) благо исходники есть.... наверное после просмотра у тебя желание пропадет. в общем смотри, дело твое. А вообще если сделать такой кряк, т.е. лоадер для себя или для друга - это хорошо. Но если уж захотел релизить, то увы - лоадеры не в моде :(
P.S. статью эту я написал тогда, когда только-только начал учиться этому искусству... тогда я даже и не представлял, что ваще такое АСПР... просто я заметил, что не всегда выскакивает месага, если подряд лупить по файлу быстро... из этого сделал вывод, что нужно время на проверку... поэтому и ставил sleep. кстати, беспонтовый способ и зависит от проца.




Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой...



Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой FlaX (662 Кб). Возникла интересная задачка: при запуске программы в OllyDbg отладчик считает что программа прибита, хотя она на самом деле продолжает работать. Как она умудряется вырваться из-под контроля отладчика? Такого я еще не видел
MoonShiner :: А че происходит в айсе? Есть ли процесс в списке задач? Видится ли каким нить LordPE?

Dragon :: Может быть она DLL подгружает какие-нибудь, и там что-то такое происходит.

Gloomy :: Проверил на наличие функции IsDebuggerPresent - ее нет.

MoonShiner
В Айсе ситуация аналогичная - он тоже считает что процесс прибит и проваливается в дебри ntdll.dll

Dragon
Никаких DLL нет вообще - один только запуской файл.

MC707 :: Ты вот на это обрати внимание:
00418788 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418789 ¦. 8D05 586C4400____LEA EAX,DWORD PTR DS:[446C58]
0041878F ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418790 ¦. 8B45 08__________MOV EAX,[ARG.1]
00418793 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418794 ¦. 8D05 0C114400____LEA EAX,DWORD PTR DS:[‹& KERNEL32.GetProcAddress ›]
0041879A ¦. AB_______________STOS DWORD PTR ES:[EDI]

и еще:
004187BC ¦› A1 489F4500______/MOV EAX,DWORD PTR DS:[459F48]
004187C1 ¦. 83F8 00__________¦CMP EAX,0
004187C4 ¦. 74 53____________¦JE SHORT FLAX.00418819
004187C6 ¦. 33D2____________¦XOR EDX,EDX
004187C8 ¦. 8A10____________¦MOV DL,BYTE PTR DS:[EAX]
004187CA ¦. FF05 489F4500____¦INC DWORD PTR DS:[459F48] ; FLAX.00448D68
004187D0 ¦. 6BD2 05_________¦IMUL EDX,EDX,5
004187D3 ¦. A1 309D4500_____¦MOV EAX,DWORD PTR DS:[459D30]
004187D8 ¦. 03D0____________¦ADD EDX,EAX
004187DA ¦. 33C0____________¦XOR EAX,EAX
004187DC ¦. 8A42 04__________¦MOV AL,BYTE PTR DS:[EDX+4]
004187DF ¦. 2245 05__________¦AND AL,BYTE PTR SS:[EBP+5]
004187E2 ¦. C645 05 FF________¦MOV BYTE PTR SS:[EBP+5],0FF
004187E6 ¦. 50_______________¦PUSH EAX
004187E7 ¦. 52_______________¦PUSH EDX
004187E8 ¦. 50_______________¦PUSH EAX ; /Arg1
004187E9 ¦. E8 42000000______¦CALL FLAX.00418830 ; \FLAX.00418830
004187EE ¦. 83C4 04__________¦ADD ESP,4
004187F1 ¦. A1 489F4500______¦MOV EAX,DWORD PTR DS:[459F48]
004187F6 ¦. 8945 00__________¦MOV DWORD PTR SS:[EBP],EAX
004187F9 ¦. A1 548D4400______¦MOV EAX,DWORD PTR DS:[448D54]
004187FE ¦. 8B0D 189D4500____¦MOV ECX,DWORD PTR DS:[459D18]
00418804 ¦. 5A_______________¦POP EDX
00418805 ¦. FF12_____________¦CALL DWORD PTR DS:[EDX]
00418807 ¦. 8B45 00__________¦MOV EAX,DWORD PTR SS:[EBP] ; ¦
0041880A ¦. A3 489F4500______¦MOV DWORD PTR DS:[459F48],EAX ; ¦
0041880F ¦. E8 EB030000______¦CALL FLAX.00418BFF ; \FLAX.00418BFF
00418814 ¦. 83C4 04__________¦ADD ESP,4
00418817 ¦.^EB A3____________\JMP SHORT FLAX.004187BC

аффигенно длинный цикл
При выходе из него (4187C4) - пускается другой процесс. Какой - не разбирался...

Gloomy :: MC707
Спасибо за подсказку, копаю дальше:
004187BC EB 5B JMP SHORT FlaX.00418819 ; теперь программа не закрывается в отладчике и ее можно спокойно ковырять.
Есть проблема - нашел место где выдается сообщение о неправильном серийнике:
00427F94 /. 55 PUSH EBP
Но там невозможно поставить бряк потому что это место в коде вызывается при вводе серийника. Пробовал ставить бряки на GetFocus и SetWindowsHookExA - они не работают. Как можно обойти такую систему ввода серийника?

MC707 :: Gloomy
В общем я пошел по другому пути.
В хекс редакторе изучил содержимое ехе. Он всегда в любой проге может много чего интересного дать ...
Нашел строки Flex Key, Key, flex.ini.
Нашел файл flex.ini - в папке windows
Поставил бряки на эти строки. Запускаем - прерываемся по адресу 42932F и видим, что прога считывает из ini строку
Key=...
Добавляем Key=666666
Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника. Я не вдавался в подробности как, но там все видно. И там еще дохрена проверок. Как минимум я 6 насчитал.

Ara :: А кто видел такое - место сравнения найдено, если EAX=0 (верный RegCod), то прога работает хорошо. Если в отладчике обнулить ЕАХ, то тоже все хорошо. Но если подпатчить немного, то программа вылетает в аут. Проверки на CRC нет !!!

Ara :: Да, еще, никаких пакеров-протекторов нет, есть VIsual C++ 7.0

Gloomy :: MC707
›› Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника
Прошел весь код от чтения строки из ini-файла до открытия окна программы - вычислить серийник не удалось Возможно дело в том что я отключил создание нового потока который обламывает отладчик (сообщает ему что программа закрылась)? Как ты проходил этот код? Так же прибив создание нового потока?

Ara
›› А кто видел такое - место сравнения найдено
Я такое видел когда ломал Promt XT. Добить его до конца так не смог - пришлось написать загрузчик. Попробуй DZA Patcher - она умеет создавать in-line патчи

Ara :: Gloomy пишет:
цитата:
Попробуй DZA Patcher - она умеет создавать in-line патчи


DZA вообщето у мяня что-то хреновато работает, правильно патчит только несколько байт, остальные что-то портит, я не разбирался. Попробую для интереса лоадер, потом напишу результат.

Ara :: Gloomy
Лоадер тоже не катит

Gloomy :: Ara
›› Лоадер тоже не катит
Тогда ищи как программа защищает память от чтения - см. справку по фукнциям VirtualProtect\VirtualProtectEx. А почему DZA не работает? Ты уверен что правильно задаешь все адреса и байты?

Ara :: Gloomy
Да говорю же, не разбирался, почему DZA не работает! Вернее, он работает, если нужно патчить 1-2 байта, а если больше, то облом. А может я где и ошибся, просто после я сделал свой крек на ВР и им пользовался. Сейчас все пытаюсь на Delphi сделать (без VCL), да что-то пока никак руки не дойдут.




DOLTON ASPR Stripper - кудаж без него? Привет всем!



DOLTON ASPR Stripper - кудаж без него? Привет всем!
По обидной случайности не успел выкачать с офф сайта ver 2.07 (final) до его закрытия ...
Если вдруг кто оказался в рядах счастливчиков - большая просьба скинуть на dolton2002mail.ru
Заранее всем big thanks!
MozgC [TSRh] :: http://MozgC.com/stripper207.zip
Я не знаю какой это, final или не final но работает нормально.

DEMON :: MozgC [TSRh]
Дzzzякую тебе!!!

Runtime_err0r :: MozgC [TSRh]
Да ты никак доменом 1-го уровня разжился ? ну ты буржуй, однако

P.S. А Солодовников-то не дремлет, упырь

MozgC [TSRh] :: Runtime_err0r
Давно уже разжился =)

.::D.e.M.o.N.i.X::. :: Давно уже 2.11b есть:) Движок переработан и интерфейс другой.

-= ALEX =- :: .::D.e.M.o.N.i.X::. ][в@статься то зачем ?

Gloomy :: stripper просто уникальная программа! Скачал «Complete CD And DVD Writer 1.1» - довольно интересная штука, но оказалась запакована «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov». Нисколько не надеясь на успех открыл ее в stripper, ничего не настраивая тупо нажал «unpacking»... и Чудо свершилось! - получил распакованный, полностью рабочий файл! При этом триал в 5 дней исчез как страшный сон
Большой респект автору stripperа!

З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.

-= ALEX =- :: самая новая 1.30 build XXX, могу и ошибаться... а вообще я не втречал прог защищенным этим супермега протектором :)

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.


Он для 1.30, правда у меня не распаковал ни одного аспра 1.30 да и не удивительно, он даже таблицу инита не восстанавливал, интересно как прога должна была работать после такой распаковки, думаю что и еще косяки есть.

Runtime_err0r :: Gloomy

цитата:
З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.


То что выдаёт PEiD ещё не является абсолютной истиной кстати, скачай версию 0.92 - там новые сигнатуры добавились.

MozgC [TSRh]

цитата:
.::D.e.M.o.N.i.X::. пишет:
цитата: -------------------------------------------------- ------------------------------
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.
-------------------------------------------------- ------------------------------

Он для 1.30, правда у меня не распаковал ни одного аспра 1.30


А я им кучу прог распаковал он лучше, чем 2.07, т.к. грамотно эмулирует GetTrialDays и ExecuteApplication, поэтому сразу получаем на выходе рабочую прогу и не надо руками ничего эмулировать

цитата:
.::D.e.M.o.N.i.X::. ][в@статься то зачем ?


Точняк !!!

mnalex :: Runtime_err0r
Возможно он грамотнее распаковует 1.23, а ты попробуй 1.3...

mnalex :: Ребята, объясните мне, нафига делаються кряк проги, которые дают только избранным крякерам, т.е. тем кто и без этого спокойно распаковывает?
Для тестирования? Или просто из желания показать, что их уважают, а на остальных нас;%ть? Не, я понимаю, и неспорю, что эти проги делают умные люди, и я их естествено уважаю, но зачем страдать такой фигнёй, я незнаю и не понимаю...

nice :: mnalex
ИМХО всё это денег стоит...

Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe
http://www.apache-gui.com/files/apconf.exe

Andrey :: nice пишет:
цитата:
Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe


Какая же это 1.30, это допотопная 1.23, со стареньким импортом

mnalex :: nice пишет:
цитата:
ИМХО всё это денег стоит...


Хорошо, тогда ты хочешь сказать, что те у кого уже есть эта прога - заплатили автору? Фигня... Единственное, это то что если у него (автора) будут проблемы с чем либо - он может быть уверен, что эти люди постараються ему помочь всеми силами...

цитата:
Да я думаю мало кто здесь может 1_30 руками снять...


Интересно, а ты хочеш сказать, что stripper 2.11b есть у многих? Нет, он у этих «мало» и есть...

ИМХО, как я уже говорил - фигня это...

TriD :: Привет чесной компании!
Если у кого есть ASPR Stripper 2.07, намыльте пожалуйста, а то приведенная вначале ссылка не работает

P.S. Извиняйте за беспокойство, сам нашел на одном из тайваньских серверов.

Runtime_err0r :: mnalex , nice , Andrey

Да ладно вам спорить. По-моему syd прав, Солодовников-то тоже не лох, стоит только выложить версию stripper’а публичного доступа, и через неделю его уже можно будет положить в корзину
А так, насколько мне известно, у всех российских кракерских групп он и так есть, так что присоединяйтесь

mnalex :: Runtime_err0r пишет:
цитата:
так что присоединяйтесь


А как это сделать? Лично я непротив, тока кто меня возьмет?

Runtime_err0r :: mnalex

цитата:
Runtime_err0r пишет:
цитата: -------------------------------------------------- ------------------------------
так что присоединяйтесь
-------------------------------------------------- ------------------------------

А как это сделать?


Учиться, учиться и ещё раз учиться ... © Ленин

MozgC [TSRh] :: Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))

T0zik ::
цитата:
Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))


Скорей всего :) Да и тенденция однако - то что делает стриппер можно сделать вручную, в новом аспре появляются вещи, которые имхо не автоматизировать :( Перенос стрипером точки входа aka OEP эт конечно хорошо, а что он будет делать, если в OEP появятся зависимые от кода аспра фичи, т.е. если код OEP будет зависеть от кода aspr’а :( каюк - придется весь полиморф разбирать :(

mnalex :: Runtime_err0r
Что и делаеться :))

MozgC [TSRh]
Мои мысли высказал - вечно опережаешь, я подумаю - а ты уже скажешь :))




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто



alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто интересно, кто умнее, кракеры или я?
Раньше всегда побеждали кракеры, но одна знакомая девушка-программист
подсказала мне интересный вариант защиты с шифрованием кода.....

Прога готова на 85%, IDE среда для программистов на PowerBASIC
http://scriptstudio.narod.ru/

Cкриншоты программы
http://scriptstudio.narod.ru/screen.html

Идею защиты, с шифрованием кода, подсказала Надя Мосягина, умница и просто красавица,
за что ей огромное спасибо! Виктору Тв. спасибо за тестирование защиты, и выявление
слабых мест.

Для скачивания файлов с народ.ру желательно использовать download менеджер.
К примеру ReGet ( http://www.reget.com ).

Когда сломаете защиту, поделитесь пож. технологией слома!!!
:))

dMNt :: ормгмнальная защита от взлома - page not found

alex221 Re: dMNt :: ок

dMNt :: нда, программа нашлась, только зачем делать download если его нету?

тепрь о главном: защита сильная, настолько сильная, что аж при запуске вылетает с runtime error #7 на ОС win98SE
я пас

alex221 Re: dMNt :: К сожалению в Win98 глючит XP стиль, 98 Мастдай неправильно
обрабатывает параметры передаваемые функции CreateWindowEx..

Чтобы отключить XP стиль в файле Startup.ini надо заменить строку

XPStyle=True на XPStyle=False

И добавить строку

MenuStyle=9X

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

При этом пропадут иконки в меню...
Но прога будет работать в 98 виндах

Gloomy :: alex221
Не люблю программы на Васике но на досуге обязательно поковыряю

alex221 Re: Gloomy :: Если взломаешь, опиши технологию пож. взлома!!!
:))))

UnKnOwN :: Чёто это прога у меня вооще не запустилась, странно

RideX :: alex221
Тебе ведь уже Dr.Golova на wasm.ru написал, что не устраивает?

alex221 :: UnKnOwN

Какой у тебя Windows?
Если 95/98/ME то замени строки в файле Startup.ini

Должен быть такой вид

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

alex221 :: to RideX

Он взломал, после того, как я поместил сюда мессагу..
Да и взломал ли??? Там есть еще несколько секретов..

:)))

Gloomy :: Эх, опередили меня Не люблю я все-таки Васик

›› Там есть еще несколько секретов..
Тогда это надолго...

RideX :: Gloomy пишет:
цитата:
Тогда это надолго...


А оно тебе надо?

dMNt :: нда, васик это да. если кто знает, чем dr.Golova так ее дизасмил, поделитесь
а вот пакер снялся быстро... начинаю доверять olly

alex221 Re: dMNt ::
Я специально запаковал прогу старым ASpack, в релизе хочу использовать Armadillo 6.5

Gloomy :: RideX
Интерес тут чисто спортивный

dMNt
«Есть мнение, причем не только мое» (с) что Dr.Golova ипользовал полную версию VB RezQ.

›› начинаю доверять olly
OllyDbg рулит!

alex221
›› Armadillo 6.5
А разве такой уже есть? Самая последняя версия вроде 3.2

alex221 Re: Gloomy :: Наверное попутал с другим протектором

Armadillo 3.60 - точно

:))))

alex221 Re: alex221 :: Если найдете кряк для VB RezQ, киньте сюда ссылку....

:)))

XoraX :: alex221 , учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)

__cr__ :: На ftp.exetools.com лежит Арма 3.60 Public. Мне кажется, что за нее ничего не просят

MozgC [TSRh] :: __cr__
Там она без наномитов, такое распаковывается за 10 минут.

__cr__ :: Не, ну понятно, что Public арма без наномитов.

GL#0M :: MozgC [TSRh]
А где можно с наномитами раздобыть?

MozgC [TSRh] :: GL#0M
купить.

alex221 :: XoraX пишет:
цитата:
alex221, учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)


Пусть подадут на меня в суд!!!

:)))




John555 Посоветуйте протектор с привязкой к компу для DOS-проги Нужно...



John555 Посоветуйте протектор с привязкой к компу для DOS-проги Нужно привязать к компу досовую программку.
captain cobalt :: Прошить во флэш-биос

WELL :: John555
Можно взять из биоса несколько параметров (к примеру дату пришивки) ну и дальше в проге проверять их на валидность (разумеется не через if...then)

John555 :: Да мне не методика нужна, а готовая программа, которая привязывает к компу указанный ЕХЕшник.




FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не



FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.
Работает ПОКА только с Delphi прогами.

Инструкция: дампите аспровую прогу (в которой есть мутированные спертые байты!). Находите tempOEP (это адрес первого call’a начиная с ЕР - ну в который аспр входит). TempOEP показывает, например, AsprDbg. Импорт можете не восстанавливать и дамп может не запускаться, это не имеет значения.
Жмете Get Stolen Bytes. Получаете спертые байты с адресами и прочим.

Это первая версия, может есть ошибки!
Пробуйте: http://feuerrader.nm.ru/SBRec10.rar
RideX :: FEUERRADER пишет:
цитата:
Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.


Спасибо, нужная штуковина!

Гость :: Ну ты гений!

-= ALEX =- :: FEUERRADER где столько времени берешь на написание тулз ? я вот все свободное время (пару часов в день) трачу на написание протектора а также другой работы...

FEUERRADER :: RideX пишет:
цитата:
Спасибо, нужная штуковина!


Дык, а в действии? :)
-= ALEX =-
Выходные же. Вот и занялся кодингом.

GRADY$ :: Super!!!

infern0 :: извиняюсь за тон, но хули там в аспре для дельфовых прог восстанавливать ? push ebp, mov ebp, esp, mov eax, some_tbl, add esp, some_val ? это за 20 секунд руками делается...

Gloomy :: FEUERRADER
А можно в лист-боксе ширину строк сделать побольше а то вообще не видно что там написано

nice :: FEUERRADER
Спасибо, рулезная утилита, а исходники не дашь глянуть?

infern0
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

nice :: FEUERRADER
Она только с 11 крадеными байтами работает?
А я уже губу раскатал...

infern0 :: nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45


ну тогда любой пример сложнее того что я написал в студию.

Madness :: infern0
›ну тогда любой пример сложнее того что я написал в студию.
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop (или что-то вроде этого), но в ~95% случаев ты прав.

__cr__ :: infern0 пишет:
цитата:
nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

ну тогда любой пример сложнее того что я написал в студию.


Особенно интересно увидеть ту прогу, где 45 байт
(на _ДЕЛЬФИ_ естессно)

2Madness:

цитата:
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop


Такой цикл все равно не потянет на 45 байт.

nice :: infern0
Ну что же смотри (www.tradesoft.ru)
45:
PUSH EBP
MOV EBP,ESP
ADD ESP,-12C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-120],EAX
MOV [EBP][-124],EAX
MOV [EBP][-118],EAX
MOV [EBP][-11C],EAX
MOV [EBP][-14],EAX
MOV EAX,00333333
CALL ...

32:
PUSH EBP
MOV EBP,ESP
ADD ESP,-1C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-1C],EAX
MOV [EBP][-18],EAX
MOV [EBP][-14],EAX
MOV EAX,[00407C14]
MOV B,[EAX],001
MOV EAX,0033333
CALL ...

38 bytes:
0066B131 55 PUSH EBP
0066B132 8BEC MOV EBP,ESP
0066B134 6A FF PUSH -1
0066B136 68 C0716C00 PUSH opera.006C71C0
0066B13B 68 D8B96600 PUSH opera.0066B9D8
0066B140 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0066B146 50 PUSH EAX
0066B147 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0066B14E 83EC 58 SUB ESP,58
0066B151 53 PUSH EBX
0066B152 56 PUSH ESI
0066B153 57 PUSH EDI
0066B154 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

22 bytes:

0057B0F8 ‹Module› $ 55 PUSH EBP
0057B0F9 . 8BEC MOV EBP,ESP
0057B0FB . 83EC 18 SUB ESP,18
0057B0FE . 53 PUSH EBX
0057B0FF . 56 PUSH ESI
0057B100 . 57 PUSH EDI
0057B101 . 33C0 XOR EAX,EAX
0057B103 . 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
0057B106 . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0057B109 . B8 78A95700 MOV EAX,a.0057A978

Для любителей Олли, уже дописываю статью про аспр, где подробно процесс востановления будет описан.

Гость :: nice пишет:
цитата:
Для любителей Олли, уже дописываю статью про аспр


А где эту статью можно будет глянуть?
Дай адрес на свой сайт

nice :: Гость
Посмотри, это только процентов 40 правда, остальное дома:
http://hice.antosha.ru/AsProtect.rar

Гость :: nice - благодарен!
Надеюсь скоро все выложишь!

Гость :: кстати, nice, зайди сюда, может чем поможешь нам? (долбаем одну прогу!)

-= ALEX =- :: nice’у огромный респект ! по поводу проги сей ниче сказать не могу, вернее промолчу, что-то тянет FEUR. проги странные клепать...

FEUERRADER :: Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X , в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(

infern0 :: FEUERRADER пишет:
цитата:
Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X, в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(


идея понравилась. реализация подвела :)
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.

ViViseKtor :: Это точно. Идея отличная. И развивать стоит.

FEUERRADER :: infern0 пишет:
цитата:
идея понравилась. реализация подвела :)


Дык подскажи, как сделать лучше.
infern0 пишет:
цитата:
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.


Можешь кинуть мне на мыло (feuerrader(at)nm(dot)ru) эту секцию с восстановленными стриппером мутированными байтами? А лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером.
Буду благодарен.

infern0 :: FEUERRADER пишет:
цитата:
Дык подскажи, как сделать лучше.


лучше - в теории это писать анализатор кода который выкинет все барахло и оставит только полезную нагрузку. Проблема усугубляется тем что аспр заходит в call поэтому надо выцепить только инструкции до call (те которые он стирает). Как это красиво сделать - я не знаю. Хотя я восстанавливаю байты одним проходом в айсе по мутированному коду. Следишь за балансом стека и выписываешь на листик команды. Минут 10-15 на все уходит.

FEUERRADER пишет:
цитата:
лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером


тогда дай мне ее запакованную, т.к. самого аспра у меня нет.
или в аську - там поговорим.

nice :: FEUERRADER
В статье я всё допишу и про импорт и про востановление спертых байт

Проект мне тоже интересен, но как это сделать я не знаю :(
Может из Деде попытаться выдрать алгоритм дезассемблирования.
Можно делать так выдрать сначала всё, кроме «основных» мусорных команд jmp и т.п.
потом уже создав более компактный список пройтись по нему разок, и так пока не сведем к минимуму,
да в конечном итоге человек 10 команд и сам может под ОЕП подогнать чем такой цикл проходить




DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только



DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только скачал :) Ну так вот накачал КракМи’фов и появились вопросы. Короче нашёл место где совершается безусловный переход (jz) а как пропатчить не знаю (вы не смейтесь) Ну и как заменить мне jz на jmp? Я и таблицы с кодами не знаю (где взять-то?). И адреса по которому надо патчить... Там софтАйс вроде показывает адрес в файле а я HexEdit’ом открыл а там ноль... Чё такое? И ваще, можт есть крекеры из Саратова(ой, мля, как сомневаюсь!!!)??? Спасиба за помошь. Только не посылайте на*** и не смейтесь...
__cr__ :: Прочитай FAQ Мозга:
-----------------------------------------
http://mozgc.com/faqversion10.htm
------------------------------------------

И еще: скорее всего тебе будет удобнее пользоваться w32dasm’ом. С wasm.ru (в инструментах) можешь скачать w32dasm и патч к нему (который позволяет патчить прямо в w32dasm’е, почти отпадает необходимость использовать Hex-редактор и к тому же так получается намного быстрее).

Kerghan :: DillerXX
пожалуй лучше взять OllyDbg там все куда нагляднее чем в айсе, и тебе будет куда легче понять азы
...ну и конечно же читать и читать и ... ... статьи на crackl@b’е

smallcracker :: берёшь hiew загружаешь свою программу туда затем жмёшь F4 далее выбираешь «decode» , потом жмешь F5 «ищещь строку которую надо заменить» находидишь, жмёшь F3 меняешь что надо ,потом жмёшь F9 а потом F10 -вот и всё программа пропатчена

__cr__ :: 2smallcracker: если патчить, то делать это в хекс-редакторе не удобно - долго слишком. Если вот hiew использовать одновременно и как дизассемблер, то это еще терпимо.

Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.

AnteC :: Не подскажите у меня одного такой глюк в W32Dasm’e v10 by Killer:
При QuickEdit’e окно едита прозрачное видно только рамку :( юзаю в WinXp

Mario555 :: __cr__ пишет:
цитата:
Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.


Ещё бы... Мне даже вспоминать противно этот кривой патчер из W32Dasm’а. Olly рулит.

__cr__ :: Я просто вспомнил, как меня напягало каждый раз открывать hiew, для того чтобы пропатчить =)
А про олли я тогда не знал (давно это было =))
А так, конечно, Olly - рулез полнейший, просто мне кажется, что новичкам все-таки w32dasm попроще.

DillerXX :: Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)

DillerXX :: И ещё как сохранить пропатченный файл? А то я всё пропатчил, протестил - работает, а как теперь сохранить? (в Олли)

WELL :: DillerXX пишет:
цитата:
Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)


F2

Kerghan :: DillerXX
или два раза кликнуть по строке на которую хочешь бряк поставить, либо в командной строке «bp адрес» (без ковычек конечно)

а сохранять пропатченный - по правой почке и Copy to executable-›All modification ну а дальше сам разберешься

DillerXX :: Спасиба!!!! Уже какую-то прогу крякнул!!!! УРЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
А в Олли незя сделать патч, а не просто ехе-шник?

dMNt :: мона, давишь A и пишешь код своего патчера

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?

KLAUS :: DillerXX
А прога не запакована?

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

DillerXX :: KLAUS пишет:
цитата:
А прога не запакована?


Ты про какую спрашиваешь, которая длл не использует или где адреса другие? Если про длл, то я не знаю, думаю что нет. Она слишко редкая чтобы её защищать (и для узкого круга людей).
А если про адреса, то тоже думаю что нет.

DillerXX :: Как мне сделать так, чтобы в софтАйсе начало адресов проги было 00401000, как в W32Dasm’е и Олли???

KLAUS :: DillerXX

Скорей всего прога запакована, а чтоб это узнать скачай какой-тить файл анализатор
(pe-scan, PE-ID и т.д), если они выдадут что прога запакована тем-то тем-то, тебе придётся его распаковать, и тогда адреса станут одинаковыми, т.е как в W32Dasm’е и Олли!!!

DillerXX :: Да не, у меня уже ваще херь началась: теперь адреса в СофтАйсе не совпадаю с В32Дасмом и Олли в любой проге!!!!! Т.е. я теперь не могу ставить брейк на адреса (в СофтАйсе)!!!! Пытался калькулятором высчитать - нихера! Вроде всё прально считаю а адреса не те!!! Чё у меня за херня началась с СофтАйсом??? Ведь сначала все адреса совпадали!!!! Помогите плз!!!!!!! Я думаю, должен быть какой-то параметр в Айсе...

DillerXX :: И вот ещё чё: при анализации проги в Олли у меня в 75% прог он виснет (на 98). Чё такое? Можт патч какой есть?

KLAUS :: Проверь то, что тебе сказали!

DillerXX :: Не, ну так почему у меня сначала ареса все совпадали (во всех прогах), а теперь нет??????

Ra$cal :: У меня в olly нет пункта сохранить в исполняемый (v1.1 по-моему)

Ra$cal :: Точнее v1.10 Step 2

DillerXX :: Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!

MC707 :: DillerXX
Зачем психовать? Виснет Олли - ты первооткрыватель такого глюка. И скорее всего дело тут не в Олли (хотя хз, у меня стоит 1.10 б1). Переустанови винду. Под корень. Очень рекомендую.
З.Ы. Мы кстати тут не обязаны объяснять ничего: DillerXX пишет:
цитата:
Крякеры вы или кто????? Чё вы мне ничо объяснить не можете????


Ra$cal
Не там ищещь. По коду правой клавишей крысы жмешь и там уже copy to exe...

infern0 :: DillerXX пишет:
цитата:
Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!


поосторожнее с заявлениями. А то тебе просто будет предложено отправится в дальнее путешествие с сексуальным уклоном.

AlexZ CRaCker :: DillerXX пишет:
цитата:
И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?


Есть такая фишка как виртуальный адрес... Кстати мне тоже интересно о нем узнать, ато знаю что он начинается с ».» (точки).

Блин, и кто только стока сообщений от моего имени навсавлял?

AlexZ CRaCker :: DillerXX пишет:
цитата:
в Олли у меня в 75% прог он виснет


Я юзаю v1.09d и не жалуюсь(там все есть!)
infern0 пишет:
цитата:
с сексуальным уклоном.


Прикольная шутка! А псих желательно подавлять...

MC707 :: AlexZ CRaCker
лол однозначно. ноу комментс.
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь

AlexZ CRaCker :: Извиняйте, не врубился....
MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...»


Чё неу коментс (о чем именно?), и Дилеру понятно станет.

MC707 :: 1. от твоего имени навставлял ты сам
2. ».» ставится только в hiew, чтоб получить VA, без точки будет RVA. Есть еще и offset. Вот в той статье и почитай насчет этого

DillerXX :: AlexZ CRaCker пишет:
цитата:
Я юзаю v1.09d и не жалуюсь(там все есть!)


Я тоже юзаю эту же самую версию, но у меня виснет при анализации (в одной проге на 1,9% в другой на 80%).

MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь


Ну я же уже говорил, что в любой проге (полюбому без упаковки). А если ты на счёт ваще всей статьи, то там инфа полезная. Кстати теперь оказывается, надо запустить прогу, затем поставить брейк (в Айсе) на hmemcpy, нажать на Ф12 раза 4 и тогда адреса будут нормальные. Мндя. Прикольно.




Styx Web Compressor Прога запакована SVKP. Дамп сделал только PE Tools-ами...



Styx Web Compressor Прога запакована SVKP. Дамп сделал только PE Tools-ами т.к. остальные думперы этот процесс не видят,
ImpRec тоже. Не могу распаковать. Помогите.

http://arendix.median.ru/...roducts-webcompressor.php
RavenFH :: Ищи импорт по всем секциям, где он может лежать тем же импреком

WELL :: Styx

Попробуй для восстановления импорта Revirgin (ну как вариант)

Mario555 :: ImpRec---›Options---›Enable Debug Privilege (должен быть включён).

Styx :: Может кто знает как получить OEP именно для SVKP. По bpm esp-4 Sice прерывается уже после загрузки проги.
Пробовал трейсить прогу в ручную, но с некоторого момента там начинает твориться чёрт знает что!

Styx :: И ещё, чем пользоваться вместо hmemcpy под Win2k?

RavenFH :: Styx пишет:
цитата:
Может кто знает как получить OEP именно для SVKP. По bpm esp-4 Sice прерывается уже после загрузки проги.


Я ради интереса попробовал, не знаю почему у тебя не работает, у меня все прерывается и если тебе это чем-то поможе - CD5EC.

Mario555 :: Версия SVKP не из последних, так что stolen bytes нет.
Дампить можно и OllyDump’ом и LordPe (с включённым Intelly dump).
Самое сложное в этом SVKP это импорт, плагина то нет, так что вручную пришлось. Нужно править цикл создания Iat и определять api svkp (их там аж 8). Вообщем вот Import_imprec
Одну функцию я так и не определил, она кладёт в eax 1 и чего-то со стеком делает, короче заменить её на
mov eax,1
ret
и всё. Потом ещё прога при закрытии падала, я разбираться не стал, и просто
0040CEF2 E8 C167FFFF CALL 2_.004036B8 ------------- занопил.

Взлом:
в dede смотришь buttonclick ok, идёшь на эту процедуру, там введённый пароль будет сверятся с несколькими сгенерированными прогой

004BCD1C FF FF FF FF 10 00 00 00 31 30 33 45 2D 32 33 36 яяяя...103E-236
004BCD2C 2D 43 36 2D 34 45 37 42 00 00 00 00 FF FF FF FF -C6-4E7B....яяяя
004BCD3C 10 00 00 00 32 46 39 45 2D 39 38 34 2D 37 36 2D ...2F9E-984-76-
004BCD4C 34 37 37 38 00 00 00 00 FF FF FF FF 10 00 00 00 4778....яяяя...
004BCD5C 31 30 33 45 2D 46 30 39 2D 39 33 2D 31 37 36 41 103E-F09-93-176A
004BCD6C 00 00 00 00 FF FF FF FF 10 00 00 00 32 46 39 45 ....яяяя...2F9E
004BCD7C 2D 42 44 32 2D 37 30 2D 33 31 45 39 -BD2-70-31E9

Любой из них подходит (ессно для моего hardware id) - будет сообшение об успешной регистрации. Но при запуске прога выдаст такую месагу:
«Critical error! Code: 191. Immediately contact support service - support@arendix.median.ru»
Зря она эту месагу выдала...

004CB17E 76 3A JBE SHORT 2_x1.004CB1BA
004CB180 . B8 E0B84C00 MOV EAX,2_x1.004CB8E0 ; ASCII «Critical error! Code: 191. Immediately contact...»

на

004CB17E 76 3A Jmp SHORT 2_x1.004CB1BA
004CB180 . B8 E0B84C00 MOV EAX,2_x1.004CB8E0 ; ASCII «Critical error! Code: 191. Immediately contact...»

Гы-Гы прога зарегена.

PS если бы был плагин, то распаковка вообще минут 5-10 заняла бы.

Styx :: Номерки кстати у меня теже, наверное прога проверяет не пользовался ли user услугами асталависты

Styx :: Номерки кстати у меня теже, наверное прога проверяет не пользовался ли user услугами асталависты.
А вообще спасибо за помощь.

Styx Re: Mario555 :: Слушай Mario555 не поленись напиши как ты OEP нашёл. Я вот делаю break&enter, потом
bpm esp-4, F5 много раз, но в итоге попадаю на постоянно меняющийся код
Было бы лучше если c OllyDbg, но это если не напрягает

Mario555 :: На last exception ставишь бряк на доступ к секции кода, Shift-F9, остановишься в цикле, удаляешь бряк и проходишь цикл, потом опять ставишь бряк... опять обходишь цикл, потом уже и на OEP остановишься.

PS я сегодня распаковал ещё одну прогу с SVKP и там api svkp почти в точности (даже по расположению) совпадали с api svkp этой проги.

0 000D21FC ? 0000 00DA2A04
1 000D2200 kernel32.dll 00EA FreeLibrary
1 000D2204 kernel32.dll 00CA FindFirstFileA
1 000D2208 kernel32.dll 00C6 FindClose
0 000D220C ? 0000 00DA2070

и

0 00CF2194 ? 0000 018A2A04
1 00CF2198 kernel32.dll 00EA FreeLibrary
1 00CF219C kernel32.dll 00CA FindFirstFileA
1 00CF21A0 kernel32.dll 00C6 FindClose
1 00CF21A4 kernel32.dll 0046 CreateDirectoryA
0 00CF21A8 ? 0000 018A2070

А я то думал, что SVKP - крутой протектор, а оказолось «так себе»... стоит один раз его распаковать и всё станет просто и понятно...




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.

Mario555 :: Появился новый PEiD 0.92 [ hxxp://peid.has.it ]

цитата:
Added support for external database, independant of internal signatures. Added PE details lister. Added Import, Export, TLS and Section viewers. Added Disassembler. Added Hex Viewer.
Added ability to use plugins from Multiscan window. Added exporting of Multiscan results. Added ability to abort MultiScan without loosing results. Added ability to show process icons in Task Viewer.
Added ability to show modules under a process in Task Viewer. Added some more detections.


XoraX ::
цитата:
Added support for external database


где бы ее взять? вдруг пригодится...

PalR :: Ресторатор 2ОО4 v3.О.1129 Full
http://www.hornet.ru/0214/d-res301.zip
http://www.hornet.ru/0214/d-res302.zip

PalR :: Кто не успел, тот опаздал:) Гы

Cigan :: PalR
Плиз выложи еще разок. Блин токо сегодня до форума добрался!!!

PalR :: Restorator 2004 v3.0.1129 Release: DiSTiNCT

-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res301.zip
-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res302.zip
русик
_http://www.apocalypse1.na...004_3001129retail_rus.exe
_http://www.4ru.info/rus/alexagf-Res301129Fr.zip

Cigan :: PalR
Большое бли спасибо!!! :)))

nice :: Обновилась: BETA 2 of OLLYDBG 1.10

is in the page of olly for download

http://home.t-online.de/home/Ollydbg/beta110b.zip

Vesrion 1.10b - second beta

Download v1.10b now - still raw, for troubleshooting only, includes plugin.h and sources of cmdline.dll that demonstrate usage of ODBG_Plugincmd().

There is a big useful new feature: OllyDbg now can debug standalone DLLs. Just drop DLL into OllyDbg and see what happens. A brief walkthrough is available here. Also new is a SEH chain window. Other changes:

A very useful option to remove analysis from selection (shortcut: Backspace);
Attach window is resizeable (and even maximizable);
New stack commands: push doubleword and pop doubleword;
Option to copy all registers to clipboard.

Removed bugs:

Assembler supports simplified form of IMUL: IMUL reg,const. This command is disassembled as IMUL reg,reg,const. One cannot search for IMUL using imprecise register (IMUL R32,CONST - use IMUL R32,R32,CONST instead). Reported by Alexandr Yakubtchik.
Disassembler used address size instead of operand size to decode size of immediate offset (JMP FAR ssss:oooooooo). Reported by Karel;

Tabs in source text in Disassembler comments and info pane were displayed as small rectangles. Now they are extended to at most 8 spaces. Reported by Karel;

ARPL was decoded with 32-bit size of operands (correct decoding is ARPL r/m16,r16). Reported by Karel;
OllyDbg now should correctly work in multi-monitor configurations, but I am unable to verify this. Please check! Reported by Roel Verdult;
2-byte INT 3 (CD 03) was processed incorrectly. Reported by roticv.
That’s all, enjoy and don’t forget to report bugs! Unfortunately I’m very busy now and cannot answer to you emails instantly, sorry. But, earlier or later, I’ll read then all :)

mnalex :: PalR
Во блин, прошлый раз неуспел, и в этот тоже :(, либо сайт глючит, либо за ~ ался :( - чото достучаться немогу... Ты еще неубирал?

AnteC :: все качается...

mnalex :: Угу, вроде стало нормально, а то чото немог :(

Mario555 :: Inno Setup Unpacker

http://innounp.sourceforge.net/

nice :: Mario555
Где раньше был :)

InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar

WELL :: Что-то http://hice.antosha.ru/AsprDbgr_build_104.zip не закачивается,
хотя http://hice.antosha.ru/is7unpack05.rar качнулся нормально.

AlexZ CRaCker :: stripper.exe - под ХР ункриптор вер 2.03
http://protools.anticrack...es/unpackers/stripper.zip

nice :: WELL
http://hice.antosha.ru/AsprDbgr_build_106.zip

AlexZ CRaCker
Уже давно 2_07
http://www.is.svitonline....om/syd/stripper_v207f.rar

Гость :: Дайте ссылочку на masm
(последней версии, ессно)

MC707 :: Гость пишет:
цитата:
Дайте ссылочку на masm


ftp://ftp.exetools.com

Только пасс с логином не спрашивай пожалуйста. На ихнем форуме найдешь

Гость :: Чего то не хочется на форум то их лезть..

PalR :: А нет ли у кого IceExt версии до 0.61

PalR :: Нет что л ни у кого??????????

PalR :: Мдя

ilya :: http://wasm.ru/tools/10/IceExt.zip эта 0.61

PalR :: Мне надо 0.6, 0.59, 0.58, 0.57 и т.д, но не 0.61

DOLTON :: PalR
Есть 0.57. Пиши мыло - пришлю...

PalR :: palrсобакаyandexточкаru
если больше метра лучше порубить.
сенкс




[RU].Ban0K! 2 -= ALEX =- Вот такой вопрос... если в файле нет IAT, твой



[RU].Ban0K! 2 -= ALEX =- Вот такой вопрос... если в файле нет IAT, твой протектор его обрабатывает?
(IT конечно же существует...)
Ага вот ещё что тут назрело, пока паял свою процедуру реструктизации импорта, ты VB пробовал протектить?
-= ALEX =- :: [RU].Ban0K! в протекторе еще куча багов, на счет импорта, то скорее всего лажанется, т.к. я не учитывал не существование IAT, да и проги на VB еще не протектил :)

[RU].Ban0K! :: -= ALEX =- пишет:
цитата:
я не учитывал не существование IAT


Да вобщем-то я бы и не заметил если бы не посмотрел проги сотворённые на FASM’e и запакованнын UPX’ом...
Шота я пока не представляю... как это работать будет без IAT...
Хотя не больно-то и стыдно... UPX тоже такое непакует...
Как я пару часков назад разобрался в VB учёт функций ведётся не по полю FirstThunk, а по Characteristics... там вобщем-то подправлять не много...
Блин наконец-то я доделал уродывание функций вызываемых по ординате...

p.s. боже лучше б я не ложился спать... тыкать на кнопки очень уж что-то тяжело...




sataron Самая над



sataron Самая надёжная защита? Я вот тут призадумался, а есть ли «идеальная» защита для программ???
Для Dr.Web я лично кряков не видел - только ключики, это значит что эта защита практически идеальна???
MozgC [TSRh] :: Идеальной думаю нет. Даже если выложена демо или есть покриптованные секции, то такую программу просто скардят (подправят если есть привязка к компу) и распространят по инету.

Но в общем случае как я уже сказал, нормально делать демо-версии или криптовать процедуры, так чтобы для раскриптовки нужен был бы ключ. Ну еще близко к идеалу сейчас работает Xtreme Protector. Хотя у него много минусов, но если смотреть только со стороны ломания, то разве его кто-нибудь сломал сейчас?

-= ALEX =- :: неа, научи меня отучивать его от ребутирования системы, я попробую поковырять :) а так, ни-ни ...

MozgC [TSRh] :: Кто-то высказывал предположение, что можно в управлении виндовс отключить права на перезагрузку компьютера и тогда XtremeProtector не будет перезагружать Windows. Я не проверял правда да и не думаю что поможет...

-= ALEX =- :: да он его не перезагружает, он его обрубает (вот гад :() потом начинается проверка дисков и т.д. не буду рассказывать, все знаю, какого это :)

saatron :: Спасибо ВСЕМ за ответы ;-)))

Пусть ветер дует Вам в спину.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh] пишет:
цитата:
если смотреть только со стороны ломания, то разве его кто-нибудь сломал сейчас?


Я уже говорил - сломали его и не один человек.

WELL :: sataron пишет:
цитата:
Для Dr.Web я лично кряков не видел - только ключики, это значит что эта защита практически идеальна???


Кряки есть, причем универсальные для нескольких версих разом

бара :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Я уже говорил - сломали его и не один человек.


старую версию ломали только и фактов кстати нету - одни слухи...

Гость :: Кряк один скачал, но он не хочет патчить версию под XP(NT) :(

WELL :: Гость пишет:
цитата:
Кряк один скачал, но он не хочет патчить версию под XP(NT) :(


Я крак юзал под 98-й, даже, если под XP что-то не так, то смысла дела это не меняет - все равно ломается

Гость :: Разница !ЕСТЬ!
даже в названии файла проги:
spider.exe - spidernt.exe

WELL :: Гость
То есть ты думаешь, что в лабаратории тов.Данилова версию по NT/XP защитили лучше, чем под 9х ? Что-то я сомневаюсь
Просто кряк видимо чисто под 9х, но это не значит, что XP-версия не ломается
Ведь изначально спрашивалось про защиту Dr.Web вообще

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Я уже говорил - сломали его и не один человек.


Либо версия была старая, либо были выключены многие опции (в аспре 1.3 например можно таких опций навключать что зае****ся распаковывать) либо еще что. В любом случае где эти люди, где факты? Без обид, просто ты единственный человек кто так говорит.

PS. Я не утверждаю, я лишь говорю то что думаю.

sataron :: Привет ВСЕМ!!!
Я конечно тут не частый гость, но приятно видеть что моя тема пользуеться хоть каким-то спросом .
Но вот что хотел у вас узнать то - если я программу защищаю файловым ключиком , сам ключик несёт только смысловую нагрузку (имя фамилия и т.д. ), причём его можно запаковать малоизвестным архиватаром . Процедуру проверки ключа воткнуть по всей программе (причём её можно шифрануть для надёжности и расшифровывать только в памяти ). Как эта защита по надёжности будет???

T0zik :: sataron пишет:
цитата:
Как эта защита по надёжности будет???


Никак.. купи aspr и шифруй секциями, oep/etc получше будет, ну или xprot :) если мазохист

captain cobalt :: sataron
Отлично! Неплохое описание комплексного подхода к защите.

Однако есть еще более мощное средство, наиболее эффективно
останавливающее крякеров. И заключается в намеренное введении
в программу средств, реализующих в программе состояние
(а лучше несколько) «кажется, что крякнута», в которое она должна
переходить при наиболее типичных вмешательствах в ее работу.

WELL :: captain cobalt пишет:
цитата:
И заключается в намеренное введении
в программу средств, реализующих в программе состояние
(а лучше несколько) «кажется, что крякнута», в которое она должна
переходить при наиболее типичных вмешательствах в ее работу


Ну во-первых, это не клиентоориентированный подход (во какое слово замутил )
Т.к. мало ли какой сбой случится в той же системе. И будет косячно, если у зарегеного юзера прога глюкнет.
А потом ведь можно при желании и проверки все эти отловить.

Наверное всё же лучше, чтобы как в аспре и армадиле...

KLAUS :: Незнаю, мне так нравится как проги защищает SVKP и Activemark.
Т.к им плевать на icedump и frogsice, так же они забирают часть кода проги в себя. Т.е. отодрав протектор выходит не полный дамп, пусть даже и с правильным импортом, так же криптуют прогу по извратному. Например в зависимости от регистрационного ключа по разному распаковывает прогу (хотя кажись Asprotect тоже самое делает) . Впридачу эти распаковщики выполняют псевдокод и контролировать их очень сложно.

captain cobalt :: WELL пишет:
цитата:
Т.к. мало ли какой сбой случится в той же системе. И будет косячно, если у зарегеного юзера прога глюкнет. А потом ведь можно при желании и проверки все эти отловить.


Не понятно, о чем здесь речь...
Поэтому я проиллюстрирую примером то, о чем говорю.

Программа тупым способом спрашивает у юзера имя
и регистрационный ключ. Проделывает над именем
простенькие выкладки и сравнивает результат с
введенным ключом...

Вася Пупкин, прочитавший одну статью по крэку,
радостно правит условный переход, и, о счастье,
программа благодарит за регистрацию и вроде бы
начинает работать...

Но, увы, он всего-лишь попался в одну из ловушек
защиты. Ветка программы, по которой он направил
управление при «правильном» ключе никогда
не выполняется, и, помимо всего прочего, ставит
один ма-аленький флажок...

Счастливый юзер, взявший у Васи Пупкина кряк,
радостно начинает работу с «зарегистрированной»
программой. И, в какой-то момент заходит в
диалог «Настройки»... Тут-то и выполнится кусочек
кода, который проверит этот флаг... Через некоторое
время юзер с ужасом обнаруживает, что программа
не хочет сохранять документ...

Идея понятна?
Разумеется, обладая развитым извращенным воображением,
можно сделать гораздо большее количество изощренных
зависимостей (в том числе на основе случайных чисел и
текущей даты). Для полноты картины надо отметить, что
делаются они защищенными от референтного нахождения
способами... Интересно ломать такую защиту?
В сколь-нибудь многофункциональной программе и грамотном
подходе к защите, вручную отломать это все может быть
«весьма проблематичным»... Здесь может помочь только
автоматизированный анализ потоков данных, но, насколько
мне известно, для этого не существует хороших
общедоступных тулз...

captain cobalt :: RavenFH уже, похоже, «на практике знает», о чем я говорю...
Такое чудо можно даже не упаковывать, создавая «иллюзию простоты»...

KLAUS :: captain cobalt

» для этого не существует хороших общедоступных тулз... » - голова самая надежная tools’a!

Просто с такой прогой возни будет больше......
Ну а поидее прога всё равно должна будет как-то регется....ну а если есть REG то и есть реальный crack!

AlexZ CRaCker :: sataron пишет:
цитата:
это значит что эта защита практически идеальна???


САМЫЕ НАДЁЖНЫЕ В МИРЕ:
Написание проги на VB, иль ищо каком Г0BHЕ - чтоб в DLL заблудится при отладке. (пример: ELPOS 3.0)
Ключик в LPT. (Пример: Primavera for Construction)
Файло-ключ, в котором присутствуют описания недоступных функций.
(Правда, для пиратов - это фуфло.)

WELL :: AlexZ CRaCker пишет:
цитата:
Написание проги на VB, иль ищо каком Г0BHЕ - чтоб в DLL заблудится при отладке


Это из серии «Чем проще написать прогу, тем сложнее её взлом»

AlexZ CRaCker пишет:
цитата:
Ключик в LPT


Это конечно хорошо, если юзается как надо. А то есть проги, которые простым if...then решают есть нужный ключ в порте или нет.
Другое дело, если в аппаратной части проги (в том же ключике на порту) находится часть функций...

AlexZ CRaCker :: WELL пишет:
цитата:
Другое дело, если в аппаратной части проги (в том же ключике на порту) находится часть функций...


Так, ключик с микросхепой - просто п.....ц
А есть ищо праги: флопик надо вставить - и юзай, там из комбинации БЭДов вычисляются расшифровка функций криптованых... ЖУТЬ !

WELL :: AlexZ CRaCker пишет:
цитата:
А есть ищо праги: флопик надо вставить - и юзай, там из комбинации БЭДов вычисляются расшифровка функций криптованых


Вот прикол, если дискета сдохнет

KLAUS :: AlexZ CRaCker пишет:
цитата:
Файло-ключ, в котором присутствуют описания недоступных функций.


Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт.
Вообще проги на Delphi легче всего ломать.

WELL :: KLAUS пишет:
цитата:
Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт.


Это интересно как ?
KLAUS пишет:
цитата:
Вообще проги на Delphi легче всего ломать.


Особенно если DeDe юзать

WELL :: KLAUS пишет:
цитата:
Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт


Это если прога втупую if...then спрашиваеть ключ.
А если по уму сделать проверки и в нескольких местах, то сложнее...

KLAUS :: WELL пишет:
цитата:
Особенно если DeDe юзать


Угу, есть такое.

WELL пишет:
цитата:
Это интересно как ?


Delphi сам по себе при компиляции свой код возможным для модернизации, в самой проги или в dll к которой она обращается содержится как «запрещающий» код так и работоспособный.
В итоге если стоит запрет на расширение окна(90CA0000h) то меняя на (90CF000h) всё работает нормально.
На Cи же такой способ проходит крайне редко!

WELL :: KLAUS пишет:
цитата:
В итоге если стоит запрет на расширение окна(90CA0000h) то меняя на (90CF000h) всё работает нормально.


Ну это обычный запрет. А там-то говорится, что функции в отдельном файле, еще и зашифрованы по ходу...

WELL :: KLAUS
Вообще самый лучший способ демо версий, чтобы она была именно демо.
То есть не было бы там рабочего кода и все.
Демо и Фул-версия - две разные программы.
Ладно, пошел я на треню

KLAUS :: «Файло-ключ, в котором присутствуют описания НЕДОСТУПНЫХ функций» не сказано ОТСУТСТВУЮЩИХ, а значит всё реально!

KLAUS :: WELL

ВОт это базара нет, уже более рально...главное чтоб рабочаю версия попала в нужные руки!!

Давай удачи на трене!

AlexZ CRaCker :: WELL пишет:
цитата:
Вообще самый лучший способ демо версий, чтобы она была именно демо.
То есть не было бы там рабочего кода и все.


Ну, без файла функций - дема, с ним(файлом/затычкой LPT/Flop’ом) - полная.
Речь идёт о том, что прога ищет в ключе не хитрожопый SN, а часть своих функций .
KLAUS пишет:
цитата:
НЕДОСТУПНЫХ функций» не сказано ОТСУТСТВУЮЩИХ


Они НЕДОСТУПНЫ, потому, что неправильно восстановлены/расшифрованы (самозащита программы). Вот это .......... попадало мне в руки, ессно не крякнул (хуже криптора Аспра)
____________________
Программеры-копирайтеры - топайте отсюда (А то начитаются... )

KLAUS :: AlexZ CRaCker

Тут спорить бессмыслено, нужно чтоб конкретные примеры смотрело несколько человек, а уж отсюда делать выводы!

[RU].Ban0K! :: Вот что хочиЦа сказать на счёт разности защит в 9x и XP, сейчас занимаюсь созданием протектора, и для 9x защиту уже надумал и реализовал... и как оказалось для XP такую защиту реализовать невозможно...
Всё что сдесь было сказано это уже давно извесные трюки... «илюзию простоты» можно увидеть во флэшгете 1.3.... как я уже говорил она через день перестаёт работаеть...
VB легко отлаживается если писано не сильно по умному... лично отлаживал десяток программ, в том числе и свои...
Привязка к ключу... несколько опасно, один серийник ... а что дальше, лучше использовать хороший хэш... может брутфорсинг времяни много займёт... а может и вовсе выЙдет хорошо...
LPT? ну и что? одну затычку заиметь и всё... поплыло гов** по трубам...

p.s. Что обидно.... каждый раз придумывая новый трюк... через несколько секунд придумываю его обход

AlexZ CRaCker :: [RU].Ban0K!
Русские всегда что-нить придумают, как по защите, так и по взлому этой защиты.[RU].Ban0K! пишет:
цитата:
может брутфорсинг времяни много займёт... а может и вовсе выЙдет хорошо...


Может, да. А здесь в чём проблема? Кто ReGet Deluxe v3.3. билд 188 видел? - ну намутили с кодом активации(да, это защита). Че за защита, которая не для ХР?

[RU].Ban0K! :: AlexZ CRaCker
Да тут... блудни некоторые на пол килобайта в ring0...

sataron :: Привет Всем!!!
Почитал я опять ваши идеи - аж волосы дыбом встають !!!
Че токо народ не напридумывает!!!
А вот идея насчёт скидывания части функций довльно интересная - мож кто из уважаемых Исследователей поподробнее об этом напишет или скинет ссылочку на прогу(и) в которых эта защита реализована.
Я вот тут видел на днях защитку - прога при сетапе смотрит где она на винт легла потом при каждом запуске смотрит на изменение либо положения файликов на винте либо изменение их CRC - прикольно да? Я причём сурьёздно не смотрел но это не комерческая прога, а прототип защиты я его на одном из серваков по программированию качнул.

AlexZ CRaCker :: sataron пишет:
цитата:
мож кто из уважаемых Исследователей поподробнее об этом напишет или скинет ссылочку на прогу(и)


Проги это очнь редкие. Распространяются только по личному запросу. У нас на весь город мож четыре чела такие проги имеют (вряд-ли создатели будут делать гавёную защиту). Я так, исследовать это брал...
_____________________________________________
sataron пишет:
цитата:
Че токо народ не напридумывает!!!


Да даже если я ошибаюсь, что там всё так накручено, всё равно теоретически такая защита возможна, а это - крупная задница, Аспр после неё может дезодарантом показаться(тока представь )

P.S. Это я завёл к тому, что в топике чел спрашивал о надёжной защите - а мы тут варианты накидываем.




nice Статья Olly Vs ASPR Наконец дорвался до инета, всем респект!



nice Статья Olly Vs ASPR Наконец дорвался до инета, всем респект!
http://hice.antosha.ru/asprotect.rar
MC707 :: Круууууууттттта!

Thats great!

[ChG]EliTe :: Я ждал ее как не знаю что :) Спасибо nice!
Если с ее помощю я распакую aspr 1.23 RC4, то как и обещал с меня пЫво

DiveSlip :: Жаль только, что не html формата , придется устанавливать Office . А так прекрасная работа, nice !

Mario555 :: В Lifetree.exe, как и в других прогах с аспр RC4, от last exception до полиморфа легко добраться вручную.
В полиморфе Lifetree.exe байты такие:

00E57074 PUSH EBP
00E57075 PREFIX REPNE: ; Superfluous prefix
00E57076 JMP SHORT 00E5707A
00E57078 INT 20
00E5707A POP DWORD PTR SS:[ESP]
00E5707E MOV EBP,ESP
00E57080 SUB ESP,10

PS Сам тутор мне понравился, больше бы таких... спасибо nice .

[RU].Ban0K! :: Что-то я разочаровался в аспре...
Мне не приходилось его распаковывать..., но полиморф из него точно никакой...,
я думал что это должно было быть раз в 100 по круче...

P.S. В моём протекторе явно круче будет... так как я хотяб не пру ни чего из вирусов та разных...




syd crackme всем привет, есть два рабочих ключевых слова - первое syd, нужно



syd crackme всем привет, есть два рабочих ключевых слова - первое syd, нужно найти второе или сламать как обычно :)
http://www.is.svitonline.com/syd/_words_fixed.rar
буду благодарен за любые комментарии...
MC707 :: А поподробнее здесь можно? Т.е. я запустил, она выдает - enter code. Воожу syd. Открывается окно. А дальше что?

MoonShiner :: MC707 пишет:
цитата:
А дальше что?


А дальше сломай, чтоб там бабы голые появлялись:)

MC707 :: MoonShiner
очень смешно

syd :: ладно... расказываю... нужно сделать, чтобы это окно открывалось либо вообще без пароля, либо найти второй пароль (не syd, а другой, их 2 всего). я сообщил первый пароль, чтобы показать, как должна работать программа правильно.. а теперь ламай, как будто ты не знаешь паролья вообще.. если не понятно - спрашивай..

MoonShiner :: «ламай»... Проверочное слово - «лама»

MC707 :: syd
ммм
Только один глюк нашел (а может и так задумано)....
Через секунд 6 прога виснет (Win9x)

MoonShiner :: Это не глюк, это фича:)

syd :: Это не фича, это глюк.. Win98.. Попробуй теперь, должно быть все ок.. Ну так как, неужели никак?? А жаль, я так надеялся на этот форум... ;)

MC707 :: syd
Руки тебе поотрывать надо за seh-и

Bad_guy :: Вот и syd похоже за протекторы взялся... это что эпидемия такая, как напишет чел тулзу против аспра сразу хочет свой аспр создать...

syd :: Bad_guy
я понимаю, что ты образно говоришь... ;) но думаю достаточно даже беглого взгляда, чтобы понять что с аспром _это_ ничего общего не имеет вообще.

-= ALEX =- :: рад видеть syd’a ... ща скачаем его крякми...

DOLTON :: Первый пароль - syd, второй - DOLTON

syd :: -= ALEX =-
рад тебя видеть тоже, жду коментарии.. а то тут в основном шутники...
DOLTON
;) не поленился, проверил... лажа..

-= ALEX =- :: syd первые впечатления... хм, прога то запускается, то нет :( покапался маленько, интересно стало :) завтра посмотрю еще.
P.S . А вообще для чего вся эта затея ?

-= ALEX =- :: MC707 что-то я SEH’ов так и не нашел :) мож не туда смотрел ?!

syd :: -= ALEX =-
SEH’и будут, и их будет много,.. завтра.. ;)
приглашаю пообщатся в мыло, если сильно интереснто зачем..
кстати я твой крякми так и не смог скачать, так что можешь залить за одно..

-= ALEX =- :: syd письмо отправил..

MC707 :: -= ALEX =-
видимо




-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно



-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :) Цель - распаковать прогу, ну и конечно взломать ее. Разрешается сделать in-line patch, но лучше распаковать... пишите plz ваше мнение, буду очень благодарен...
ссылка - http://www.alex2kx.nm.ru/crackme1.rar
infern0 :: -= ALEX =- пишет:
цитата:
Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :)


в таких случаях протектор навешивается например на блокнот виндусовый.

sanek :: -= ALEX =-
Помоги со взломом DLLки не доганяю че делать с ней

-= ALEX =- :: infern0 да вот что-то не догадался ...

MC707 :: Первое впечатление - довольно затруднен поиск ОЕР (по крайней мере на 98-ой), очень много SEH-ловушек.

dMNt :: ну не так уж и много
когда основной код отработает и управление в выделенную virtualalloc’ом память перейдет - то там их не будет, но там будут веселые проверки после GetProcAddr типа а не int3 ли нам подсовывают
ЗЫ: хм, олли показала себя с хорошей стороны, хотя не доверял я раньше user-mode debuggers ... а зря

Dragon :: OEP, сразу находиться по условному бряку на конец GetModuleHandleA(Условие - адрес возврата в первой секции). А начало оттуда уже спёрли, правда его прямо вручную туда вписать можно. Здесь единственная трудность - импорт, IAT нет, чтобы восстановить, надо написать что-нибудь.

-= ALEX =- :: интересненько :)

MoonShiner :: OEP есть, спертые байты есть, импорт восстановлен, хотя пришлось подолбаться... Приду домой - добью...
А так, штука веселая и нудная, молодец:)

Dragon :: MoonShiner
А как ты его смог так быстро, создание его подправил что ли?

В протекторе оригинальных идей так особо и нет. Вот антиотладка. Ну какой смысл в CreateFile(»\\\\.\\ntice’, ...)? Вот EnumServicesStatus даёт результат, или ветку реестра просмотреть со службами, или OpenService+QueryServiceStatus, или ... хватит, а то этот протектор отладить нельзя будет. bpm также спокойно ставяться. Вообще антиотладка в протекторе сейчас самое главное. Если её нет, то протектор твой за десять минут снимут. Всё остальное так себе, на уровне, по сложности премерно как аспр старый версии 1.1.

MoonShiner :: Dragon пишет:
цитата:
А как ты его смог так быстро, создание его подправил что ли?


я прогулялся по коллу на 44**6B (не пишу, чтобы другим не подсказывать:), наткнулся на первую импортируемую функцию, в переходнике не ковырялся... Потом зашел с другого конца ловив GetProcAddress. Там увидал, куда копируются адреса (а идут они через 86h байтов), подождал, пока ?все? функции импортировались и накатал прямо в коде проги код, который весь этот импорт писал прямо в секцию кода (времени не было, начальство ныло постоянно над ухом) разбавил thunk-и нулями и засунул в импрек. Подробнее больше не смотрел, времени не было. Седня вечерком еще гляну, правильно ли я все понял...

nice :: -= ALEX =-
Респект тебе брат ;)
Эта та же версия, что ты мне давал, или обновленная?

AnteC :: конечно же я не распаковал прогу но лоадер даже я состряпал за 5 минут :(
http://www5.domaindlx.com/antec/LOADER.RA_

Dragon :: MoonShiner
Вот и закономерность - 86h байт, если было случайное число, то сложнее. А если прямые jmp на переходники, как в XtremeProtector’е, то с imprec’ом уже ничего не сделать, всё руками писать надо.

AnteC :: а вот и патч
http://www5.domaindlx.com/antec/PATCH.RA_

AnteC :: Ps DZA - rullez

2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...

The DarkStranger :: вобщем все делается просто но я не как не могу понять что у меня за глюк вобщем IAT востановить просто как я делал :
с getprocaddress вышел на цикл в котором строятся jmp [alex] вот там написал мини процедуру которая бы писала адресса api в адресное пространство проги то есть в то место которое физически в програме существует ( я просто нашел нули :) ) дальше доходим до oep и все тут дампим и через revergin востанавливаем все и вот тут бы все хорошо но вот только загвоздка вышла после фикса IAT файл перестает быть win 32 приложением не какие rebuld и т.д. не помагают еще я заметил такую вещь если просто дампишь а потом добавляешь секцию то файл автоматом становится не прелдожение win32 так вот вопрос что это и как это подедить чесно презнаюсь сталкиваюсь 1 раз стаким :(
в аспре 1.3 аналогично делал ( ну только там раз в 5 сложнее ) все работало а здесь какойто глюк не могу понять

xDriver :: Подскажите пожалуйста я правильно начал копать ?
SEH - ловушки это замусоривание кода ?

.rsrc:00450400 public start
.rsrc:00450400 start proc near
.rsrc:00450400 pusha
.rsrc:00450401 call sub_450407
.rsrc:00450406 nop
.rsrc:00450406 start endp
.rsrc:00450407 sub_450407 proc near ; CODE XREF: start+1p
.rsrc:00450407 add esp, 4
.rsrc:0045040A xor ecx, ecx
.rsrc:0045040C call sub_450412
.rsrc:00450411 nop
.rsrc:00450411 sub_450407 endp
.rsrc:00450412 sub_450412 proc near ; CODE XREF: sub_450407+5p
.rsrc:00450412 add esp, 4
.rsrc:00450415 call sub_45041B
.rsrc:0045041A nop
.rsrc:0045041A sub_450412 endp
.rsrc:0045041B sub_45041B proc near ; CODE XREF: sub_450412+3p
.rsrc:0045041B add esp, 4
.rsrc:0045041E mov ecx, 16h
.rsrc:00450423 call sub_450429
.rsrc:00450428 nop
.rsrc:00450428 sub_45041B endp
.rsrc:00450429 sub_450429 proc near ; CODE XREF: sub_45041B+8p
.rsrc:00450429 add esp, 4
.rsrc:0045042C call $+5
.rsrc:00450431 call sub_450437
.rsrc:00450436 nop
.rsrc:00450436 sub_450429 endp
.rsrc:00450437 sub_450437 proc near ; CODE XREF: sub_450429+8p
.rsrc:00450437
.rsrc:00450437 arg_0 = dword ptr 4
.rsrc:00450437
.rsrc:00450437 add esp, 4
.rsrc:0045043A mov ebp, [esp-4+arg_0]
.rsrc:0045043D add esp, 4
.rsrc:00450440 call sub_450446
.rsrc:00450445 nop
.rsrc:00450445 sub_450437 endp
.rsrc:00450446 sub_450446 proc near ; CODE XREF: sub_450437+9p
.rsrc:00450446 add esp, 4
.rsrc:00450449 sub ebp, offset dword_401031
.rsrc:0045044F
.rsrc:0045044F loc_45044F: ; CODE XREF: sub_450469+5j
.rsrc:0045044F call sub_450455
.rsrc:00450454 nop
.rsrc:00450454 sub_450446 endp
.rsrc:00450455 sub_450455 proc near ; CODE XREF: sub_450446+9p
.rsrc:00450455 add esp, 4
.rsrc:00450458 call $+5
.rsrc:0045045D call $+5
.rsrc:00450462 dec ecx
.rsrc:00450463 call sub_450469
.rsrc:00450468 nop
.rsrc:00450468 sub_450455 endp
.rsrc:00450469 sub_450469 proc near ; CODE XREF: sub_450455+Ep
.rsrc:00450469 add esp, 4
.rsrc:0045046C test ecx, ecx
.rsrc:0045046E jnz short loc_45044F
.rsrc:00450470 call sub_45072E
.rsrc:00450475 call sub_45047B
.rsrc:0045047A nop
.rsrc:0045047A sub_450469 endp

GL#0M :: xDriver пишет:
цитата:
SEH - ловушки это замусоривание кода ?


Почитай про сехи здесь http://xtin.km.ru/view.shtml?id=92
или http://xtin.km.ru/view.shtml?id=135

xDriver :: 2 GL#0M
Спасибо прочитал ! Въехал !

Если не влом плз. линк насчет «спертых байт» можно (дорого искать)
Сенкс!

Mario555 :: -= ALEX =-
Пёртые байты теперь мусорным кодом разбавлены... куль...
В olly есть trace log и подсветка изменений регистров (HighLight register), а твой мусорный код изменяет только Esi, поэтому среди него очень хорошо видны stolen bytes...

MoonShiner :: Делать нечего, начал писать свой загрузчик импорта...

-= ALEX =- :: спасибо всем :) я и сам его за несколько минут распаковывал, теперь узнал мнения других. Все это делалось для того, чтобы доработать протектор. Ждите еще версий :) Может у кого еще идеи есть по улучшению, напишите plz

-= ALEX =- :: AnteC что-то я ниче скачать так и не смог :(

MoonShiner :: -= ALEX =- , самые веселые вещи были с импортом, советую продолжить в этом направлении. Избавиться от 86-ти, о которых я говорил выше, попробовать не использовать GetProcAddress (типа как в обсидиуме) и перемешать импортируемые функции, то есть располагать их не в том порядке, в котором они представлены в оригинале.

-= ALEX =- :: MoonShiner окей, бум стараться :)

Bad_guy :: Ну что, ALEX. Можно уже пока дальше не писать. Теперь покупай 10-100 млн. показов баннеров, открывай alexprot.com и так далее. А не то из хорошей коммерческой идеи выйдет просто «крэкерская игрушка».

-= ALEX =- :: Bad_guy :)

Bad_guy :: -= ALEX =-
Я вполне серьезно. Это может стать основной работой !

MoonShiner :: Bad_guy , ну ты, блин, еще насоветуешь... Мало всяких аспров на нашу голову развелось:)

Bad_guy :: MoonShiner
Рано или поздно ALEX сам бы додумался - чего хорошему человеку не подсказать

-= ALEX =- :: MoonShiner да ты че, все так и задумывалось, вы мне поможите защиту написать, а я буду на этом бабки зашибать :) ШУТКА конечно... пишу пока ради интереса. Кстати вопросик насчет эмуляции getprocaddress, где можно узнать об этом, в каком протекторе ?

Bad_guy :: -= ALEX =- пишет:
цитата:
вы мне поможите защиту написать, а я буду на этом бабки зашибать :)


А что, Солодовников так и делает...

-= ALEX =- :: Bad_guy да я не сомневаюсь :)

MoonShiner :: На васме вроде была статейка... А ваще, посмотри, куда кажет стек, как только ты запустил прогу (на первой команде остановись)... И глянь, какое выравнивание у загруженных либ... Ну а дальше мучайся сам:)

MC707 :: Интересно, с какими крякерами общается солод, и под каким ником

-= ALEX =-
А вообще реально коммерческим его сделать! И чем больше он раскрутится, тем больше нам выгоды будет имхо

MoonShiner :: MC707 пишет:
цитата:
Интересно, с какими крякерами общается солод, и под каким ником


Хмм... А ну ка вспомни, какое у Солода имя:)

Bad_guy :: MC707 пишет:
цитата:
с какими крякерами общается солод


Год назад качал архив форума реверсинга - вот там были посты от солода, с таким высокомерием главное... типа «идите детишки сникерсы кушайте, а я тут бабки делаю»

MaDByte :: Bad_guy
А поточнее? какие именно посты и в каких темах?

MC707 :: MoonShiner
лол

Bad_guy
круто. сейчас бы к нам сюда зашел

AlexZ CRaCker :: AnteC пишет:
цитата:
2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...


AnteC
Молоток! А скока часов/дней/мес/лет занимаишся крэком?
зы :
заходите на опрос «о времени» (нау на 2й странице форума).

MozgC [TSRh] :: -= ALEX =-
ALEX у меня есть твой адрес, так что если твой протектор станет мне надоедать и мешать при сломе программ, то тебе лучше переехать =)

-= ALEX =- :: MozgC [TSRh] от куда у тебя мой адрес ? :)

Bad_guy :: MozgC [TSRh]


Bad_guy :: MaDByte
Откуда я помню. Просто увидел ник «Alexey Solodovnikov» и поиском изучил я этого человека...

AnteC :: 2 -=Alex=- используй какой-нить download manager
и добавь _ в конец линка (хостер не разрешает архивы выкладывать вот и приходится изголяться :( но зато 100 Mb free :)

Mario555 :: Э-э... дык как/чем всё-таки импорт в дамп загнать ? Imprec пишет Invalid dump.
Есть ли статьи по восстановлению импорта без использования Imprec’а ? Что он вообше делает, когда FixDump жмешь ?

MsFUCK :: -= ALEX =-
Вышло, на несколько первых взглядов, очень даже ничего!
Только мало нового... да и зачем столько SEH? Это что модно стало?
Как импорт починить я так и допёр... может быть в причину отсутствия времяни...
Я тут, как помнишь, тоже начал творить протектор... вот разбираюсь в упаковке и налегаю на антиотладку, пока только OllyDbg отрезал, да и без некоторого разбора и SI не пашет...
И вот... где про упаковку импорта прочитать...?

Runtime_err0r :: Bad_guy , MozgC [TSRh]
На самом деле Солодовников скорее всего «расковыряет» этот AlexProt и реализует все интересные фишки в новом аспре, а сам проект загнётся

-= ALEX =- :: Runtime_err0r пока еще нечего ковырять в AlexProt :) а так - он все и так сдирает, все примемы из вирей и из других протекторов...
MsFUCK что вы все заладили насчет SEH’ов ? там их только один, в самом начале, ну и по одному разу используется в процедурке удаления отладочных регистров :) вас никто не просит заходить в эту процедурку, и не будет вам seh’ов :) А вот насчет того, что ты начал тоже протектор писать... мда... рано пока еще

-= ALEX =- :: Mario555 насчет импорта, то тебе надо сначала самому написать небольшую процедурку, которая будет переходники проги исправлять, т.к. я над этим потрудился, а пока еще рано на ImpRec гнать :)

-= ALEX =- :: [RU].Ban0K я как понял ты ник сменил на MsFUCK ? нахрена ? а вообще надо предупреждать, а если б я обкурился и не узнал тебя ?...

-= ALEX =- :: AnteC посмотрел щас твой патч... что-то не похоже, что этот патч сделал новичок, как ты говоришь, код этот я уже видел. остается сделать вывод, что юзалась какая-то прожка :) А так интересно конечно, я вообще-то просил сделать in-line патч, а не внедрять в тело свой код.
P.S. что за прога выделывает такие кренделя ?

-= ALEX =- :: уже куча идей заготовлена, ждите обновленную версию. если не интересно вам, так и скажите, не буду делать. я вот думаю, что интересно будет... Ну а так, кто-нить выложит распакованный crackme ?

MsFUCK :: -= ALEX =- пишет:
цитата:
[RU].Ban0K я как понял ты ник сменил на MsFUCK ?


Не правильно ты решил, это просто форум забыл пароль... или я... :)

AnteC :: 2-=Alex=-
не возвышай меня так высоко а то падать больно будет :)

на самом деле ломанул просто - сделал дамп при помощи LordPe (естественно он не запускался но исследовать то можно :)
потом патч в DZA patcher’e
ЗЫ только в нем галку Append patcher to last section надо снять ...
вот так вот =› может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


dMNt :: [Offtopic]
AnteC блин, поймать тебя не могу никак, стукнись в асю № 1999389
[/Offtopic]

-= ALEX =- :: AnteC пишет:
цитата:
может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


:) да ты хоть 10 сделай :) дело в другом...

Mario555 :: -= ALEX =- пишет:
цитата:
тебе надо сначала самому написать небольшую процедурку


Ну дык я сделал процедуру, которая создаёт iat (с адресами api, а не переходников) в адресном пространстве exe (где нули), при переходе к новому модулю (после вызова LoadLibrary) тоже дописал немного своего кода увеличивающего переменную (которую я использую для создания iat) на 4, тоесть между функциями из разных модулей будут нули, таким образом импрек сможет корректно видеть эту таблицу. Также правятся переходы
с Jmp [protector]
на Jmp [адрес ячейки создаваемой IAT]
Нужно что-то ещё ?
Прога, если после изменений продолжить её выполнение, будет нормально работать с моей Iat, а вот импрек при попытке запихнуть эту Iat в дамп пишет Invalid dump file .

PS я бы не спрашивал «как загнать импорт в дамп», если бы у меня не было этого самого импорта.

PPS и всё-таки что делает импрек при нажатии FixDump ? реально ли сделать тоже самое вручную ?

Mario555 :: Все распаковали или все «забили» ?

-= ALEX =- :: Mario555 еще никто не распаковал :) щас вот дописываю новую версию алекспротектора...

FEUERRADER :: ALEXProt распаковал Asterix. Всем желающим он вышлет распакованный файл на мыло. Оставляйте мыла в этой теме.

-= ALEX =- :: FEUERRADER ну хоть кто-то пару часов, а может и минут потратил :) ща я в полной отладке протектора... столько багов собралось, что УЖАСС

Mario555 :: FEUERRADER пишет:
цитата:
распакованный файл на мыло


А зачем нужен распакованный крякми ?!
Мне бы лучше прогу, которой к дампу импорт прицепить...

[RU].Ban0K! :: Mario555
Попробуй так...
Ты же восстановил в память IAT, ну так натрави на эту IAT ImpRec, по моему он должен восстановить...

Mario555 :: [RU].Ban0K! пишет:
цитата:
по моему он должен восстановить...


В том то и дело, что импрек таблицу видит, а грузить её в дамп отказывается .

-= ALEX =- :: странные вещи...

Aster!x :: ImpRec тебе тут вряд ли поможет придётся всё-таки что-то накодить.

The DarkStranger :: да вся тема что importrec отказывается добовлять секцию а revergin добовляет но после добовления файл не win32 преложение я так подрузомеваю что нужно перестроить файл .... ну там отрезать секции алекса и перстроить ресурсы после чего я надеюсь нормально все будет
да вот собственно назрела прозьба если у когонибуть есть ресурс ребулдер от доктора головы плиззз кинте в мыло angel_aka_ks сабачка pisem.net

GL#0M :: The DarkStranger

Ушло.

Aster!x :: Revirgin скорее всего тоже обломается..
Вот, если кто-то захочет глянуть на распакованный, то
лежит здесь: http://asterix-coder.pochta.ru/Unpacked.exe
(извините что не в архиве, но это сервер его сам распаковал :-)
ЗЫ: perl+asm - рулят.

To Admins:
Не могли бы вы удалить юзера под ником fff из базы форума, это
я протестил возможность написать что-то в форум, но теперь форум
не пускает меня говорит что совпадение IP по зоне c fff

The DarkStranger :: вобщем анпакил я его там одну чтуку сделал и все revergin востановил импорт и все файл пашет !!! смысла выкладываеть его куда то не вижу если кому интересно пишите выложу принципиальные раздичаи между моим дампом и астериксом есть .....

-= ALEX =- :: Aster!x и The DarkStranger молодцы !!!

Mario555 :: Фуф... наконец-то и я распаковал...
И не надо никаких свойх загрузчиков импорта делать, и даже в дампе ничего править не надо. Просто Imprec с «правильными» options ! Поставить нужные флажки (я их методом «научного тыка» обнаружил) и импрек без проблем загрузит импорт (чтобы его получить ессно нужно цикл создания править, тут уж никакие флажки не помогут) в дамп.

-= ALEX =- :: Mario555 тоже молодец ;)




fuck it ASProtect 1.23 Full version ? где надыбать ASProtect 1.23 RC4 типа



fuck it ASProtect 1.23 Full version ? где надыбать ASProtect 1.23 RC4 типа полную версию и всё такое....

скажите Плиииззззз !!!!!

с меня пиво ! :)
MC707 :: Поставь Солоду много-много пива (я думаю вагон хватит) и будет тебе даже 1.3

Gloomy :: Интересный вопрос кстати - взял 4 проги на взлом - все защищены аспром, причем одной из последних версий - 1.23 RC4. Где его берут разработчики программ? Неужели легально покупают?

MC707 :: Gloomy
А куды им деваться. Все пиво же пить хотят (в смысле зарабатывать на своих прогах). Поэтому и покупают

WELL :: Варез жив
В форумах, в обменниках и т.п. можно всё достать...

Mario555 :: WELL пишет:
цитата:
В форумах, в обменниках и т.п. можно всё достать...


Ты достал ?
Поделись с народом...

Mario555 :: fuck it пишет:
цитата:
где надыбать ASProtect 1.23 RC4 типа полную версию и всё такое....


А зачем именно аспр ? Если тебе просто свою прогу запротектить нужно, то есть зарегеные версии других (даже более серьёзных) протекторов, напр. PeLock или Xprot.

WELL :: Mario555
У меня есть. RC4 только демо.
Где скачал не помню.
Могу выложить куда-нить.

ViViseKtor :: WELL пишет:
цитата:
У меня есть. RC4 только демо.
Где скачал не помню.
Могу выложить куда-нить.


А она как зарегена иль нет? Усли не ругается грязными словами то выложи куда-нить.

XoraX :: fuck it пишет:
цитата:
где надыбать ASProtect 1.23 RC4 типа полную версию


не думаю, что ты ее где то достанешь...

WELL пишет:
цитата:
У меня есть. RC4 только демо.


разве ее не скачать на офпаге?

fuck it :: ё маё... 1.23 ж валаеться в нете полная, крякнутая...

надо взять 99 человек, скинуться по баксу и купить... а потом выложить

P.S сколько тут поситетилей на форуме интересно ?

DOLTON :: Просите MozgC или -=Alex’a=- .
Вроде у них был... чем-то же должен был -=Alex=- свой крякми паковать...

Гость :: fuck it пишет:
цитата:
надо взять 99 человек, скинуться по баксу и купить...


не наш метод!..

Гость :: .. хотя от регеной версии не отказался бы!

-= ALEX =- :: DOLTON какой крякми я паковал аспром ?

-= ALEX =- :: ЗЫ просто так к сведению скажу, что у меня есть лицензионный ключ на все версии аспра... НО никому давать не буду, проще вам сикнуться всем интересующимся и купить...

MC707 :: -= ALEX =-
Я ж грил, что -= ALEX =- и есть Солод Шутка

-= ALEX =- :: MC707 не надо меня сравнивать с этим буржуем...

DOLTON :: -= ALEX =- пишет:

цитата:
какой крякми я паковал аспром ?


Тот, который я ломал

P.S. Коль уж ты выменял ключик у MozgC , дык давай я тоже у тебя его выменяю...
У меня есть ножик, бабочка капустница засушенная, вкладыш с BMW...

Gloomy :: Вообще не очень понятно зачем нужен этот аспротект если распаковать его не может только ленивый? Правильно говорил Mario555 - лучше какую-нибудь другой криптор взять

-= ALEX =- :: DOLTON хм.... от куда такие слухи

-= ALEX =- :: DOLTON ты прям как ребенок, а мож он и есть....

DOLTON :: -= ALEX =- пишет:
цитата:
хм.... от куда такие слухи


Да раньше топик был, где вроде ты хотел обменять свой патчер для Аспра (бывший тогда приватным) на энтот самый ключик.Конец истории неизвестен...
-= ALEX =- пишет:
цитата:
DOLTON ты прям как ребенок, а мож он и есть....


Молодец, угадал

fuck it :: Gloomy мне надо что бы типа начинающий крякер абломался.... или хотя бы выиграть время ....недельку :) вот поэтому подумал что этот аспротект будет в самый раз... или нет ?

Bad_guy :: Блин, да возьмите вы армадиллу с ключом - в сети много где валяется и будет ещё лучше или тот же XtremeProt на exetools тоже порегеный.

Bad_guy :: Кстати русские программеры могут аспр купить по-моему за 20$ во всяком случае такое было... видел на swrus.com

fuck it :: адмирало вроде ж на автомате ломиться ( хотя HZ :) )

и еще у кого нить есть реально работающий пасс на фтп экзетулс ?

XoraX :: есть. на форуме ехетулз.

Kerghan :: fuck it пишет:
цитата:
адмирало вроде ж на автомате ломиться ( хотя HZ :) )


да берешь автомат и идешь к программеру, котрый паковал им свою прогу... и кейген у тебя в кармане.

у нас на форуме кажись не больше пяти человек её распаковывать умеет(а то и того меньше), хотя воины дзена считают что это полная чушь

MC707 :: fuck it пишет:
цитата:
адмирало вроде ж на автомате ломиться ( хотя HZ :)


Твоим бы хлебалом да мед пить

-= ALEX =- :: MC707 :)

fuck it ::

падумаешь обазнался :)




DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит...



DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит что прога запакована или что?
[RU].Ban0K! :: Вряд ли запакована... скорее всего, точка входа передаётся exe после загрузки некого протекторного модуля (dll)

Kerghan :: DillerXX
W32Dasm чушь, у меня такая хрень раньше тоже частенько бывала, хотя чаще на пакованных.
Советую взять OllyDbg

ЗЫ может мне подпись сделать «Юзайте OllyDbg» ?

KLAUS :: DillerXX

ПРойдись файлом анализатором, да и узнай!

DillerXX :: 1. Там нет ДЛЛ. Один ехе.
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.
3. Посоветуйте, плиз, хорошие анализаторы, а то я скачал - а там херь!

KLAUS :: DillerXX

Pe-ID v.092
В Pe-Tools ( там есть такой PE-Sniffer)
Stud_PE1.8
Ещё можно Pe-Scan
Но я те советую PE-ID

Mario555 :: DillerXX пишет:
цитата:
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.


А что Find references to -- Selected command (или Selected block) уже отменили ?!
И вообше нет смысла сравнивать отладчик с дизасмом.

111 :: 111

Алеся :: Кто нибудь знает «Мозга»




Gloomy Хитрый наг (C++ Builder) Исследую прогу Open Book



Gloomy Хитрый наг (C++ Builder) Исследую прогу Open Book (http://www.vinidiktov.ru/d/openbook.exe 1,1 Mb), пакована аспром, stripper ее спокойно берет. А вот после распаковки начинаются чудеса - прога показывает наг что осталось -1 дней и закрывается. Проблема в том что определение того что именно появится - наг или главное окно зависит от значения регистров и переменных, т.е. подделать их не получается - код слишком навороченный и хитровыделанный. Как такое можно обойти?
И еще: хотел поставить бряк на RegQueryValueExA а в списке импорта только несколько безымянных функций и бряк не ставится. Как быть?
KLAUS :: Попробуй отыскать где время определяется используя (может поможет):
bpint 21 if ah==2A (DOS)
bpx GetLocalTime
bpx GetFileTime
bpx GetSystemtime
bpx GetTickCount
bpx FileTimeToSystemTime

При Флагах в регистрах: bpx cs:eip if EAX==0

Gloomy :: KLAUS
Спасибо, ты указал правильный путь - постоянно сидя в отладчике напрочь забываешь о таких простых вещах как Api-шпион

KLAUS :: Базара нет, случается......

Gloomy :: Дату откатывать бесполезно - прога явно шизанулась после распаковки - ставлю любую дату - все равно »-1» день показывает. Ни в реестр ни в файлы ничего не пишет и ничего не проверяет, считает время только по системной дате. И очень уж изнеженная - чуток значение регистра подправишь - и вот тебе, бабушка, и access violation

MozgC [TSRh] :: Stripper дампит в тот момент когда в двух ячейках, где хранится сколько дней осталось, лежат числа FFFFFFF
Эти ячейка найти и исправить можно найдя апи аспра, которая и записывает в них кол-во оставшихся дней.
Либо лучше распаковывать самому и все будет ок.

Mario555 :: Вручную распаковать не получается (пока), stolen bytes какие-то извратные, да и спать уже хочется.
Если stripper’ом, то наг убирается так:

0040122A FF15 BC524B00 CALL DWORD PTR DS:[4B52BC] ; _Open_Bo.004011AD

на

0040122A . E8 D9FEFFFF CALL _Open_Bo.00401108
0040122F . 90 NOP

потом ещё занопить 00401253 CALL _Open_Bo.00450498.

При этом уберётся только наг и триал, в about останется unregged, так что если есть другие ограничения, то лучше
подолбаться найти эти stolen bytes и распаковать вручную.

Gloomy :: Mario555
Спасибо большое за помощь, все отлично работает, никаких других ограничений нет. Но все равно попробую распаковать вручную - чисто для тренировки

DOLTON :: Mario555 пишет:
цитата:
Если stripper’ом, то наг убирается так:


Сегодня столкнулся с похожей программой - после распаковки Stripperom сразу вылетает «trial period expired»

Если можно, то поясните пожалуйста метод (алгоритм действий) по излечению программ данного рода на примере Open Book.
Заранее tnks!

MoonShiner :: Найдите адреса апи аспра. Эмулить необязательно, но гляньте в коде, куда они обращаются и поправьте значения... Мозгоё... МозгЦ прав.

Gloomy :: MoonShiner пишет:
цитата:
Найдите адреса апи аспра


А как их искать? Может статья какая есть? Очень актуальная тема, полезно было бы почитать.

Mario555 :: DOLTON пишет:
цитата:
Если можно, то поясните пожалуйста метод (алгоритм действий) по излечению программ данного рода на примере Open Book.


В olly доходишь до какого-то там exception (я их не считаю никогда) внизу должно быть что-то типа

00C735DE ›JE SHORT 00C735EC
00C735E0 ›PUSH 0C73648 ; ASCII «15»
00C735E5 ›CALL 00C725EC
00C735EA ›JMP SHORT 00C735FC
00C735EC ›MOV EAX,DWORD PTR SS:[EBP-18]
00C735EF ›MOV DWORD PTR DS:[C77EB4],EAX
00C735F4 ›MOV EAX,DWORD PTR SS:[EBP-1C]
00C735F7 ›MOV DWORD PTR DS:[C77EB0],EAX
00C735FC ›PUSHAD
00C735FD ›PUSH 0C763AC
00C73602 ›LEA EAX,DWORD PTR SS:[EBP-C]
00C73605 ›PUSH DWORD PTR DS:[C77AA4] ; Open_Boo.00400000
00C7360B ›CALL DWORD PTR DS:[EAX]

Потом ещё пару раз Shift-F9 там аспр целостность кода проверит.
Alt-M и выбитраешь секцию с протектором (адр С60000). Там Ctrl-B и вводишь 40 00 00 00 40 00.
Найдётся такое:

00C77AA6 40 00 00 00 40 00 00 50 0F 00 00 00 00 00 00 00 @...@..P.......
00C77AB6 00 00 0E AB 41 00 00 00 00 00 FC A3 41 00 06 9F ..«A.....ьЈA.џ
00C77AC6 41 00 00 00 00 00 00 00 00 00 08 11 40 00 AD 11 A.........@.-
00C77AD6 40 00 C6 11 40 00 00 00 00 00 00 00 00 00 00 00 @.Ж@...........

Адреса типа 41ab0e - это апи аспра. Ставишь на них бряки и смотришь что они делают. Так например функция по адр 41ab0e возвращает адрес, куда записано имя юзера, а 4011с6 записывает либо 401108 (execute Trial) либо 4011ad (execute expire).

PS Кста я раньше сказал: «потом ещё занопить 00401253 CALL _Open_Bo.00450498. » дык вот на самом деле нопить её не надо, т.к. там проверяется имя пользователя, и если его вписать по нужному адресу, то и в about будет «Пpaвoм пoльзoвaния oблaдaeт...»

PPS апи аспра ОЧЕНЬ удобно использовать для взлома.

DOLTON :: MoonShiner
Mario555
Спасибо, буду разбираться!

Mario555 пишет:
цитата:
В olly доходишь до какого-то там exception


Относительно давно с удовольствием юзаю Ice... в нём вроде бы никаких exception при отладке Аспровских прог у меня не вылетает.

Mario555 пишет:
цитата:
Потом ещё пару раз Shift-F9 там аспр целостность кода проверит.


То есть исследовать нужно нераспакованную прогу?

Mario555 :: DOLTON пишет:
цитата:
То есть исследовать нужно нераспакованную прогу?


Of course...




MF3 Ставим раком Защиту CD Излагаю сви мысли по поводу взлома той или иной...



MF3 Ставим раком Защиту CD Излагаю сви мысли по поводу взлома той или иной системы защиты CD.

От моего способа не устаит не одно защить.
* я не вникаю втонкости написания драйверов

1)( минимум места на жд)
Пшим драйвер устройства виртуального в нашем случае CD
Система защиты обращается к нашему виртуальному устройству подает запросы
нашу устройство получает запросы , записывает ихв «лог» предает их реальному устройству.
ральное устройство=›виртуальному=›(log+ Защита)
«Вынимаем» реальное устройство
защита›вирт.устр-во›log›виртустр›защита

Дело только за реализацией
Кто заинтересиовался стучитесь

ICQ 34&83 *54&18

[RU].Ban0K! :: Я уже как-то начинал реализовывать подобное..., но идея была немного другая...
Перехватываем все опасные АПИ и пишем лог, потом по скрипту запускаемся и .... всё пашет...

Grim Fandango :: [RU].Ban0K! пишет:
цитата:
Я уже как-то начинал реализовывать подобное


Не закончил?

MF3 :: Если создать виртуальное устройство то никакая защита не подкапается.
Star Force обламывает все попытки отдебажить и промониторить.

У меня наработки и идеи пореализации имеются так-что надо с каоперироваться

Вместе мы СИЛА

[RU].Ban0K! :: Grim Fandango пишет:
цитата:
Не закончил?


Да я короче поправил пару функций..., а потом подумал что далее вопрос времяни, и не дзенское это дело стремиЦа к реальной цели... и начал писать протектор...

Grim Fandango :: =))))))

Styx :: Фишка под линухом: просто делаем iso ораз и СтарФорсс курит в сторонке!!!!!!!!!

Grim Fandango :: Styx пишет:
цитата:
Фишка под линухом: просто делаем iso ораз и СтарФорсс курит в сторонке!!!!!!!!!


Есть такое, но это Линух.

MF3 :: Styx
Чего-то загоняет.
СтарФорс проверяет физическое расположение треков на болванке.
А ISO В себя такой информации не включает.
При том образ занимает Более 700 mb что врядли удастся скинуть образ на болванку.
Мой же вариант сэкономит местона жд

Так кто поможет????



Grim Fandango :: стоп, вариант работает. я го не проверял, но друзья говорят реално пашет!

[ChG]EliTe :: Реально пашет! Причем в Linux и DVD’шки реально грабяться пишуться и.т.д.
Причем весь софт бесплатный

Grim Fandango ::

MF3 :: Все бегом под Линь!!!

Только не забудьте зелья от скуки купить , А то Microsoft не желает DirectX делать кросс платформенымю.

Noble Ghost :: Так, я не понял. Тут что, решили заумутить защиту круче Старфорса??? Бедные крякеры ещё SF не научились снимать, а тут задумывается ТАКОЕ. Надо принимать меры -- пресечь что-либо в зародыше легче, чем когда оно родится.

[RU].Ban0K! :: Noble Ghost
Читай... внимательней...

Noble Ghost :: Упс... Sorry.

FenechkA :: так СтарФорс и в винде нормально рипается и эмулируется.
Алкоголь рулит.

Grim Fandango :: FenechkA пишет:
цитата:
Алкоголь рулит.


Алкоголем что ль он рипается? хм, интересно...

MF3 Re: Noble Ghost :: кРЯКЕРЫ НЕ КАКИЕ НЕ БЕДНЫЕ (ленивые)
StarForce уже давно сломали.
По крайней мере на игры Хром и Silent Storm (SF3) NoCD уже валяются в инете.
Сам лично использовал NoCd на Silent Storm.

Одна беда нет туторов по вздому :-(.
И сломали только английскую и немуцкую версии.
Кряк конечно прет на русской версии но без звуков(взрывов и голосов нет)

Styx :: Всё равно под виндой гимора больше...




RiXXXoN Помогите умоляю!!! Я начинающий крэкер и web мастер заодно,мне...



RiXXXoN Помогите умоляю!!! Я начинающий крэкер и web мастер заодно,мне попалась хорошая программка crystal button v 2.5,защита что-то вроде демо но после ввода валидно серийника все ограничения уходят!!!!
После анализа выяснилось что это ASProtect от Солодовникова .
Дамп программы при запуске ругаеться что некорректная crc сумма,чипа вирус чек.
Помогите распаковать программку полностью дальше всё постораюсь сделать сам,просто мне непонятно как избавиться от вирус чека и от Аспра.
Если кому нетрудно пришлите поправленный exe(без аспра) на мой ящик.
В интернете искал крэк,нету нигде всё перерыл,и тогда уже решил копать сам но Аспротект пока непозубам,помогите если вам нетрудно!!!!
MC707 :: Ccылку бы на прогу не мешало бы для начала и размер.

Гость :: Stripper для автоматической распаовки. Какая версия aspra? Не мешало бы прочитать пару статей про распаковку Aspra.

RiXXXoN Re: Гость :: ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
Cсылка на сайт: http://www.crystalbutton.com/
Ccылка на закачку: http://www.web-buttons.net/files/crysb250.exe
Размер 1.3 mb

Гость :: Выбрось программу или плати бабки программерам. Гиблое это дело 8(
На опыте Stop!’а могу сказать максимум, чего можно добиться без ключа - «вечный триал»

dMNt :: hxxp://www.ledex.ru/files...s/crystal_button25%20-%20[%hxxp://www.ledex.ru/files...s/crystal_button25%20-%20].zip

вот, правда сам не качал, но говорят что все inside

MC707 :: Я чего-то не понял, в ней кроме триала есть какие-нибудь ограничения?
Прогу распаковал стриппером. Ни на что не ругается, триал отломал.

2RiXXXon :
Аспр в большинстве случаев сейчас уже не защита имхо. Найди в сети Stripper 2.07f и будет тебе щастье.

ZX :: Гость пишет:
цитата:
Гиблое это дело 8(


Пусть попытается.
RiXXXoN пишет:
цитата:
Если кому нетрудно пришлите поправленный exe(без аспра) на мой ящик.


Stripper 2.07 его распаковывает. Найди стриппер и скачай.

AlexZ CRaCker :: RiXXXoN пишет:
цитата:
но после ввода валидно серийника все ограничения уходят!!!!


Чет я непойму что тебе надо. Так у тебя серийник есть? Тогда зачам тебе дампить. Если патч хочеш делать, то только in-line (я сам не разу не делал :)

MozgC [TSRh] :: Я смотрел пару версий, там функции пошифрованы аспром были, так что как уже сказал Гость - только вечный триал возможен (без ключа если).

Slavon :: Попробуй CASPR-ом

Mario555 :: MC707 пишет:
цитата:
Аспр в большинстве случаев сейчас уже не защита имхо


Гы-Гы... Я GetPix (Aspr 1.3) неделю распаковывал (ну теперь что-нить подобное часа за два распакую), и могу сказать, что это не очень-то просто было... Так что не надо пи*деть про то, что аспр - фигня, он совсем не фигня.

PS А если ещё считать, что как сказал TheDarkStranger, запакован GetPix не со всеми опциями аспра, то...

KLAUS :: Mario555

РАсписал бы как делал.....многим всё таки интерестно!

Runtime_err0r :: Mario555

цитата:
Гы-Гы... Я GetPix (Aspr 1.3) неделю распаковывал (ну теперь что-нить подобное часа за два распакую), и могу сказать, что это не очень-то просто было... Так что не надо пи*деть про то, что аспр - фигня, он совсем не фигня.


А я его stripper’ом за 10 секунд распаковал для меня важен результат, а не процесс, как говорится - зарелизил и забыл
_http://www.zone.ee/Runtime_err0r/KpT-GetPix15_exe .rar

P.S. А расписать действительно было бы неплохо !!!

XoraX :: Mario555 , дайствительно, с тебя туториал. хороший, чтоб не на халяву сделанный

Mario555 :: Runtime_err0r пишет:
цитата:
для меня важен результат, а не процесс, как говорится - зарелизил и забыл


Для меня важно сломал я прогу или нет (ломаю только ради интереса, никаких релизов не делаю), а когда пользуюсь автораспаковщиками, то остается какое-то ощущение «недоломанности»... типа большую часть защиты отламал автор унпакера, а не я.

Runtime_err0r пишет:
цитата:
А расписать действительно было бы неплохо !!!


Да я тут запарюсь это расписывать... Там по идеи надо бы тузлу для импорта написать, чтобы каждый раз свои процедуры в код не пихать. Тузла должна будет патчить dump по адресам взятым из лога, и составлять текстовый файл из «перевёрнутых» адресов апи, которые тоже берутся из лога. Лог будет выглядеть например так:
........
00C67771 COND: ADDRESS = 0040125A
00C67774 COND: API = 77E81664
00C67776 COND: mHandle = 77E60000
00C67771 COND: ADDRESS = 00401262
00C67774 COND: API = 77E7E494
00C67776 COND: mHandle = 77E60000
.........

XoraX пишет:
цитата:
с тебя туториал. хороший


IMHO хороший тутор - это что-то типа туторов от cracklatinos (со скринами и в .doc), но в России я не видел чтобы где нибудь размещались подобные туторы. Так например тутор nice’a про аспр вроде так и не выложен нигде.
На cracklab вообще возможно размещение туторов .doc ?

nice :: Mario555
Многим аспр кажется протым протектор( :) :) ), потому, что он уже разобран вдоль и поперек...
1_30 и правда мерзость, я его со всеми опциями распаковывал, а кромя импорта, руки не дошли пока...

По поводу статьи, она так пока и лежит не доведенная до ума, там нет одной главы, и проблемы с авторством, планирую завтра вечером её добить. Кстати перегнал в html стала на 400Kb меньше! Поэтому это будет HTML вариант...

[ChG]EliTe :: Mario555 пишет:
цитата:
На cracklab вообще возможно размещение туторов .doc ?


А почему именно doc ?
nice пишет:
цитата:
Кстати перегнал в html стала на 400Kb меньше! Поэтому это будет HTML вариант...


И это правильно!

Mario555 :: nice пишет:
цитата:
я его со всеми опциями распаковывал, а кромя импорта, руки не дошли пока...


??? это вообще-то как ??? Без импорта ведь прога даже не запустится... Или у тебя есть Аспр 1.3 и ты им запротектил прогу, со всеми крыжиками, кроме импорта ? Если последнее, то кинь plz в мыло запакованную и не запакованную прогу, со всеми крыжиками.

PS в GetPix самое трудное было как раз с импортом.

nice :: Mario555
У меня нет аспра, я просто просил одного человека запаковать мне 3 способами, а потом над своей прогой извращался, чесно говоря импорт даже не смотрел :(
Могу только выслать пакованые файлы + оригинал ~ 300Кб

Mario555 :: nice пишет:
цитата:
Могу только выслать пакованые файлы + оригинал ~ 300Кб


Высылай,
заранее благодарен :)

gerRing :: Ребята а серийник неподскажете для проги а то ваши ссылки битые,и пришлите на мой мыльник нормальные




Mario555 Ищу проги Кто-нить знает проги с аспр 1.3 (кроме GetPix) ?...



Mario555 Ищу проги Кто-нить знает проги с аспр 1.3 (кроме GetPix) ? Поделитесь ссылками plz.
Runtime_err0r :: Древо жизни: hxxp://www.genery.com/ru

Mario555 :: Runtime_err0r пишет:
цитата:
Древо жизни


Это не 1.3... Iat на месте, call eax тоже впорядке.

nice :: Mario555
Держи брат:
http://www.apache-gui.com/files/apconf.exe
http://myproxy.com.ua/myproxy.exe

Mario555 :: nice пишет:
цитата:
http://myproxy.com.ua/myproxy.exe


Это тоже не 1.3... Почему ты думаешь, что это 1.3 ?
Вторую прогу пока не качал (с трафиком проблемы), ты уверен что там 1.3 ?

nice :: Mario555
Характерня черта этого аспра, там отсутствует процедура входа в программу, кроме последней ф-ии:
push
mov
mov
call
mov
mov
call
mov
xor
call fianl
Остается только call final всё остальное съедает аспр.
Код до финального кола завален не нулями, а мусором.
Плюс трабла с импортом, Imprec вообще её не видит.

Mario555 :: nice пишет:
цитата:
Остается только call final всё остальное съедает аспр.
Код до финального кола завален не нулями, а мусором.


Но в MyProxy всё на месте... я её без проблем распаковал, всё-таки это не 1.3

Kerghan :: Mario555
кстати, а ты myproxy не ломал, а то мне с ней не охота разбираться

fuck it :: а вроде сам аспротект самим собой запакован :) дерзай

Mario555 :: Kerghan
Не, не ломал, даже не пробовал, мне тоже лень с ней разбираться, прога ведь для работы с инетом, а значит сломал, а потом сиди и ищи всякие там подлянки... :)

fuck it
Самого протектора версии 1.3 нигде нет, а в той которая на офф. паге что-то больше похожее на aspack, чем на аспр.




nice PEid92 Написано: обновился



nice PEid92 Написано: обновился
PEiD v0.92 Build date: March 29, 2004
http://www.absolutelock.d...n/files/releases/PEiD.zip
nice :: На 6 сигнатур больше стало :)

UnKnOwN :: nice пишет:
цитата:
На 6 сигнатур больше стало :)


И то хорошо

-= ALEX =- :: а там мой протектор есть :)

MC707 :: -= ALEX =-
ну да?? уже?

-= ALEX =- :: :) извиняюсь, это вопрос-шутка был :)

Bad_guy :: -= ALEX =-
А ты его попробуй зарелизить и в 0.93 увидишь и свой протектор.
...даже мои StealthPE и HidePE уже в нём.

Mario555 :: Bad_guy пишет:
цитата:
...даже мои StealthPE и HidePE уже в нём.


А твоего StealthPE в базах антивирей ещё нет ? :)

Bad_guy :: Mario555
Был в AVP, но я выпустил новую версию. Теперь вы можете выбирать... Да, кстати флажок «только чтение» теперь не прокатит

Slavon :: Я меня стоит Win98 и при запуске требует MSVCP60.DLL :( Где её можно скачать???

XoraX :: ёпанафрот, ты надоел глупыми реквестами!
filesearch.ru

KLAUS :: А можно гденить глянуть, по каким сигнатурам он определяет пакеты/протекторы??

[ChG]EliTe :: XoraX пишет:
цитата:
Где её можно скачать???


Я ща у nice моду возьму...
2 nice а че универсальный, а главное правильный и полезный ответ:
www.yandex.ru/www.gg.ru

KLAUS :: Slavon

У меня тоже 98, но чёт он ничего не просит!!

fuck it :: Bad_guy
а де скачать твои проги StealthPE и HidePE ?

AlexZ CRaCker :: fuck it
http://bgcorp.narod.ru/stlpe20.zip
http://bgcorp.narod.ru/hidepe10.zip
Я брал отсюа. Ты спросл бы где скачать крэк (шаровара, однако...)

Bad_guy :: AlexZ CRaCker пишет:
цитата:
Ты спросл бы где скачать крэк


А крэк слабо сделать ?

KLAUS :: А где нить есть, по каким сигнатурам он проверяет??




Slavon Голосование: Лучшая (любимая) ось



Slavon Голосование: Лучшая (любимая) ось ­Slavon'RideX'Kot'WELL'-= ALEX =-'[ChG]G.Free.M4N'Макс'DillerXX'1899'Styx'ilya'[ChG]EliTe'MozgC [TSRh]'bUg.'DZmey'Guest'CReg [TSRh]'Destroyer'CERBER'Dragon'odIsZaPc'­Win 9x'1
Win XP'8
Win 2k'7
Win NT'1
Linux'1
Unix'
*.nix'1
None'1
Other'
All'1
­ ­
Telex :: Slavon
Ось Земли и Марса забыл

Styx :: А есть такая интересная ось --- MenuetOS

Slavon :: Мне вообще XP нравится, но там нет hmemcpy

WELL :: ИМХО самый классный вариант это 2(3) партиции с 98-й, 2k (XP)
Вот так.

DillerXX :: WELL
угу. Как у меня...

bUg. :: WELL
и с линухом

WELL :: bUg. пишет:
цитата:
и с линухом


А почему бы и нет. Но это уже только через VMWare Так ИМХО удобнее

bUg. :: WELL
можно и так.

Slavon :: Только в падлу перезагружаться (мне). Да и хард у меня не бездонный. А так идея превосходная

WELL :: Slavon
Поставь VMWare и купи винт побольше

AlexZ CRaCker :: WELL пишет:
цитата:
ИМХО самый классный вариант это 2(3) партиции с 98-й, 2k (XP)


Кто подскажет приемущества 2k над ХР? Ато про 2k ничё (в практике) незнаю.
98 держать пока надо, в любом случае.

bUg. :: AlexZ CRaCker пишет:
цитата:
Кто подскажет приемущества 2k над ХР? Ато про 2k ничё (в практике) незнаю.


поставь узнаеш :)

AlexZ CRaCker :: bUg. пишет:
цитата:
поставь узнаеш :)


О ][ У E T Ь.
(Извиняйте, других слов не нашлось )

Slavon :: А кто чё может сказать о LongHorn. Я слышал, что это почти копия XP.

bUg. :: AlexZ CRaCker
да ладно тебе. Че орёш. пошутил я. Но в принципе пока сам не поставиш преимуществ не узнаеш.

bUg. :: Slavon пишет:
цитата:
А кто чё может сказать о LongHorn. Я слышал, что это почти копия XP.


КТО ТЕБЕ ТАКОЕ СКАЗАЛ(УДАРЬ ЕГО). на www1.xakep.ru узнаеш.

XoraX :: bUg. пишет:
цитата:
А кто чё может сказать о LongHorn


собсно говорить-то пока нечего. она находиться с стадии АЛЬФА-ВЕРСИИ. я ставил. красивая и бажная....

bUg. :: XoraX
это не я пишет, а Slavon

WELL :: Slavon пишет:
цитата:
А кто чё может сказать о LongHorn


Мне на недельке DVD-диск принесут с ним. Поставлю, потом расскажу.

WELL :: XoraX пишет:
цитата:
собсно говорить-то пока нечего. она находиться с стадии АЛЬФА-ВЕРСИИ. я ставил. красивая и бажная


Ага, занимает 5 гигов и распространяется на DVD.

Slavon :: 5 гигов Они (мелкомягкие) её чё, на Delphi писали

WELL :: Slavon пишет:
цитата:
5 гигов Они (мелкомягкие) её чё, на Delphi писали


Они её ExtremeProtector’ом защитили, со всеми включенными наворотами

KLAUS :: Да все протекторы (если защиту на максимум поставить) файл как минимум в раза два увеличивают!

[ChG]EliTe ::
цитата:
А кто чё может сказать о LongHorn


Если верить BG (не путать с Bad_guy’ем) то ждать нам ее не раньше 2006 года...

KLAUS :: Да к 2006, там уже чонить по лочше придумают!

[ChG]EliTe :: KLAUS пишет:
цитата:
Да к 2006, там уже чонить по лочше придумают!


Хз.. Я читал последние интервью Била.. он сказал (почти так..) Мы мутим супер ОС и не куда не торопимса выдет она именно тогда когда все будет пучком.... примерно в 2006
(цитата немного подправлено мной )

KLAUS :: [ChG]EliTe

1) К 2006 их могут уже прикрыть.
2) К 2006 уже глядишь все на LInux могут пересесть.....

WELL :: KLAUS пишет:
цитата:
Да все протекторы (если защиту на максимум поставить) файл как минимум в раза два увеличивают!


Совсем не все. Например PESpin. Увеличивают только те, которые без компрессии, это естественно, они же свой код добавляют.

KLAUS :: WELL пишет:
цитата:
только те, которые без компрессии


Всмысле, у те кот. упакованы не увеличивает (или отказывается работать)?

XoraX :: WELL пишет:
цитата:
Ага, занимает 5 гигов и распространяется на DVD.


инсталляшка легко влезает на обычный компакт

WELL :: XoraX пишет:
цитата:
инсталляшка легко влезает на обычный компакт


Не, я имел ввиду, что 5Гб на винте. Но сказали, что принесут на DVD. Типа та альфа-версия, которую спёрли с малазийской презентации.




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




RottingCorpse Что за пакер MoleBox...? САБЖ



RottingCorpse Что за пакер MoleBox...? САБЖ
MozgC [TSRh] :: Ну такой вот протектор. The DarkStranger его распаковывал, я сам не смотрел. Он говорит что навешанный на прогу протектор распаковать легко, а с навешанным MoleBox’ом на сам MoleBox =) он провозился кажется весь день. В общем жди его и спрашивай или могу дать его ICQ.

nice :: RottingCorpse
Ситуация такая, программы защищенные MoleBox’om распаковываются за 5 минут, только трейс нельзя в ImpRec’e делать.

А сам MoleBox (как правильно заметил MozgC [TSRh] ) снимается оочень туго :(
Из-за длл им используемых в количестве 2 штук. Если их проигнорировать, то ехе не рассшифруется полностью.

RottingCorpse :: да уже все намана... инлайн патч все решил :)

bi0w0rM :: на самом молебоксе ведь аспр еще

RottingCorpse :: ?????????????????????????

RottingCorpse :: bioworm вернулся!!!!!!!!! ты что хотел сказать по поводу аспра

Mario555 :: MozgC [TSRh] пишет:
цитата:
навешанный на прогу протектор распаковать легко


Это смотря как и на какую прогу навешанный (напр. если dll в BOX запаковали).

nice пишет:
цитата:
Из-за длл им используемых в количестве 2 штук. Если их проигнорировать, то ехе не рассшифруется полностью.


А при чём тут вообще расшифровка exe ? Она не зависима от dll’ек.

MozgC [TSRh] пишет:
цитата:
The DarkStranger


Что-то давно его на форуме не видно... :(

RottingCorpse пишет:
цитата:
инлайн патч все решил :)


Угу, с этим разработчики molebox лоханулись... У них переход к OEP никак не пошифрован и к тому же находится строчек на 20 над EP :)

RottingCorpse пишет:
цитата:
ты что хотел сказать по поводу аспра


В molebox.exe двойная запаковка - аспр+molebox.

nice :: Mario555
Ну какже если тутор напишу увидишь, у меня даже записаны адреса где то были.
Там идет так:
Call func
Выходим из ф-ии, а код соовсем другой, не иначе как зашифрованы.
Если длл отрубить(что делает стриппер), то получается после этого call’a мусор

Mario555 :: nice пишет:
цитата:
Если длл отрубить(что делает стриппер), то получается после этого call’a мусор


При чём тут стриппер ? Там же кроме аспра ещё и сам molebox ! Когда ты на OEP аспра (aka EP molebox’a) dll ещё нет, они расшифровываются в molebox. Дампить всё это нужно с OEP molebox’a.

PS я его распаковал (в результате в папке 3 файла: сам exe и 2 *.### ), но распакованный не протектит проги.




Mario555 Aspr 1



Mario555 Aspr 1_3 «lite» tutorial Смотрю тут все стали туторы выкладывать по аспру...
Вот и я тоже кой-чего написал:
http://www.mario555.pisem.net/Aspr1_3_tutorial.exe

Поправьте, если там чего не так написано...
Только сильно не пинайте :)
ZX :: Лучше б про UltraProtect что-нибудь сказанул, все чаще попадаются с этим протектором проги.

ZX :: Хороший тутор, просто и понятно все изложено, молодец - постарался на славу!

KLAUS :: Хе, здраво...

Mario555 :: А кто-нить 1.3 со всеми опциями защиты распаковывал ?




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!...



XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!
понимаю, что есть ImpREC, но бывает, что он некоторое не узнает. в аспре конечно можно угадать в большинстве случаев, но все равно
ZX :: Эт щас тебе всего много наговорят, а лучше всего использовать инструменты(отладчик, дизассемблер) и самому исследовать прогу, что из чего берется - получишь незабываемые впечатления и научишься не задавать подобные вопросы.

P.S.
Я не пытаюсь обидеть, а говорю дело.

WELL :: XanderDBB
Смотришь на адреса нераспознаных функций в ImpRec’e ставишь бряки, трэйсишь и узнаешь какие апи-шки юзаются. Вроде так.

Mario555 :: WELL пишет:
цитата:
трэйсишь и узнаешь какие апи-шки юзаются


Обычно от трейса апи протектора толку мало. Там лучше просто смотреть на принимаемые/возвращаемые значения, и на расположние функции в Iat.

KLAUS :: Прочитал бы про ручную распаковку Аспротект’а там это описанно!




ilya unpack Registry Medic 2.95 пробую через olly+svkp



ilya unpack Registry Medic 2.95 пробую через olly+svkp_13x(olly script),но постоянно выбрасывается ошибка скрипта.кто нить сталкивался с этой проблемой??? мож чё не так делаю
WELL :: ilya
А чем запакована?

ilya :: SVKP 1.3

Kerghan :: WELL пишет:
цитата:
А чем запакована?


ilya пишет:
цитата:
svkp_13x


2WELL было бы странно пытаться распаковать upx с помощью этого скрипта
2ilya прежде чем работать со скриптом, лучше сперва распаковать svkp руками тем более что ничего страшного там нет

Mario555 :: Kerghan пишет:
цитата:
svkp руками тем более что ничего страшного там нет


В обычной версии это действительно так (я распаковывал и Registry Medic и ещё пару прог). Но вот с Tweak-XP Pro 3 хрень какая-то :) И с самим svkp.exe тоже (хотя может это потому, что у меня в нём триал закончился, а наг вызывается из кода протектора).

Mario555 :: Да кста проги после svkp легко ломаются, т.к. там используется что-то вроде апи протектора для проверки имени юзера.

ilya :: Kerghan пишет:
цитата:
лучше сперва распаковать svkp руками


да я бы с радостью(тем более что меня в последнее время стало прибивать по распаковке вручную)но у меня мало информации по распаковке данного пакера. если не трудно подкиньте кто нить мыслю (где зациклить , где оеп).я не настолько силён чтобы в одиночку догнать как распаковать




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить...



sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить слыхал про енто

http://bgcorp.narod.ru/product.htm
Gloomy :: Никогда о таком не слышал

MC707 :: Gloomy
Я тоже Бэд_Гая не знаю :)

SeDoYHg :: ›››Stealth PE «убивает» инструменты взломщика при запуске на компьютере взломщика
Чтобы это значило? А то я боюсь себе его закачать для испытаний

MC707 :: SeDoYHg
Правильно, бойся!

-= ALEX =- :: SeDoYHg ты видать в танке... короче тулзу эту написал Bad_Guy :) Действительно, после запуска этой проги у тебя не будут работать потом, если я не ошибаюсь, PEiD и LordPE, у меня по-моему только они не работали...

MaZaFaKeR :: -= ALEX =-, точно в танке...

bUg. :: В БТР’е

odIsZaPc :: на камазе :)

Kerghan :: хе-хе
названия секий заценить не забудь

SeDoYHg :: -= ALEX =-
MaZaFaKeR
bUg.
odIsZaPc

Да знаю чьих рук это дело =). Мне просто было интересно, что и каким способом убивает этот протектор.

Я не в танке, я на К-701 (кто не знает это самый мощный трактор СССР, да и в мире тоже). Поэтому со мной не шутить, задовлю всех

MaZaFaKeR :: SeDoYHg пишет:
цитата:
Мне просто было интересно, что и каким способом убивает этот протектор.


Да, это действительно интересно...

MC707 :: SeDoYHg пишет:
цитата:
что и каким способом убивает этот протектор


Руки, мозгами

KLAUS :: Но, проги убиваются, но когда их вновь проSETUP всё тип тип!!

SeDoYHg :: Судя по ответам, кроме -= ALEX =- и Bad_Guy, этот протектор не кому не интересен .

KLAUS :: Да не, кстати угарная вещица....ещёб денежку, да и исх....вообще здраво бы было!!

ViNCE [AHT] :: Да это больше пакер чем протектор... там шифрация простым xor’ом...

Bad_guy :: ViNCE [AHT] пишет:
цитата:
Да это больше пакер чем протектор


Вообще то я называю это скрэмблером (для себя).

ViNCE [AHT] :: to Bad_Guy: Не обижайся... Скрэмблер, так скрэмблер :)




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал



блокирует закрытие Olly и проходит к tempOEP.


блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!

RottingCorpse :: Мда..... собственно говоря распаковывается руками без особых проблем, с ресурсами - то же самое.

WELL :: MaZaFaKeR пишет:
цитата:
Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел


Ну вот, а ты сразу возбухать...

RideX :: MaZaFaKeR
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?

WELL :: RideX пишет:
цитата:
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?


Чтобы About пофиксить

SeDoYHg :: RideX

Он тебе как и меня пошлет куда подальше, лучше не спрашивай.

MaZaFaKeR :: Господа , Эбаут править я не собираюсь!
Меня интересует распаковка и работа в распакованном состоянии!

WELL :: MaZaFaKeR
Обычно ресурсы для взлома не нужны.
Если только у кнопок свойства enabled отрубать

MaZaFaKeR :: WELL , я хотел распаковать прогу и чтобы она распакованная работала и ресурсы были в норме!
Поверьте мне, не для взлома или рипа я об этом просил!




diezel XtremeProtector Может у кого есть тутор по распаковке XtremeProtector,...



diezel XtremeProtector Может у кого есть тутор по распаковке XtremeProtector, или кто нить видел статьи.
И вообще как распаковать эту хрень в ручную.
ПОМОГИТЕ PLS!!!!!!
MozgC [TSRh] :: Ни у каво нэту =)

XanderDBB :: ну здрасте, а как же вы тогда его распаковываете?

MoonShiner :: Мы пока не настолько рехнулись:)

ilya :: MoonShiner пишет:
цитата:
Мы пока не настолько рехнулись


правда его нельзя распаковать???

MozgC [TSRh] :: XanderDBB пишет:
цитата:
ну здрасте, а как же вы тогда его распаковываете?


Мы никак его не распаковываем =) Во всяком случае я и все кого я знаю =)

GL#0M :: Это точно! Полный ~ ец!

.::D.e.M.o.N.i.X::. :: ilya пишет:
цитата:
правда его нельзя распаковать???


Его можно распаковать. Я все на человека выйти не могу, который его победил (хотя он не единственный), но как только выловлю попрошу тутор написать.

-= ALEX =- :: Я тоже одного человека знаю, который сказал мне, что 1.6 распаковывал...

WELL :: Пока видимо всё на уровне слухов...

ilya :: и с этого дня все разработчики ПО кинулись паковать свои проги XtremeProtector

MoonShiner :: Я не думаю, что он долго просуществует... Все это разрастание кода, тормоза при загрузке, неустойчивость работы (с какого то перепугу может нормальную чаку в ребут кинуть)... Слишком он «тяжелый»...

WELL :: MoonShiner пишет:
цитата:
Слишком он «тяжелый»...


Видать потому и экстрим называется. Для программистов-экстремалов

V0ldemAr :: Это точно что полный ПЕ, щас скачал новую версию сабжа так он ваще вылетает когда
я нажымаю на кнопку Протект, думал можен настройки, нет это х..

WELL :: «Лучше перебздеть, чем недобздеть.»
Видать так рассуждал автор этого протектора.

MozgC [TSRh] :: Протектор конечно слишком грузный и ОЧЕНЬ НЕСТАБИЛЬНЫЙ. Невинным людям постоянно перезагружает компьютер....

WELL :: Короче не юзероориентированный подход

Noble Ghost :: Похоже, что надёжная защита и надёжная работа -- вещи несочетаемые.

Telex :: Интересно, а кто автор этого протектора?
Что-то на сайте ни единого упоминания...
Может здесь, рядом? :)

.::D.e.M.o.N.i.X::. :: Telex пишет:
цитата:
Может здесь, рядом? :)


Макароники - насколько я знаю...

.::D.e.M.o.N.i.X::. :: MozgC [TSRh] пишет:
цитата:
Протектор конечно слишком грузный и ОЧЕНЬ НЕСТАБИЛЬНЫЙ. Невинным людям постоянно перезагружает компьютер....


С какой стороны смотреть - я когда на своей тачке винт форматнул и винду переставил, протектор очень даже стабильно работал и не ребутил ничего, но когда я прог всяких понаставил (включая и исследовательского характера) - то тогда начинаются выпендрежи.

WELL :: .::D.e.M.o.N.i.X::.
В смысле итальянцы что ли?

Telex :: WELL
Ну а кто-же ещё может быть «макаронниками»...
.::D.e.M.o.N.i.X::.
А тебе такое написать религия не позволяет?

EGOiST[TSRh] :: Noble Ghost пишет:
цитата:
Похоже, что надёжная защита и надёжная работа -- вещи несочетаемые.


ну не скажи..например StarForce довольно стабильный..

Bad_guy :: .::D.e.M.o.N.i.X::. пишет:
цитата:
С какой стороны смотреть - я когда на своей тачке винт форматнул и винду переставил, протектор очень даже стабильно работал и не ребутил ничего, но когда я прог всяких понаставил (включая и исследовательского характера) - то тогда начинаются выпендрежи.


Что-то по характеру очень на винду похоже... не защищена ли она этим протектором ?

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
С какой стороны смотреть


С какой стороны не смотри если протектор перезагружает ни с фига комп - то это нестабильность.

.::D.e.M.o.N.i.X::. :: Telex
Не-е не позволяет

test :: Вот еще по поводу Xprot.Запустил его на virtual PC а ребутнул сразу все и даже без драйвера ребутил весь комп а не виртуальный.

Dragon :: test
VMWare использовать надо, там полная изоляция и невозможно обнаружить, что комп виртуальный.

test Re: Dragon :: А в VIRTUAL PC не полная изоляция?

Dragon :: Вроде там не полная, для увеличения производительности сделано, где-то слышал, скорее всего поэтому и перезагружается главный комп.

WELL :: test пишет:
цитата:
А в VIRTUAL PC не полная изоляция?


По идее если комп перегружается, значит неполная.

test Re: WELL :: VIRTUAL PC и VMWare в принципе одно и тоже.Только под разные системы, а вот производительность явно неважная .
На celeron 1.7, 256mb.




EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал...



EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал дебажить и когда трейсишь по F8 она мне листинг через 3 строки вверх подправляет, это както можно отрубить?
RideX :: Ещё хочу добавить вопрос:
Можно ли в Olly дебажить файл, у которого есть секция отладки (.debug), если да, то как? Пример такого файла, AlfaClock 1.60, можно взять здесь: http://www.alfasoftweb.com/download/

MC707 :: EGOiST[TSRh]
Я тебя недопонял. Как это поравляет? Обычно она так делает, когда ты протектор трейсишь какой-нить. Так это и в айсе так же будет...

EGOiST[TSRh] :: ну она курсор все время поднимает на первею строку(2 прйдешь, на 3ю понимет обратно), и причем не тока в протекторе..а просто в нормальном коде..и при этом иногда ругается что типа на следующей инструкции совсем даже не код

MC707 :: RideX
И тебя я тож недопонял... Как обычно... ОЕР = 40640C

Mario555 Re: MC707 :: EGOiST[TSRh] пишет:
цитата:
строки вверх подправляет, это както можно отрубить?


А никак :( меня эта хрень тоже бесит...

MC707 пишет:
цитата:
Как обычно... ОЕР = 40640C


Не смеши... В AlfaClock 1.60 сидит аспр 1.3 «full», там как такового OEP нету, всё до главного call размазано по протектору. Это твоё 40640C всего лишь вызов апи. Если ты распаковал эту хрень, то расскажи plz, как это сделал. С импортом и таблицей «call eax» я разобрался, спёртый код тоже можно попробовать восстановить, но вот что делать с мусором который по коду инита разбросан (тот что исключения вызывает aka SEH) и с четырьмя call «protector» ?

MC707 :: EGOiST[TSRh]
Хе. Я конечно боюсь предположить, что это цикл... Хотя вряд ли от тебя такого ожидать можно :)
Лучше дай файл или линк, я посмотрю.

EGOiST[TSRh] :: не не цикл... ну смотри.. ставишь бряк гденить..начинаешь трейсить.. жмешь 2 раза F8, на 3й она какбы скролит листинг кода на 3 строки вниз т.е. какбы курсор поднимается.. и это в любой проге

MC707 :: EGOiST[TSRh]
Нда... Я больше ничего не могу предположить кроме скролла или глюка.
Ты когда бряк ставишь рвется она внизу экрана? Если да, то то она автоматом скроллит код вверх.
Иначе глюк имхо.

EGOiST[TSRh] :: нее, рвется какраз вверху..:D гмм а какая последняя версия то..может внатуре глюк

MC707 :: последняя - 1.10 step 3 (c)
хотя я работал на всех 3х a,b,c на WinXP & Win98SE. Все было ок.
Хотя step 3 на ХР еще не успел потестить

MC707 :: А вообще давай так - я те свой ollydbg.ini могу заслать - с ним проверишь. Может в настройках чего-то не то...

MC707 :: Mario555 пишет:
цитата:
А никак :( меня эта хрень тоже бесит...


Чего-то я не понимаю о чем вы... Просто видимо это от того, что айс я не запускал уже месяцев 5

Mario555
Я уж понял, что это 1.3.
Сам пока не распаковывал. Вечером попытаюсь.
А «ОЕР» я написал для того, чтоб показать что дебажится она также как и остальные.
Просто другой вопрос, как ее распаковать.

RideX :: MC707 пишет:
цитата:
чтоб показать что дебажится она также как и остальные


В SIce не даёт бряки ставить, вылетает с ошибкой, вот решил попробовать Olly, непонятно как пройти до OEP. Почитал туторы по Olly, но здесь что-то так не получается. Я подумал что это из-за секции JCLDEBUG (volodya в первой части статьи упоминал, что секция отладки может как-то мешать, но точно не знаю как).

Mario555
Значит это и есть аспр 1.3 и всё из-за него? Я первый раз такое встретил.

P.S. AsprDebugger и Stripper тоже отдыхают...

MC707 :: Надо будет его стриппером 2.11 попытать

WELL :: MC707 пишет:
цитата:
Надо будет его стриппером 2.11 попытать


А он уже есть для скачивания?

RideX :: WELL пишет:
цитата:
А он уже есть для скачивания?


Пока нет, но этот файл тоже не берёт :(

WELL :: Значит будем ждать следующую версию

EGOiST[TSRh] :: короче..поставил старую тоже самое.. НО заметил одну фичу..это проичходит только если юзать бряки... если просто трейсить с самого начала, то все ок..

Mario555 :: WELL пишет:
цитата:
Значит будем ждать следующую версию


Халявщики... :)

Mario555 :: По поводу 1.3.
Мусор разбросаный по интиту - это бывшие jmp’ы. При прохождении этого мусора срабатывает обработчик исключений, который сравнивает адрес где произошло данное исключение с адресами в таблице:
.............
00E79D98 FF 8E 01 00 2C 48 7C 73 яЋ.,H¦s
00E79DA0 52 B9 00 00 2C 48 7C 76 R№..,H¦v
.............
команда была тут - 00418EFF FFBB ??? ; Unknown command
когда адрес найден, то берут соответствующую ему циферку (2C 48 7C 73) и что-то с ней делают - а именно высчитывают определённые байты и записывают их в стек, там и будет выполнен jmp, например так:

0012FAEC -0F84 E2932E00 JE AlfaCloc. 00418ED4
0012FAF2 68 018F4100 PUSH 00418F01
0012FAF7 C3 RETN

А место где произошло исключение выглядит так:

00418ED4 MOV EDX,EBX ; сюда выполнится jmp
00418ED6 MOV EAX,DWORD PTR DS:[4EA860]
00418EDB CALL AlfaCloc.00418ADC
00418EE0 CMP EBX,DWORD PTR DS:[4170F4]
00418EE6 JE SHORT AlfaCloc.00418F01
00418EE8 MOV EAX,EBX
00418EEA CALL AlfaCloc.004033D8
00418EEF MOV EBX,EAX
00418EF1 MOV EDX,EBX
00418EF3 MOV EAX,DWORD PTR DS:[4EA860]
00418EF8 CALL AlfaCloc.00418AF4
00418EFD TEST AL,AL
00418EFF ??? ; Unknown command == тута ошибка :)
00418F01 XOR EAX,EAX ; сюда попадём, если не выполнится jmp

Вообщем надо разобраться что означают цифры типа «2C 48 7C 73», и тогда можно будет попробовать вернуть jmp’ы на место.

PS армадилу никому не поминает ?! :))))))

PPS Упс... оказывается там не только jmp’ы крадутся, но ещё и call’ы... выполняются они так
0012FAEC 68 9A8F4100 PUSH 418F9A ; адрес куда вернёмся после выполнения
0012FAF1 68 388B4100 PUSH 418B38 ; а сюда call
0012FAF6 C3 RETN

ZX :: Mario555
А на счет импорта 1.3 ничего не желаешь сказануть?

Mario555 :: ZX пишет:
цитата:
А на счет импорта 1.3 ничего не желаешь сказануть?


Дык в моём туторе по 1.3 «lite» про импорт всё расписано, а в «full» импорт устроен также, как и в «lite». Кста ссылку я уже давал... и ты вроде этот тутор читал...

Mario555 пишет:
цитата:
Вообщем надо разобраться что означают цифры типа «2C 48 7C 73»


Похоже на то, что «2C 48 7C 73» и т.п. это просто пошифрованные смещения от начала другой таблицы. А вот в этой другой таблице уже более интересные вещи:

............
00E7D31C 02 04 02 59 CA E8 00 00 YКи..
............

02 - тип эмулируемого действия (jmp/call/ещё что-то, похожее на безусловный jmp), соответственно бывает три значения.
04 - тип jmp’a, тоесть 04h+80h=84h - je и т.п. (80h - const)
02 - длина спёртой команды (исп. для расчёта адреса на который перейдёт прога при не выполнении jmp или выходе из call). Бывает ессно 02, 05, 06.
59 - фиг знает...
CA E8 00 00 - адрес (без ImageBase), куда направлен jmp/call

ZX :: Mario555
Я взял ту же прогу, что и в туторе, сейчас только и начал ковырять. Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.

Mario555 :: ZX пишет:
цитата:
Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.


Ага, щас... Ессно нужно не первое срабатывание бряка... Вначале «простым копированием из памяти» идёт запись «заготовок», тоесть так
00406710 FF 15 C1 FA 51 B1 8B C0 FF 15 F7 50 C2 BE 8B C0 яБъQ±‹АячPВѕ‹А
А потом уже туда будут писаться правильные(для аспра) адреса джампов...
00406710 FF 15 F8 03 E2 00 8B C0 FF 15 BC 05 E2 00 8B C0 яшв.‹Аяјв.‹А
Но если ты даже этого не понимаешь, то наверно тебе с 1.3 рановато связываться...

PS кста адреса мест записи всегда будут 00xx7847 00xx7943 и т.д.

ZX :: Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников. Интересный вопрос навязывается - а если ее прикрутить к проге, что получится. Таблицу я тебе по мылу скинул.
Mario555 пишет:

цитата:
Ага, щас...


Эт точно, толь меня проглючило иль я не знаю. Только что таким способом попробовал и тут же на процедуре создания переходников. Хотя я ее уже вдоль и поперек излазил :) , у меня все таки такое чувство когда я на нее смотрю, что тут можно обойтись меньшими переделками в проге, и чем дольше я ее изучаю тем больше хочется ее урезать.

Mario555 :: ZX пишет:
цитата:
Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников.


Маловата таблица-то... это наверно просто iat самого протектора... ;)

ZX пишет:
цитата:
Интересный вопрос навязывается - а если ее прикрутить к проге, что получится


А ничего... jmp’ы должны быть в таблицу, а они остануться «в небо».

ZX пишет:
цитата:
что тут можно обойтись меньшими переделками в проге


Можно наверно и без переделок... Почитай тут.

Про «full»:
Хм... интересно, есть ли в таблице с адресами исключений лишнии ячейки, указывающие на левые адреса. Если нет, то прогнать бы через аспровую процедуру его же таблицу... (ессно конец процедуры нужно будет переделать, чтобы она call/jmp на место записывала)

ZX :: Mario555
Интересно, попробую. Сделать не проблемма. Как сделать такой лог?

Mario555 :: ZX пишет:
цитата:
Как прога будет искать джампы?


В смысле ? Ты про лог-патчер или про «full» ? А то я тут подрят написал, но это про совершенно разные вещи.

ZX :: Про лог-патчер.

Mario555 :: А что подробнее ? Я же вроде на Xforum всё расписал...
Только вот лучше сделать чтобы в логе была возможность обрабатывать не только адреса, но иногда и просто имена апи. Тоесть нужна будет какая-нить проверка (например символа » ), мол если адрес, то сразу пишем в txt, а если имя, то вначале GetProcAddress...
Я тебе два вида лога (к GetPix) скинул на мыло.

ZX :: Mario555 пишет:
цитата:
мол если адрес, то сразу пишем в txt, а если имя, то вначале GetProcAddress...


Сделаю попозжа.
Mario555 пишет:
цитата:
Я тебе два вида лога (к GetPix) скинул на мыло.


Мне первый больше понравился :)
Mario555 пишет:
цитата:
Тоесть нужна будет какая-нить проверка (например символа » )


Да это фигня там форматированная таблица получается, из нее выуживать не проблемма. Я скелет сделал попробуй своим зорким оком, что не так или что еще надо.

Mario555 :: Мде... «full» - это п*здец... Я сделал процедуру, которая восстанавливает call’ы и jmp’ы, только вот оказалось, что «лишнии» адреса всё-таки есть и поэтому при использовании этой процедуры патчатся ещё и «безобидные» адреса... А как отличать настоящий exception от правильного кода (там где FF) я не знаю :(

ZX
Второй удобнее, т.к. если использовать его, то вообще никаких изменений в код протектора вносить не надо будет.
Смотри почту.

ZX :: Вот если б найти способ указания имени библиотеки в логе - тогда не проблемма.

ZX :: Mario555 пишет:
цитата:
А как отличать настоящий exception от правильного кода (там где FF) я не знаю :(


Опиши, что ты делаешь, а я попробую найти способ :)

Mario555 :: ZX пишет:
цитата:
имени библиотеки в логе


Зачем имя ? есть же mHandle !

ZX пишет:
цитата:
Опиши, что ты делаешь, а я попробую найти способ :)


пытаюсь вернуть спёртые команды на место... но в таблицах есть «левые» ячейки с адресами по которым находится нормальный код, а не искуственно созданное аспром исключение.
Вообщем по типу наномитов армовых, там также в таблицах адреса не только спертых jmp’ов, а всех 0СС.

ZX :: Mario555 пишет:
цитата:
Зачем имя ? есть же mHandle !


Ну-ну. Предлагаешь ремоут тред, или ты думаешь что LoadLibrary всегда дает на те же библиотеки одинаковые mHandle?

Mario555 :: ZX пишет:
цитата:
Предлагаешь ремоут тред


??? Я предлагаю
PUSH «адрес строки с именем апи»
PUSH «mHandle библиотеки»
CALL GetProcAddress
На выходе получаем адрес апи. По крайней мере я так делал в процедуре для 00xx7943 и 00xx78E3.

ZX пишет:
цитата:
или ты думаешь что LoadLibrary всегда дает на те же библиотеки одинаковые mHandle?


Упс... :) А вот это я малость не учёл...

бара :: мне одно не понять - как этот долбаный алфаклок с последним аспром распаковали.
Может связаться с теми, кто распаковал или посмотреть сам кряк.

Кто в английском разговорном шарит - спросите. Тут вот вижу суперпродвинутые многие - малины знают и малявы рекомендательные имеют поди на всяких мирках и тп - вызнайте чем репу до плеши расчёсывать и ждать стриппера нового от syd’а...




Rager0 Дамп памяти Может мне кто - нить привести пример как можно снять дамп...



Rager0 Дамп памяти Может мне кто - нить привести пример как можно снять дамп программным способом или еще каким.
Дело вот такое.
Предположим я знаю OEP, но не могу подойти к нему отладчиком так как его сразу просекают и посылают меня
в Ж...(спрятать от отладчика не реально), также, шестнадцатиричным редактором в теле проги ее
тоже не зациклишь, так как эта часть распаковывается в памяти. Вот такие пироги.

Вообщем мне нужно дойти до одного адреса в памяти и снять дамп.
Желательно какой - нить исходничек на асме.
За любые ценные советы, предложения и исходники буду благодарен.

to Alex
Цитата с форума краклаб:
››-= ALEX =- :: Gloomy короче делал и делаю так. накидал прожку на дельфи, которая
››сравнивает побайтно два файла и создает некий inc файл, в котором константы, а также
››массив байтов и offset’ов, потом беру и компилю уже сделанный патч... ну вот впринципе
››и все. Раньше делал на дельфи patchgenerator, который сразу выдавал патчики... но делал
››это все на дельфи, а щас ASM рулит :)

Скин мне плиз этот генератор inc файлов.rager(кракозябра)nm.ru
Styx :: Rager0
Дай лучше ссылку с размером

Rager0 :: Styx
Прога очень большая на диске ~600 мегов мне нужно не снятие защиты именно с этой проги, а сам принцип снятия дампа без участия отладчика.

Styx :: А чем она вообще запакована?

Dragon :: Попробуй перехватить GetModuleHandleA, и снять дамп, обычно вызов недалеко стоит от OEP, может достаточно будет.

KLAUS :: Rager0
На OLLY прога тоже ругается?

Rager0 :: Styx
Если я напишу что за защита все сразу забьют на этот вопрос.

Dragon
KLAUS
При любом отладчике мне показывают

Dragon :: Rager0 пишет:
цитата:
Если я напишу что за защита все сразу забьют на этот вопрос.


Если это XtremeProtector версии ›= 1.06 или starforce 3, то можешь успокоиться

Rager0 :: Dragon
Не будем рассуждать какой это протектор.
Лучше подскажи какими надо воспользоватся API чтоб сделать дапм+сохранить его на диск.
Желательно на асме.

MoonShiner :: ReadProcessMemory, например:)
А вообще, нужно знать, что это за протектор.. Иначе ничего не посоветуешь.

Dragon :: Rager0
Надо знать, какой протектор, хотя сдампить можно всё. Помню, что StarForce надо дампить так - пишешь лоадер, в котором перехватываешь SetErrorMode, например выводом MessageBox’а. Как только он появляется, можно дампить чем угодно. С XtremeProtectorom сложнее, надо перехватить GetModuleHandleA(тем же лоадером), не трогая поле AddressOfFunctions в экспорте и дампить только WriteFile. Дамп будет близко к OEP, байты спёрты, импорт пока не восстановить, и если грамотно используется SDK, то там ещё и динамическая расшифровка, так что и динамический патчер мало чем поможет. Как видишь для всех протекторов способы разные.

бара :: Подвожу итог

1. Xtreme protector реально никто не сломал пока похоже (слухам верить не считаю нужным).
2. StarForce пока только некоторые осилили и то наполовину - свой генератор сделали для копированных дисков для определения новых ключей дисков скопированных.




Mario555 Обработчик исключений Возможно ли добавить к проге свой обработчик...



Mario555 Обработчик исключений Возможно ли добавить к проге свой обработчик SEH ? тоесть нужно, чтобы при возникновении искючений управление передавалось моей процедуре. Если возможно, то как такое сделать ?
Aster!x :: Можно.
Придётся ручками накодить в HiEW’е, пример реализации SEH смотри у Iczelion’а,
но лучше смотри макросы у Four-F, правда у Four-F там есть ошибочка в хэндлере, которая
проявит себя только на 9x виндах.

ZX :: Кажись вот так он включается:
assume fs:nothing
push fs:[0]
pop seh.PrevLink
mov seh.CurrentHandler,offset SEHHandler
mov seh.SafeOffset,offset FinalExit
lea eax,seh
mov fs:[0], eax
mov seh.PrevEsp,esp
mov seh.PrevEbp,ebp
http://www.wasm.ru/article.php?article=1002002

бара :: Mario555
у Dragon’а был в программе одной примерчик через написание своего обработчика событий. В туториале про снятие армы. Ну и на нашем форуме был пример в разделе статей. :)

А вообще если сумел внедриться и получить дамп, то я не вижу смысла делать свой обработчик исключений. Или ты всё насчёт восстановления таблиц аспротекта/армы ?

Метод Астерикса не подходит для пакованных программ с проверкой CRC при старте (как у аспротекта). И вообще - галимо патчить так - придётся вычислять каждый раз параметры секции для разных программ. А это ещё один гемор.

ZX :: бара
ASProtect 1.3 или ты знаешь способ восстановления байт, которые крутятся через SEH-обработчик?

бара :: да я его вручную снимать даже и не пробовал... Я просто спросил зачем нужен и всё.

Mario555 :: Приделал я свой обработчик... а оказалось, что аспр свой обработчик инициализирует уже после OEP и поэтому перекрывает мой. Кста это даже удобно, т.к. получается что свой обработчик делать не надо, аспровый будет передовать управление на CALL 00E065EC, всего таких call’ов 4 штуки, так что если их перенаправить в пространство exe и там вставить аспровую функцию (изменить нужно только константы, ну и decrypt переделать, а то как-то растянуто:) ), то прога будет правильно проходить исключения (потом всё-равно где-то виснет, но это уже не вначале, и явно не из-за Seh).

PS кста таблицы слишком большие, так что для них наверно нужно новую секцию делать... или попробовать сдампить всю
Memory map, item 47
Address=00DF0000
Size=00025000 (151552.)
Owner= 00DF0000 (itself)
Section=
Type=Priv 00021004
Access=RW
Initial access=RW
т.к. в ней и таблицы и функция их обрабатывающая, потом прицепить её к exe и сделать V0ffset = 00DF0000. Может и проканает...

бара :: вот глядишь и скоро сам будешь такие проги для снятия аспротектов писать...

пиши если продвинешься тима микроотчётов для изучения. Будем следить за твоими исследованиями

ZX :: Mario555
Посмотри откуда берется эта таблица, может проще будет сделать инициализацию ее. По-моему надо заставлять сам аспр отдавать назад то что забрал, так будет красивше и надежнее.

Mario555 :: ZX пишет:
цитата:
Посмотри откуда берется эта таблица, может проще будет сделать инициализацию ее


Из секции аспра, она там пошифрованая валяется. Так что наверно можно туда же эту таблицу и подставить.

ZX пишет:
цитата:
По-моему надо заставлять сам аспр отдавать назад то что забрал


По моему тоже :) Но когда я написал процедуру, которая обрабатыват таблицу целиком, то оказалось что кроме возвращения команд на место портилась ещё и часть нормально кода (уже говорил почему).
Так что или анализатор кода (слабо это себе представляю) или seh. Правда для ускорения работы проги можно модифицировать аспровую функцию так, чтобы она не выполняла действие в стеке, а возвращала команду на место и прыгала сразу на неё. Тогда каждое искл. будет только один раз обрабатываться.

По поводу Seh обработчика, так я его брал из exe, который к статье Iczelion’а прилагается.

ZX :: Mario555 пишет:
цитата:
Но когда я написал процедуру, которая обрабатыват таблицу целиком, то оказалось что кроме возвращения команд на место портилась ещё и часть нормально кода


Я не об этом, а о процедуре дешифровки таблицы, т.е. заставить аспр(часть аспра) создать модуль и распаковать эту таблицу туда, чтоб с дампом таблицы не мучится.
Mario555 пишет:
цитата:
а возвращала команду на место


А это мысль интересная, тогда обработчик будет компактным и красивым, супер! :)

Mario555 :: ZX пишет:
цитата:
чтоб с дампом таблицы не мучится.


Там и не надо мучится, binary copy/paste в секцию протектора (только не в начало, там вроде кусок ресурсов)

ZX пишет:
цитата:
А это мысль интересная


А это не только мысль :) я такое уже сделал (когда процедуру для обработки таблиц писал).
Вообщем испытать можно на запакованной:
по адр. 00E0642E (гм... интересно, совпадают ли адреса, а то пишу тут...) делаешь Jmp 00E0EAEE. А с 00E0EAEE binary paste вот этого:

72 11 74 34 FE C8 74 72 90 90 90 00 00 00 00 00 00 00 00 8B 45 10 C6 00 E8 8B 45 F8 8B 40 04 05
00 00 40 00 8B 55 10 2B C2 83 E8 05 83 C2 01 89 02 E9 D6 79 FF FF 00 00 8B 45 10 8B 55 F8 80 7A
02 02 74 1B 90 C6 00 E9 8B 52 04 81 C2 00 00 40 00 2B D0 83 EA 05 40 89 10 E9 AE 79 FF FF 90 C6
00 EB 8B 52 04 81 C2 00 00 40 00 2B D0 83 EA 02 40 88 10 E9 94 79 FF FF 00 00 8B 45 10 8B 55 F8
80 7A 02 02 74 29 90 C6 00 0F 8A 52 01 80 C2 80 88 50 01 8B 55 F8 8B 52 04 81 C2 00 00 40 00 2B
D0 83 EA 06 83 C0 02 89 10 E9 5E 79 FF FF 90 8A 52 01 80 C2 70 88 10 8B 55 F8 8B 52 04 81 C2 00
00 40 00 2B D0 83 EA 02 40 88 10 E9 3C 79 FF FF 90

Потом ещё нужно поменять
00E06508 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
на
00E06508 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]

Все искл. через которые проходит прога будут заменяются на спёртые команды ;)

А вообще в AlfaClock наверно есть проверка на распакованность, т.к. если скопировать таблицы, и эмулировать процедуру обработки, то прога пройдёт через дофига кода, и только потом упадёт.

PS кста прикольно выглядит, когда на месте ошибки появляется команда. Сижу так вот Shift-F9 держу и код «на глазах» меняется...

ZX :: Mario555 пишет:
цитата:
гм... интересно, совпадают ли адреса


Адреса не совпадают, но эт не проблемма :)
Mario555 пишет:
цитата:
Там и не надо мучится


Ты не забыл, чем я занимаюсь? Я про автораспаковку, все равно надо добавлять отдельный модуль, так пусть это сделает аспр, один ... туда бинарник вставлять, так почему бы не позаимствовать эту процедуру у аспра. Кста, прога в альфаклок у тебя импорт восстанавливает?

Mario555 :: ZX пишет:
цитата:
Кста, прога в альфаклок у тебя импорт восстанавливает?


Не пробовал, но думаю, что не восстановит, т.к. используется Ole32.

ZX :: Mario555
А ты попробуй. Сегодня иль, на крайняк, завтра сделаю нормальную загрузку библиотек и с этим проблемм не будет. Я уже проверил все работает :).
А ты, наверно, скриптик сделай, чтоб автоматом бряки(conditional) расставлял, чтоб потом переделать их на логовые. И с импортом на этом покончим.




HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D,...



HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D, конвертор 3D моделей из игр.
Есть у кого желание попробовать её сломать ?
Защита: ASProtect 1.23 RC4

Вся трудность в правильной распаковке.

--
Прога тут: http://www.unwrap3d.com/downloads/Unwrap3Dv215.zip 1.6 MB
Gollum :: HANS KEEPER пишет:
цитата:
Вся трудность в правильной распаковке.


Да нет, тут проблема факторизации чисел...

Quest0 :: Gollum пишет:
цитата:
Да нет, тут проблема факторизации чисел...


Эт точно, трудности распаковки только в v1.3+ :(

DITREX :: Quest0 пишет:
цитата:
Эт точно, трудности распаковки только в v1.3+ :(


По мне так там тоже все легко.

А вот Ultimate Unwrap3D убивает Олю .

Quest0 :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Счастливый человек! видимо, ни разу 1.3+ не видел

Gollum :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.

HANS KEEPER :: Вобщем ASProtect снял полностью, но подозлительный софт всёравно падает при запуске Ultimate Unwrap3D, причем даже W32dasm.

Пока не понял что вышибает отладчики и всё остальное остатки aspr-а или это в самом коде
Ultimate Unwrap3D...

Gollum :: HANS KEEPER

И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?

HANS KEEPER ::
Gollum пишет:
цитата:
И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?


Ключик нужен ASProtect-у, а не проге. Вся защита в ASProtect, сама прога ломается за 3 минуты.

Mario555 :: Gollum пишет:
цитата:
Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.


Импорт - халява ;) Поверь, там есть более интересные вещи, чем импорт. Да и вообще в распаковке прог самое сложное - это искать проверки на наличие оболочки (протектора), если эти проверки сделанны грамотно, то с ними может быть ОЧЕНЬ много проблем.

DITREX пишет:
цитата:
По мне так там тоже все легко.


Ну-ну... какую прогу с 1.3 «full» ты распаковал ? Или ты просто болтун ? ;)




Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT (...



Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.
Или закинте на мыло

wraith_cs@list.ru

PS не сочтите за наглость.
Halt :: Спасибо всем кто откликнулся

Perch :: Halt.

цитата:
Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.


Ты знаешь, вообщето для нормального реверсинга программ желательно как минимум иметь две системы...это мое мнение :)...ну смотри сам...
Вот качни от меня - http://toperch.hotbox.ru/superbpmfornt.zip

Perch :: Halt.
Хочу отметить, что ты немного не благодарный человек...
Вот смотри, ты затеял сразу 3 топика про AsPr, и прыгаешь по ним...хотя все можно обговорить и в одном...Возможно ты не внимательно читал статью от =ALEX=’а...но это твои проблемы, насчет неудачности выбора «оперируемого» я тебе написал...я чуть чуть добавлю...ты не смог найти то место, чтоб занопить call xxxxxxxx , чтоб более менее был получен импорт...Смотри, сначала ставишь бряк bpx MapViewOfFile, запускаешь прогу, брякаешся, нажми F12, и посмотри - в теле ты протектора или нет, если в какой нибудь DLL, то жми опять F5, а потом F12, и только когда ты в теле протектора, сбрасывай этот бряк и ставь бряк bpx GetProcAddress, затем токо одно нажатие F5, и после этого после 3-го нажатия F12 будешь в нужном месте, где тебе надо нопить тот самый call...не забудь вернуть его потом обратно, так как AsPr блюдет свою целостность...и т.д...вообще работать с AsPr’ом не благодарное дело, если покриптованы куски кода, то извини без валидного ключика солнца не видать...вот и делай выводы, удачи ;)

Halt :: Perch
Да...., с тремя темами я правда погорячился, признаю.
call’ы я эти уже нашел, понять не могу вроде делал как написано, но похоже их проскакивал. Как - сам удивляюсь.
Опишу как делал, может че не так:
nop’ил процедуру, затем не восстанавливая nop’ы шел по f12 дальше приходил на popad зацикливал прогу снимал дамп и таблицу импорта, начало которой определял после 2-го call (MOV EDX,[EDI] по содержанию edx-, ну это так проверить себя и ImportRec - получалось 71000). Таблицу импорта восстановил, вроде, функции тоже определил по примерам из статьи. Теперь пытаюсь определить OEP и вот сижу. Кстати сразу вопрос - после запуска Test_SuperBPM.exe на 2м нажатии f5(bpm esp-4) - прога грохается, чтоже это такое ?!
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней. (Кстати ASPack вроде распаковывал ручками без проблем)
Да и еще в проге нашел я конструкцию типа:
push epb
mov ebp,esp
add esp,-4c
mov eax, 945a30 - причем именно в таком виде, но по адресам что-то вроде 945b78 - вроде похоже на начало проги, но адреса на OEP явно не тянут, опять я че-то перемудрил? или наоборот?

Halt :: Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?
Я-то - нет, ну не дали мне медаль за окончание школы, а платно - сами понимаете, не каждому по карману.

test :: Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.

DZmey :: test пишет:
цитата:
Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.


Согласен %))) Преподы что надо %)

Perch :: Halt wrote:

цитата:
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней.


Вот, на мой взгляд, интересно тебе будет прога - http://www.elcomsoft.com/ambpr.html
размер около 500кб, кстати на этом сайте все проги упакованы AsPr’ом.
Интересна по двум моментам:
1. PEiD пишет ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov, но не правильно определяет OEP.
2. Stripper ее берет, но не видит спертых байт и соответственно OEP тоже не верный.
Вот если хочешь потренируйся ;)
Подскажу два момента - при выходе на OEP ставь бряк не bpm esp-4, а ставь bpm esp-24, раз 20-ть надо брякнуться по F5, пока не окажешься в протекторе, и затем еще один раз по F5, там и увидишь спертые байты - 38 байт.
Halt wrote:

цитата:
Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?


Я - чисто самоучка.

бара :: Многие учатся в школе ещё только. Алекс вот божится, что только заканчивает школу...

Halt :: Perch

Нихрена себе програмка, 6 часов пялился в softice и ничего не сделал, окромя дампа и вроде определил RVA OEP - 43e0dc, IMPRec - там ничего не находит, то по getimport получает что-то похожее. А со спертыми байтами труба, так ничего найти и не смог, вроде что-то есть похожее по адресам 8833A9 и 880e90 но х.з.
Да и кстати откуда ты взял это esp-24, я так допереть и не смог. Да, ASProtect мне явно не позубам, надеюсь пока.

PS может кинешь на мыло wraith_cs@list.ru помошь поподробнее, жел-но с конкрктными адресами, понимаю что много хочу, но может заодно и статейка организуется для http://www.cracklab.ru




RideX ASProtect 1.3 в AlfaClock v1.60 Кто-нибудь сталкивался с настоящим...



RideX ASProtect 1.3 в AlfaClock v1.60 Кто-нибудь сталкивался с настоящим ASProtect 1.3?
Если да, то не могли бы показать способ его распаковки на примере Alfa Clock v1.60, брать здесь: http://www.alfasoftweb.com/download/
ZX :: Во, проснулся, ты хоть посты на форуме читаешь?

бара :: а разве были примеры распаковки ?

было всего лишь описание мытарств по распаковке пока...

RideX :: бара пишет:
цитата:
Во, проснулся, ты хоть посты на форуме читаешь?


Наверное, это лучше обсуждать в одном топике с соответствующей темой, а не кусками в разных :)

SeDoYHg :: бара

цитата:
а разве были примеры распаковки ?


Даже тутор Mario555

Mario555 :: бара пишет:
цитата:
было всего лишь описание мытарств по распаковке пока...


Ну дык сразу ничего не бывает :) Чем больше народу будут ковырять этот AlfaClock, тем быстрее его распакуем. А то сейчас только мы с ZX с ним долбаемся. Остальные как-то мимо ходят...
Эх, жалко TheDarkStranger пропал куда-то.

RideX пишет:
цитата:
Наверное, это лучше обсуждать в одном топике с соответствующей темой, а не кусками в разных :)


Ну ладно, начинай :) До чего дошёл ?

SeDoYHg пишет:
цитата:
Даже тутор Mario555


Мой тутор про «lite» версию, там нет проблемы с Seh и нет спертой структуры.

-= ALEX =- :: щас качаю, бум ломать вместе !!!

ZX :: Во, нашего полку прибыло! :)

-= ALEX =- :: хех.. ну мне потребовалось 5 минут чтобы сделать патч для этого супернавороченного аспра. Вот и вопрос, а стоит ли ломать прогу, когда можно легко пропатчить... будущее за патчами :) :)
ЗЫ патч сделал не до конца, есть где-то проверка в проге, но результат на лицо...

бара :: ну так кидай патч. Посмотрим твою работу.
Я тоже сторонник патчей. Только вот сломать у меня не получилось программу пока. Расскажи как ломал по пунктам. И патч крепи с описанием прям тут.

-= ALEX =- :: хех, никогда не юзайти апи аспра ! ЗЫ этим все сказано... пошел спать.

бара :: короче, опять ни черта не сломал.

Одни слухи только сеет. Спи, пусть тебе приснится как ты сломал Альфаклок

ZX :: -= ALEX =-
Речь идет не о взломе проги(она не хер никому не нужна), а о распаковке аспра «full».
Да, хотелось бы посмотреть на этот патч, если он существует ;)

WELL :: -= ALEX =- пишет:
цитата:
хех.. ну мне потребовалось 5 минут чтобы сделать патч для этого супернавороченного аспра. Вот и вопрос, а стоит ли ломать прогу, когда можно легко пропатчить...


Что-то я не понял. Имеется ввиду инлайн-патч? Или что-то другое?

DZmey :: RideX пишет:
цитата:
Кто-нибудь сталкивался с настоящим ASProtect 1.3?


А что бывает не настоящий

Grim Fandango :: так ответьте, блин, есть этот патч на свете или нету его?

ZX :: Grim Fandango пишет:
цитата:
так ответьте, блин, есть этот патч на свете или нету его?


Да откуда ему взятся? Там проверок на целостность кода столько, что их не только за 5 минут...
Патчить их не запатчишь, там полиморф, короче Alex, видимо, прикололся. Будем расценивать это как шутку.

Grim Fandango :: ну тогда lol =)

ZX :: Вообще kpteam говорят все-таки сделал патч к АльфаКлоку, но зайти на их асйт я не могу, либо в дауне. Вообще может и сделали, но только не за 5 минут. Если кто нароет этот патч просьба скинуть Z010X YANDEX RU

Grim Fandango :: не знаю, мож сайт правда в дауне, но я тож не могу зайти, но качаю AlfaClock 1.60 by Dynomite

бара :: да там ни черта не поймёшь. Он (кряк, который ты скачал) упакован UPX-ом. Причём извращенец какой-то паковал - после этого DeDe выплюнет его - надо секцию ресурсов перестраивать спецутилитами. А потом ещё искать будешь иголку в стоге сена.
А патчится технически элементарно, не распаковывая, если знать где патчить. Я вот, к сожалению, тогда, когда пробовал, так и не нашёл ref. addr.

ZX :: бара
Скиньте на мыло это кряк, плиз, если не трудно.

бара :: я говорю - ТЕХНИЧЕСКИ.
Скажи где патчить и я тебе скину кряк Читай посты внимательнее, pls

N.B. Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3.

сам кряк весит пол метра - неохота качать. (У меня мамед)

ZX :: бара пишет:
цитата:
by ASProtect v1.23 RC4


Откуда такие сведения?
бара пишет:
цитата:
сам кряк весит пол метра


Получается это не кряк, а распакованный экзешник?

ZX :: бара пишет:
цитата:
Скажи где патчить и я тебе скину кряк


Это как понимать?

Mario555 :: ZX пишет:
цитата:
Речь идет не о взломе проги(она не хер никому не нужна), а о распаковке аспра «full».


Вот с этим я полностью согласен !

А по поводу inline, так его сделать действительно легко, и -= ALEX =- это уже объяснял. Проблема только с тем, что когда trial expire, то выдаётся месага из протектора (тоесть до OEP не дохотим), такое редко втречается и поэтому я толком не знаю чего делать. Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю, т.к. адреса могут не совпасть. А сам взлом - банальная эмуляция getusername (или как она там называется). Вообщем попробуйте http://mario555.pisem.net/patch.exe если не проканает, то уберите
0040009E C705 0CDEE000 00›MOV DWORD PTR DS:[E0DE0C],0
тогда будет зарегеной в течении 30 дней :) или найдите в своей системе адрес аналогичный моему E0DE0C.

-= ALEX =- пишет:
цитата:
будущее за патчами :) :)


Не думаю... просто авторы протекторов забили/забыли на защиту от inline и делают упор на антираспаковку (вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал). Но когда вспомнят...

ZX :: Mario555 пишет:
цитата:
Но когда вспомнят...


А ведь вспомнят!

RideX :: Тоже скачал распакованный от dynamite, у меня он работает не правильно. Запускаться-то запускается, но в трее ничего нет, у кого-нибудь есть такое?

RideX :: бара пишет:
цитата:
Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3


Может и так, точно не знаю :)
Но всё выглядит как-то необычно, часто встречается такая ерунда:
FF3D ???
FE ???
FFF9 ???
В Ice бряки не даёт ставить, вылазит окно с ошибкой, запатчить его что-то не получается...
Пробую распаковать в Olly. Начало спёртых байт не могу выйти :( В обычных аспрах это примерно так: call dword ptr ds:[eax+....], зашёл в call, пробежался по коду и отфильтровал спёртые байты, а тут же блин... :((

ViNCE [AHT] :: WELL пишет:
цитата:
Что-то я не понял. Имеется ввиду инлайн-патч? Или что-то другое?


Ты же знаешь, что -= ALEX =- любитель inline’ов...

Mario555 :: RideX пишет:
цитата:
FF3D ???
FE ???
FFF9 ???


Вот об этом уже раз 20 говорили...

RideX пишет:
цитата:
Начало спёртых байт не могу выйти


Вроде так:
004E5036 PUSH EBP
004E5037 MOV EBP,ESP
004E5039 ADD ESP,-1C
004E503C MOV EAX,Dump_xxx.004E4AC8
004E5041 CALL Dump_xxx.004064D0
и
004064D0 PUSH EBX
004064D1 MOV EBX,EAX
004064D3 XOR EAX,EAX
004064D5 MOV DWORD PTR DS:[4E60A0],EAX
004064DA PUSH 0
004064DC CALL ‹JMP.&kernel32.GetModuleHandleA›
Хотя я с ними особо не возился, вначале нужно с более сложными вещами разобраться.

PS кста как там работает мой патч или нет ?

Quest0 ::
цитата:
Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3


Это действительно v1.3, только ~ 5-6 месячной давности. Это судя
по тому что у v1.23 нет отчета при выявлении ошибки в коде аспра..

бара :: Работает, но как-то кривовато - так же как у «динамита» - часы херятся вправо и вторым запуском только запускается программа.

Поясни:

Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn

аспротект-программа



шифрованная таблица переходов или прога


........................................
шифрованная таблица переходов или прога
........................................
call Mario555

RideX :: Mario555 пишет:
цитата:
кста как там работает мой патч или нет ?


У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»

-= ALEX =- :: мде... только пришел щас, а тут такую бадень развели аж на 3 страницы. Ну начнем по-порядку... я сделал инлайн патч, как тут уже многие поняли. Сделать инлайн-патч для аспра никакого труда не составляет, существует несколько способов. Фишка в том, что адреса «апи аспра», назовем их так, лежат примерно в конце секции аспра в зашифрованном виде и CRC по этому участку не проверяется, нам никакого труда не составит, заменить эти пошифрованные адреса на свом, в конце файла... вот весь прицнип. Mario555 я так понял уже сделал то же самое, а может и нет. Я седня или завтра уже сделаю готовый патч. ЗЫ я не думаю, что если Солод исправит этот баг, то пропатчить невозможно будет...

-= ALEX =- :: распаковывать программу я еще пока не готов, это геморно очень я так думаю, да и времени в обрез :( Пока существуют такие «дыры», проще пропатчить и не епать мозги... я надеюсь вам удасться распаковать ее. УДАЧИ !

bit-hack :: Alex, а где достать твой in-line патч(сама прога). По возможности кинь на мыло bit-hack@mail.ru. Зранее спасибо.

Mario555 :: RideX пишет:
цитата:
У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»


Ну значит адреса не совпадают... найди байт который отвечает за expire/не expire... у меня он был по адр. [00e0de0c].

бара пишет:
цитата:
Поясни:
Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn


Сначала - это аспровая апи, вместо адреса которой я подставил свой адрес. Вообще обычно её можно и не переписывать, но в данном случае есть какая-то проверка.
[00e0de0c] - уже сказал
[004e72fc] - тут хранится адрес строки с именем user’a (если не зарегены, то первый байт имени - 00). Кладем в эту ячейку свой адрес, а по нему пишем имя.

Madness :: ZX
›Патчить их не запатчишь, там полиморф
Аспровый полиморф патчить не надо :)

-= Alex =-
›будущее за патчами :) :)
Вот сижу и думаю, как к старфорсу подступится, блин.

Mario555
›Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю
Вылетит в лучшем случае. :P

›вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал
Проверки целостности ехе + памяти мало?

ЗЫ. Сорьки за ответы по 3-м страницам.

бара :: я думаю, надо сделать проще было Mario555 - сделать лоадер, который при загрузке в цикле бы патчил при загрузке. Тогда бы кросс-платформенность была. А пока видать тока на XP будет работать и выше.
Мог бы помочь попробовать, да прога не представляет интереса.

Mario555 спасибо за разъяснения. Я уже понял - переборол лень и сунулся в OllyDebugger. Тока я не дампил протектор - покрутил там в памяти.
Вопрос - нафига ты патчишь триал период в 2-х местах по 30-кам, если мы типа зарегены. Там же триал не идёт по счётчику ? Или идёт из-за неполного хака ? Экспериментировать в лом - вот и спрашиваю....

ZX :: -= ALEX =-

Приношу извинения, за некоторые посты.

Mario555 :: Madness пишет:
цитата:
Вылетит в лучшем случае. :P


Ну и фиг с ним, главное что у меня работает :P а кому надо, так пусть сами нужный адресок ищут. Ты лучше скажи, как в таком случае корректно месагу обходить (мне то это так - для общего развития, всё равно релизов не делаю, и проги ломаю только из-за самого процесса взлома, ну и результата конечно).

Madness пишет:
цитата:
Проверки целостности ехе + памяти мало?


А это новое ? Что в RC4 не тоже самое ?! :)

бара пишет:
цитата:
Экспериментировать в лом - вот и спрашиваю...


Отвечать - влом, поэтому эксперементируй ;)

PS а вот с распаковкой хрень полнейшая :( Импорт есть, таблица call eax есть, краденые байты тоже есть, те что заменены на FF XXXXXX восстанавливаются правильно (задолбался я с ними, но всё таки приделал «улучшеную» функцию обработки таблиц и сами таблицы к дампу), а всё равно работать не хочет - там всякие гадости, по типу записи в адреса сис. dll и т.п. причём таких вот гадостей до . Ещё и какую-то функцию аспр спёр, и запускает как то так
004086B0 PUSH 0E73240
004086B5 RETN
её конечно можно перекинуть в адреса exe... но не в этой функции и проблема.

Madness :: Mario555
›Ты лучше скажи, как в таком случае корректно месагу обходить
Поковыряйся в call, который перед мессагой идет. ;)

›А это новое ? Что в RC4 не тоже самое ?! :)
Старое, то же самое. Я и спрашиваю, мало этого?

бара
Культура так и прет.

CReg [TSRh] :: ZX пишет:
цитата:
Слушай, если нихрена не разобрался и не понимаешь вообще о чем речь, то не лезь со своими ... советами.


«Нежнее, Виктор, еще нежнее» (c)

ZX
бара
«Ребята, давайте жить дружно»

ZX :: CReg [TSRh]
Больше не буду, ну не сдержался
Пойду лечить нервы...

бара :: Admins:
куда мои посты делись ?

если выкасываете - то ту блевотину этого гм.. товариЩа в мой адрес тоже уберите...

ZX :: бара пишет:
цитата:
Мудрые слова. Каждый в чём-то достиг (даже если и не в реверсинге защит). В прошлом, настоящем
или будущем. Поэтому надо стараться понять другого. P.S. А все наезды в приват, а не на форуме.



Это твои слова? Я не наезжал. Я не приверженец разных там ругачек. Я погорячился и это признал. И убираю свой пост, который тебя так обидел.

ZX :: И вообще, ребят, давайте по теме. В смысле исследований это mario555 описал. По автоматизации - проблемм много. Сделал тулзу, которая восстанавливает импорт через лог ольки, марио описывал как делать лог. Дальше этого пока автоматизация не пошла. У меня автоматом не вяжется таблица SEH-обработчика, с call EAX(с таблицей тож проблеммы). Восстановление спертых байт, звиняйте, для меня пока туго, но выходные впереди. У кого какие идеи давайте высказывайте.

P.S.
И вообще, приятней иметь у себя на диске распакованную прогу, чем протекченную неизвестно кем :)
Хотя, конечно, известно, но это не меняет сути дела.

Mario555 :: Madness пишет:
цитата:
Поковыряйся в call, который перед мессагой идет. ;)


Ну дык это же всё-равно в адресах протектора. Там скорее нужно искать апи аспра, которая за проверку этого триала отвечает. Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?

Madness пишет:
цитата:
Я и спрашиваю, мало этого?


А я и не говорил про мало-много. Просто против распаковки добавилось, а против inline нет.

ZX пишет:
цитата:
Сделал тулзу, которая восстанавливает импорт через лог ольки


и с догрузкой dll проблему решил ?

ZX пишет:
цитата:
По автоматизации


Вручную бы для начала распаковать, а то ведь так и не получилось :( хотя наверно это из-за того, что там ещё и авторы проги постарались...

ZX :: Mario555 пишет:
цитата:
Вручную бы для начала распаковать


Одно другому не мешает, а очень даже должно помогать, ты пробовал тулзу или нет на альфаклоке? С догрузкой решил все нормально подшлефую слегка и тебе кину :)

ZX :: На счет скрипта как?

Mario555 :: ZX пишет:
цитата:
ты пробовал тулзу или нет на альфаклоке?


А смысл ? Я просто посмотрел, что в alfaclock та же Ole32 где-то в 771A0000, а прога грузит её c 00550000.

ZX пишет:
цитата:
На счет скрипта как?


Дык лог бряков то сейчас нет, зачем скрипт делать ? Когда будут, тогда и сделаем.

-= ALEX =- :: вот патчик, который обещал. _http://www.alex2kx.nm.ru/KpT-AlfaClock160.rar вроде бы все пучком работает...

Madness :: Mario555
›Ну дык это же всё-равно в адресах протектора.
Нет. В том же поксоренном блоке поищи ;) Хорошего по-немногу.

›Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?
Не патч, а тулза, облегчающая изучение вышеупомянутого блока.

›Просто против распаковки добавилось, а против inline нет.
Лёхе достаточно добавить пару проверок и се, будут кракед ехе, да отстойные лоадеры. Оно есть, но есть и возможность обхода. Говорят уже старфорс патчат, а тут какой то аспр ;)

-= ALEX =- :: Madness да все равно можно пропатчить хоть что, главное подход правильный...

Mario555 :: Проги с «full» кроме alfaclock кто-нить знает ? Всё-таки я думаю, что в alfaclock проблема со скрытыми проверками, а не с какой-нить там фичей аспра.

Madness пишет:
цитата:
Говорят уже старфорс патчат


А про старфорс много чего говорят... :)

бара :: 4e5087 110723e9
4e510a e9 90
4c47ad 9090
4e842c 005f5760

Метод Алекса не работает - триал он не убирает
так и я взломал первый раз - тоже лоханулся

кто не верит - переведите часы на 2 месяца вперёд

у Mario555 тоже при переводе часов не работает

а у Динамита кряк работает - он вырубил проверку на триал

у них убирается лиш наг и ставится флаг REGISTERED в самой программе

RideX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


Ага, не убирает...

XoraX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


ну вот, а он уже прогу зарелизил - kpnemo.ru ;)

-= ALEX =- :: мде.... побежал править :)

бара :: я тут пробовал искать правду, но на меня сразу стали наезжать.... А зря - я ведь хотел как раз предупредить...

-= ALEX =- :: я вроде бы не наезжал ;)

-= ALEX =- :: млин, продолжить что-ль работу над своим in-line patcher’ом...

бара :: Alex, продолжай. Лоадеры это сила... Ты туториал напиши плиз... А то интересно...

бара :: инлайн патчи тоже рулез, ты вот усовершенствуй патч Mario555 - там чуток доработать осталось. У тебя сложнее вышло чуток.

-= ALEX =- :: хех, мысля щас одна в бошку стукнула... побежал в отладчик

-= ALEX =- :: вот профиксил.... http://www.alex2kx.nm.ru/KpT-AlfaClock160fix.rar

RideX :: -= ALEX =-
Теперь всё работает :)
Действительно, может снова займёшься своим патчером? В тяжёлых случаях может быть очень и очень полезен :) Ну а в сравнении по размеру с распакованным .ехе, вообще... слов нет ;)

бара ::
mov eax, [esp]
sub eax, 560f
mov [eax] , e990

а в явном виде что за адрес и что там лежит ? туторал написал бы хоть....

напиши как в своих патчерах музыку сделал - на асме или нет проигрываешь .xm и исходник можно где скачать аль нет...

-= ALEX =- :: ну начнем по-порядку. Данный инлайн-патч (кусок кода в аспре :) ) был написан руками, никаких тулз не юзал. Насчет

mov eax, [esp]
sub eax, 560f
mov [eax] , e990

Я бы посоветывал пройтись пешком по всему аспру до самого OEP, много подчерпнуть много интересного. Это я еще делал когда делал тулзу ASProtect In-line Patcher. Дак вот, адреса «апи» вызвает сам аспр, после «апи» которую я заюзал под свою (GetTrial называеться) идем пешком по коду аспра, и находим заветное место, где стоят несколько подряд условных переходов (код приводить не буду, влом в сайс идти), этот код еще с давних времен я помню так же выглядит. правим первый переход на безусловный (90E9h) и месаги больше не будет... ну адреса аспра у нас ведь динамические, поэтому через стэк получаем адрес call’a, который вызывал нашу «апи», вычитаем 560f и получаем адрес того переходника, которого надо исправить на безусловный. Вот впринципе весь фикс...
Насчет простого патча, т.е. exe’шки моей... написал еще давно на асме, xm через minifmod. ниче сложного нет сделать... замечу это не тулза, это простой кряк.

-= ALEX =- :: RideX насчет продолжения написания того моего патчера, я пока не знаю, у меня времени нет совсем, школу заканчиваю :) экзамены и т.д. :(

бара :: понятно
ну ты и запаковал патч свой UPX-ом - все метки удалил - еле распаковался у меня
Действительно на асме. Я музыку также проигрываю - через эту либу. Думал ещё какой способ есть. А то у меня в tASM’е эта библиотека не инклюдится - написана под масм она потому что - приходится извращаться

Насчёт инлайн патчера - тулза что-ли есть у тебя ? линк дай где скачать можно.
PS
что мессаги не будет это я уже понял. Ну ты и наворотил

Интересно, как там Марио - будет исправлять свой патч или не смогёт ?

Mario555 :: бара пишет:
цитата:
Интересно, как там Марио - будет исправлять свой патч или не смогёт ?


Вопрос поставлен малость неправильно :) Смочь-то смогу, только делать не буду... смысла нет... просто в моём патче я использовал адрес из протектора, поэтому работает он только у меня ;) если вместо этого получать адрес по смешению (как сделал -= ALEX =- ) то будет работать везде.

ZX :: Mario555
Ну как, тулза пашет?

Mario555 :: ZX пишет:
цитата:
Ну как, тулза пашет?


Да!
Кста я заметил, что в 1.3 есть два способа создания импорта
1) с созданием Iat
2) без Iat (AlfaClock, GetPix)
Вот если бы научится переключать аспр, на способ1...

ZX :: Mario555 пишет:
цитата:
1) с созданием Iat


Это ты где такое углядел?
Да импорт, как ты говорил, халява и так, в 1.3 других заморочек хватает. :) А это делает его интересным объектом исследований.

Прохожий :: Mario555
Переключить не сложно, только call-ы и джампы на импорт уже похеренные пакуются, так что толку чуть.

Mario555 :: Прохожий
Ну значит таким образом не получится :) Зато есть ещё два способа (может и больше, но я знаю только два).




sanniassin SafeCast 2 Plz подскажите, как распаковать SafeCast в Flash MX...



sanniassin SafeCast 2 Plz подскажите, как распаковать SafeCast в Flash MX 2004 (серийник я знаю, но мне интересна именно распаковка)
DZmey :: sanniassin

Ссылочку и размер ?
Чем упакованна ?

SLV :: DZmey пишет:
цитата:
Ссылочку и размер ?


Она не помню сколько, но больше 50 метров стопудово весит

DZmey :: SLV

Ясно на фиг надо :)

ZX :: sanniassin пишет:
цитата:
Plz подскажите, как распаковать SafeCast


А чем запакована?

sanniassin :: Дык SafeCast это и есть протектор




Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту...



Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту прогу, прога конечно плохая но защита в ней это просто жуть какая-то! PEiD при общении с ней уходит в партизаны, нормально (если можно так выразиться) работает только один дампер PE Tools, сечется SoftIce, с помощью IceExt 0.62 удается его скрыть но только до первого перезапуска проги после чего она его опять-таки обнаруживает, с Олей прогу исследовать невозможно потому что Оля в итоге сдыхает от огромного числа исключений (Армадилла с Аспром нервно курят в сторонке), в SoftIce прогу тоже исследовать невозможно т.к. нужно будет постоянно перезагружаться, оба дизассемблера W32Dasm и IDA показывают чушь. Кстати любые мониторы файлов и реестра прога тоже безжалостно уничтожает, после установки нет никаких новых веток реестра.
Даже не знаю что придумать, все крякерские инструменты можно смело отправлять в трэш УРЛ вроде бы еще работает: http://216.158.130.132/gen/dm132.zip

Посмотрите плз, можно даже не ломать - просто жутко интересно что же это за зверюга такая - рукотворная (созданная самими разработчиками программы) или это все-таки какая-то неизвестная PEiD навесная защита? И как с такими зверями обращаться если еще где встретятся?
fuck it :: кул, если все так как ты сказал то эта кул !

SLV :: Она чем-то хитрожопым зрпакована (Corupt resourses)...

SLV :: Gloomy , а что за прога-то. Про что она, а то эта хрень отладчик детектирует и мне её не запустить (пока, надеюсь )

Gloomy :: SLV пишет:
цитата:
Corupt resourses


А ты как хотел чтобы тебе все ресурсы были? И что ты с ними будешь делать? Искать их в дизассемблере бесполезно там не код а ахинея. В Айсе кстати я пробовал ловить GetWindowTextA - поймал и в итоге вышел на адрес такого вида: 6C291DCC. ИМХО, даже для стека и памяти это многовато.

Не знаю для чего прога, в данном случае это неважно - защита гораздо интереснее.

Gloomy :: Мда, пошел уже пятый час с момента запуска простого скрипта:

Lagain:
esto
jmp Lagain

И до сих пор даже окно нага не появилось Возникают глубокие сомнения в полезности этой процедуры...

ZX :: Прикольная защита, конечно не такая страшная, но прикольная.

Gloomy :: ZX
Очень информативно Нормально сдампить и импорт прикрутить чтобы работала смог?

-= ALEX =- :: я тоже скачал, решил полностью весь код пройти, задолбался, столько циклов прошел полиморфных :)

Gloomy :: -= ALEX =-
И как успехи с прохождением кода? Прошел? В принцпе я даже дамп умудрился сделать (правда не на ОЕР а где-то неизвестно где, в районе проверки введенного серийника) и ресурсов в этом дампе живых много но вот с импортом (брал ОЕР 47CF8C, его показал PEiD) полный завал - там такая гора функций не обнаруживается что дизассемблировать каждую просто нереально, нужна какая-то автоматизация.

test Re: Gloomy :: Кстати если поставить бряк на FindWindowA то все понятно почему
Gloomy пишет:
цитата:
любые мониторы файлов и реестра прога тоже безжалостно уничтожает


Заодно и до OEP дойти быстрее можно.

ZX :: Gloomy
Я вчера просто посмотрел, сейчас вот решил занятся. Попробую импорт восстановить.

infern0 :: там самое прикольное - это ее определение айса. Когда это обходишь то сдампить на оепе уже не проблема. А вот с импортом пока тоже туго.

Gloomy :: Всем занятие нашел, все DarkMailer ломают

infern0 пишет:
цитата:
сдампить на оепе


А как до него дойти? Стандартный «bpm esp-4» не катит т.к. вызывается очень много раз.

ZX :: Да импорт это что-то.
Gloomy
А ОЕР я в PEiD посмотрел, как и ты. Потом когда распаковалось все вбил туда int 3, и приземлился уже там. Ну импорт это...
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...
ЗЫ Когда на ОЕР стоишь загляни в карту памяти (ужас) и какие-то намеки на UPX.

infern0 :: По адресу c00000 находится DLL защиты. Она выполняет всю инициализацию
импорта и расшировку секции кода. У нее подпорчен заголовок но это легко
лечится (четыре секции, границы определяются на глаз)
В ней каждая функция предваряется достаточно прикольным прологом.
Вот например экспортируемая функция SI_detection (на самом деле это фэйк -
просто вывод месбокса :)

code:00C02206 ; Exported entry 1. SI_detection
code:00C02206
code:00C02206 public SI_detection
code:00C02206 SI_detection:
code:00C02206 push eax
code:00C02207 jmp short loc_C0220D
code:00C02209 ; -------------------------
code:00C02209
code:00C02209 loc_C02209:
code:00C02209 jmp short loc_C02212
code:00C02209 ; -------------------------
code:00C0220B db 93h ; У
code:00C0220C db 7Ah ; z
code:00C0220D ; -------------------------
code:00C0220D
code:00C0220D loc_C0220D:
code:00C0220D call loc_C02209
code:00C02212
code:00C02212 loc_C02212:
code:00C02212 pop eax ; EAX = C02212
code:00C02213 add eax, 1Dh ; EAX = C0222F - начало обработчика SEH
code:00C02219 push eax
code:00C0221A xor eax, eax
code:00C0221C push dword ptr fs:[eax]
code:00C0221F mov fs:[eax], esp ; установка SEH
code:00C02222 mov eax, [eax] ; вызов исключения
code:00C02224 test [edi+ecx*4+0], ah
code:00C02228 pop eax ; тут после SEH получаем адрес
code:00C02229 xchg eax, [esp] ; исключения минус 3ch = c021e6
code:00C0222C retn

смотрим обработчик SEH

code:00C0222F sub_C0222F proc near
code:00C0222F
code:00C0222F _CONTEXT = dword ptr 18h
code:00C0222F
code:00C0222F push edi
code:00C02230 push ebp
code:00C02231 push ebx
code:00C02232 mov eax, [esp+_CONTEXT]
code:00C02239 mov ebp, [eax+_CONTEXT.Esp]
code:00C0223F mov ebx, 486262DEh
code:00C02244 xor ebx, 486262E2h
code:00C0224A mov edx, [eax+_CONTEXT.Eip]
code:00C02250 sub edx, ebx ; EIP = EIP - 3ch
code:00C02252 mov [ebp+4], edx ; запишем в стек
code:00C02258 sub [eax+_CONTEXT.Eip], 0FFFFFFFDh ; пропустим пару левых байт
code:00C02262 pop ebx ; для корректного выхода
code:00C02263 pop ebp
code:00C02264 pop edi
code:00C02265 push 0
code:00C02267 pop eax
code:00C02268 retn
code:00C02268 sub_C0222F endp

Т.о. после обработки сгенерированного исключения мы попадаем на реальный код процедуры
расположенный по адресу c021e6

code:00C021E6 sub_C021E6 proc near
code:00C021E6 mov eax, ds:dword_C2CBB4
code:00C021EB push esi
code:00C021EC push 0Dh
code:00C021EE mov esi, [eax]
code:00C021F0 call getErrorMessage
code:00C021F5 pop ecx
code:00C021F6 push eax
code:00C021F7 push 0
code:00C021F9 push ds:dword_C2CBB4
code:00C021FF call dword ptr [esi]
code:00C02201 add esp, 0Ch
code:00C02204 pop esi
code:00C02205 retn
code:00C02205 sub_C021E6 endp

Все остальные процедуры обрабатываются аналогично. Немного пристальнее взглянув видна следующая
система: берется процедура, перед ней ставится байт 0xe9 (что-бы наебать дизассемблер), в конце
добавляется отстой с SEH и все. Если идти с начала секции кода, пропуская лидирующие e9h то можно
легко ручками отметить все процедуры. А гуляя по коду жмем на call и нужная нам процедура будет
вверху. Пока так - продолжаю ковырять :)

infern0 / TSRh team

ps: как хоть протектор этот называется ?

pps: а еще нашел вот такие интересные строки:

"License from TimeHASP is expired"
"No TimeHASP found"
"No HASP found"
"No Fidus key found"

типа она и с донглами умее дружить или очередная подъебка :)

infern0 :: да - процедура определения айса начинается с адреса c0876a вроде...

Gloomy :: ZX пишет:
цитата:
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...


Ну я вообще-то никого не заставлял, дело чисто добровольное - не хочешь дальше копать так забрось ее, лучше своими делами займись.

infern0 пишет:
цитата:
ps: как хоть протектор этот называется?


Мне почему-то кажется что это вообще самодельная защита. Но если это какой-то новый криптор тогда стоит раскапывать его дальше чтобы знать как снять при необходимости.

infern0 пишет:
цитата:
типа она и с донглами умее дружить или очередная подъебка :)


Это вряд ли, с ней никаких драйверов даже нет.

Заметил интересную штуку: дамп что на ОЕР что просто так (вообще без отладчика) получается одинаковый - это меня глючит или это опять какие-то штучки защиты? Пытаюсь вручную восстановить импорт но судя по объему неопределенных функций это минимум на неделю. Нельзя ли как-то автоматизировать восстановление?

Чем добрался до кода - судя по листингу вроде бы IDA? Я уже заколебался все время перезагружаться чтобы SoftIce прятать а IDA файл не берет, анализирует немного и падает. Потыкал в настройки поставил режим чтобы как бинарник анализировала - вроде дело пошло но очень медленно, оставлю на ночь может что и получится. Какая версия IDA? У меня древняя 4.15 наверное потому и не работает

ZX :: infern0 пишет:
цитата:
ps: как хоть протектор этот называется ?


Да мне бы тоже хотелось это знать. Такого импорта я еще не видал. Там видать кроме импорта будут заморочки, еще какая-то беда с ресурсами. Не получается их перестроить в дампе, возможно заголовок файла испорчен, пока не смотрел.

ZX :: Gloomy пишет:
цитата:
Ну я вообще-то никого не заставлял


Так интересно же.
Gloomy пишет:
цитата:
Нельзя ли как-то автоматизировать восстановление?


Пытаюсь что-нибудь придумать

infern0 :: Gloomy пишет:
цитата:
Чем добрался до кода - судя по листингу вроде бы IDA?


дык я же написал - сдампил дллку поправил малек и грузанул в иду :)
в общем я спать - ну ее в сад эту защиту - никуда она не денется...

infern0 :: если я правильно понимаю то пропатчив эти единички на нолики можно спрятать от нее айс

code:00C09A8A mov [ebp+var_4], 1

code:00C09F93 push 1

Dr.Golova :: Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!

RottingCorpse :: А где еще применялось?

-= ALEX =- :: Dr.Golova хех, дак ты оказывается пакеры писал или пишешь... :)

infern0 :: если меня не обманули то это Tristana (c) DrGolova / RedPlait

.::D.e.M.o.N.i.X::. :: Dr.Golova пишет:
цитата:
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Варез еще никто не отменял:) Значит кто-то из своих либо сам пишет DarkMailer, либо «одолжил» разработчикам DarkMailer’а... В любом случае надо искать среди тех у кого он был на руках...

infern0 :: я так понял что все забили на этот протектор, да ?

Gloomy :: Никто не забыт, ничто не забыто - у меня вчера Инет кончился, не успел ничего написать в форум ИДУ оставлял на ночь но она все-таки повисла - видимо черезчур старая, не понимает приколов протектора Dr.Golova . Придется идти напролом и вручную восстанавливать импорт потому что злой Dr.Golova явно не поделится исходниками и не скажет как его восстановить.

Если кто дойдет до победного конца раньше хорошо было бы написать статью т.к. оказывается этот «Tristana (c) DrGolova / RedPlait» штука редкая, экзотичная но мощная.

RottingCorpse :: копаем потихоньку :)

ZX :: Копаем.

infern0 :: Разобрался с айсом - теперь прога его не видит. С импортом действительно весело, виртуальная машина рулит :)

-= ALEX =- :: infern0 странно, у меня прога всегда работает под отладчиком :)

infern0 :: а там прикол был просто... Кстати я импорт получаю чистые весь кроме user32.dll...

Gloomy :: infern0 пишет:
цитата:
виртуальная машина рулит :)


А в каких еще протекторах она еще применяется? Было бы очень любопытно взглянуть... Да и чисто теорию почитать не мешало бы...

infern0 пишет:
цитата:
импорт получаю чистые весь кроме user32.dll...


Плагин для Imprec писал или просто так само получается? У меня вообще завал с неопознанными функциями

ыыч :: Dr.Golova пишет:
цитата:
Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)
«В жестоком мире живем» :)

SLV :: ыыч , ты вроде забыл поменять раскладку (RUS/ENG)

ssx :: SLV пишет:
цитата:
ыыч, ты вроде забыл поменять раскладку (RUS/ENG)


ага, есть маленько :)

интересно, Доктор сюда снова зайдет?

infern0 :: Gloomy пишет:
цитата:
Плагин для Imprec писал или просто так само получается


само. ну ессно после небольшого патча.

Dr.Golova :: ыыч пишет:
цитата:
Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)


Немного доработанный.

ssx :: :) И как это интересно такая приватная вещь попала в дикую природу?




egor2fsys определить пакер + ломануть есть некая прога -...



egor2fsys определить пакер + ломануть есть некая прога - http://www.fs3000.com/download/pchm.exe (2,5 метра)
сам файл после установки (PocketCHM.exe) является я так понял типа SFX архивом (внутри даже сигнатура валяется такая SFX и inflate 1.1.4), дык вот после запуска прога делает еще одно файло и его пускает
причем, файло расжатое и пускает оно его нормально, если сделать просто дамп, то он упадет после показывания сплэша, НО если сделать этот запуск во время того как работает распаковщик то все запустится и не упадет
почему ?

и второй вопросик - где копать в плане регистрации проги ?

заранее спасибо за ответы
Mafia32 :: Блин, многовато качать. Че прога делает, всмысле предназначение ее?

egor2fsys :: делает справку формата chm
причем все остальные проги просто отдыхают :)

а тут мануал надо написать один, скачал - оказалась прикольная прога ...

Mafia32 :: Это именно пакер или протектор?

egor2fsys :: и не то и не другое
низзя это наверно это так называть
но похоже на пакер
вот интересно какого он работает токо када находится в памяти распаковщик ...

бара :: всё проще некуда - аттач сделай на прогу, когда она работает и изучи... дизассемблером любым...

egor2fsys :: не конечно атач делаю
но хотелось бы знать ответ на первый вопрос
какого оно падает ?

ну и с номерком разобраться бы конечно

потому как я ниче не накопал

не люблю проги на С

XoraX :: egor2fsys пишет:
цитата:
не люблю проги на С


может хоть ты проги на VB любишь :)))))

egor2fsys :: ВБ люблю ....
особенно када оно в П-коде :))))))
а ваще декомпиляторы и седьмое чувство рулит

-= ALEX =- :: скачал, заинтересовала прога, как раз надо хелпик составить....

egor2fsys :: во во :)
хоть кого кроме меня заинтересовала

если че накапаешь, скажешь ?
а то я вроде даже не знаю с какой стороны подъехать ...

Halt :: Качать слишком много, но есть прога htm2chm - генерит неплихие файлы и маленькая

egor2fsys :: htm2chm - просто рядом не стоит !
эта умеет декомпилить :)! файло и вносить изменения и сохранять их

хотя на вкус и цвет - товарищей нет ...
тут просто интерес уже в самой регистрации проги

Halt :: не спорю, но htm - тоже декомпилить умеет, нолько не знаю все или только свои, но помоему все

бара :: а прога защищена ни херово...
сегодня поздно уже копать...

egor2fsys :: я так подозреваю что окошко про перезапуск проги - фейк
думаю что все пряечтся в реестр
там бинарный ключик ....
хотя фсё может быть

CCh :: egor2fsys пишет:
цитата:
если сделать просто дамп, то он упадет после показывания сплэша, НО если сделать этот запуск во время того как работает распаковщик то все запустится и не упадет


енто потому, что в проге есть неинициализированные переменные, например

static void* h_heap = 0; /*вот эта переменная*/
void main(void)
{
if (!h_heap)
h_heap=HeapCreate(0,0x1000,0);
HeapAlloc(h_heap, HEAP_ZERO_MEMORY, 0x500);‹- ели дампишь здесь и далее то в сдампленной программе переменная уже заполнена функцией HeapCreate и будет тебе радость
А если сдампишь раньше, когда «во время того как работает распаковщик », точнее сразу после его отработки то переменная имеет свой нолик (который еще в секции PE-файла) и все проходит нормально.

бара :: Программу я взломал

но ещё надо написать лоадер. Так что как напишу - выложу линк.

-= ALEX =- :: бара хе, а я пока тока скачал, даж не смотрел :) :) Че-т тебя на лоадеры разнесло...

egor2fsys :: гы
молодцы
уважаю !

ну если не впадлу - пнете куда приложить руки чтобы обломать её , а то я так ниче и не нашел

бара :: http://www.team-x.ru/xforum/topic848.html

просто я на них специализировался всегда....

ZX :: бара
А зачем там лоадер? Там обыкновенный патч прокатит.

бара :: ну так напиши патч. Мне интересно как ты собираешься патчить модуль, который будет создаваться самой программой и потом убиваться.
С интересом жду...

ZX :: бара пишет:
цитата:
Мне интересно как ты собираешься патчить модуль, который будет создаваться самой программой и потом убиваться.


Я уже пропатчил у себя. Просто повесь на пропатченный модуль атрибут «ReadOnly», и он не будет изменятся и убиваться. Ты не разбирался как этот модуль привязан к распаковщику?
ЗЫ: Ты ж специалист по лоадерам, вот идея неплохая для лоадера-патчера.

бара :: Так толку что он убиваться не будет ? Он же не запускается - надо дампить как-то и корректировать. А это гемор. Ссылку брось на файл, который ты пропатчил. Я что-то не понял - ты распаковал что-ли его ?
Вообще программа использует MFC и основана на технологии zLib. Я дампить даже не пробовал - ручная распаковка, сказать по правде, - не моя стихия гемора много...

egor2fsys :: да, все это хорошо, но лоадер не пашет
или я что то не увидил ...
по крайней мере надпись что оно Анрегистеред никуда не делась

ZX :: бара пишет:
цитата:
надо дампить как-то и корректировать


Зачем дампить - там нормальный экзешник.
Вот пропатченный экзешник, просто положить его в директорию проги.

egor2fsys :: ыгы
беру свои слова обратно
лоадер победил защиту ;)

сча посмотрим как в распакованном екзшнике можно убрать панель с надписью НЕприкольной ;)

бара :: я надпись не убирал «анрегистеред» - мне влом было её искать. Если прога считает, что она незарегистрирована, но работает как зарегистрированная в полнофункциональном режиме без нагов и ограничений - то это её право. Да и светится не люблю...

ZX
К сожалению, у меня в W2003 твой exe-шник не работает. Может он только в W98 пашет ? Ты как его выковырнул ? Просто скопировал после запуска программы или дампил как-то ? А то почему-то не хочет запускаться, как и тот, который временно в директории появляется в момент распаковки

Короче, лоадеры рулят...

egor2fsys :: а ты его екзещник не пускай, а просто положи в папку с прогой сохраняя атрибуты
у меня то на 2003 все работает почему то :))))))

у него работа проведена качественней :)
ни в коем случае это не укор ...

ZX :: бара пишет:
цитата:
Просто скопировал после запуска программы


Я так и сделал, я выше писал. Потом пропатчил и все дела. Я на счет лоадера не спорю, но так проще, я думаю. Я ж тебе говорил типа: сделай лоадер-патчер. Т.е. лоадер нужен тоько для того, чтобы стибрить экзешник(скопировать куда-нибудь), потом убить прогу и вернуть экзешник на место, но уже пропатченный.
А на счет того, что не запускается egor2fsys уже написал мне добавить по этому поводу нечего.

бара :: теперь понял.
А насчёт убить экзешник - не понял - какой глушить и нафига ? ведь такие патчики рассылать по полметра через модем не очень радует...
А так работа твоя ловчее выглядит - убирает надпись Unregistered.
Ты каким путём шёл ? Я вот лишь 1 поставил в данные в одном месте. А ты что менял ? В коде что ли ?

ZX :: бара пишет:
цитата:
Но это просто автор переоценил inflate zLib Adler’а


Эт точно. С этим не поспоришь.
бара пишет:
цитата:
ведь такие патчики рассылать по полметра через модем не очень радует...


да патчик там выйдет не больше твоего, мне просто писать его вломы было, вот и скинул екзешник как ты просил (у меня с этим просто проблемм нет).
бара пишет:
цитата:
А насчёт убить экзешник - не понял - какой глушить и нафига ?


Лучше я тебе тет-а-тет раскажу, если интересно, конечно.

бара :: на мыло вышли плиз тогда туториал маленький.
А вообще вы с Марио и Алексом меня с инлайн-патчами уже того - в смысле убедили - ваш метод тоже очень хороший - только вот я освоить всё не решаюсь... Да и вычислять там все эти OEP...
А лоадер всё же для меня удобнее - он проще как бы. Мне бы ещё поднатореть в вашем искустве ковырять код... Поучили хоть бы...

ZX :: бара пишет:
цитата:
на мыло вышли плиз тогда туториал маленький


Стукнись в аську лучше, я туторы только читать люблю... ;)

бара :: Я понял, ты просто этот байт раньше пропатчил.
Мне надо было в коде тоже патчить, чтобы успеть синхронно с программой.

Уже раздраконил твой патч и посмотрел...
Comparing files Pocket_CHM.exe and _POCKET_CHM.EXE
0001B5E4: 89 C7
0001B5E5: B5 85
0001B5EA: E9 01
0001B5EB: 9D 00
0001B5EC: 05 00
0001B5EE: 00 90
0001B5F9: 89 C7
0001B5FA: B5 85
0001B5FF: E9 01
0001B600: 88 00
0001B601: 05 00
0001B603: 00 90
0001BAB4: 00 01

ты тот же байт патчил, но раньше по времени, так как в коде. Теперь буду тоже патчить сам код...

ZX :: бара
Код, наверно, не успеешь пропатчить. Я вот тебе предлагаю вариант, с этой прогой он работать будет. Делаешь лоадер для загрузки основной проги.
Работать он будет так:
1) Загружает основную прогу.
2)Ждет когда запустится модуль, дождавшись, делает его копию под другим именем.
3)Убивает оба процесса, чтоб не мешали.
4)Патчит скопированный модуль и копирует его на законное место, установив атрибут «ReadOnly».
Вот и все. Что такой вариант работает, ты уже убедился.
И у тебя получается не лоадер, а патч, что, естественно, предпочтительней.

бара пишет:
цитата:
ты тот же байт патчил, но раньше по времени


Ну ты даешь. А ты думал я буду другой байт патчить? Кстате я там не извращался особо, просто патчил этот байт по ходу проги, а потом Copy to Executable и все дела. Олька как всегда рулит
ЗЫ: Надеюсь я тут не много написал?

бара :: ну насмешил...
зачем мне этот огород городить ? Ты думаешь мой лоадер не сможет сделать всё это сам ??? - пропатчить прогу как надо... Ты слишком слабо представляешь возможности моей технологии Ладно. Пока некогда, но вечером выложу лоадер, который будет сам регистрировать приложение без всяких убийств exe-шников и прочих извращений....
Может тогда поймёшь, что лоадеры это технология, превосходящая инлайн-патчинг вашим методом. Хотя наши методы родственны по сути....
Типа моя школа круче

бара :: короче вот линк на итоговый патчер: http://www.team-x.ru/xfor...opic848s0.html?#entry5449
P.S.
Покупайте наших слонов

ZX :: бара пишет:
цитата:
Типа моя школа круче


Типа лоадер в памяти остается после закрытия проги и забирает 100% ресурсов процессора и висит там «хулиганя» пока его не убьешь из списка процессов.

бара :: ты уверен, что он не удаляется при закрытии программы ?
у меня почему-то удаляется при закрытии программы сам - сколько не запускал....

бара :: да и не жрёт он время процессора. Просто нечего тебе по сути сказать - теория лопнула твоя, имхо

ZX :: бара
Чесное слово, все как я говорю. Win XP SP1a.

бара :: тогда извини. Я не проверял на ней. Странно...
тогда надо будет доработать в будущем ещё чуточек - сделать проверку на выгрузку....

thanx... Спасибо в смысле.

spetr :: Подскажите, как распаковать EXE упакованный Orien 2.11.
Если можно поподробнее (или может сущестуют программы, которые его могут распаковать.

ZX :: spetr пишет:
цитата:
Подскажите, как распаковать EXE упакованный Orien 2.11.


Ссылку бы на этот ЕХЕ не мешало бы оставить.

бара :: да он отстойный этот Orien - творение русского программиста.... Там ломать - делать нечего...

ZX :: бара
Да щас скачал, упаковал блокнот посмотрю, что за дела.




Bad



Bad_guy ... CRACKL@B CrackMe #4 уже скоро... Скоро выйдет новый крэкми. Он рассчитан на всех крэкеров: и новичков и профи. Идей новых конечно мало, но думаю вам он понравится, так как кое-что в нём по сложности совпадает с CrackMe #1, а кое-что интереснее ну и проще есть.
Noble Ghost :: Bad_guy пишет:
цитата:
Скоро выйдет новый крэкми. Он рассчитан на всех крэкеров: и новичков и профи.


Заинтриговал! Наверное, даже попробую поучаствовать, если, конечно, это случится после пятницы

RottingCorpse :: а от третьей crackme/bruteforceme что нить будет?

Grim Fandango :: и для новичков и для профи. интересно.

Nitrogen :: Bad_guy
надеюсь это будет асм?

Bad_guy :: RottingCorpse пишет:
цитата:
а от третьей crackme/bruteforceme что нить будет?


Кое-что будет.

Grim Fandango пишет:
цитата:
и для новичков и для профи. интересно.


Не хочу пока раскрывать все секреты, но да - именно так !

Nitrogen пишет:
цитата:
Bad_guy
надеюсь это будет асм?


Нет, асм это слишком сложно для меня и слишком легко для вас !
Дельфи - по традиции.

Кстати, кто меня может просветить чем crackme отличается от reverseme ?

Bad_guy :: PS Думаю выпущу в субботу или раньше.

-= ALEX =- :: Nitrogen не надейся, он тока дельфи знает походу :) :) шучу. А вообще что-то крякми развелось, еще раз повторюсь. ДЛЯ ЧЕГО ????? какая цель в этом преследуется, ломайте лучше проги, которые всем нужны. В чем прикол-то ?

RottingCorpse :: Хех... может попросить Руссобит-М написать крэкми с последним старфорсом :) ?

ZX :: -= ALEX =- пишет:
цитата:
В чем прикол-то ?


Авторы-мазохисты.

ЗЫ: Просто шутка, никого не хотел обидеть.

Snowbit :: Bad_guy пишет:
цитата:
Кстати, кто меня может просветить чем crackme отличается от reverseme ?


Crackme - просто сломать, а для reverseme нужно встраивать свой код (вот это было бы очень интересно)

RottingCorpse :: ага.... а еще decryptme/compileme/trytodownloadme :)

-= ALEX =- :: гы :)

infern0 :: лучше eraseme сделать раз и навсегда или formatme какой-нить...

[RU].Ban0K! :: infern0
Это уже будет не formatme а formatyou... если выразится проще f_u_c_k_y_o_u

Bad_guy :: -= ALEX =- пишет:
цитата:
В чем прикол-то ?


Ломать проги - работа, а крэкми - развлечение (думаю что так).

Black Neuromancer :: Обязательно в этой заворухе поучаствую :-D

Bad_guy :: Black Neuromancer пишет:
цитата:
Обязательно в этой заворухе поучаствую :-D


На то и анонс...

fuck it :: ё... крута
из СРАКМИ получиалсь ФАКЮ... эта крута !

Black Neuromancer :: Пойду с собакой погуляю, а потом сяду за UltraISO 7.0 ME Хоть ее уже и поломали, но хоть посмтрю - интересно.

ZX :: Black Neuromancer
В сортир пойдешь, тоже не забудь сказать - всем очень интересно

Bad_guy :: Black Neuromancer пишет:
цитата:
Пойду с собакой погуляю, а потом сяду за UltraISO 7.0 ME Хоть ее уже и поломали, но хоть посмтрю - интересно.


Ну а я пойду пельменей поем и буду дальше крякмис писать

GPcH :: RottingCorpse пишет:
цитата:
Хех... может попросить Руссобит-М написать крэкми с последним старфорсом :) ?


Да, это было бы очень прикольно

GPcH :: Bad_guy пишет:
цитата:
Скоро выйдет новый крэкми. Он рассчитан на всех крэкеров: и новичков и профи. Идей новых конечно мало, но думаю вам он понравится, так как кое-что в нём по сложности совпадает с CrackMe #1, а кое-что интереснее ну и проще есть.


Посмотрим! Обязательно постараюсь принять участие

KLAUS :: ZX
Ломать не строить....
Попытайся сам забодяжить защиту ( но не используя протекторы), в этом прикол...

ZX :: KLAUS пишет:
цитата:
Попытайся сам забодяжить защиту


А какой смысл ее выкладывать в крякми. Мы все прекрасно знаем какая защита не ломается.

KLAUS :: ZX

Для разнообразитя, хоте бы для себя чтоб знать, что ты можешь не только разрушать но и созидать, и созидать не плохо.....

ZX :: KLAUS
А кто сказал, что я только ломаю ? Это так сказать мое хобби. А так все время созидаю

KLAUS :: ZX

не, ну я имел в виду защиту...

Styx :: Да уж, хорошенькое дельце намечается, повеселимся на выходных

ZX :: KLAUS
Тебя какая больше интересует та, которую в кракми можно сломать, или та, которую в кракми сломать нельзя?

KLAUS :: ZX

Та, которую можно было бы использовать в прогах, а пользователям этой проги не пришлось бы маятся при регестрации, и в тоже время защита была стоящей....
ВОт такие защиты ломать и интерестно и познавательно....
Запаковать протектором любой сможет, главное чтоб в самой проге был хорошо реализован метод защиты...

ZX :: KLAUS
Да я и паковать ничего вообще не буду, ты просто сломать не сможешь пока не купишь у меня хотя бы один валидный ключ. А такая защита для кракми не подходит . Вот я о чем.

KLAUS :: ZX

Угу, так де как если пол кода в аппаратный ключ запихать, да и ещё проще
прогу в архив RAR и ключ (хотя бы 20 символьный), ну и пока не купишь, пароль не узнаешь....

ZX :: KLAUS пишет:
цитата:
Угу, так де как если пол кода в аппаратный ключ


Можно и не в аппаратный

KLAUS :: ZX

Можно, всяко можно, но этот не интерестно будет...

Bad_guy :: KLAUS пишет:
цитата:
ну и пока не купишь, пароль не узнаешь....


Ага, а тогда все крякеры станут кардерами. Если такие защиты заполонят мир...

Bad_guy :: ...Я вот думаю сейчас запаковать свой крэкми в армадиллу чтоб никто не пытался патчить а именно ключ искать или всё таки моих пожеланий хватит...

KLAUS :: Bad_guy пишет:
цитата:
свой крэкми в армадиллу


Хочешь всю защиту на неё скинуть......так же не интерестно будет....
Интересно разбираться в алгоритме защиты самой проги, а не её упаковчика

KLAUS :: Bad_guy пишет:
цитата:
Ага, а тогда все крякеры станут кардерами. Если такие защиты заполонят мир...


Ну а что, щас я на форму помещу картинку с простой надписью, и в архив её кину....ништяк крякми получится, времени на его создание уйдёт меньше не придумаешь, да и плюс ко всему попробуй такую Х**ю поломай...

Bad_guy :: KLAUS пишет:
цитата:
Ну а что, щас я на форму помещу картинку с простой надписью, и в архив её кину....ништяк крякми получится, времени на его создание уйдёт меньше не придумаешь, да и плюс ко всему попробуй такую Х**ю поломай...


Да ты гений - суперскую защиту придумал

GPcH :: Bad_guy пишет:
цитата:
Скоро выйдет новый крэкми. Он рассчитан на всех крэкеров: и новичков и профи. Идей новых конечно мало, но думаю вам он понравится, так как кое-что в нём по сложности совпадает с CrackMe #1, а кое-что интереснее ну и проще есть.


Только не пакуй его, а то неприкольно

KLAUS :: Bad_guy

НУ СПАСИБО СПАСИБО....
Не без обид конечно, но просто ты писал Он рассчитан на всех крэкеров: и новичков и профи а наврятли НОВИЧКАМ под силу будет арму распаковывать.....

ViNCE [AHT] :: RottingCorpse пишет:
цитата:
ага.... а еще decryptme/compileme/trytodownloadme :)


Последнее - вообще зашибись...

ViNCE [AHT] :: GPcH пишет:
цитата:
Да, это было бы очень прикольно


Задача - отвязать крякмес от CD?

ViNCE [AHT] :: KLAUS пишет:
цитата:
НУ СПАСИБО СПАСИБО....
Не без обид конечно, но просто ты писал Он рассчитан на всех крэкеров: и новичков и профи а наврятли НОВИЧКАМ под силу будет арму распаковывать.....


Смысл понятен... после ломки этого крякми новички станут профи...

Bad_guy :: KLAUS пишет:
цитата:
наврятли НОВИЧКАМ под силу будет арму распаковывать


Это чтобы не распаковывали, а искали ключи. Ладно, паковать буду только может ASPACkom или UPX - только для красоты, а так вообще ломать надо будет без патчинья, конечно..

-= ALEX =- :: Bad_guy запакуй alexprot’ом lite версией... будет прикольно %)

WELL :: -= ALEX =- пишет:
цитата:
Bad_guy запакуй alexprot’ом lite версией... будет прикольно %)


Я даже догадываюсь кто первым распакует =)

ViNCE [AHT] :: -= ALEX =- пишет:
цитата:
запакуй alexprot’ом lite версией... будет прикольно %)


А где можно его скачать?

-= ALEX =- :: ViNCE [AHT] а зачем ?

WELL :: -= ALEX =- пишет:
цитата:
ViNCE [AHT] а зачем ?


Ну так потренироваться =)

-= ALEX =- :: хе, да вот может быть седня выложу lite глючную версию :)

-= ALEX =- :: http://www.alex.webhost.ru/ - качайте ;) тока это пока lite версия со старыми багами :) пока некогда заниматься протектором...

Bad_guy :: WELL пишет:
цитата:
Bad_guy запакуй alexprot’ом lite версией...


Ага, что б мне кто-то потом начал претензии предъявлять, что на всяких windows 2004 мой файл не запускается.

Bad_guy :: -= ALEX =-
Как я пытаюсь крэкми свой новый предложить алекс опять заводит тему о своём протекторе - ну сделай ты отдельную тему для этого... хватит на себя одеяло перетягивать - никто ведь не просил...

Mafia32 :: Bad_guy

Во сколько в субботу выложишь?

XoraX :: Bad_guy пишет:
цитата:
хватит на себя одеяло перетягивать


подеритесь из-за фигни еще..

Bad_guy :: Mafia32 пишет:
цитата:
Во сколько в субботу выложишь?


Возможно будет не в субботу - не могу давать гарантии. Всё таки сессия на носу - сегодня в универе до 8 вечера сидел, так что... А крэкми ведь ещё недописан.

XoraX пишет:
цитата:
подеритесь из-за фигни еще..


Драться не будем, но для информации Алексу сгодится.

Black Neuromancer :: Паковать вообще не стоит - не для того крякми пишутся, чтобы распаковывать, а вообще надо реальные проги ломать и обсуждать, а не заморочки плохого мальчик

ViNCE [AHT] :: -= ALEX =- пишет:
цитата:
http://www.alex.webhost.ru/ - качайте ;) тока это пока lite версия со старыми багами :) пока некогда заниматься протектором...


Посмотрим что и как...

-= ALEX =- :: Bad_guy извиняюсь, если что не так. я просто смехом предложил, ничего другого я не имел ввиду. ладно закрываю я свой протектор нахрен, раз он никому не нужен и все против.... все, проект мертв :( до лучших времен...

ZX :: Вот так и умирают хорошие идеи :( одно плохое слово и нет желания дальше работать. А вообще, интересно могло получится Bad_Guy делает внутреннюю защиту а Alex навесную, кому-то интересно распаковать, кому-то найти серийник или пропатчить, короче всем бы интересно было. А так...

-= ALEX =-

Зря протектор бросаешь. Я понимаю обидно, но иногда через это приходится перешагивать.

SLV :: RottingCorpse пишет:
цитата:
compileme


- это наверно круто

[ChG]EliTe :: SLV пишет:
цитата:
compileme


Это скорее для любителей Linux’a и заTARенных исходников :))))




GOS Dede не может запустить программу... Поскажите в ч



GOS Dede не может запустить программу... Поскажите в чём дело? Вот ссылочка на программу: http://www.netbornmusic.com/pf/as/am.zip
Мне бы посотреть декомпилированный текст...
По моей информации она на D6 написана...
Только вот один нюанс: при нажатии на «Процесс» в Dede возникает ошибка:(
Подскажите пожалуйста как с этим справиться!!

Заранее благодарен, Oleg!
GOS@land.ru
-= ALEX =- :: GOS да проблем куча может быть... лучше делай так. запускай программу, потом DeDe -› Утилиты -› Дампить активный процесс... в списках процессов выберешь свою прогу... вот и все.

бара :: 1. Убедись что она не запакована протектором/упаковщиком.
2. Размер программы Пушкин указывать будет.
3. Никто на мыло тебе писать не будет - хлеб за животом не ходит....

SLV :: -= ALEX =- пишет:
цитата:
Утилиты -› Дампить активный процесс


Кстати, так можно и извращаться над пакованными прогами, не распаковывая их (если они делфийские)...

KLAUS :: GOS пишет:
цитата:
По моей информации она на D6 написана


А если её скачать и поглядеть, то на C++6

SLV :: Скачал! Microsoft Visual C++ 6.0

бара :: тогда забейте на DeDe.

SLV :: бара , ясное дело
GOS , бери W32DASM и/или IDA

GOS :: Большое спасибо за информацию!
Я не спец в ломании программ, потому и не всё так гладко.

WELL :: SLV пишет:
цитата:
Кстати, так можно и извращаться над пакованными прогами, не распаковывая их


Извращенец =)

DZmey :: WELL

Не не изврант, а любитель переделавать готовое =)

[ChG]EliTe :: GOS
Чудиться мне что у тя PEiD’a нет... Скачай обязательно!

DillerXX :: А оле можно повесить запущенный процес? (я в ней не мастер)

KLAUS :: DillerXX пишет:
цитата:
повесить запущенный процес


Если имеешь в виду зациклить , то да можно!»




MaZaFaKeR AlexProt 2Alex: пробовал твоим протектором запаковывать свою...



MaZaFaKeR AlexProt 2Alex: пробовал твоим протектором запаковывать свою Делфи-программу, но при включении вылетают два РанТаймЭррора и ещё что «программа выполнила недопустимую операцию и будет закрыть + кнопки Ок (закрыть ошибку) и Отмена (отладка)» Вообщем не работает! :(
Ось: WinXP Home Edition без SP
P.S. а пакует, ИМХО, неплохо - из ~500кб вышло всего ~250кб !
ViNCE [AHT] :: MaZaFaKeR пишет:
цитата:
а пакует, ИМХО, неплохо - из ~500кб вышло всего ~250кб !


UPX тоже вроде неплохо пакует... это не достоинство...

WELL :: Это же lite версия. И это не пакер, а протектор, т.е. не сжатие главное.

MaZaFaKeR :: Блин, ну дело даже не в пакере! Я же говорю, что после упаковки файл не работает!

-= ALEX =- :: забейти. протектор мертв. :(

бара :: ну и жаль. Совершенствуй проект.... Дело полезное... Только вот лучше анпротекторы делать...имхо.

MaZaFaKeR :: -= ALEX =- , ну как же мёртв! Давай, проект интересный, занимайтся!

KLAUS :: ХМ или у меня глюки, или «Документ не найден»
http://www.alex.webhost.ru/alexprot1.1.rar

musulmanin :: KLAUS
не открывается
ЗЫ
KLAUS
Это не ты случайно на НСД сидишь под ником BlackPrience???

KLAUS :: musulmanin
Нет
Эт с чего ты взял?

-= ALEX =- :: KLAUS удалил я прогу с паги... но если уж у тебя желание есть скачать, могу тебе скинуть.

WELL :: Выходит, что те кто успел качнуть имеют у себя малоизвестный приличный протектор, хоть и демо =)
MaZaFaKeR тебе же сказали, что lite-версия. Глюки есть пока. У меня тоже не все проги нормально запаковались.

KLAUS :: -= ALEX =-
Угу, если не сложно.....

[RU].Ban0K! :: Ну ладно тут ещё упаковку хвалить... либра всё равно стандартная...
-= ALEX =-
Хватит тут ещё ерундой заниматься, мёртв да мёртв... как будто ты исходники потерял.
Может через полмесяца у меня к тебе коммерческое предложение будет...

-= ALEX =- :: [RU].Ban0K! ][@ ][@, коммерсант :)




X0E-2003 Как востановить руками IAT ??? В последнее время все труднее...



X0E-2003 Как востановить руками IAT ??? В последнее время все труднее приходится с этими всякими протекторами справляться. Практически каждый из них фактически уничтожает IAT. Я всегда использовал ImportRec v.xx, но мож кто подскажет как без него
ViNCE [AHT] :: X0E-2003 пишет:
цитата:
В последнее время все труднее приходится с этими всякими протекторами справляться. Практически каждый из них фактически уничтожает IAT. Я всегда использовал ImportRec v.xx, но мож кто подскажет как без него


Читай форум внимательнее...

Mario555 :: X0E-2003 пишет:
цитата:
Я всегда использовал ImportRec v.xx, но мож кто подскажет как без него


Без него как раз в простых пакерах можно, а как в сложных без него обойтись - не знаю.

ViNCE [AHT] :: X0E-2003 пишет:
цитата:
В последнее время все труднее приходится с этими всякими протекторами справляться. Практически каждый из них фактически уничтожает IAT. Я всегда использовал ImportRec v.xx, но мож кто подскажет как без него


Ты по-конкретнее... А то - «пакеры» да «протекторы», а что за пакер\протектор?

Если Аспр, то Марио тебе поможет

SLV :: Imprec - это автоматизм. НАпример AutoTRace. Протектор загадил импорт переходниками и, к примеру, наставил их, штук 30. Даже ести ты научишся всё делать руками (менять переходники на API), то 100% или тебя это задолбает, или ты где-то допустишь ошибку и испортишь dump.

MoonShiner :: Плевейшее дело состряпать такой переходник, который импрек не захавает.

.::D.e.M.o.N.i.X::. :: MoonShiner пишет:
цитата:
Плевейшее дело состряпать такой переходник, который импрек не захавает.


Не захавает Imprec, захавает плагин для импрека:)

X0E-2003 :: Пакер ентот AlexProt v0.1 как-то скачал потом посмотрел OEP и спертые байты нашел, а вот с IAT проблеммы. Кто-то вообще этот протектор распаковал. Дайте дельный совет как IAT востановить ?

EGOiST[TSRh] :: давайте спросим Aлекса

MoonShiner :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Не захавает Imprec, захавает плагин для импрека:)


Могу наспор склепать такой, что плагин будет хавать его один раз из десяти:)
X0E-2003 пишет:
цитата:
с IAT проблеммы


я распаковывал. ИМХО, все, кроме меня, кто его тоже распаковал, нашли не затертую по рассеянности (или мож это фича?:) оригинальную таблицу импортируемых функций и впихнули ее. Я же распаковывал по следующему принципу... Оригинальные адреса пихались по смещению 890000h вроде +79h или как то так. То есть в 890000h+79h*n (где n-натуральное:)) лежали оригинальные адреса функций. Написал тулзу, которая их все собирала и в нужных местах разбавлялась нулями (для thunk-ов). Далее поправил алгоритм построения переходников, только это надо делать аккуратно, поскольку эта пакость постоянно проверяет целкость своего кода. Таким образом, в адреса АПИ пошли не указатели на переходники, а нужные адреса. А дальше просто заюзал импрек.

-= ALEX =- :: MoonShiner пишет:
цитата:
Далее поправил алгоритм построения переходников, только это надо делать аккуратно, поскольку эта пакость постоянно проверяет целкость своего кода


Мде, мой пакер уже и «пакостью» называют...

Aster!x :: MoonShiner
› ИМХО, все, кроме меня, кто его тоже распаковал, нашли не затертую по рассеянности (или мож это фича?:) оригинальную таблицу импортируемых функций и впихнули ее.

Не ты один не нашёл, я даже не искал, предположив априори что ее там нет, иначе не интересно ;-)
Но метод восстановления у меня был другой, без использования ImpRec’ов всяческих =)

Mario555 :: MoonShiner пишет:
цитата:
ИМХО, все, кроме меня, кто его тоже распаковал


Да нифига, я тоже iat свою создавал и переходы на неё делал. Только без всякого гемора с 890000h+79h*n и написания тулз ;)

MoonShiner :: Aster!x , Mario555 , можно ессесно. Но мне стало интересно так. Да и приблуды свои уже кое-какие были...




V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то...



V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то прога незапускается, просто загружается а потом без всяких месаг вылетает
врсия Армы, как пишет PEDI 1.хх-2.хх, помогите может у кого-то такое было. ??
бара :: возможно, что это защита уже софтовая проверяет CRC или размер где...

WELL :: Может попробовать поискать ссылки на ExitProcess или чего-нить в этом духе.
Может и правда проверка целостности кода...

V0ldemAr :: мда, наверно я че то не то сделал, сидел в Олли короче прога вирубается через это:
mov eax,[eax]
а в еах очень большое число то есть прога вылетает при доступе к памяти. :((
мда придется ещераз попробовать распаковать.
Кстати Очень странно что когда я пробовал ПеТулзами снимать дамп то провобще видавала Екзекюшн Еррор. :((

Mario555 :: V0ldemAr пишет:
цитата:
вроде распаковал сабж, но чего-то прога незапускается


А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...

V0ldemAr :: Блин, рас такий умный скажы в чем тут дело :) я вроде все сделал

MozgC [TSRh] :: Mario555 пишет:
цитата:
А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...


Да ладно, дофига прог запускаетмя сразу

infern0 :: Mario555 пишет:
цитата:
Сейчас мало какие проги сразу после распаковки запускаются


можно посоветовать пропатчить hands.sys... :))

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
hands.sys


Поправочка: curvehands.sys :)

бара :: а может brains.sys

RottingCorpse :: ili straight_IZVYLINY’s_in_da_brain.sys :)

Mario555 :: infern0 пишет:
цитата:
можно посоветовать пропатчить hands.sys... :))


И что это интересно у меня с руками не так ?!

.::D.e.M.o.N.i.X::. пишет:
цитата:
Поправочка: curvehands.sys :)


Ну это вообще верх остроумия - ах*уенно смешно.

Или вы все не встречали прог с проверкой на распакованность ?! Мне последнее время в основном только такие и попадаются. Что Alfaclock, SIGuardian или Perl Editor - у кого-нить сразу после распаковки запустились ? а все проверки на наличие протектора в этих прогах мне просто приглючились ???

infern0 :: не лезь в бутылку - это злой крякерский юмор...

бара :: я вообще против таких нападок всегда был... Вообще не понимаю, почему на этом форуме некоторые считают, что имеют право посылать новичков на *** и подтрунивать над товарищами по цеху. Зачинщиков в баню короче. Семь суток чтобы не евши...

infern0 :: бара пишет:
цитата:
Зачинщиков в баню короче


ну вот один:

бара пишет:
цитата:
а может brains.sys


бара :: поймал поймал Так меня этот чёрт - RottingCorpse совратил на преступление Я ищо молодой и неопытный А он плохим словам тут учит...
Так я просто продолжил абстрактный ряд синонимов, не проэцируя их на персоналии...

V0ldemAr :: Мда, народ тут веселый, ладно
Короче никакой проверки там нет, это глюканул, кроме секции CODE, не востоновил DATA,
но єто ничего недало, всмысле прога дальше незапускается, но хотябы еррор выдает.
Короче сидел в Олли и нашол в чем глюк, глюк в том что импорт я невесь востоновил.
Вот пример функции из которою Импрек неопознал и я незнал что с ней делать и просто удалил:
01107018 push ebp
01107019 mov ebp,esp
0110701B sub esp,104
01107021 push esi
01107022 push edi
01107023 push 1132EC0
01107028 call [1126070] // = ntdll.dll/0218/RtlEnterCriticalSection
0110702E mov ecx,[1132CE4] // DWORD value: 003A9978
01107034 mov eax,[112B8C0] // DWORD value: 0001EED7
01107039 xor edi,edi
0110703B mov [1133640],eax // DWORD value: 000085D4
01107040 cmp ecx,edi
01107042 je short 01107057
01107044 mov eax,[ecx]
01107046 cmp eax,edi
01107048 je short 01107057
0110704A mov edx,[113363C] // DWORD value: F1100000
01107050 sub [eax],edx
01107052 add ecx,4
01107055 jmp short 01107044
01107057 mov ecx,[1133098] // DWORD value: 003A9928
0110705D cmp ecx,edi
0110705F je short 01107074
01107061 mov eax,[ecx]
01107063 cmp eax,edi
01107065 je short 01107074
01107067 mov edx,[113363C] // DWORD value: F1100000
0110706D sub [eax],edx
0110706F add ecx,4
01107072 jmp short 01107061
01107074 mov eax,[1133280] // DWORD value: 0112BC9C
01107079 movzx esi,word ptr [eax+12]
0110707D call 011224FD
01107082 mov ecx,[1133644] // DWORD value: 00000000
01107088 lea eax,[eax+ecx+7640005E]
0110708F push eax
01107090 mov eax,[112BAC0] // DWORD value: 00000212
01107095 add eax,esi
01107097 push eax
01107098 mov eax,[1133284] // DWORD value: 01100000
0110709D sub eax,esi
0110709F add eax,[112B8C0] // DWORD value: 0001EED7
011070A5 push eax
011070A6 call 01104074
011070AB mov ecx,[1133098] // DWORD value: 003A9928
011070B1 add esp,C
011070B4 cmp ecx,edi
011070B6 mov [ebp-4],eax
011070B9 je short 011070CE
011070BB mov eax,[ecx]
011070BD cmp eax,edi
011070BF je short 011070CE
011070C1 mov edx,[113363C] // DWORD value: F1100000
011070C7 add [eax],edx
011070C9 add ecx,4
011070CC jmp short 011070BB
011070CE mov ecx,[1132CE4] // DWORD value: 003A9978
011070D4 cmp ecx,edi
011070D6 je short 011070EB
011070D8 mov eax,[ecx]
011070DA cmp eax,edi
011070DC je short 011070EB
011070DE mov edx,[113363C] // DWORD value: F1100000
011070E4 add [eax],edx
011070E6 add ecx,4
011070E9 jmp short 011070D8
011070EB mov ecx,[1132CE8] // DWORD value: 003A3C28
011070F1 cmp ecx,edi
011070F3 je short 01107108
011070F5 mov eax,[ecx]
011070F7 cmp eax,edi
011070F9 je short 01107108
011070FB mov edx,[113363C] // DWORD value: F1100000
01107101 sub [eax],edx
01107103 add ecx,4
01107106 jmp short 011070F5
01107108 mov eax,[1133284] // DWORD value: 01100000
0110710D mov ecx,[112B8C4] // DWORD value: 0000714B
01107113 push edi
01107114 add ecx,eax
01107116 push dword ptr [112BAC4] // DWORD value: 000000D1
0110711C push ecx
0110711D push dword ptr [ebp-4]
01107120 call 011014AC
01107125 mov ecx,[1132CE8] // DWORD value: 003A3C28
0110712B add esp,10
0110712E cmp ecx,edi
01107130 je short 01107145
01107132 mov eax,[ecx]
01107134 cmp eax,edi
01107136 je short 01107145
01107138 mov edx,[113363C]
0110713E add [eax],edx
01107140 add ecx,4
01107143 jmp short 01107132
01107145 push ebx
01107146 xchg eax,edx
01107147 xchg dx,dx
0110714A xchg eax,edx
0110714B push edx
0110714C out dx,eax
0110714D pop ebp
0110714E xor dl,[ebp-7F]
01107151 or cl,[edx]
01107153 fild qword ptr [edx]
01107156 dec ebx
01107157 lahf
01107158 push ebp
01107159 mov esi,8D14C134
0110715E call 662E61AF
01107163 retn

Вот и все. Кто уже такоэ видел, и как боролся, подскажыте.

бара :: по арме Mario555 спец у нас и Feuerrader - у них туториалы про это есть да и опыт распаковки немалый... Так что рекомендую связаться с ним по e-mail и обсудить как выйти на поверхность из этого... нехорошей ситуации.

V0ldemAr Re: бара :: Да сенкс.
Но у Feuerrader-а тутор без КОПИМЕМ - а, и в туторе нет того что уменя попалось :(

Mario555 :: V0ldemAr пишет:
цитата:
Вот пример функции из которою Импрек неопознал


Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...

Mario555 :: бара пишет:
цитата:
арме Mario555 спец


Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...

V0ldemAr :: Mario555 пишет:
цитата:
Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...


Может что-то предложыш, а то я уже неделю парюсь, распаковал уже кучу своих прог упакованой армой негде нету такого :((

Mario555 :: V0ldemAr
У меня такого не было... все проблемы с импортом решались правкой «magic jmp» (ну это ессно кроме 3.7a - там с импортом повеселее сделано :)).

бара :: так туториалы видать безымянные которые мне прислали по её снятию не твои ? тогда понятно...

V0ldemAr :: Mario555 пишет:
цитата:
с импортом решались правкой «magic jmp»


это ти про jle XXXXXXXX

Mario555 :: V0ldemAr пишет:
цитата:
это ти про jle XXXXXXXX


Это я про тот, который определяет что писать в iat - адрес апи или переходник.

V0ldemAr :: Mario555 пишет:
цитата:
Это я про тот, который определяет что писать в iat - адрес апи или переходник.


Опа, а где эго искать неподскажеш??

Mario555 :: V0ldemAr пишет:
цитата:
Опа, а где эго искать неподскажеш??


Дык как обычно - бряк на запись в iat - попадёшь на цикл обработки импорта, ну а там уже смотри где и что записывается и куда jmp’ы направлены.

А ты вручную функции определял что-ли ???

ViNCE [AHT] :: Mario555 пишет:
цитата:
Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...


Марио, с тебя Олли-скрипт против армы!

musulmanin :: недавно нашел хорошие туторы по распаковки армы(и не только)...
http://www.hackemate.com.ar/cracking/

musulmanin :: ViNCE [AHT] пишет:
цитата:
Марио, с тебя Олли-скрипт против армы!


хорошо бы

V0ldemAr :: Mario555 пишет:
цитата:
А ты вручную функции определял что-ли ???


Угу, а что?

Mario555 :: ViNCE [AHT] пишет:
цитата:
с тебя Олли-скрипт против армы!


Не думаю, что возможно написать скрипт, который будет полностью снимать арму с copymem.

V0ldemAr пишет:
цитата:
Угу, а что?


Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.

EGOiST[TSRh] :: чета я щас тоже нарвался..с мэджик джампом не восстановилось ешо туча ф-ий..странно

V0ldemAr :: Mario555 пишет:
цитата:
Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.


А какой еще способ есть чтобы определить функции?

EGOiST[TSRh] :: V0ldemAr
почитай статью Драгона, там как раз используется этот метод..

p.s. восстановил импорт таки..прикол в том что арма не по порядку их прописывает, так что ловить на записи апи, может оказаться неправильным..

infern0 :: EGOiST[TSRh] пишет:
цитата:
ловить на записи апи, может оказаться неправильным


зато это легко помогает нати magic jmp и пи следующем запуске брякнутся сразу на нем :)

EGOiST[TSRh] :: не, правильно есесно.просто надо менять етот джамп когда цикл тока начинается..

Mario555 :: EGOiST[TSRh] пишет:
цитата:
прикол в том что арма не по порядку их прописывает


Функции из разных библиотек перемешаны ? Iat за пределами exe ? если да, то это 3.7a.
Там ещё и антидамп по типу, как в ACProtect.

PS для распаковки 3.7a есть скрипт. Да и если вручную распаковывать - один фиг скрипт писать придётся, хотябы чтобы iat упорядочить.

EGOiST[TSRh] :: да не, все по порядку..просто арма их не по порядку обрабатывает а как то по своему..

Gloomy :: Новую тему решил не создавать поэтому пишу сюда: давно пытаюсь распаковать полезную в хозяйстве прогу Easy CD-DA Extractor (http://www.poikosoft.com/download.html 4,5 Мб). PEiD определяет Армадиллу 1.хх-2.хх, другая программа IsItArma (http://databack4u.com/snc/download/trashreg.zip) тоже определяет Армадиллу. Очень смущает вид кода в отладчике, вот картинка загруженой программы: http://tinysoft.nm.ru/dbg.png Посмотрел пример из статьи про распаковку Армадиллы - там все полностью пошифровано. А здесь чистый код да еще и ресурсы в любом редакторе спокойно правятся (!). Как такое возможно? Все типичные армадильные фокусы типа двух процессов и файла в папке temp присутствуют - значит прога действительно упакована Армадиллой. Но почему тогда код и ресурсы доступны? Может кто с таким уже сталкивался? И главное как тогда ее распаковать?

V0ldemAr Re: Gloomy :: Ну ты чувак даеш, это же и есть версия 2.хх она тем и отличается. :))
Прочти тутор HEX-а по снятию армы, очень поможет.
Кста, я тоже хотер распаковать Easy CD-DA Extractor, но блин у меня она незапускается под Вын2к, хз что делать.
Кто-то может подсказать что нужно делать?????

V0ldemAr :: EGOiST[TSRh] пишет:
цитата:
почитай статью Драгона, там как раз используется этот метод..


дык какраз прочитал, перед тем как на форум зайти,
вот вопрос, а как сохр дерево импорта если мы с проги вылетаем?
Где нужно остоновится?




V0ldemAr Pulya v1.1 Во тут сегодня ночью распаковал ACProtect, которий был на...



V0ldemAr Pulya v1.1 Во тут сегодня ночью распаковал ACProtect, которий был на сабже.
Помню тут пролетала тема, кто может взломать сабж, так что
кто хочет, брать здесь: _http://v0ldemar.front.ru/...ulya_v1.1_cracked_exe.rar
размер: 900к
Snowbit :: И кому это нах надо?

V0ldemAr :: V0ldemAr пишет:
цитата:
Помню тут пролетала тема, кто может взломать сабж, так что
кто хочет, брать здесь


Вот, кому :P

XoraX :: молодец, пирожок знаешь где

бара :: Человек старался, а вы его так....

Нехорошо. После этого вот охота помогать и пропадает.... имхо.

Snowbit :: Извиняюсь за столь грубое высказывание, был в плохом расположении духа...
У меня скложилось впечатление, что этот кряк был вовсе не для тех, кто его просил (тем более давно уже было), а только для удовлетворения своего внутреннего эго и просто для банального хвастовства, особенно, если вспомнить тему о кейгене от Revenge...

P.S. Ты бы лучше авторам помог и купил прогу - великолепный преф, самый лучший из всех, что я видел и стоит-то всего ничего... эх..

Mario555 :: V0ldemAr пишет:
цитата:
Помню тут пролетала тема, кто может взломать сабж


Дык когда пролетала, тогда и распаковали и сломали... а заодно и сам Acprotect.exe версий 1.09, 1.10 и 1.23 сейчас вот ещё новая версия вышла - 1.3с, у меня до неё что-то руки никак не доходят... сессия мля...

PS а вообще этот acpr очень легко патчится ;)

Gollum :: бара

Что-то у тебя что не пост, то нравоучения... форум что ли не нравится? ~ ал если честно...

V0ldemAr :: Mario555 пишет:
цитата:
Дык когда пролетала, тогда и распаковали и сломали...


Ну дык, я случайно ночью нашол и поробовал распаковать, а то уже арма за*****

Mario555 пишет:
цитата:
новая версия вышла - 1.3с, у меня до неё что-то руки никак не доходят... сессия мля...


Там новых приколов наделали, типа ОЕП извращают и еще что-то.
Я сперва хочу свою прогу распаковать, а потом уже к АСПР.

бара :: Gollum
А паШЁл ты на ~й припи**ок. Я тебя вроде не учил тут ничему и чё ты ко мне при**ался ? Такие как ты только и срут в форуме. Мне флуд не нравится просто и наезды таких вот как ты... А форум и ты это ведь разные вещи, имхо

Mario555 :: V0ldemAr пишет:
цитата:
типа ОЕП извращают и еще что-то


Да с OEP это и в 1.23 было... В 1.3с есть прикол с DR регистрами - он свои бряки расставляет... правда это только в самом протекторе, в запакованных им прогах такого нет.

V0ldemAr :: Mario555 пишет:
цитата:
в запакованных им прогах такого нет.


Спецово, чтобы тежелее было :((
Ну дык как распакуеш, свисни тутором или чем еще :))
Интересно все таки

Gollum :: бара

Не смеши меня... во блин.

Mario555 :: Гы... хрень с DR нагло сп*жжена с teLock...




sanniassin ACProtect Помогите распаковать сабж версии 1.22b



sanniassin ACProtect Помогите распаковать сабж версии 1.22b
sanniassin :: Или версии 1.3C

Perch :: sanniassin пишет:

цитата:
Помогите распаковать сабж версии 1.22b


А, туторы-то, че почитать не хочешь?

DZmey :: Perch пишет:
цитата:
А, туторы-то, че почитать не хочешь?


Те что от Mario555.... реальные туторы ...

sanniassin :: Perch пишет:
цитата:
А, туторы-то, че почитать не хочешь?


А где ж их взять?

DiveSlip :: Ну например здесь

sanniassin :: А можно поконкретнее про ACProtect?

XoraX :: DiveSlip
ну бля, до чего невнимательные пошли:
Беседа идет про ACProtect, not ASProtect!

DiveSlip :: XoraX , а что есть такой? Не знал, извеняюсь.

Mario555 :: На русском я видел только тутор HEX’а там про 1.09g или даже более младшую. Про 1.10 есть тутор Рикардо (на испанском ессно). Про последнии версии туторов не видел, что вполне логично - на то они и есть последнии версии :) Самому ломать надо... ;)
PS а что это за шаровара с последним ACPR ?

sanniassin :: Mario555 пишет:
цитата:
а что это за шаровара с последним ACPR ?


Да мне сам ACPR распаковть охота

DiveSlip :: sanniassin пишет:
цитата:
Да мне сам ACPR


А где ты его взял, если не секрет? А то я слил с китайского сайта, а там все в иероглифах, меню я восстановил, а вот надписи на чекбоксах нет.

sanniassin :: DiveSlip пишет:
цитата:
А где ты его взял, если не секрет?


www.ultraprotect.com

Mario555 :: sanniassin пишет:
цитата:
Да мне сам ACPR распаковть охота


Дык тогда и распаковывай, а не туторы ищи :) Раз уж решил сам протектор распаковать.




DarKSiDE Взлом проги - с чем это сравнимо? Господа!



DarKSiDE Взлом проги - с чем это сравнимо? Господа!
Предлагаю тему для обсуждения, в которой будем делиться своими переживаниями, ощущениями, полученными во время удачного и не очень удачного взлома программ!
С чем это можно сравнить? Удачный взлом – оргазм, а не удачный – серпом по яйцам, конечно, если они есть. Мне кажется, что данная тема будет более уместна и интересна чем типа «Чем сломать комп?».

-= ALEX =- :: LOL

DarKSiDE :: -= ALEX =-
Это ты явно про себя! ;)

DarKSiDE :: За языком надо следить! Хе...хе....

-= ALEX =- :: что-то мнений много я смотрю...

DarKSiDE :: Стеснительный народ пошел. ~ sm33:

Noble Ghost :: ИМХО, неинтересная тема. Как выразить словами чувства? Практически никак.

AlexZ CRaCker :: DarKSiDE
А я знаю, где найти тебе ответ:
Почитай на васме «Историю Одного Байта» и комментарии к ней. Я сам сёдня второй раз читал, случайно наткнулся. Первый раз наткнулся года 4 назад, тоже случайно. Ничё тогда непонял.
ИМХО очень глубокая философская статья (ну или у меня крыша съехала. 4 сутка разборок с миди... глаза как вишня...)

ZX :: AlexZ CRaCker пишет:
цитата:
Почитай на васме «Историю Одного Байта»


Да, это стоит почитать, я всегда советую ее почитать тем кто задает глупые вопросы на тему о смысле жизни программера.
DarKSiDE пишет:
цитата:
Предлагаю тему для обсуждения, в которой будем делиться своими переживаниями, ощущениями, полученными во время удачного и не очень удачного взлома программ!


Это тема для извращенцев. Ты форум наверно перепутал.

KLAUS :: DarKSiDE
Взламай как можно больше программ....а потом опишешь свои ощущения!

Bad_guy :: DarKSiDE пишет:
цитата:
Стеснительный народ пошел. ~ sm33:


Ну типа я кончаю, когда суперскую прогу взламываю. А так если мелких, то 2-3 надо, чтобы кончить

Noble Ghost :: Bad_guy пишет:
цитата:
Ну типа я кончаю, когда суперскую прогу взламываю. А так если мелких, то 2-3 надо, чтобы кончить




Главное описал достаточно точно!

ZX ::

XoraX :: проги сравнимы с деффками - сначала долго уговариваешь, исследуешь по всякому, а потом быстро взламываешь :)))))

DZmey :: XoraX пишет:
цитата:
проги сравнимы с деффками - сначала долго уговариваешь, исследуешь по всякому, а потом быстро взламываешь :)))))


Ориегенальное сравнение

Noble Ghost :: XoraX пишет:
цитата:
проги сравнимы с деффками - сначала долго уговариваешь, исследуешь по всякому, а потом быстро взламываешь :))))


Прикольно.
Протекторы equ бойфренды
Купить прогу equ сходить в ЗАГС
зарелизить прогу equ бросить «деффку»

[ChG]EliTe :: Noble Ghost пишет:
цитата:
зарелизить прогу equ бросить «деффку»


Не... скорее в круг пустить...

DarKSiDE :: Ну вот! А меня извращенцем называли. А тема то пользуется спросом!

DZmey :: [ChG]EliTe пишет:
цитата:
Не... скорее в круг пустить...


по рукам =)

PalR :: Bad_guy





Dred инлайн патч ...Привет Всем...



Dred инлайн патч ...Привет Всем...
господа кто нибудь может обьяснить что такое «инлайн патч»
где его можно применить и как сделать

...заранее благодарен...

Noble Ghost :: Dred
Ищешь OEP, вставляешь туда jump на патчер(патчер-›в свободное место файла), в патчере -- джамп на OEP.

Dred :: а где нибудь реальные примеры можно взять?

Ara :: Почитай статьи про второй крякми Bad_Guy’a, там все написано.

AlexZ CRaCker :: Dred
Click, click, click!

ZX :: Noble Ghost пишет:
цитата:
Ищешь OEP...


Это для пакеров подходит, но не для протекторов

WELL :: ZX пишет:
цитата:
Это для пакеров подходит, но не для протекторов


Вот кто-нить написал бы статью про инлайн для аспра ;)

ZX :: Это надо попросить Mario555 или Alexa.

KLAUS :: Вот вот, было бы здравенько...

ZX :: Если кто захочет написать, могу рассказать как это сделать, стучитесь в аську

Noble Ghost :: ZX пишет:
цитата:
Это для пакеров подходит, но не для протекторов


Он спрашивал что такое инлайн патч и как его делать. Вот я и объяснил доступно. Для начал ему хватит, имхо.

Dred :: спасибки Всем
AlexZ CRaCker
поиду читать

бара :: а я пи*дить статью пошЁл

KLAUS :: ZX

Так сам бы и написал..

GPcH :: Dred пишет:
цитата:
а где нибудь реальные примеры можно взять?


Юзай мой PeStubOEP (напиши под него инлойн патч и обработай им нужную прогу)

Black Neuromancer :: GPcH пишет:
цитата:
Юзай мой PeStubOEP (напиши под него инлойн патч и обработай им нужную прогу)


Рекламщик млин, кто захочет тот и будет твоей програмкой пользоваться - навязывать мнение не нужно

ZX :: KLAUS
Да, статью писать у меня терпения не хватит :)

GPcH :: Black Neuromancer пишет:
цитата:
Рекламщик млин, кто захочет тот и будет твоей програмкой пользоваться - навязывать мнение не нужно


Я мнение не навязываю, просто удобнее так, да и кому не нужно, тот и качать не будет

Dred :: GPcH
а ссылочку мона?

Dred :: ...нашел спасибки...




Mafia32 Установка Soft-Ice (в последний раз!) Привет всем! Сто миллионов раз...



Mafia32 Установка Soft-Ice (в последний раз!) Привет всем! Сто миллионов раз я поднимал эту тему и на WASM, и на старом кряклабе и в рассылках... Проблема в следующем. Начинал я заниматься реверсингом под Win98, где у меня Soft-Ice 4.05 работал превосходно. Но вот я купил себе ноут, на котором стоит Windows XP Home Edition. Скачал себе сайс с сайта .::Deomonix::.’a, поставил, ребут. Все работает круто. Но вот я перезагружаюсь и захожу снова. Все! Больше сайс не всплывает. Т.е скорей всего он всплывает, но его окна не видно. Система стоит, после второго CTRL-D отвисает. Я пробовал ставить все подходящие патчи к сайсу с reversing.kulichiki.com. Ни хрена! Буду очень благодарен за любую помощь по этому вопросу, за любые советы.
Да, можно пользоваться Olly, что собственно я уже полгода и делаю. Однако при работе с такими вещами как аспр, арма, да пусть тот же SVK, с олли чувствуешь себя иначе нежели с сайсом. И вы это знаете...
бара :: вывод тут один: XP Home Edition - г**но
на том же сайте были патчи к софтайсу - попробуй как последнее средство.

AnteC :: выход - Olly если не надо копаться в ring-0 :)

Mafia32 :: AnteC
Понимаешь, олли хорош, когда работаешь с уже распакованной\расшифрованной программой. Здесь на нас играет вся его «интеллектуальность». Например, распознавание ASCII\Unicode строк. Но когда имеешь дело с незнакомым для тебя протектором... Что бы ни говорили, но первым в этом деле должен идти софт-айс. А уж отработав протектор сайсом, можно взять олли и, когда уже знаешь код, написать скрипты под него и сделать то же самое, но олли.
бара
Я ж говорю, ставил все патчи. Ни хрена!

бара :: тогда качай 4.2.7 который - Driver Studio - там же лежит...

CCh :: AnteC пишет:
цитата:
вывод тут один: XP Home Edition - г**но
на том же сайте были патчи к софтайсу - попробуй как последнее средство.


у меня было тоже самое с айсом под XP Professional. Выходит все икспишки - г**но??
Пришлось от айса отказаться... неохота перегружаться из икспи в 98 все время...

бара :: мне тоже странно. Я предпочёл поставить на дополнительный раздел W98 (через Partition Magic 8.0.2) чем му*охаться с этими патчами и рисковать Винни.
А насчёт распаковки - Mario555 вон и последний аспр распаковывает в Olly и армадиллу без проблем. Надо только к олли всякие плагины и скрипты скачать и приловчиться к новому отладчику 10d версии Step 3 который (у меня уже такой скачан).

TOR :: Поставь ХР Profesional без сервиспаков.Полная установка ds2.7,пару раз перезагружаешься, сносишь ее ,потом ставишь айс с сайта .::Deomonix::.’a. Это мой метод установки. В чем загвоздка так и не дошли руки разобраться.

Mafia32 :: TOR
И че все работает?
бара
Где качал?

Mafia32 :: А я кстати посмотрел, у меня олли 1.09d step4...

SeDoYHg :: Mafia32 пишет:
цитата:
1.09d


Ну, ты даешь, даже у меня 1.10 b

Mafia32 :: Вот именно, что олли надо со скриптами. А просто исследовать протектор без всяких примочек достаточно проблематично. Мне вот на WASM MozgC говорил, что так и не смог под XP сайс сделать. Вот интересно, как он выкручивается...

Kot :: А ты ставил сайс в boot, manual or System? Ставь manual. Ставь видиокарту Universal video.
А вообще есть 3-три рицепта, если какой не работает то след. пункт, и по кругу.
1.Найти работающий айс
2.Поменять систему
3.Поменять Hardware

Попробуй вынь 2к. Прекрастная система!

бара :: Как ни порадоксально вам покажется, обновлять олли надо через ссылку в самом олли в абоуте.

Mafia32 :: Кот:

Ставил я именно бут.Universal Video. Что значит найти ’работающий’ айс? А я что делаю? Поменять hardware - что именно менять? А ось менять я не хочу.

TOR :: Mafia32
Работает.Режим загруки boot.Universal Video.

SIM :: Ставь в таком порядке:
_http://reversing.kulichki.../files/debug/si405wnt.rar
_http://reversing.kulichki...iles/debug/sinstallnt.exe
_http://reversing.kulichki...les/debug/osinfoxpsp1.rar

У меня Win XP SP1a Corp Rus. Сайс нормально работает (бывает что зависает, но очень редко).

Mafia32 :: А зафиг 4.05 ставить? Sinstallnt на него надо устанавливать что-ли? :-))

SIM :: Mafia32 пишет:
цитата:
А зафиг 4.05 ставить? Sinstallnt на него надо устанавливать что-ли? :-))


Нужно ставить обязательно поверх 4.05. Без него 4.27 запускается только на один сеанс.

Mafia32 :: OK.Попробую. Спасибо

Mafia32 :: Спасибо огромное всем принявшим участие в этой теме. Особенно тому, кто первым сказал, что ставить надо в бут! Я все время ставил на мануал, а на бут ни разу не пробовал. но теперь возникло еще 2 проблемы. 1-ая: в рабочем сайсе не двигается мышь, хотя я поставил,что мышь - USB и Microsoft IntelliMouse. 2-ая: у меня ноут и если закрыть «крышку», то комп переходит в ждущий режим. Так вот, после установки сайса комп из ждущего режима вывести нельзя... Буду очень благодарен за помощь.

Noble Ghost :: Вот и у меня сайс под NT глючит. Проблема такая же:
Mafia32 пишет:
цитата:
сайс не всплывает. Т.е скорей всего он всплывает, но его окна не видно. Система стоит, после второго CTRL-D отвисает.


Пробовал несколько разныз сайсов. Патчей. Единственное, что получилось сделать-- это увидеть BSOD
Win2000 SP4. Может кто поможет?

Styx :: Noble Ghost
У меня была такая проблема.
Поставил всё с Demonix-а и в настройках Load with Win (или что-то типа этого).

Styx :: Noble Ghost
У меня была такая проблема.
Поставил всё с Demonix-а и в настройках Load with Win (или что-то типа этого).

Gloomy :: Mafia32 пишет:
цитата:
в рабочем сайсе не двигается мышь


Это скорее всего из-за фирменных драйверов (если ты их вообще ставил), у меня в Айсе тоже мышь не работает, сильно глючит из-за фирменных дров. Поэтому ее приходится отлючать

Noble Ghost пишет:
цитата:
увидеть BSOD Win2000 SP4


Если ты в Вин2000 Айс запускаешь то возможно дело в сервис-паке или в каком-то спец-софте. У меня стоит Вин2000 (рус., копия с лицензии, без всяких сервис-паков и обновлений) - она отлично с Айсом дружит, все работает.

Mafia32 :: Спасибо всем! Я уж давно айс сделал, просто тему не закрыли. :-)

Noble Ghost :: Gloomy пишет:
цитата:
возможно дело в сервис-паке или в каком-то спец-софте.


Про это я читал на васме... Винду все равно EN хотел поставить, но как-то без сервиспаков хреново: иногда бсоды показывает, ингда просто глючит. Ладно, как поставлю EN, так проверю.

Gloomy :: Noble Ghost пишет:
цитата:
без сервиспаков хреново: иногда бсоды показывает


У меня ситуация с точностью до наоборот - как какой-нибудь сервис-пак поставлю глюки начинают переть аки гады из-под коряги. Рекомендую ставить именно английскую версию, по моим наблюдениям она стабильнее работает (была бы возможность себе бы только английскую версию купил). Кстати Вин2000 англ. бывает в двух вариантах: американская и европейская, в американской нет поддержки русского и все программы с русским интерфейсом будут исписаны кракозябрами.

Noble Ghost :: Gloomy пишет:
цитата:
Рекомендую ставить именно английскую версию


Специально полколледжа оббегал для того чтобы найти ее. Вроде бы европейская, тк хозяин диска под ней сидит.

-=atol=- :: to Mafia32:
1.сперва удаляешь файлы ntice.sys, siwsym.sys, siwvid.sys из Windows\System32\ если они есть
2.ставишь http://reversing.kulichki...iles/debug/sinstallnt.exe
3.применяешь atol.newmail.ru/Soft-Ice/SIWSYM.REG и atol.newmail.ru/Soft-Ice/SIWVID.REG

ну и все у меня работает на ура

Noble Ghost :: -=atol=- пишет:
цитата:
3.применяешь atol.newmail.ru/Soft-Ice/SIWSYM.REG и atol.newmail.ru/Soft-Ice/SIWVID.REG


404

-=atol=- :: а так:
atol.newmail.ru/Soft-Ice/siwsym.reg
atol.newmail.ru/Soft-Ice/siwvid.reg

Mafia32 :: -=atol=-

Ты читал мой предыдущий пост? Я все сделал уже. спасибо!

Noble Ghost :: Mafia32
Это теперь мой топик

Pitty :: http://cracktools.palm-uae.com/files/patchxp.zip c этим патчем все работает как часы.
Sice 4.05. Даже заработал 4.2.7., но правда до первой перезагрузки. В общем я ставлю 4.
05 распаковываю патч и перезагружаюсь. И полный , то есть простите .

Noble Ghost :: Pitty
Там же patch XP ...




Demode Есть желающие обсудить будующие проблемы? Здравствовать и радоваться!...



Demode Есть желающие обсудить будующие проблемы? Здравствовать и радоваться!

Сотворил статью с некоторыми рассуждениями о будующем и с чем Сообществу предстоит столкнуться в Исследованиях.
Небольшая цитата:
«И опять пресловутое «Но». . .
Представьте некий востребованный Объект размером ~1,5-2,0М кода (посмотрите объемы папок с Объектами на Ваших машинах: почти от «0», до «далее везде» МБ, усредненно - 15-20МБ) с разветвленной многоуровневой защитой а-ля CrackMe#4, который при прохождении очередного защитного уровня, вместо message’жа об ошибке «тактично» промолчит об этом, запомнет это и на 2-3-й запуск Объекта, или через какое-то время, или что-то там еще обрушит систему да так, что при следующем запуске оказывается, что системы-то и нет! Реализация займет не более нескольких сотен байт кода, т.е менее долей % объема кода! Настоящая иголка в стоге сена. И не реагирурющая на магнит - как же ее детектировать?! Заметьте, ЗАР (Защита с Активной Реакцией) не есть вирус в классическом понимании, это совершенно обычный код. Боюсь, что антивирусы здесь будут бессильны.
Желаете пример? У Вас NT-подобная ОС? Удалите NTdetect.exe и продолжайте спокойно работать, только не пытайтесь перезагружать систему а то придется доставать дистрибутивы и практиковаться в инсталяции ОС и прочего. Теперь восстановите NTdetect.exe из мусора и можете перевести дух!
Банально? Примитивно? Зато это сработает, а Сообщество должно задуматься. »

Большая часть статьи посвящена методологи.

Есть желание обсудить?

С уважением,...

Sh[AHTeam] :: Вот когда тебе позвонит легальный юзер, у которого из=за глюка в твоей защите ~ нулся биллинговый сервер, тогда ты и узнаешь что такое Разгневанный Юзер с Активной Реакцией :)))

dMNt :: похоже вопль неудачного программера после выхода кряка

Demode :: Sh[AHTeam] пишет:
цитата:
Вот когда тебе позвонит легальный юзер, у которого из=за глюка в твоей защите ~ нулся биллинговый сервер, тогда ты и узнаешь что такое Разгневанный Юзер с Активной Реакцией :)))


Пологаю, будет наоборот - ты с утречка сделаешь «Turn On» и будешь наблюдать пустой комп. . .
А разгневанные юзеры что-то не спешат «загрысть» MS из-за глюков - примеров в достатке .. .

[ChG]EliTe :: Demode пишет:
цитата:
А разгневанные юзеры что-то не спешат «загрысть» MS из-за глюков - примеров в достатке


Несовсем уловил мысль... Но все же...
Чет я не припомню глюков _легально_купленной_ винды (да и нелегально тоже) что бы она при падении всю инфу с собой забирала...

Demode :: [ChG]EliTe пишет:
цитата:
Несовсем уловил мысль... Но все же...
Чет я не припомню глюков _легально_купленной_ винды (да и нелегально тоже) что бы она при падении всю инфу с собой забирала...


Если падение системы в компании более 70 пользователей - пустяк, и, плс, не надо сразу про кривые руки. Тем более, что руки были не мои (но это не важно). Первоначальный предмет диспута как раз о том, не ждет ли это (падение с полной «очисткой» машины) впереди? почему? как это возможно? и как этому готовиться и противостоять?

И это не важно: коли, диспут пошел по-Жванецкому, те. перешел на личности, без проблем.

Ветку можно закрыть.

Если у кому-то из бывающих здесь эта тема интересна - пишите R091003@km.ru - обсудим!

Успехов всем!

[ChG]EliTe :: Что касаеться виндов на серверах это нада дождаться бара он любитель этой темы.. :)
Я больше nix увожаю... там все только от /dev/hands зависит ....

По теме: на описанные тобой меры увожающие себя конторы не пойдут т.к. сказал Sh[AHTeam] потом г0вна не оберешся от разгневанных юзверей... тем более что хорошую прогу все равно сломают... не сломают так по кредитке купят..... одну на всю россию :))))
Из этого мораль для фирм: Пиратства не избежать, а вот репутацию попортить себе можно в два счета..
Тем более еслиб захотел давно бы вредоносный код (кстати попадающий под 272 УК) в проги бы встраивали... Уж не думаешь ли ты что просто никто до этого еще не додумался

AlexZ CRaCker :: Да, прикольно... Вот случай вспомнил: исследую одну прогу, вижу РегНум сравнивается с кракозябрами. Cкопировал из Оли в блокнот. Слово «подарок». Ну я нашол свой РН, и забил. А щас уже итересно, что там могло получиться
Х/з наших разработчиков-одиночек. И в другую прогу (под Аспром) тоже прикололся, вбил это слово. - она ваще с «синим экраном смерти» при запуске вылетать стала.

ZX :: Demode
LOL
никто не купит прогу с деструктивной функцией, а если купит то только для того чтоб она покрушила данные и после этого подать в суд на производителя проги и содрать годовой бюджет фирмы.
Ты вообще не знаешь о чем говоришь? Если к проге не будет кряка то ее никто и не купит, наверно :)
Покупают проги не из-за того, что не могут найти к ним кряка, а из-за того, что не хотят нарушать закон(менталитет такой у некоторых) и хотят иметь у себя на компе честно зареганную версию и общатся с производителем проги на правах покупателя и предъявлять ему претензии ну и т.д.
Короче спрячь подальше свою статью...

Demode :: [ChG]EliTe пишет:
цитата:
По теме: на описанные тобой меры увожающие себя конторы не пойдут т.к. сказал Sh[AHTeam] потом г0вна не оберешся от разгневанных юзверей... тем более что хорошую прогу все равно сломают... не сломают так по кредитке купят..... одну на всю россию :))))
Из этого мораль для фирм: Пиратства не избежать, а вот репутацию попортить себе можно в два счета..


а кто вам сказал что это все ждет user’ов?!? нет, уважаемые, это ждет Сообщество !
пример: Crackme#4 - один из уровней защиты - адрес нужный процедуры. а вот другой адресок даже на уровне Исследования «уведет» в full down. Ваши действия ? ? ? ? ? И об этом тоже есть пару абзацев в статье.
И не путайте развлечения к crackme с бизнесом ! и О «репутации» - представь: ты курежишь банкомат. к тебе продходят люди в униформе и советуют не пораниться о разодранное железо? или дают советы как управиться с агрегатом? или у них другие намеренья?? Но при этом в обычной жизни банкомат может выдать тебе фальшивку или просто сглотнуть карточку. Что ты подумаешь о уважаемом банке??
К тому же, незадокументированные функции - вещь загадочная .. .

Demode :: ZX пишет:
цитата:
Покупают проги не из-за того, что не могут найти к ним кряка, а из-за того, что не хотят нарушать закон(менталитет такой у некоторых) и хотят иметь у себя на компе честно зареганную версию и общатся с производителем проги на правах покупателя и предъявлять ему претензии ну и т.д.


Полностью согласен!

деструкция не для user’ов, она против Сообщества!

SLV :: Demode , а где эту байду почитать можно?

Demode Re: SLV :: на размещение,често говоря, не расчитывал ..
мой ящик R091003@km.ru - сброшу.

ps. еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .
(маленькая шпилька- - )

Demode :: [ChG]EliTe пишет:
цитата:
Тем более еслиб захотел давно бы вредоносный код (кстати попадающий под 272 УК) в проги бы встраивали... Уж не думаешь ли ты что просто никто до этого еще не додумался


Ты почти, те. локально, прав. Наверно, додумались гораздо раньше.
Позволь вопрос: как часто или случалось ли вообще у тебя , что бы система уходила в ступор ? ты никогда не связывал это с результатами исследований (чужих)?

Sh[AHTeam] :: Demode
Чувак, тема обсуждалась еще во времена ФИДО. Я помню обкашливание подобных вопросов году этак в 96 :) И результатом подобных флеймов был, как обычно, нуль. Так никто такую деструктивную защиту и не создал, на моей памяти. Самая деструктивная защита, которую я видел, была в поделке «моноавтора», некоего Лялина, в проге «диагностика автомобилей». И там после многочисленных не очень хитрожопых проверок частенько вызывалась ExitWindowsEx, которая тупо шустро ребутала 98 винду. Результатом такой «защиты» стал повышенный интерес к ней, и был написан кейген. и более того, прога от рождения работала только под 9х виндой. После успешного лечения она запахала под 2000/ХР. Успешно закейгененная :)

Demode :: SLV пишет:
цитата:
Demode, а где эту байду почитать можно?


на размещение,често говоря, не расчитывал ..
мой ящик R091003@km.ru - сброшу.

ps. еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .
(маленькая шпилька- - )

Sh[AHTeam] :: Demode пишет:
цитата:
Пологаю, будет наоборот - ты с утречка сделаешь «Turn On» и будешь наблюдать пустой комп. . .


А по каким критериям ты отличишь злобного кракера от простого юзера с легально купленным отладчиком?

Demode :: Давайте остановимся!
Не стоит так уж сильно «цепляться» к деструкции, основная мысль была не об этом:
о явном недостатке работ медотологического уровня по фундаментальным проблемам.

Последний пример:
чем и как работать с PE-заголовком в случае использования структурных исключений?
(см. пример из моей статьи «Странный случай...» тогда повезло, а могло и НЕ повести.

я, к моему сожалению, к числу знающих не отношусь, а знать интересно.

Есть что сказать и не только про PE-заголовок - R091003@km.ru. Конструктив приветствуется!

Topic is close!

Demode :: Sh[AHTeam] пишет:
цитата:
А по каким критериям ты отличишь злобного кракера от простого юзера с легально купленным отладчиком?


юзер - анализирует, кракер - и анализирует и делает.
не очень представляю юзера что пробует узнать что программа делает если несколько изменить путь (к примеру ) регистрации. Пару раз «да» в начале отвечал?!?

Demode :: SLV

Если это твоя статья «Элементарное снятие CD CHECK» , могу отправить почтой. . .

Sh[AHTeam] :: Demode пишет:
цитата:
юзер - анализирует, кракер - и анализирует и делает


Логично. Подлянку кракеру подставить можно. Но мне кажется, что итоговым результатом будет рассылка кряка от разозлившегося крякера по всем крак-архивам. Даже если крякер и не собирался вначале релизить крак, то после слета системы автор проги будет в списке самых заклятых врагов. И кракер сделает все, чтобы автор больше не получил с проги ни копейки. Если он конечно не полный ламер :)

Demode :: Sh[AHTeam] пишет:
цитата:
Логично. Подлянку кракеру подставить можно. Но мне кажется, что итоговым результатом будет рассылка кряка от разозлившегося крякера по всем крак-архивам. Даже если крякер и не собирался вначале релизить крак, то после слета системы автор проги будет в списке самых заклятых врагов. И кракер сделает все, чтобы автор больше не получил с проги ни копейки. Если он конечно не полный ламер :)


И с этим согласен!
У тебя Солодовников в «друзьях» ?!??!

Цитата из статьи «И так, Сообщество должно быть готово поиграть в саперов без права на ошибку. Точнее, стоимость ошибки уже известна - полное восстановление локальной системы. Вот только когда это случится?? После чего??? И сколько участников Сообщества и сколько сторонних пользователей будут в зоне потенциальной опастности от действий активированных ЗАР????»

вопрос: сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??
То что тебя «раздразнили» - понятно..

Цитата» Пожалуй, старашилок уже достаточно.

И так, перед Сообществом стоит необходимость кардинально пересмотреть свое отношение к методологии и уделять больше внимания к фундаментальным проблемам.
Пример: Что многие знают о РЕ-заголовках кроме того, что РЕ нужно править при распаковке и восстановлении таблицы импорта?
Ответьте сами себе.»

еще цитата «И последний пример: блестящая, профессиональная статья «Исследование алгоритма работы упаковщика ASPack v1.08.03» (чье авторство - не знаю) может вызвать у неподготовленного читателя только зубную боль, тошноту и головокружение. НО именно на исследовании такого класса и уровня основывается возможность прочих персон относительно просто преодолевать баръер уровня распаковки!
Те. на основе фундаментальных работ базируются работы, посвященные более конкретным проблемам, а уж на них - работы остальных участников Сообщества по отдельным Объектам. Этакая классическая пирамида знаний.
Заключение.
Прочное и крепкое здание можно строить только на добротном фундаменте. Для Сообщества это означает уделение должного внимания именно методологии и фундументальным вопросам. Иначе Сообщество рискует из Сообщества единомышленников превратится в кружок по интересам эгоистов, обремененных манией величия.
А это уже не интересно. . . »

Чиркани мне на почту - пришлю статью об утилите PUFFER_v4.01
Удовольствие обещаю!
А ведь в ней (утилите) не все так прозрачно

KLAUS :: Demode

Прнишли мне на ящик полностью свою статью ну и если что статью об утилите PUFFER_v4.01
klaus#crazy.ru

AlexZ CRaCker :: Demode пишет:
цитата:
вопрос: сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??


Вроде есть виртуальные тачки...


P.S. Крэкера не обманешь, чё-нить придумают.

Sh[AHTeam] :: Demode пишет:
цитата:
У тебя Солодовников в «друзьях» ?!??!


А кто это такой ?
Demode пишет:
цитата:
сколько раз лично ты готов ставить систему после как в очередной раз «поскочил» «узкое место» ??


ЛИЧНО я после второго-третьего слета, когда до меня дойдет, что виноват автор защиты, поставлю вмварь или сделаю образ каким-нить Ghost-ом. И восстановление будет занимать 10 мин. И принципиально эта защита будет сломана и зарелизена, я буду готов потратить на это и месяц и два и три, даже если прога мне нафик не вперлась :) Действие равно противодействию.

Что такое обильно цитируемое «сообщество»? Масонский орден?
Я лично занимаюсь краком в основном из коммерческих соображений, хотя иногда и люблю поковырять какую-нить защитку для души или для друзей. И в основном я все делаю в одиночку, самостоятельно. За помощью обращаюсь в самых крайних случаях, когда захожу в тупик.
И если ты считаешь деструкцию фундаментом хорошей защиты, то эффект ты можешь получить прямо противоположный :)

Demode :: AlexZ CRaCker пишет:
цитата:
Вроде есть виртуальные тачки...
P.S. Крэкера не обманешь, чё-нить придумают.


Почитай статью 0-ring - меньше иллюзий будет на будующее. ..

AlexZ CRaCker Re: Demode :: Я вобще-то в курсе.
ЗЫ Ты сам представил, что сказал? Не все, надеюсь, такие помешаные.

Demode :: Sh[AHTeam]

Не цитируемое, а упоминаемое.
Злишься -? а ведь я в статье писал не о деструкции как методе защиты, а о методологии как средства меньше раз заходить в тупик. возможная деструкция - только пример,,

А кто это такой ? ASPack 2.11c -› Alexey Solodovnikov (к слову)

Я лично занимаюсь краком в основном из коммерческих соображений, хотя иногда и люблю поковырять какую-нить защитку для души или для друзей. И в основном я все делаю в одиночку, самостоятельно. За помощью обращаюсь в самых крайних случаях, когда захожу в тупик.
Колхоз - дело добровольное, а что ты здесь делаешь, одинокий волк? или все-таки член команды AHTeam??
Так вот, обладаешь знаниями, есть чем поделиться - делись. легче будет другим. нет - к чему этот диспут??
ну это ты и сам знаешь. ..

Sh[AHTeam] :: Demode пишет:
цитата:
Злишься -? а ведь я в статье писал не о деструкции как методе защиты, а о методологии как средства меньше раз заходить в тупик. возможная деструкция - только пример


Злиться? и не думал. С чего бы мне на тебя злиться. Вот если защита снесет у меня ОС, тогда да, буду зол как тысяча чертей на автора защиты.
Поясни, что такое фундаментальная методология. Наука о методах?
Есть изречение, приписываемое +ORC - «If it runs, it can be defeated».
Может, мы вообще о разных вещах говорим. Я просто встрял в разговор про деструкцию и высказал свое мнение что снесение ОС как метод противодействия крякеру не имеет перспектив.
Про Солодовникова я знаю конечно же, забыл смайлик поставить :)
Demode пишет:
цитата:
а что ты здесь делаешь, одинокий волк? или все-таки член команды AHTeam??


Член, член. К команде присоединился в прошлом году, с целью совместного зарабатывания денех. А сюда захожу убить время и развлечься :) ну мож подсказать иногда кому-нить чего-нить.

Demode :: Sh[AHTeam] пишет:
цитата:
ну мож подсказать иногда кому-нить чего-нить


если знаешь о PE-заголовке со структурными исключениями:
есть .exe с такими извратами. отладчики его не бурут, РЕ-редакторы - тоже.
Чем с ним работать и как? Что такое dos-заглушка, что в ней есть?
Как быть?

и самое главное: действительно говорим о разных вещях. так сложилось.
я писал о медотологии , а большенство «уцепилось» за деструкцию.
т.е востребованы работы уровня «Исследование алгоритма работы упаковщика ASPack v1.08.03»
но их МАЛО!

Demode :: Sh[AHTeam] пишет:
цитата:
ЛИЧНО я после второго-третьего слета, когда до меня дойдет, что виноват автор защиты, поставлю вмварь или сделаю образ каким-нить Ghost-ом. И восстановление будет занимать 10 мин. И принципиально эта защита будет сломана и зарелизена, я буду готов потратить на это и месяц и два и три, даже если прога мне нафик не вперлась :) Действие равно противодействию.


а если ты (пока дойтет) «удружишь» десятку знакомых??
а если система рухнет через неделю, через две после изысканий?
Вариантов могу предложить с дюжину.... Вот и будешь восстанавливаться методично и регулярно, а о друзьях подумал?!

«Попробуйте зашвырнуть комара - он не летит! Те. он летит и плюет на вас!» М.Жванецкий.
Крэкеры всегда «догоняющие» , а значит, что придумывать проще!

KLAUS :: Demode
THANKS всё получил!!!

Demode :: KLAUS

any time!
не забудь чиркануть впечатление...

ps. в заначке еще с десяток статей. . . .

Sh[AHTeam] :: Demode пишет:
цитата:
если знаешь о PE-заголовке со структурными исключениями:
есть .exe с такими извратами. отладчики его не бурут, РЕ-редакторы - тоже.
Чем с ним работать и как? Что такое dos-заглушка, что в ней есть?


Выложи куда-нить поглядеть, любопытно...
dos-заглушка, это та часть проги которая пишет «this program requires ms win» и есть варианты, когда в нее пишут полноценную прогу, которая дублирует по функциям основную и работает под всеми ОС (дос, винда, полумух).

Kerghan :: я тут всю эту хрень читать не стал, так что если это уже говорили, то... ничего уж тут не поделаешь

Demode
Такую защиту вирусом признают полюбому
Недословная цитата:«Самовольное изменение, удаление, ...» а по сему лучше не стоит злить органы... не половые конечно

Demode :: Sh[AHTeam]

это программа из моей статьи «Странный случай MVP Bridge»
там есть ссылка

Demode :: Kerghan

Дружище, дело в другом: невозможно отследить причино-следственную связь между крэкенгом и возможными последствиями, растянутыми во времени. . .
вот и будешь ты (потенциально) сидеть перед пустым компом и гадать с чего бы это ? какая программа ? кто и когда??
тебя full down,
а как это назвать - не важно . ..

Sh[AHTeam] :: Demode пишет:
цитата:
это программа из моей статьи «Странный случай MVP Bridge»
там есть ссылка


Мдя. Ты 16 битные проги видел вообще когда-нить? Естессно там никаким PE не пахнет :)
Вот потом и появляются термины про «PE-header со структурными исключениями».
Нормальная 16-битная прога, будет работать под вин 3.11, если ты такие помнишь. Это еще по инсталлятору было видно :)

Demode :: Sh[AHTeam]

термин «PE-header со структурными исключениями» введен KK в книге «Техника и Философия..... 2000»
он там рассматривает UniLink только не понятно как и чем работает ..
если знаешь - по-подробнее на почту, плс.

AlexZ CRaCker :: Demode
Чёт ты ЭкстримПрот изобретаешь. Тебе уже все сказали что от таких методов ничего хорошего ни для кого не будет.

Sh[AHTeam] :: Demode пишет:
цитата:
термин «PE-header со структурными исключениями» введен KK в книге «Техника и Философия..... 2000»


Не читал такой книги. Дело в том, екзешник этой проги вовсе не РЕ! А NE - обычный 16-битный екзешник, прекрасно грузится в иду. Понимаешь, бывают всякие форматы исполнимых файлов, и РЕ - частный случай. Например бывают *.com для ДОСа :) А эта прога написана и скомпилена в 16-битной версии. И PE-header к ней приплетать совершенно не нужно - не имеет он к ней никакого отношения вообще.
Грустно, если методологию защит с встроенной бомбой будут разрабатывать такие девелоперы. Извини, что перешел на личности, просто ностальгия накатила по тем временам, когда были модемы на 2400 и не было никакого инета. Приходилось мозгом думать :)

KLAUS :: Прочёл первую статью - мое мнение всё очень размыто, большого интереса она на меня не произвела. И конечно же я совсем не согласен «через какое-то время, или что-то там еще обрушит систему да так, что при следующем запуске оказывается, что системы-то и нет» - такую защиту будет ставить только полный шизифреник, и как уже говорилась сам же себя неприятностей и наживёт, после того как у 10 простых пользователей накроется система.
Demode - без обид, я лишь высказал своё мнение.

P.S.
Скачал прогу со второй статьи, щас буду глядеть....

Demode :: Я все понял,и так:
Вы (кто высказывается) упорно не хотите признать, что без методологических работ жизнь будет туда как труднее и опастнее... можно подумать, что все «асы» и в состоянии сделать что-нибуть похожее на LodrPE. можно поверить на слово ?!?!.
когда вы пробовали на «зуб» какую-нибудь прогу или crackme#4, кто-нибуть задумался что может получить «в ответ»?
Никто! Все так уверены и безмятежны?? ЗДРЯ!
да, я лично не смогу такое написать, но могу определить направление и алгоритм. и все же , кто-то будет первым и тогда уже будет поздно.
а что бы не было позно - нужны работы о фунтументальном,а не банальные «ствам бряк и вот вам, готово!»
нужно изучать работы «классиков», а их-то и МАЛО. Почему? а потому что не спрашиваем! И это и есть МЕДОТОЛОГИЯ.
вернее ее отсутствие.

Каждый делится своим опытом, но он базируется на чужом более фундаментальном опыте. я За его расширение, но это значит, что мастерам придется трудиться. не нам.... а все остальное, о чем был жаркий диспут - доведенный до предела пример.
И тут же «шизофреник» . . грустно . .
Хотя нашелся бы программер - с удовольствием бы с ним поговорил!

Давайте закончим,
порядком надоело. . .

Styx :: Дык а чё тут в реализации то сложного?
Любой среднененький програмер сможет забацать нефиговую гадость.

EGOiST[TSRh] :: ну вы завернули тут конечно...можно было по меньше терминологии..не думаю что многие поняли вабще о чем речь

з.ы. сори за офф

Demode :: EGOiST[TSRh]

Вы знаете, и у меня такой же осадок остался . . .
Пожалуй, пора заканчивать болтологию...

EGOiST[TSRh] :: кстати, у меня система слетает с переодичностью раз в 2 недели... может уже начали?

з.ы. офф?

Demode :: EGOiST[TSRh]

Предыдущие ораторы обычно говорили о шизофрении. . .

а про Вашу систему: Кто это знает? а вот задуматься о том как этому противостоять? почемут-о никто не хочет. . .

Методов предупреждения-то ( даже потенциального нету) , как и профилактики. .
Методологии фундаментальной нет. Вот и все.
Успехов!

EGOiST[TSRh] :: как это нечем противостоять...как это нет профилактики... щас все(достаточно) продуманные люди делают полный бекап системы..разве это не профилактика или противостояние?

бара :: ПРО ТЕМУ:
Причём тут реверсинг ? Пишите Касперу и тп товарищам. Защиты от дурака нет и не будет. Если дурак - надо не подпускать к компьютеру. Дурак убъёт любую систему посредством разведения тараканов и тп

SLV :: Вообще то reversing и cracking это разные вещи. Нельзя их путать...

WELL :: Demode пишет:
цитата:
еще одну, на мой взгляд интресную, статью тоже пока не разместили - прошло дней десять. .


А че за статья ?
Sh[AHTeam] Еще Stamp 0.81d пытается дельнуть файлы при неверной контрольной сумме ехе-шника. =)

А вообще в странах бывшего СССР люди привыкли к крякнутым прогам.
Если юзеры узнают, что прога может убить им ОСь, то они уже начнут плохо относится к автору.
А особо ярые поклонники могут и по голове настучать =)

Demode пишет:
цитата:
Дружище, дело в другом: невозможно отследить причино-следственную связь между крэкенгом и возможными последствиями, растянутыми во времени


Если начнут вплотную прогу копать, то всё найдут...

И вообще добавлять в прогу деструктивный код - не клиентоориентированный подход =)

KLAUS :: Да что тут думать, когда-то было ново проверка CRC, щас этим уже никогог не удивишь, Протекторы всё защищенней и защищенней идут и что - не останавливает же от взлома, так и тут появится новая технология появятся метеды её обхода!

SLV :: KLAUS пишет:
цитата:
Протекторы всё защищенней и защищенней


А крекеры всё умнее и умнее

KLAUS :: Ну от этого никуда не дется!

[ChG]EliTe :: Demode
Конечно могу ошибаться но у тебя болше филосовский подход к вопросу нежели практический... имхо..

MozgC [TSRh] :: Я считаю что это гон с включением деструктивных функций.




Макс помогите крякнуть прогу(не webmoney) помогите взломать прогу myproxy (...



Макс помогите крякнуть прогу(не webmoney) помогите взломать прогу myproxy ( http://www.strowd.com/download/11905/myproxy.exe )
или мож кто-то её уже релизил?
ZX :: Макс пишет:
цитата:
не webmoney


Не может быть

Макс :: ZX
УРАААА!Я на них забил

Noble Ghost :: Макс пишет:
цитата:
не webmoney


Поздравляю! Только не надо говорить помогите. Задавай лучше конкретные вопросы.

бара :: Парень который раз предлагает вам что-то сломать. Хватит. Пусть сам учится ломать... Или на бабки его пора ставить

Макс :: бара
ну не все же такие умные как ты, есть и безмозглые , как я

ZX :: Макс
Если скажешь какие там ограничения на триале, может и возьмусь

WELL :: бара пишет:
цитата:
на бабки его пора ставить


На webmoney =)

Макс :: WELL
а лучше на его креки:))))))))))))))))))))))))))))))))

Макс :: ZX
там 30 дней ограничение

Mafia32 :: Макс

Там аспр! Я взял, щас пробую распаковать. Кто может подсказать. Вот такая проблема:
после помещения в стек SUPER EAX переходим вот сюда:

004D19E7 33C0 XOR EAX,EAX
004D19E9 55 PUSH EBP
004D19EA 68 091A4D00 PUSH MyProxy.004D1A09
004D19EF 64:FF30 PUSH DWORD PTR FS:[EAX]
004D19F2 64:8920 MOV DWORD PTR FS:[EAX],ESP
004D19F5 8B1D C84A4D00 MOV EBX,DWORD PTR DS:[4D4AC8] ; MyProxy.004D5F8C
004D19FB 8B1B MOV EBX,DWORD PTR DS:[EBX]
004D19FD FFD3 CALL EBX
004D19FF 33C0 XOR EAX,EAX
004D1A01 5A POP EDX
004D1A02 59 POP ECX
004D1A03 59 POP ECX
004D1A04 64:8910 MOV DWORD PTR FS:[EAX],EDX
004D1A07 EB 0A JMP SHORT MyProxy.004D1A13
004D1A09 ^E9 721AF3FF JMP MyProxy.00403480
004D1A0E E8 111DF3FF CALL MyProxy.00403724
004D1A13 5F POP EDI
004D1A14 5E POP ESI
004D1A15 5B POP EBX
004D1A16 E8 8D20F3FF CALL MyProxy.00403AA8
004D1A1B 90 NOP

И где здесь OEP? Вообще, что делать здесь?

Макс :: Mafia32
ну вот поэтому я и спросил,не е..у где ОЕР ,мож ты поймёшь

RideX :: Месяц - два назад OEP был такой (19 stolen):

004B4DB0: 55 push ebp ;OEP
004B4DB1: 8BEC mov ebp,esp
004B4DB3: 83C4F0 add esp,-010
004B4DB6: 53 push ebx
004B4DB7: 56 push esi
004B4DB8: 57 push edi
004B4DB9: 33C0 xor eax,eax
004B4DBB: 8945F0 mov dword ptr ss:[ebp-10],eax
004B4DBE: B8B84A4B00 mov eax,004B4AB8 ;Super EAX
004B4DC3: E8FC1EF5FF call 00406CC4 ;_InitExe

DOLTON :: У меня OEP такой: 405a14.
Только что-то он мне не нравится..

Макс :: её наверно надо как и винрар ломать,убирать НАГ и анлимит триал

Mafia32 :: Макс

Распакуй сначала.

Макс :: Mafia32
а ты как распаковал????

RideX :: Mafia32 пишет:
цитата:
И где здесь OEP?


Вот он:
004D19D4: 55 push ebp
004D19D5: 8BEC mov ebp,esp
004D19D7: 83C4F4 add esp,-0C
004D19DA: 53 push ebx
004D19DB: 56 push esi
004D19DC: 57 push edi
004D19DD: B894164D00 mov eax,4D1694
004D19E2: E82D41F3FF call 405B14

IAT: 4D817C, Length 7A0

Mafia32 :: RideX

Как искал? Доходил до того места, которое я указал?

ZX :: Завтра Well статью будет писать по инлайн патчу для этой проги.

Макс :: ZX
это радует :))))))

Madness :: Помнится там куски кода были покриптованные, а ключиков то даже самых захудалых нету :(

ZX :: Madness
самое интересное что работает ;)

Макс :: Madness
да там по ходу в инете серийник проверяется

ZX :: Все работает и ничего не просит.

Макс :: ZX
пропатчил???

WELL :: ZX пишет:
цитата:
Завтра Well статью будет писать по инлайн патчу для этой проги.


Если не передумаем =)

ZX :: WELL
:)

KLAUS :: ZX

Здравенько забодяжил....

Макс :: WELL
не передумай пожалуйста

-= ALEX =- :: WELL не надо статей. кому надо сам разбиреться, это не очень уж и легко... а так быстро прикроют эту лавочку... (эт я про солода)

Макс :: -= ALEX =-
ты думаешь разработчики здесь вааще были?вряд ли

-= ALEX =- :: Макс конечно были, да и не раз...

WELL :: Макс пишет:
цитата:
ты думаешь разработчики здесь вааще были?вряд ли


Ну когда я про Dr.Web написал, то через пару дней вышла новая аерсия, где были пофиксены косяки.

KLAUS :: Еслиб разрабодчики не заходили на подобные саты/фрпумы никогда бы нет вышел asprot 1.30-31 и тому подобные вещи!

RideX :: KLAUS пишет:
цитата:
никогда бы нет вышел asprot 1.30-31


Вышел бы, вышел и ещё выйдет, это его работа.

Мне кажется, наивно полагать, что Солод. до того глуп, что нуждается в этом туторе. Можно просто скачать патч и посмотреть затем под отладчиком что там и как :) Но уже совершенно другой вопрос, что таких патчей единицы, а когда начнут патчить все кому не лень, он что-нибудь придумает ;) Тогда получается, делать такие патчи нельзя, чтобы он ничего не придумывал :)))

SIM :: 2 Макс
Давай мыло, я тебе патч кину

k0lubok :: SIM
кинь и мне тоже пожалуйста k0lubok (cat) yandex.ru

WELL :: RideX пишет:
цитата:
Тогда получается, делать такие патчи нельзя, чтобы он ничего не придумывал :)))


Нельзя ломать проги, а то авторы их защищать будут =)

ZX :: WELL
:)

WELL :: ZX
=)

KLAUS :: RideX пишет:
цитата:
Вышел бы, вышел и ещё выйдет, это его работа.


ВОт поэтому он и работает, т.к. знает что ему протектор взломали.....а каким макаром он это узнает....лазиет по подобным фичам!

SIM :: 2 k0lubok
Кину тока МАКСу

RideX :: KLAUS
Если бы и не ломали, он бы всё равно обновлялся, какой пользователь стал бы покупать «мёртвый» проект? Маркетинг, однако. Freeware тоже обновляются, хотя их никто и не ломает :)

ZX, WELL
:)
Во, я про тоже: «Волков бояться - в лес не ходить.», потому и ломаем, всеми доступными методами :)

k0lubok :: SIM
Жадина, что тебе стоит

RideX :: KLAUS
Ещё, я где-то здесь уже писал, проги защищённые последними версиями аспра вылетают с ошибкой на WindowsXP SP2 RC1, так что в аспре, возможно, что-то будет опять изменяться, если, конечно, это не какой-то баг этого сервис пака.

SIM :: k0lubok
Был бы у тебя ранг побольше... Может ты солод и или разаработчик..

Perch :: SIM пишет:

цитата:
k0lubok
Был бы у тебя ранг побольше... Может ты солод и или разаработчик..


=)))
Я с KLAUS ’ом согласен.

Макс :: SIM

да не сенькью уже пропатчил!

k0lubok :: SIM
А что у солода маленький ранг?

Mafia32 :: k0lubok

:-))) Чувак, ты знаешь вообще кто такой Солод?

DillerXX :: k0lubok - это:
1) Солод прикалывается :)
2) Чувак типа МАКСа, который зашёл случайно на этот форум в поисках какого-то редкого крека (как и я кстати!), и ему вдруг понадобилась именно эта прога =)
3) Ему нечего делать :))))
4) Мысль заканчивается
5) Мысль о том, что кто-то продолжит мою закончившуюся мыль... :)

k0lubok :: Mafia32
:) Знаю, но кряк все таки хочется

SLV :: У меня вообще эта не WM не запускается :(

KLAUS :: RideX пишет:
цитата:
Если бы и не ломали, он бы всё равно обновлялся


Если только физуально, а так можно было считать что тип создал не ломаемый протектор, который нет смысла улучшать , т.к улучшение может повлечь за собой появление дыры в защите!

Макс :: SLV
да я понял уже что это полная КУЙНЯ, поэтому решил учиться крекингу

DillerXX :: Макс

Браво! ;)

Ara :: Макс
А если учиться еще и хакингу, можно и WM хакнуть как-нибудь

ZX :: Ara пишет:
цитата:
А если учиться еще и хакингу...


Еще один...

SIM :: Всем кто крякнул сабж
Там есть опция «пароль администратора», так вот он сохраняется но никак себя не проявляет. Кто-нибудь разобрался с этим?

Ara Re: ZX :: Ты что, реально подумал, что я хакингу собрался обучаться???
Просто предложил...




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




RottingCorpse Что за пакер MoleBox...? САБЖ



RottingCorpse Что за пакер MoleBox...? САБЖ
MozgC [TSRh] :: Ну такой вот протектор. The DarkStranger его распаковывал, я сам не смотрел. Он говорит что навешанный на прогу протектор распаковать легко, а с навешанным MoleBox’ом на сам MoleBox =) он провозился кажется весь день. В общем жди его и спрашивай или могу дать его ICQ.

nice :: RottingCorpse
Ситуация такая, программы защищенные MoleBox’om распаковываются за 5 минут, только трейс нельзя в ImpRec’e делать.

А сам MoleBox (как правильно заметил MozgC [TSRh] ) снимается оочень туго :(
Из-за длл им используемых в количестве 2 штук. Если их проигнорировать, то ехе не рассшифруется полностью.

RottingCorpse :: да уже все намана... инлайн патч все решил :)

bi0w0rM :: на самом молебоксе ведь аспр еще

RottingCorpse :: ?????????????????????????

RottingCorpse :: bioworm вернулся!!!!!!!!! ты что хотел сказать по поводу аспра

Mario555 :: MozgC [TSRh] пишет:
цитата:
навешанный на прогу протектор распаковать легко


Это смотря как и на какую прогу навешанный (напр. если dll в BOX запаковали).

nice пишет:
цитата:
Из-за длл им используемых в количестве 2 штук. Если их проигнорировать, то ехе не рассшифруется полностью.


А при чём тут вообще расшифровка exe ? Она не зависима от dll’ек.

MozgC [TSRh] пишет:
цитата:
The DarkStranger


Что-то давно его на форуме не видно... :(

RottingCorpse пишет:
цитата:
инлайн патч все решил :)


Угу, с этим разработчики molebox лоханулись... У них переход к OEP никак не пошифрован и к тому же находится строчек на 20 над EP :)

RottingCorpse пишет:
цитата:
ты что хотел сказать по поводу аспра


В molebox.exe двойная запаковка - аспр+molebox.

nice :: Mario555
Ну какже если тутор напишу увидишь, у меня даже записаны адреса где то были.
Там идет так:
Call func
Выходим из ф-ии, а код соовсем другой, не иначе как зашифрованы.
Если длл отрубить(что делает стриппер), то получается после этого call’a мусор

Mario555 :: nice пишет:
цитата:
Если длл отрубить(что делает стриппер), то получается после этого call’a мусор


При чём тут стриппер ? Там же кроме аспра ещё и сам molebox ! Когда ты на OEP аспра (aka EP molebox’a) dll ещё нет, они расшифровываются в molebox. Дампить всё это нужно с OEP molebox’a.

PS я его распаковал (в результате в папке 3 файла: сам exe и 2 *.### ), но распакованный не протектит проги.




Mario555 Aspr 1



Mario555 Aspr 1_3 «lite» tutorial Смотрю тут все стали туторы выкладывать по аспру...
Вот и я тоже кой-чего написал:
http://www.mario555.pisem.net/Aspr1_3_tutorial.exe

Поправьте, если там чего не так написано...
Только сильно не пинайте :)
ZX :: Лучше б про UltraProtect что-нибудь сказанул, все чаще попадаются с этим протектором проги.

ZX :: Хороший тутор, просто и понятно все изложено, молодец - постарался на славу!

KLAUS :: Хе, здраво...

Mario555 :: А кто-нить 1.3 со всеми опциями защиты распаковывал ?




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

-----------------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret
---------------------

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




diezel XtremeProtector Может у кого есть тутор по распаковке XtremeProtector,...



diezel XtremeProtector Может у кого есть тутор по распаковке XtremeProtector, или кто нить видел статьи.
И вообще как распаковать эту хрень в ручную.
ПОМОГИТЕ PLS!!!!!!
MozgC [TSRh] :: Ни у каво нэту =)

XanderDBB :: ну здрасте, а как же вы тогда его распаковываете?

MoonShiner :: Мы пока не настолько рехнулись:)

ilya :: MoonShiner пишет:
цитата:
Мы пока не настолько рехнулись


правда его нельзя распаковать???

MozgC [TSRh] :: XanderDBB пишет:
цитата:
ну здрасте, а как же вы тогда его распаковываете?


Мы никак его не распаковываем =) Во всяком случае я и все кого я знаю =)

GL#0M :: Это точно! Полный ~ ец!

.::D.e.M.o.N.i.X::. :: ilya пишет:
цитата:
правда его нельзя распаковать???


Его можно распаковать. Я все на человека выйти не могу, который его победил (хотя он не единственный), но как только выловлю попрошу тутор написать.

-= ALEX =- :: Я тоже одного человека знаю, который сказал мне, что 1.6 распаковывал...

WELL :: Пока видимо всё на уровне слухов...

ilya :: и с этого дня все разработчики ПО кинулись паковать свои проги XtremeProtector

MoonShiner :: Я не думаю, что он долго просуществует... Все это разрастание кода, тормоза при загрузке, неустойчивость работы (с какого то перепугу может нормальную чаку в ребут кинуть)... Слишком он «тяжелый»...

WELL :: MoonShiner пишет:
цитата:
Слишком он «тяжелый»...


Видать потому и экстрим называется. Для программистов-экстремалов

V0ldemAr :: Это точно что полный ПЕ, щас скачал новую версию сабжа так он ваще вылетает когда
я нажымаю на кнопку Протект, думал можен настройки, нет это х..

WELL :: «Лучше перебздеть, чем недобздеть.»
Видать так рассуждал автор этого протектора.

MozgC [TSRh] :: Протектор конечно слишком грузный и ОЧЕНЬ НЕСТАБИЛЬНЫЙ. Невинным людям постоянно перезагружает компьютер....

WELL :: Короче не юзероориентированный подход

Noble Ghost :: Похоже, что надёжная защита и надёжная работа -- вещи несочетаемые.

Telex :: Интересно, а кто автор этого протектора?
Что-то на сайте ни единого упоминания...
Может здесь, рядом? :)

.::D.e.M.o.N.i.X::. :: Telex пишет:
цитата:
Может здесь, рядом? :)


Макароники - насколько я знаю...

.::D.e.M.o.N.i.X::. :: MozgC [TSRh] пишет:
цитата:
Протектор конечно слишком грузный и ОЧЕНЬ НЕСТАБИЛЬНЫЙ. Невинным людям постоянно перезагружает компьютер....


С какой стороны смотреть - я когда на своей тачке винт форматнул и винду переставил, протектор очень даже стабильно работал и не ребутил ничего, но когда я прог всяких понаставил (включая и исследовательского характера) - то тогда начинаются выпендрежи.

WELL :: .::D.e.M.o.N.i.X::.
В смысле итальянцы что ли?

Telex :: WELL
Ну а кто-же ещё может быть «макаронниками»...
.::D.e.M.o.N.i.X::.
А тебе такое написать религия не позволяет?

EGOiST[TSRh] :: Noble Ghost пишет:
цитата:
Похоже, что надёжная защита и надёжная работа -- вещи несочетаемые.


ну не скажи..например StarForce довольно стабильный..

Bad_guy :: .::D.e.M.o.N.i.X::. пишет:
цитата:
С какой стороны смотреть - я когда на своей тачке винт форматнул и винду переставил, протектор очень даже стабильно работал и не ребутил ничего, но когда я прог всяких понаставил (включая и исследовательского характера) - то тогда начинаются выпендрежи.


Что-то по характеру очень на винду похоже... не защищена ли она этим протектором ?

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
С какой стороны смотреть


С какой стороны не смотри если протектор перезагружает ни с фига комп - то это нестабильность.

.::D.e.M.o.N.i.X::. :: Telex
Не-е не позволяет




XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!...



XanderDBB ручная восстановка таблицы импорта расскажите пож. вкратце о сабже!
понимаю, что есть ImpREC, но бывает, что он некоторое не узнает. в аспре конечно можно угадать в большинстве случаев, но все равно
ZX :: Эт щас тебе всего много наговорят, а лучше всего использовать инструменты(отладчик, дизассемблер) и самому исследовать прогу, что из чего берется - получишь незабываемые впечатления и научишься не задавать подобные вопросы.


P.S.
Я не пытаюсь обидеть, а говорю дело.

WELL :: XanderDBB
Смотришь на адреса нераспознаных функций в ImpRec’e ставишь бряки, трэйсишь и узнаешь какие апи-шки юзаются. Вроде так.

Mario555 :: WELL пишет:
цитата:
трэйсишь и узнаешь какие апи-шки юзаются


Обычно от трейса апи протектора толку мало. Там лучше просто смотреть на принимаемые/возвращаемые значения, и на расположние функции в Iat.

KLAUS :: Прочитал бы про ручную распаковку Аспротект’а там это описанно!




ilya unpack Registry Medic 2.95 пробую через olly+svkp



ilya unpack Registry Medic 2.95 пробую через olly+svkp_13x(olly script),но постоянно выбрасывается ошибка скрипта.кто нить сталкивался с этой проблемой??? мож чё не так делаю
WELL :: ilya
А чем запакована?

ilya :: SVKP 1.3

Kerghan :: WELL пишет:
цитата:
А чем запакована?


ilya пишет:
цитата:
svkp_13x


2WELL было бы странно пытаться распаковать upx с помощью этого скрипта
2ilya прежде чем работать со скриптом, лучше сперва распаковать svkp руками тем более что ничего страшного там нет

Mario555 :: Kerghan пишет:
цитата:
svkp руками тем более что ничего страшного там нет


В обычной версии это действительно так (я распаковывал и Registry Medic и ещё пару прог). Но вот с Tweak-XP Pro 3 хрень какая-то :) И с самим svkp.exe тоже (хотя может это потому, что у меня в нём триал закончился, а наг вызывается из кода протектора).

Mario555 :: Да кста проги после svkp легко ломаются, т.к. там используется что-то вроде апи протектора для проверки имени юзера.

ilya :: Kerghan пишет:
цитата:
лучше сперва распаковать svkp руками


да я бы с радостью(тем более что меня в последнее время стало прибивать по распаковке вручную)но у меня мало информации по распаковке данного пакера. если не трудно подкиньте кто нить мыслю (где зациклить , где оеп).я не настолько силён чтобы в одиночку догнать как распаковать




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить...



sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить слыхал про енто

http://bgcorp.narod.ru/product.htm
Gloomy :: Никогда о таком не слышал

MC707 :: Gloomy
Я тоже Бэд_Гая не знаю :)

SeDoYHg :: ›››Stealth PE «убивает» инструменты взломщика при запуске на компьютере взломщика
Чтобы это значило? А то я боюсь себе его закачать для испытаний

MC707 :: SeDoYHg
Правильно, бойся!

-= ALEX =- :: SeDoYHg ты видать в танке... короче тулзу эту написал Bad_Guy :) Действительно, после запуска этой проги у тебя не будут работать потом, если я не ошибаюсь, PEiD и LordPE, у меня по-моему только они не работали...

MaZaFaKeR :: -= ALEX =-, точно в танке...

bUg. :: В БТР’е

odIsZaPc :: на камазе :)

Kerghan :: хе-хе
названия секий заценить не забудь

SeDoYHg :: -= ALEX =-
MaZaFaKeR
bUg.
odIsZaPc

Да знаю чьих рук это дело =). Мне просто было интересно, что и каким способом убивает этот протектор.

Я не в танке, я на К-701 (кто не знает это самый мощный трактор СССР, да и в мире тоже). Поэтому со мной не шутить, задовлю всех

MaZaFaKeR :: SeDoYHg пишет:
цитата:
Мне просто было интересно, что и каким способом убивает этот протектор.


Да, это действительно интересно...

MC707 :: SeDoYHg пишет:
цитата:
что и каким способом убивает этот протектор


Руки, мозгами

KLAUS :: Но, проги убиваются, но когда их вновь проSETUP всё тип тип!!

SeDoYHg :: Судя по ответам, кроме -= ALEX =- и Bad_Guy, этот протектор не кому не интересен .

KLAUS :: Да не, кстати угарная вещица....ещёб денежку, да и исх....вообще здраво бы было!!

ViNCE [AHT] :: Да это больше пакер чем протектор... там шифрация простым xor’ом...

Bad_guy :: ViNCE [AHT] пишет:
цитата:
Да это больше пакер чем протектор


Вообще то я называю это скрэмблером (для себя).

ViNCE [AHT] :: to Bad_Guy: Не обижайся... Скрэмблер, так скрэмблер :)




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал
----------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var addr

gpa «Process32First»,«kernel32.dll»
mov addr,$RESULT
bphws addr,«x»
eob lab1
eoe lab2
run

lab1:
var k
add k,1
cmp k,3
je lab11
esto

lab11:
bp [esp]
bprm cbase, csize
eob lab12
run
lab12:
sti
sti
mov [eip],000228e9
eob final
eoe final
run

lab2:
esto

final:
var l
mov l,cbase
add l,csize
log l
cmp eip,l
jb end
esto

end:
cmt eip, «Tipa tempOEP tuta»
bpmc
ret
----------
блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!




EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал...



EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал дебажить и когда трейсишь по F8 она мне листинг через 3 строки вверх подправляет, это както можно отрубить?
RideX :: Ещё хочу добавить вопрос:
Можно ли в Olly дебажить файл, у которого есть секция отладки (.debug), если да, то как? Пример такого файла, AlfaClock 1.60, можно взять здесь: http://www.alfasoftweb.com/download/

MC707 :: EGOiST[TSRh]
Я тебя недопонял. Как это поравляет? Обычно она так делает, когда ты протектор трейсишь какой-нить. Так это и в айсе так же будет...

EGOiST[TSRh] :: ну она курсор все время поднимает на первею строку(2 прйдешь, на 3ю понимет обратно), и причем не тока в протекторе..а просто в нормальном коде..и при этом иногда ругается что типа на следующей инструкции совсем даже не код

MC707 :: RideX
И тебя я тож недопонял... Как обычно... ОЕР = 40640C

Mario555 Re: MC707 :: EGOiST[TSRh] пишет:
цитата:
строки вверх подправляет, это както можно отрубить?


А никак :( меня эта хрень тоже бесит...

MC707 пишет:
цитата:
Как обычно... ОЕР = 40640C


Не смеши... В AlfaClock 1.60 сидит аспр 1.3 «full», там как такового OEP нету, всё до главного call размазано по протектору. Это твоё 40640C всего лишь вызов апи. Если ты распаковал эту хрень, то расскажи plz, как это сделал. С импортом и таблицей «call eax» я разобрался, спёртый код тоже можно попробовать восстановить, но вот что делать с мусором который по коду инита разбросан (тот что исключения вызывает aka SEH) и с четырьмя call «protector» ?

MC707 :: EGOiST[TSRh]
Хе. Я конечно боюсь предположить, что это цикл... Хотя вряд ли от тебя такого ожидать можно :)
Лучше дай файл или линк, я посмотрю.

EGOiST[TSRh] :: не не цикл... ну смотри.. ставишь бряк гденить..начинаешь трейсить.. жмешь 2 раза F8, на 3й она какбы скролит листинг кода на 3 строки вниз т.е. какбы курсор поднимается.. и это в любой проге

MC707 :: EGOiST[TSRh]
Нда... Я больше ничего не могу предположить кроме скролла или глюка.
Ты когда бряк ставишь рвется она внизу экрана? Если да, то то она автоматом скроллит код вверх.
Иначе глюк имхо.

EGOiST[TSRh] :: нее, рвется какраз вверху..:D гмм а какая последняя версия то..может внатуре глюк

MC707 :: последняя - 1.10 step 3 (c)
хотя я работал на всех 3х a,b,c на WinXP & Win98SE. Все было ок.
Хотя step 3 на ХР еще не успел потестить

MC707 :: А вообще давай так - я те свой ollydbg.ini могу заслать - с ним проверишь. Может в настройках чего-то не то...

MC707 :: Mario555 пишет:
цитата:
А никак :( меня эта хрень тоже бесит...


Чего-то я не понимаю о чем вы... Просто видимо это от того, что айс я не запускал уже месяцев 5

Mario555
Я уж понял, что это 1.3.
Сам пока не распаковывал. Вечером попытаюсь.
А «ОЕР» я написал для того, чтоб показать что дебажится она также как и остальные.
Просто другой вопрос, как ее распаковать.

RideX :: MC707 пишет:
цитата:
чтоб показать что дебажится она также как и остальные


В SIce не даёт бряки ставить, вылетает с ошибкой, вот решил попробовать Olly, непонятно как пройти до OEP. Почитал туторы по Olly, но здесь что-то так не получается. Я подумал что это из-за секции JCLDEBUG (volodya в первой части статьи упоминал, что секция отладки может как-то мешать, но точно не знаю как).

Mario555
Значит это и есть аспр 1.3 и всё из-за него? Я первый раз такое встретил.

P.S. AsprDebugger и Stripper тоже отдыхают...

MC707 :: Надо будет его стриппером 2.11 попытать

WELL :: MC707 пишет:
цитата:
Надо будет его стриппером 2.11 попытать


А он уже есть для скачивания?

RideX :: WELL пишет:
цитата:
А он уже есть для скачивания?


Пока нет, но этот файл тоже не берёт :(

WELL :: Значит будем ждать следующую версию

EGOiST[TSRh] :: короче..поставил старую тоже самое.. НО заметил одну фичу..это проичходит только если юзать бряки... если просто трейсить с самого начала, то все ок..

Mario555 :: WELL пишет:
цитата:
Значит будем ждать следующую версию


Халявщики... :)

Mario555 :: По поводу 1.3.
Мусор разбросаный по интиту - это бывшие jmp’ы. При прохождении этого мусора срабатывает обработчик исключений, который сравнивает адрес где произошло данное исключение с адресами в таблице:
.............
00E79D98 FF 8E 01 00 2C 48 7C 73 яЋ.,H¦s
00E79DA0 52 B9 00 00 2C 48 7C 76 R№..,H¦v
.............
команда была тут - 00418EFF FFBB ??? ; Unknown command
когда адрес найден, то берут соответствующую ему циферку (2C 48 7C 73) и что-то с ней делают - а именно высчитывают определённые байты и записывают их в стек, там и будет выполнен jmp, например так:

0012FAEC -0F84 E2932E00 JE AlfaCloc. 00418ED4
0012FAF2 68 018F4100 PUSH 00418F01
0012FAF7 C3 RETN

А место где произошло исключение выглядит так:

00418ED4 MOV EDX,EBX ; сюда выполнится jmp
00418ED6 MOV EAX,DWORD PTR DS:[4EA860]
00418EDB CALL AlfaCloc.00418ADC
00418EE0 CMP EBX,DWORD PTR DS:[4170F4]
00418EE6 JE SHORT AlfaCloc.00418F01
00418EE8 MOV EAX,EBX
00418EEA CALL AlfaCloc.004033D8
00418EEF MOV EBX,EAX
00418EF1 MOV EDX,EBX
00418EF3 MOV EAX,DWORD PTR DS:[4EA860]
00418EF8 CALL AlfaCloc.00418AF4
00418EFD TEST AL,AL
00418EFF ??? ; Unknown command == тута ошибка :)
00418F01 XOR EAX,EAX ; сюда попадём, если не выполнится jmp

Вообщем надо разобраться что означают цифры типа «2C 48 7C 73», и тогда можно будет попробовать вернуть jmp’ы на место.

PS армадилу никому не поминает ?! :))))))

PPS Упс... оказывается там не только jmp’ы крадутся, но ещё и call’ы... выполняются они так
0012FAEC 68 9A8F4100 PUSH 418F9A ; адрес куда вернёмся после выполнения
0012FAF1 68 388B4100 PUSH 418B38 ; а сюда call
0012FAF6 C3 RETN

ZX :: Mario555
А на счет импорта 1.3 ничего не желаешь сказануть?

Mario555 :: ZX пишет:
цитата:
А на счет импорта 1.3 ничего не желаешь сказануть?


Дык в моём туторе по 1.3 «lite» про импорт всё расписано, а в «full» импорт устроен также, как и в «lite». Кста ссылку я уже давал... и ты вроде этот тутор читал...

Mario555 пишет:
цитата:
Вообщем надо разобраться что означают цифры типа «2C 48 7C 73»


Похоже на то, что «2C 48 7C 73» и т.п. это просто пошифрованные смещения от начала другой таблицы. А вот в этой другой таблице уже более интересные вещи:

............
00E7D31C 02 04 02 59 CA E8 00 00 YКи..
............

02 - тип эмулируемого действия (jmp/call/ещё что-то, похожее на безусловный jmp), соответственно бывает три значения.
04 - тип jmp’a, тоесть 04h+80h=84h - je и т.п. (80h - const)
02 - длина спёртой команды (исп. для расчёта адреса на который перейдёт прога при не выполнении jmp или выходе из call). Бывает ессно 02, 05, 06.
59 - фиг знает...
CA E8 00 00 - адрес (без ImageBase), куда направлен jmp/call

ZX :: Mario555
Я взял ту же прогу, что и в туторе, сейчас только и начал ковырять. Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.

Mario555 :: ZX пишет:
цитата:
Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.


Ага, щас... Ессно нужно не первое срабатывание бряка... Вначале «простым копированием из памяти» идёт запись «заготовок», тоесть так
00406710 FF 15 C1 FA 51 B1 8B C0 FF 15 F7 50 C2 BE 8B C0 яБъQ±‹АячPВѕ‹А
А потом уже туда будут писаться правильные(для аспра) адреса джампов...
00406710 FF 15 F8 03 E2 00 8B C0 FF 15 BC 05 E2 00 8B C0 яшв.‹Аяјв.‹А
Но если ты даже этого не понимаешь, то наверно тебе с 1.3 рановато связываться...

PS кста адреса мест записи всегда будут 00xx7847 00xx7943 и т.д.

ZX :: Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников. Интересный вопрос навязывается - а если ее прикрутить к проге, что получится. Таблицу я тебе по мылу скинул.
Mario555 пишет:

цитата:
Ага, щас...


Эт точно, толь меня проглючило иль я не знаю. Только что таким способом попробовал и тут же на процедуре создания переходников. Хотя я ее уже вдоль и поперек излазил :) , у меня все таки такое чувство когда я на нее смотрю, что тут можно обойтись меньшими переделками в проге, и чем дольше я ее изучаю тем больше хочется ее урезать.

Jonson :: 2RideX or 2MC707

У меня тоже есть программенция (предположительно с ASProtect 1.3) Нельзя к вам напроситься на пробование в распаковке стриппером 2.11 (или на тестирование стриппера версии 2.11 ).
Тока беда в том, что я ее тока мылом могу выслать (размер ~130 кб)...

Жду ответа




FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на...



FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на жизнь? :)
SLV :: Чё-то не качается. Наверное nm перегружен

SLV :: Опа, у меня аватар «человеческий».
for i:=1 to 3 do writeln(«Ура!»)

Dragon :: FEUERRADER

seg002:004011B9 push 0 ; lpWindowName
seg002:004011BB push offset aOllydbg_0 ; lpClassName
seg002:004011C0 call ds:FindWindowA

По классу окна значит ищешь. В принципе можно, ведь поменять имя уже созданного класса нельзя. Придёться разработчикам настройку сделать, как в iceext, где имя сервиса выбырать можно.

KLAUS :: Я может не понял, эт для того чтоб OLLY отрубать?
Ну так он её же и трайсить нормально...может не понял просто для чего!

Dragon :: Бывает такое, запускаешь прогу и видишь что-нибудь типа «обнаружен отладчик, работать ни хрена не буду», вот для чего это надо. Хотя можно и вырубить olly - GetWindowThreadProcessId + TerminateProcess.

FEUERRADER :: Dragon
Реализация простая, поэтому для разработчиков может пойти как анти-отладочный приём, к тому же это по-моему единственный способ найти олю запущенной в системе, т.к. защита от IsDebuggerPresent уже есть. Надеюсь топики кряклаба Солод не читает :)

KLAUS :: FEUERRADER
Ну если пргша будет уже загружена в OLLY, то можно будет спокойцнор трайсить ( пока она не запустится)!!

ZX :: FEUERRADER пишет:
цитата:
Надеюсь топики кряклаба Солод не читает :)


Не переживай, читает. :)

Mario555 :: FEUERRADER пишет:
цитата:
единственный способ найти олю запущенной в системе


Не единственный... посмотри например протектор SoftDefender.
А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

GL#0M :: Mario555

Это точно, помню ещё статейка какая-то была на болгарском про обноружение оли...

RideX :: FEUERRADER
Ещё можно убить процесс через ф-ции TlHelp32, по имени файла.

Aster!x :: › А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

Сие реализовано в новой версии плагина HideDebugger ;-)

Mario555 :: Aster!x
Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Aster!x пишет:
цитата:
Сие реализовано в новой версии плагина HideDebugger ;-)


И когда сие творение можно будет потестить ?

PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Aster!x :: › Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Если там какие-то антитрассировочные фишки то вряд ли что-то можно сделать, если поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)

› PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Это к автору OllyDbg, я сам был удивлён когда попробовал переименовать exe’шник.

› И когда сие творение можно будет потестить ?

Не знаю, нужно ещё доделать мессаги об ошибках, то бишь сочинить их на аглицком, что-то я никак не соберусь ;-)

XoraX :: Aster!x пишет:
цитата:
сочинить их на аглицком, что-то я никак не соберусь ;-)


дык швыряй сюда, толпа переведет :D

nice :: Сейчас с парсером разберусь, и хочу написать крякми_олли_детектор.
Понабрал изи разных статей, там будет около 10 шагов примерно :)

Парни а про переименование оли, вы не пробовали посмотреть ехе, я нашел там прямое вхождение простым поиском
ollydbg.exe (у меня 0050F780)
Кажется корень зла там ;)

RideX :: Aster!x
Надо же, как я угадал с ТулХэлп, не зная что Оля не переносит другого имени , хотя, как я понял, никто об этом не знал :)

Aster!x пишет:
цитата:
поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)


Действительно, вполне может пригодиться :)

Mario555 :: RideX пишет:
цитата:
хотя, как я понял, никто об этом не знал :)


Это давно было в ACPRotect... Process32First и Process32Next.

Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

PS хотя если поменять название «OllyDbg.exe» в таблице экспорта самой Оли и в таблицах импорта плагинов, то и присутствие OllyDbg.exe в папке будет не обязательно.

Aster!x :: › Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

Если действительно так, то Olly не нужны никакие другие защиты кроме как против IsDebuggerPresent ;-)

Aster!x :: Проверил, действительно работает вроде ;-), всё выкидываю из плагина противообнаруженческие фичи и релижу новую версию ;-)

RideX :: Только что проверил, всё так и есть как сказал Mario555 , всё работает :)))

Aster!x :: Только вот странно, Pulya всё-равно прибивает Olly, с переименованным exe’шником, даже не знаю, придётся наверно противотерминатную фичу оставить.

Mario555 :: Aster!x пишет:
цитата:
Pulya всё-равно прибивает Olly


У ACPR кроме проверки имён есть ещё одна подлянка, в смысл которой я там до конца и не въехал... функция Process32Next возвращает не только PID самого процесса, но и PID процесса который его инициализировал (в данном случае PID Olly) а вот как он опеределяет, что Olly - это не какой-нить там explorer.exe - это непонятно... (хотя может привелегии процесса смотрит или прям так по имени и проверяет - если не explorer, то убить нахрен).

PS кста прибивается любая прога (соответствующего статуса ессно) инициализирующая ACPR, а не только Olly.

Aster!x :: › возвращает не только PID самого процесса, но и PID процесса который его инициализировал

Точно, я как-то не обращал на это внимание, нужно будет всё-таки пофиксить, тогда не придётся экзешник переименовывать.
Вот оно:

typedef struct tagPROCESSENTRY32 {
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
char szExeFile[MAX_PATH];
} PROCESSENTRY32;

th32ParentProcessID
Identifier of the process that created the process being examined. The contents of this member can be used by Win32 API elements.

Bad_guy :: Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра... собственная разработка. Ну уж извините за хвастовство. кстати библиотечка коммерческая и приватная - никому не раздаю :)

AlexZ CRaCker :: Bad_guy
Раз уж крэкеры пишут защиту чтобы её снимать , тогда хоть обходные пути оставляй

Aster!x :: › Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра...

Против лома нет приёма... (как там дальше? ;-)
Проверять реестр, сканить папку Program Files - глупо, хотя и не удобно бороться с такими методами обнаружения но можно ;-)




atol дайте ссылки на tutorial’s Приветствую всех!



atol дайте ссылки на tutorial’s Приветствую всех!
Дайти ссылки на туториалы по отрезанию секций протектора и распаковки армады.

WELL :: atol пишет:
цитата:
отрезанию секций протектора


«Отрезание секций, перемещение ресурсов» на http://www.xtin.org

atol :: Спасибо посмотрю.

atol :: Если не трудно подкиньте еще линков.

MaZaFaKeR :: А как на счёт туторов на английском ?

atol :: Буду очень благодарен!

MaZaFaKeR ::

Noble Ghost :: MaZaFaKeR пишет:
цитата:
А как на счёт туторов на английском ?


Жду твоих ссылок.

WELL :: atol пишет:
цитата:
распаковки армады.


Ну на cracklab.ru есть статья

MaZaFaKeR :: Noble Ghost , а я от остальных поситителей жду...




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




Cracker AsProtect 1.23RC4 Э... Народ... никто не знает как ломать данный...



Cracker AsProtect 1.23RC4 Э... Народ... никто не знает как ломать данный протектор???
Я блин дофига уже мучался... но так и не сломал.... Распаковать его - ниче не стоит....
А ВОТ ДАЛЬШЕ... Хрен че зделаеш.....
Я в коде порылся и поменял пару байт и .....обнаружил какое-то странное окно..... с просьбой ввести рег ключ!!!!!
НО САМОЕ СТРАННОЕ ЧТО ЭТО ОКНО, если байты не править НИКАК не ПОЯВЛЯЕТСЯ!!!!!
НУ ХОТЬ ЧЕ ДЕЛАТЬ...... И ТОГДА НАФИГА ОНО???????
Cracker :: Да кстати....
Он еще соединение с серваком запрашивает хрен знает для чего......( ну всмысле в этом окне)....Мож оно для прикола

guest007 :: Cracker пишет:
цитата:
никто не знает как ломать данный протектор???


А что значит сломать данный протектор?

Cracker :: ЗАРЕГИТЬ......

Макс :: ну наверное зарегистрировать...А мож нет

Grim Fandango :: lol

SeDoYHg :: Cracker

А на хрен тебе зарегестророванный :), бери с ВАСМа поломаный :)

RottingCorpse :: Народ... случайно под ником Cracker никто из своих не прикалывается?

SeDoYHg :: RottingCorpse

Чернобля брат :)

RottingCorpse :: Ясненько :)

guest007 :: Какой то очень активный человек,
то он спрашивает как обоити messagebox, то уже ламает AsProtect

AlexZ CRaCker :: Гы... ещё крэкер. Печенька, наверное . Однако, упорный парень... или печенье.

ZX :: Cracker пишет:
цитата:
Распаковать его - ниче не стоит....


Стриппером... :)
guest007 пишет:
цитата:
Какой то очень активный человек,
то он спрашивает как обоити messagebox, то уже ламает AsProtect


ключевое слово - ЛАМАЕТ

Grim Fandango :: Ключевое слово - ЧЕРНОБЫЛЬ!




0010 нужны ответы н вопросы... нужны ответы н вопросы...



0010 нужны ответы н вопросы... нужны ответы н вопросы...

Что такое спёртые (упёртые) байты? покажите на примере, желательно дельфи. В продукции Bad_guy широко использованы спёртые байты, а у него всё на дельфи... очень хочется увидеть и понять.

Как портят протекторы таблицу импорта, и чего такая хрень как RedirectAPI в некоторых протекторах?
-= ALEX =- :: спертые байты: берутся несколько команд (байт) и выполняются в другом месте, возможно и с другими командами, которые никаких функций не выполняют...
как портят таблицу импорта: для начала тебе нужно понять что вообще из себя представляет таблица импорта. просто по адресам где должны появиться адреса апи, заменяются на адреса своего кода, который может всяко извращаться, а в конце переход на апи... ну или лучше всего жестко менять переходники на адреса апи...

Bad_guy :: 0010 пишет:
цитата:
В продукции Bad_guy широко использованы спёртые байты, а у него всё на дельфи...


А я потому пишу на Дельфи, что мне вломы все окна и прочую фигню кодить на асме. А то что надо там бывает - ассемблерные вставки юзаю. А какие могут быть примеры. Это просто странно. Это ведь надо понимать - тогда и примеров не надо будет. А если не понимаешь зачем спёртые байты, то и примеры не помогут. А вообще я что-то не помню чтобы я спёртые байты юзал - у меня в итоге байты ведь на место возвращаются... и «пру» я их только чтобы команду вставить (место расчистить).

GPcH :: Bad_guy пишет:
цитата:
А я потому пишу на Дельфи, что мне вломы все окна и прочую фигню кодить на асме. А то что надо там бывает - ассемблерные вставки юзаю. А какие могут быть примеры. Это просто странно. Это ведь надо понимать - тогда и примеров не надо будет. А если не понимаешь зачем спёртые байты, то и примеры не помогут. А вообще я что-то не помню чтобы я спёртые байты юзал - у меня в итоге байты ведь на место возвращаются... и «пру» я их только чтобы команду вставить (место расчистить).


Расслабься, парень наверняка говорил о другом
И забей, ему еще читать и читать книжки.

0010 пишет:
цитата:
нужны ответы н вопросы...


Почитай Румянцева - там все есть. Мне эта книга в свое время очень помогла.
скачать можно у Рубанка на www.int3.net в разделе Книги (правда там зарегаться надо бесплатно ;)))

0010 :: не, я понимаю, что если я не понимаю, что такое спёртые байты - то и примеры к черту :)
но я не думаю, что это проблематично подкормить примером на дельфи (даже с асмовыми вставками, о как)?
пасибо за ответы =)

GPcH :: 0010 пишет:
цитата:
не, я понимаю, что если я не понимаю, что такое спёртые байты - то и примеры к черту :)
но я не думаю, что это проблематично подкормить примером на дельфи (даже с асмовыми вставками, о как)?
пасибо за ответы =)


это делается не на уровнее программинга, а на уровне защиты - просто между реальным кодом вставляется мусор и все. В своей проге ты так не сделаешь до компиляции - только после компиляции и только руками или протектором.
Надеюсь, что я понятно сказал

0010 :: › это делается не на уровнее программинга, а на уровне защиты - просто между реальным кодом вставляется мусор и все. В своей проге ты так не
› сделаешь до компиляции - только после компиляции и только руками или протектором.
› Надеюсь, что я понятно сказал

ммммм... просто в моём понятии это смк (само модифицирующийся код)? я дурак?

Bad_guy :: 0010 пишет:
цитата:
ммммм... просто в моём понятии это смк (само модифицирующийся код)? я дурак?


Да, смк у меня там есть, но вот спёртых байт. Кстати, когда-то видел статью, что в виндосовских прогах нельзя смк применить... такое якобы в принципе невозможно писал автор статьи, так как виндовс якобы защищает проги от этого

dMNt :: \masm32\example2\smc\
:p




MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking...



MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking DDeM. И вот возникнула одна идея: создать автоматический распаковщик. Я бы с радостью за это взялся, но знаний не хватает . Поэтому, уважаемые реверсеры, большая к вам просьба - возьмитесь за это!

PS. UnDDeM на сайте eoda.by.ru работает просто отвратно. В связи с этим потребность в автораспаковке DDeM’a возросла еще больше.
PPS. Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?
nice :: MARcoDEN
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить

Grim Fandango :: у меня сайт тот не открывается.

nice :: Grim Fandango
http://www.wasm.ru/tools/6/qunp.zip

Grim Fandango :: не, Найс, у меня есть QUnpack. Я про eoda.by.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?


Гон.

SGA :: MARcoDEN
прочти статью на сайте Рубанка http://int3.net/?page=art...1=reversing&p2=uncd&art=9 .
Этот DDem вообще не надо распаковывать.
Бывает ещё что сверху пакована Аспаком - Caspr тебе в руки.
А если и про инлайны в пакерах почитаешь. то вообще красота.

зы а qunpack тож рапакоыввает аспак, но DDem Нет

MARcoDEN :: nice пишет:
цитата:
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить


Эту тулзу я пробовал, но DDeM она не берет, да и некоторые модифицированные FSG-паковку. Если тебе интересно, могу забросить запакованный exe-шник на мыло.

MARcoDEN :: Noble Ghost
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?

nice :: MARcoDEN
Бросай для коллекции nicesc GaVGav yandex.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


А ты бряки как ставишь?

Grim Fandango :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


он наверное одними командами пробует... хотя хз, пусть сам скажет.

Mario555 :: MARcoDEN пишет:
цитата:
почему бряк на GetDriveTypeA в Олли не срабатывает


А у тебя ось какая ?

MARcoDEN :: Mario555
Ось - Win XP Pro SP1

Noble Ghost
Бряки ставлю через command bar: bpx GetDriveTypeA и т.п.

Дело в том, что сняв протектор, мы уберем и проверку CD. Вот почему автоматический распаковщик не помешал бы .

SGA :: MARcoDEN
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??

MARcoDEN :: SGA пишет:
цитата:
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??


Да, сам протектор открутил, причем достаточно просто. Зачем же делать дополнительно распаковку FSG, UPX? Во-первых, они тут совершенно ни причем. Во-вторых, последние версии DDeM’a поливаются ASPack’ом, который легко снимается тулзой AsPackDie. Вот после этого, когда загрузчик лежит в DDeMCod, пригодился бы автораспаковщик самого протектора. Если кому интересно, то я выложил экзешник сюда.

SGA :: MARcoDEN пишет:
цитата:
Зачем же делать дополнительно распаковку FSG, UPX


Я встречал DDEM пакованный и этим.
Можно Зафигачить простой seek and destroy универсальный патчик ddem, для распакованной игрушки.

Mario555 :: MARcoDEN пишет:
цитата:
Бряки ставлю через command bar: bpx GetDriveTypeA


bp GetDriveTypeA... ну или там просто нажми CTRL-G, введи GetDriveTypeA и там уже ставь бряк по F2 куда-нить в эту апи.

SGA :: анпак аспака и патч
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.
должен прокатить для всех игрушек.

MARcoDEN :: SGA пишет:
цитата:
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.


Не совсем понимаю что это. Скрипт?

nice :: MARcoDEN
Как я понимаю это цепочка байт ищещь верхнюю, меняешь на нижнию

SGA :: MARcoDEN
Это цепочка байт для так называемого seek and destroy патча. т.е Независимо от offset’a расположения этих байт, патч их найдёт и изменит. Надеюсь понятно что ** - оставить как было.

MARcoDEN :: Что ж, теперь понятно. Спасибо!

MARcoDEN :: SGA пишет:
цитата:
должен прокатить для всех игрушек.


Чего-то ни хрена не прокатывает

Noble Ghost :: Чет я забыл про эту тему.
MARcoDEN
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)

Сорри, тороплюсь, ухожу.

SGA :: MARcoDEN пишет:
цитата:
Чего-то ни хрена не прокатывает


и Для ТОй на которую здесь Ссылку Дал ???

MARcoDEN :: SGA пишет:
цитата:
и Для ТОй на которую здесь Ссылку Дал ???


Именно на ней и пробовал . В качестве seek&destroy патча использовал dUP [http://navig8.to/diablo2oo2].

Noble Ghost пишет:
цитата:
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)


А че делать тогда? Через Names Window брякать? Или как советует Mario555?

SGA :: MARcoDEN
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6. 63
06.48.D8.33.6A.**.**.**.
Это правилные байты.
Проверил и на твоей екзешке и на игрушке Call Of Duty. Работает.

НА старых ддемах ещё без Аспака как в игре Game Red Faction II v1.0.1
нужна така цепочка
E2.CB.02.46.EE.
61.63.FD.15.F2

Noble Ghost :: MARcoDEN пишет:
цитата:
А че делать тогда? Через Names Window брякать? Или как советует Mario555?


Когда как. Лучше делай как марио грит.

MARcoDEN :: SGA пишет:
цитата:
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6.63
06.48.D8.33.6A.**.**.**.
Это правилные байты.


Окей, еще раз спасибо! Только скажи откуда ты эти байты брал?

SGA :: MARcoDEN пишет:
цитата:
Только скажи откуда ты эти байты брал


http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)

MARcoDEN :: SGA пишет:
цитата:
http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)


Ясно




-= ALEX =- TEST PACKER Решил тут заново переписать весь протектор. Вот сделал...



-= ALEX =- TEST PACKER Решил тут заново переписать весь протектор. Вот сделал что-то типа обычного пакера. Хотел вас попросить посмотреть, потестить и сообщить, какие файлы не работают после обработки этим пакером. Заранее очень благодарен.
PS. на барсике не проверял, т.к. нету у меня барсиковских файлов :)
PPS. www.protector.webhost.ru/protector.exe
fuck it :: 404....
хер скачаешь

Noble Ghost :: fuck it пишет:
цитата:
404....
хер скачаешь


Из-за тебя пришлось проверить. КАЧАЕТСЯ ОТЛИЧНО!

Grim Fandango :: Нет, не качается.

Black Neuromancer :: А у меня качается

TITBIT :: Действительно не скачивается............

dMNt :: качается

bi0w0rM[AHT] :: хех, и на VB робит тоже! нормально работает.

fuck it :: кто смог скачать скиньте мне плиз... left_mail [@] tut.by

пгуые007 :: fuck it пишет:
цитата:
кто смог скачать скиньте мне плиз...


скинул

пгуые007 :: fuck it пишет:
цитата:
кто смог скачать скиньте мне плиз...


скинул

dMNt :: hxxp://ldx.web1000.com/protector.exe
Для тех кто хочет, но не может
(скачать разумеется :) )

newborn :: -= ALEX =- пишет:
цитата:
типа обычного пакера


Что то он пакует не очень, асмовский файл 145 кб до, а после 139 кб.

Grim Fandango :: это же протектор.

-= ALEX =- :: в функции этой «проги», назовем ее так, не входит супер сжатие, а также пока не реализовал сжатие ресурсов, так что размер тут не главное. просто хотел выяснить есть ли баги на этой стадии разработки...

Grim Fandango :: кто-то на канале говорил, что файлы послне «сжатия» выдают acccess violation.

-= ALEX =- :: Grim Fandango да поспрашивал, вроде бы у всех номана пока.

fuck it :: пгуые007 thx :)

GPcH :: -= ALEX =- пишет:
цитата:
Решил тут заново переписать весь протектор. Вот сделал что-то типа обычного пакера. Хотел вас попросить посмотреть, потестить и сообщить, какие файлы не работают после обработки этим пакером. Заранее очень благодарен.


А еще о скромности говорил ;)))

-= ALEX =- пишет:
цитата:
PS. на барсике не проверял, т.к. нету у меня барсиковских файлов :)


Зато я проверял - вроде работают

AlexZ CRaCker :: -= ALEX =- , я заметил, что горячие клавиши не работают. Ctrl+P и Ctrl+T.

Ara :: Попробовал на своих прогах:асм почти не сжимает, зато работает.
Дельфу сжимает прилично, но не работает:
0047FD3B F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
- в esi несуществующий адрес - выходит за границу предпоследней секции

ЗЫ:Еще на одной (асм) bitmap скушал :)))

Noble Ghost :: -= ALEX =-
Ну пару кривопакующихся файликов я сразу нашел.
Вообще прикольный пакер, мне понравился =) Только усложняй его постепенно, а то потом снимать замучаемся %)

-= ALEX =- :: Noble Ghost and ALL я пока вот пытаюсь делать, чтоб все EXE обрабатывались хорошо, чтоб потом запускались. речь не идет о пакере, как о проге для сжатия... я делаю протектор %)))

GPcH :: -= ALEX =- пишет:
цитата:
Noble Ghost and ALL я пока вот пытаюсь делать, чтоб все EXE обрабатывались хорошо, чтоб потом запускались. речь не идет о пакере, как о проге для сжатия... я делаю протектор %)))


Молодец

-= ALEX =- :: ...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Пакер вообще отказался кушать файлы больше чем 2 метра - пакует и в самом конце сжатия винда дает проге по яйцам. Тестировал на ACDSee5.exe и speed.exe (aspack и upx прекрасно их пакуют) Ось - 9x. Файл cuteftp32.exe прога сжала, но также вылетела с сообщением об ошибке, зато файлик получился полностью рабочим.

.::D.e.M.o.N.i.X::. :: и использовал не вполне нормальную лабу для компрессии - aPLib v0.36

ssx :: .::D.e.M.o.N.i.X::. пишет:
цитата:
и использовал не вполне нормальную лабу для компрессии - aPLib v0.36


лучше бы из upx вырипал, он жмет хорошо

Dr.Golova :: Какая прелесть - 15 минут на все RE =)

цитата:
wrapper_begin proc near
pusha
call $+5 ; PIC Base: 000012792h
pop ebp
sub ebp, offset dword_401874
call decode_objects
call resolve_import_table
mov eax, ss:dword_401A74[ebp] ; oep_va
mov [esp+1Ch], eax
popa
jmp eax
wrapper_begin endp

; --------------- S U B R O U T I N E ---------------------------------------

decode_objects proc near
lea eax, dword_401AE0[ebp] ; aKernel32_dll
push eax
call ss:dword_401B5A[ebp] ; GetModuleHandleA
mov edi, eax
lea ebx, dword_401AED[ebp] ; aVirtualalloc
push ebx
push eax
call ss:dword_401B56[ebp] ; GetProcAddress
mov ss:dword_401AD8[ebp], eax ; p_VirtualAlloc
lea ebx, dword_401AFA[ebp] ; aVirtualfree
push ebx
push edi
call ss:dword_401B56[ebp] ; GetProcAddress
mov ss:dword_401ADC[ebp], eax ; p_VirtualFree
lea esi, dword_401A88[ebp] ; obj_table

decode_object:
mov eax, [esi+4] ; obj decoded size
push 4
push 1000h
push eax
push 0
call ss:dword_401AD8[ebp] ; p_VirtualAlloc
mov ss:dword_401A84[ebp], eax ; u_buffer
push esi
mov ebx, [esi] ; obj rva
add ebx, ss:dword_401A80[ebp] ; image_base
push eax
push ebx
call aplib_mem2mem_small
add esp, 8
mov ecx, eax ; eax == decoded size
mov edi, [esi] ; obj rva
add edi, ss:dword_401A80[ebp] ; image_base
mov esi, ss:dword_401A84[ebp] ; u_buffer
rep movsb
pop esi
mov eax, ss:dword_401A84[ebp] ; u_buffer
push 8000h
push 0
push eax
call ss:dword_401ADC[ebp] ; p_VirtualFree
add esi, 8
cmp dword ptr [esi], 0 ; is end of obj table ?
jnz short decode_object
retn
decode_objects endp

; --------------- S U B R O U T I N E ---------------------------------------

aplib_mem2mem_small proc near
; removed nahren - get it from jibz website
retn
aplib_mem2mem_small endp

; --------------- S U B R O U T I N E ---------------------------------------

resolve_import_table proc near
mov edx, ss:dword_401A80[ebp] ; image_base
mov esi, dword ptr ss:unk_401B0A[ebp] ; imp_tbl_rva
add esi, edx

process_module:
mov eax, [esi+0Ch] ; eax == module name rva
test eax, eax
jz imp_tbl_done
add eax, edx
mov ebx, eax
push eax
call ss:dword_401B5A[ebp] ; GetModuleHandleA
test eax, eax
jnz short loc_414195
push ebx
call ss:dword_401B5E[ebp] ; LoadLibraryA

loc_414195:
mov dword ptr ss:unk_401B06[ebp], eax ; h_cur_module
mov dword ptr ss:unk_401B0E[ebp], 0 ; 0004142A0h

next_iat_node:
mov edx, ss:dword_401A80[ebp] ; image_base
mov eax, [esi] ; lookup table rva
test eax, eax
jnz short use_lookup
mov eax, [esi+10h] ; iat table rva

use_lookup:
add eax, edx
add eax, dword ptr ss:unk_401B0E[ebp] ; cur_iat_offset
mov ebx, [eax]
mov edi, [esi+10h] ; iat table rva
add edi, edx
add edi, dword ptr ss:unk_401B0E[ebp] ; cur_iat_offset
test ebx, ebx
jz short module_done
test ebx, 80000000h
jnz short imp_by_ordinal
add ebx, edx
inc ebx
inc ebx

imp_by_ordinal:
and ebx, 0FFFFFFFh ; !!! BUG !!! use 0x7FFFFFFF instead
push ebx
push dword ptr ss:unk_401B06[ebp] ; h_cur_module
call ss:dword_401B56[ebp] ; GetProcAddress
mov [edi], eax
add dword ptr ss:unk_401B0E[ebp], 4 ; cur_iat_offset
jmp short next_iat_node

module_done:
add esi, 14h
mov edx, ss:dword_401A80[ebp]
jmp process_module

imp_tbl_done:
retn
resolve_import_table endp

oep_va dd 4021CEh
wrapper_obj_rva dd 14000h
dd 0
image_base dd 400000h
u_buffer dd 0
obj_table dd 1000h, 2A00h, 5000h, 400h, 10h dup(0)
p_VirtualAlloc dd 0
p_VirtualFree dd 0
aKernel32_dll db ’kernel32.dll’,0
aVirtualalloc db ’VirtualAlloc’,0
aVirtualfree db ’VirtualFree’,0
h_cur_module dd 0
imp_tbl_rva dd 40F0h
cur_iat_offset dd 0
wrapper_import dd 142E8h



ssx :: все, весь пакер до сорцов разобрали :)
и даже and ebx, 0FFFFFFFh ; !!! BUG !!! use 0x7FFFFFFF instead найдены :)

-= ALEX =- :: весело :) причем тут aplib и upx. мля странные вы люди, я не пакер делаю....

Dr.Golova :: «не пакеры» мы тоже разбирать умеем - работа у нас такая =)
И особо умных не слушай - aPLib нормально жмет - NRV из UPX не намного выигрывает, а тормозит зело сильнее, в UPX просто E8/E9 оптимизирующий фильтр используется чтобы лучше сжималось.
А память под распаковку лучше выделять для сжатых данных, и разжимать их назад в секцию - и памяти меньше надо и копировать данных меньше.

-= ALEX =- :: да я и не беру в голову насчет паковки всякой... Dr.Golova расковырял бы тогда мой alexprot :)))

Dr.Golova :: › Dr.Golova расковырял бы тогда мой alexprot

Если станет публичным - расковыряю, и распаковщик напишу как обычно, не впервой =)

Mario555 :: Dr.Golova пишет:
цитата:
Если станет публичным - расковыряю, и распаковщик напишу как обычно


Что и к последнему аспру (тому который с VM) уже распаковщик есть ? И к SoftDefender’у ???

Dr.Golova :: › (тому который с VM)

Во первых VM там фуфловая, а во вторых точка входа никому не нужна - и без первых байт все работает

Mario555 :: Dr.Golova пишет:
цитата:
Во первых VM там фуфловая


Я вообще-то толком и не знаю, как должна выглядеть «не фуфловая» функция интерпритатора... просто там у аспра в конце какая-то муть, а в readme сказано, что эта муть - VM :)

Dr.Golova пишет:
цитата:
точка входа никому не нужна - и без первых байт все работает


А можно чуть подробнее ? Думаю не мне одному это интересно... Вот восстановил я импорт у зааспреной проги, сдампил, а дальше что ?

nice :: Mario555
Брат ты меня удивил!!!!
Уже Солод виртуальник прикрутить успел, во даёт!

ssx :: Dr.Golova пишет:
цитата:
› Dr.Golova расковырял бы тогда мой alexprot

Если станет публичным - расковыряю, и распаковщик напишу как обычно, не впервой =)


Доктор, ваша контора все богом забытые поделки ковыряет?
надо написать «генератор протекторов» чтобы завалить вас работой :)

GPcH :: -= ALEX =- пишет:
цитата:
да я и не беру в голову


Правильно! «Не бери в голову - бери в рот» (C) Николай Фоменко
Без обид

broken :: can drop to??:
cnbroken[At]hackermail.com

-= ALEX =- :: broken че хотел ?

GL#0M :: -= ALEX =-
наверное распаковщик к аспру или SoftDefender.




Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)



Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)
http://www.mario-files.newmail.ru/OllyFinder.exe
Таким образом можно искать произвольную строчку в процессе или вообще не строчку, а последовательность байт... такое не переименуешь.
PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ? Ребут-то оно покруче будет, чем просто убивать найденный дебугер ;)
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.
-= ALEX =- :: Mario555 пишет:
цитата:
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.


ну ловить просто-напросто вызовы апи TerminateProcess. и смотреть на параметры передаваемые... или как ты там скрываешь .. :)

-= ALEX =- :: скачал файл, посмотрел исходник. интересно реализовано... заинтересовало, щас попробую написать антифиндер %)
ЗЫ ну ни как меня на олю не тянет, хоть убей... :(

test :: Mario555
А у меня твой OllyFinder уже не находит :(

Aster!x :: › PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ?

Ну и что? Можно и ещё к каким-нить системным процессам применить, но вот только зачем?
Если приложение не умеет уживаться с моим софтом или виндой то думаю стоит его кильнуть, пусть разработчики сами с ним играются.

Зы: отладчик третьего кольца беззащитен и способов его обнаружения можно придумать множество. А с TerminateProcess можно бороться и вполне эффективно, и это уже реализовано, теперь «Pulya» не может прибить Olly ;-)

Mario555 :: -= ALEX =- пишет:
цитата:
ну ловить просто-напросто вызовы апи TerminateProcess


Это не серьёзно, уж тебе-то, как автору протектора должно быть понятно, что главное - это не способ убивания процесса отладчика, а получение «dbg найден»/«dbg не найден», дальше уже можно делать всё что угодно...
Перехватывать тоже будет не просто, если вокруг проверки понаставить всяких rdtsc, DRx check и т.п.
К тому же такую проверку можно пускать отдельным Thread’ом с низким приоритетом, который будет постоянно проверять наличие отладчика (дампера или любой другой crack tool) во время работы основной проги.

test пишет:
цитата:
А у меня твой OllyFinder уже не находит :(


Что же ты такое сделал ? Единственный способ спрятать olly, который я вижу - это смена ImageBase, но ведь можно считать эту ImageBase и высчитать нужное значение параметра BaseAddress для ReadProcessMemory. Хотя вот если Olly Obsidium’ом пакануть...

Mario555 :: Aster!x пишет:
цитата:
теперь «Pulya» не может прибить Olly ;-)


А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Aster!x пишет:
цитата:
приложение не умеет уживаться с моим софтом


Если софт - это отладчики... Ребут всего лишь способ ответных действий на обнаруженную прогу...

test :: Mario555
Да нет. Просто у тебя нет проверки кода как в Arme вот и все.Хотя и в память где rep cmps можно напихать мусор и еще много чего.А вот твоя идея (Хотя вот если Olly Obsidium’ом пакануть...)как раз очень интересная.Да еще. кроме оли я ничего не использовал!

Mario555 :: Плагинам не понравилась Оля пакованая Obsidium’ом :( Без плагинов работает...

-= ALEX =- :: Mario555 только что закончил работу, написал OllyHider для твоего OllyFinder’a... :)
ЗЫ нет ниукого сдк по написанию плугинов для ольки, желательно на асме...

Aster!x :: Mario555
› А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Мы не ищём легких путей поэтому будем дописывать плагин, чтоб не действовать таким грубым способом как переименование ;-)

test :: -= ALEX =-
masm_inc.zip - not tested если хочешь

-= ALEX =- :: test ну давай... мыло мое видно тут.

dMNt :: ну и мне киньте masm_inc.zip
вот сюда --› dmnt((AT))ledex D0T ru

PS: спасиба, пришло :)

-= ALEX =- :: test пасибо.

WELL :: Aster!x
А твой HideDebugger.dll обновился?
Если да, то где качнуть можно?

Aster!x :: WELL
Пока нигде нельзя качнуть, постараюсь в ближайшее время доделать messag’и и выложить в народ.

WELL :: Aster!x
Будем ждать

Mario555 :: -= ALEX =- пишет:
цитата:
написал OllyHider


Выложи где-нить.

test :: Mario555
Мне кажется что лучше наверно патчить системный модуль потому как с двумя процессами это не
пролезет.

test :: Вот попробовал с армой все вроде работает без rename ollyexe .Тока hbpx перестал работать..

test :: Извиняюсь. все в ОК! работает.Просто теперь на тот адрес проверки нет перехода после Process32First.

-= ALEX =- :: Mario555 пишет:
цитата:
Выложи где-нить.


вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)

newborn :: -= ALEX =- пишет:
цитата:
вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)


Что то я не могу скачать, может кто переложит на другой сервак ?

GL#0M :: newborn
Известная тема с фаталом :(
http://kon.ldx.ru/OllyHider.exe

newborn :: GL#0M
Спасибо, этот фатал частенько стал падать...

Mario555 :: -= ALEX =-
Думал, что переименование в таком количестве приведёт к глюкам в работе Оли, но всё нормально работает :)
Хотя конечно можно поискать строчку (последовательность байт) которую нельзя переименовывать, но такая строка будет встречатся только один раз и её можно аккуратно переправить вручную.

Aster!x :: Mario555

Фигня все эти методы, я правда не смотрел но судя по обсуждению читаем память Olly в поисках сигнатур через ReadProcessMemory? если да то можно не париться, есть фича в новой версии HideDebugger, которая обломает вам эту возможность :-) , знаю знаю, что пора плагин в народ кидать, но вот обнаружился необычный глюк на винде FEUERRADER’а(XP sp2) с IsDebuggerPresent, придётся алго менять видимо, поэтому выход плагина задерживается, sorry.




SLV Про армдиллу... Щас ковыряю прогу, написана на Vb. Пакована subj. OEP...



SLV Про армдиллу... Щас ковыряю прогу, написана на Vb. Пакована subj. OEP нашёл. Но при снитии дампа снимается только 100Kb (а размер проги 150+). Пробовал и PETools и PEditor, ничего не получается. Помогите советом pls. Заранее спасибо.


P.S. Версия протектора 2.20...
ilya :: у армы память выделяется кусками,ты скорее всего не на на том месте дамп берёшь
папробуй по этой статье http://cracklab.ru/art/arma3.php думаю всё получится если по ней делать,
и не забудь поправить дамп

SLV :: ilya , пасиб, попробую

Mario555 :: ilya пишет:
цитата:
у армы память выделяется кусками,ты скорее всего не на на том месте дамп берёшь
папробуй по этой статье http://cracklab.ru/art/arma3.php


Как раз в этой статье про copymem2 ничего нету :)

GL#0M :: Mario555
«Щас ковыряю прогу , написана на Vb »
Т.е. copymem2 отдыхает... :)

Mario555 :: GL#0M пишет:
цитата:
Т.е. copymem2 отдыхает... :)


Это с какого перепугу :) есть VB (натив) проги и с copymem, и с наномитами...

GL#0M :: хмм... %) угу, протупил, х.з. почему, но я подумал, о пкоде :)




ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html



ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html
мож кому сгодится
SeDoYHg :: Что-то все слишком просто :))))))))))))). Даже не верится %). Не спертых байт... ничего. Может это был не аспр 2,0 ;). Или ты опции все выключил при запротекторивании (слово то какое %) ;).

ilya :: SeDoYHg пишет:
цитата:
Может это был не аспр 2,0


паковал сам ASProtect v.2.0 Build 06.23 A
SeDoYHg пишет:
цитата:
Не спертых байт.


разве пакуют проги всегда со спёртыми байтами???ясен *уй я эти опции выключил
SeDoYHg пишет:
цитата:
Что-то все слишком просто :


если не считать сколько я с этим аспром про*бался

SeDoYHg :: Какой ты злой Ж)... Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.

ilya :: SeDoYHg
а ты пробывал его распаковывать если так всё просто.Лично я с ним *бался месяц(с перерывами).
Кроме Марио555 и Биоворма здесь никто не обсуждал эту тему,все
тот топик обходили стороной,поэтому я и накотал тутор.
Спорить не хотса.
Ребят кому не нравится не надо кирпичами кидаться,комуто этот тутор пригодится

newborn :: SeDoYHg пишет:
цитата:
Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.


Действительно, после прочтения статьи сложилось такое впечатление что роспаковывали УПХ, если б кто написал бы статью про роспаковку со всеми приколами аспра, вот это действительно было бы востребовано...

SeDoYHg :: Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...
Что же, мне тоже «не хотса» спорить... Свое мнение я уже сказал!!!

ilya :: SeDoYHg пишет:
цитата:
Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...


дану хорош,у меня в мыслях нет на тебя пальцы закидывать,могу снять фотку какие там опции я выставил

-= ALEX =- :: ilya молодец, что сказать... щас почитаем...

Mario555 :: ilya
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный пиздец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.

ilya пишет:
цитата:
Лично я с ним *бался месяц


??? там минут 5~10 нужно... когда аспр лагает :)

ilya пишет:
цитата:
разве пакуют проги всегда со спёртыми байтами???


ессно... А какой смысл авторам проги не использовать все опции защиты ?

ilya :: -= ALEX =-
спасибо за тёплые слова
Mario555
щас скачаю(если не много весит),запакую,покапаюсь

Гостю здесь :: Mario555 пишет:
цитата:
со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


Не получится - там куча обращений к каким-то несуществующим адресам, видимо аспр их настраивает до запуска проги в процессе загрузки

Mario555 :: Гостю здесь пишет:
цитата:
видимо аспр их настраивает до запуска проги в процессе загрузки


Дык мне и нужно сдампить dll до запуска проги - когда ещё не сформирована функция выполнения stolen code.
А обращнение к несуществующим адресам это бывшие jmp iat и с ними проблем нет ;)

DFC :: Mario555 , а как насчет статьи, планируешь?

Mario555 :: DFC пишет:
цитата:
а как насчет статьи, планируешь?


1) не распаковал я его! пока только идеи есть и вполне возможно, что эти идеи - полный бред.
2) даже если распакую, то врят ли буду статью писать - слишком это нудное занятие...

DFC :: Mario555 , понял...печально:(
ilya , ты все правильно сделал, что написал статью, не обращай внимания на выпадки...надо же с чего то начинать...а дальше развитие может получиться.

ilya :: щас вот со stolen code хорошенько разберусь и буду ждать когда посыпятся проги с новым аспром,думаю у меня проблем не будет.Жалко только что с импортом долго ковыряться надо.

ilya :: я по поводу PEBrowse Profession:
когда включаешь опцию Protect Original Entry Point-начинается жопа(мой метод отдыхает)
если включить все опции без Protect Original Entry Point - мой метод работает
а почемуж с крякмисом всё было нормально???
щас буду ещё копаться

Mario555 :: Распаковал я этот PEBrowsePro, правда дамп получился хоть и рабочий, но жутко кривой (по кускам собранный). SizeOfImage пришлось увеличить до 00DB4000. В работоспособности этого дампа на других компах я сильно сомневаюсь.

PS таблицу инициализации (или как её там называют) взял из непакованной проги, ибо лень было... ;)

AlexZ¦OutHome :: Разрешите кое-какие факты:
Способ прохождения до ОЕР вроде предложен МС707, ввиде видеотутора.
Пиженые байты - это вроде одна из главных заподлянок нового Аспра.
Mario555
Выкладывать туторы имхо ненадо. Ато Солод борзеет по-чёрному, да новые Аспры клепает. К сожалению, в крэке останутся только спецы анпака, если считать, что дох прог под Аспром.

dMNt :: ну х.з. помоему все будут вынуждены на другой путь переходить
ну там патчить через апи, дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
ну и т.д.

Mario555 :: dMNt пишет:
цитата:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)


я так и сделал ;)

ilya :: чую через года три аспрп всех крякеров выведет(как дихлофос-мух)

WELL :: По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.

Гостю здесь Re: Mario555 ::
цитата:

dMNt пишет:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
Mario555 пишет:
я так и сделал ;)


Так получилось все-таки ?!?!?!???? сложно было ?? намекни когда дампить

SLV :: WELL пишет:
цитата:
По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.


А in-line? Ведь если найти процедуру проверки CRC, подменить там чёго-нибудь =), и сделать тот-же лоэдер, вшитый в exe.

WELL :: Инлайн тоже имеет место. Хотя на 2.0 я еще делать не пробовал... только 1.3-

Mario555 :: Гостю здесь пишет:
цитата:
намекни когда дампить


На выходе из dll защиты.
Кста этот распакованый PEBrowsePro всё-таки нормально запускается на других компах... ;)
Кто-нить проги с 2.0 знает ?

WELL пишет:
цитата:
Хотя на 2.0 я еще делать не пробовал... только 1.3-


и наверно только через апи :)

ilya :: Mario555 пишет:
цитата:
Кто-нить проги с 2.0 знает ?


недельки через две появятся(вместе с выходом Аспр v3.0)

WELL :: Mario555 пишет:
цитата:
и наверно только через апи :)


Ага =)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


это не баг! когда в проге кода почти нет, то тогда он и запакует криво. я паковал свою прогу, которая писалась на уч0бе - дык ее он как и PEBrowse зажаЛ!!!!!

Mario555 :: bi0w0rM[AHT]
Нет, это именно баг, я паковал ResHack и на него аспр пишет already packed... а вообще-то какая разница баг или не баг ;)

PS дык что прог с 2.0 никто не видел ?

Aster!x :: Mario555
Если хочешь подолбаться то можешь попробовать эту ;-)
http://www.whitetown.com/ru/download.php3
кстати народ на руборде ждет когда кто-нить ее распакует :-)

Mario555 :: Aster!x
и где там 2.0 ???

Aster!x :: Mario555
› и где там 2.0 ???

Т.е. ты уже распаковал?
Я не знаю какая там сейчас версия, но с версией проги CDBFW_1.20 я конкретно долбался..

Mario555 :: Aster!x пишет:
цитата:
Т.е. ты уже распаковал?


Нет, мне это просто не интересно, в СDBF for Windows 1.25 старый RC4. Может быть эту прогу и сложно распаковать (похоже много envelop check’ов), но никакого 2.0 там нету...

Aster!x :: Согласен, приятного в нем мало, хотя как ты говоришь старая версия ;-)
Единственный известный мне распакованный exe был от QICE для версии 1.12




VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9....



VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет).
Изучил достаточно много туториалов на Cracklab , Bioworm и WASM ,Но после BPINT3 на bpm esp-4 OEP не ловится, а превание по BPR айс не хочет ставить! F5 два раза а на третий прога запускается...
WELL :: VLOM
1) Ссылку надо давать на прогу
2) Юзай ольку

DFC :: VLOM , а ты SuperBPM то запустил?

Ara :: В ХР такое бывает

VLOM :: ссылка на сайт http://www.abroaddesign.com/search/search.zip
На bpm esp-4 бряки срабатывют , 2 раза, но в точке прыжка на OEP бряк не срабатывает.
Дайте ссылку на SuperBPM под 2000 плиззз.Пробовал ставить Superbpmfornt с DeMoNiX, но 2000 пишет что служба
неправильная ,хотя в системе сервис прописывается ,но глюкаво.

SLV :: VLOM пишет:
цитата:
Дайте ссылку на SuperBPM под 2000 плиззз


У Биоворма я брал (www.bioworm.narod.ru)...

VLOM :: На старом компе на AthlonXP2500 в принципе всё ставилось и запускалось.
А сейчас Athlon64-2800 ,может иза этого неправильно и работают службы и SoftIce?

VLOM :: SLV
Скачал.Верия SuperBMP таже самая.

SLV :: VLOM , значит винда глючная у тебя.

Runtime_err0r :: VLOM

цитата:
Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет)


У тебя PEiD старый ! На самом деле ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ...
Попробуй stripper’ом ...

DFC :: Runtime_err0r .
У него похоже просто версия проги старая...А та, что щас лежит, ты указал какой AsPr...stripper спокойно ее берет.

VLOM :: SLV

Винда у меня как раз не глюкавая , Первая копия с ОРИГИНАЛА MS, хоть support требуй.
А распаковать всётаки в ручную хочу.Stripper-ом то она распаковывается,
но в ручника желательнее.

SLV :: VLOM пишет:
цитата:
А распаковать всётаки в ручную хочу


Запусакешь прогу в олю. Жмёшь No. F9. Проходишь все исключения по Shift+F9, далее Alt+F1 -› tc eip‹400000 -› enter и ждёшь. Потом окажешься на какой-то бредятине и жми ctrl+A и сразу пробел. Затем пару раз F8 и ты на OEP

DFC :: VLOM , ну если вылетаешь по bpm esp-4, тогда попробуй поcтавить bpm esp-24, раз ...цать клацаешься по F5 и смотришь когда окажешься в протекторе, потом еще 1 раз и должен увидеть то что хочешь.




FEUERRADER ASProtect 2.0 has been released...



FEUERRADER ASProtect 2.0 has been released http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)
DFC :: FEUERRADER пишет:

цитата:
Штампует как арму уже :)


Блин, запарил AS...

newborn :: FEUERRADER пишет:
цитата:
ASProtect 2.0 has been released


А как бы это добро скачать, мож кто поможет ? и выложит где небудь

FEUERRADER :: newborn
К вечеру, думаю, будет уже на васме - жди.

ilya :: когда же эта сука солод перестанет

Mario555 :: ilya пишет:
цитата:
когда же эта сука солод перестанет


А он не перестанет, он этим деньги зарабатывает...

-= ALEX =- :: весело. надо будет занятся им....

deep lamer :: -= ALEX =- пишет:
цитата:
весело. надо будет занятся им....


Сначала бы 1.31 осилил кто .. чего ж перепрыгивать то ?

GPcH :: FEUERRADER пишет:
цитата:
http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)


Солод мастер! Крут как всегда

-= ALEX =- :: deep lamer я лично уже его осилил без распаковки... так что смело перехожу на следующий уровень :)

AlexZ CRaCker :: -= ALEX =-
Когда справишся с v2, в about, в гритсах впиши солода! (Чтоб его инфаркт миокарда скосил)
---
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.

DFC :: AlexZ CRaCker пишет:

цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


Однозначно реагирует, и не токо на этом форуме. Еще в 2002-ом на реверсинг.нет я с этим столкнулся.

WELL :: Ну на васме уже можно скачать...

-= ALEX =- :: гы. солод-то молодец. но это тока с виду. код остался прежним %) итог - снова я пропатчил... нет чтоб ему заново весь код начальный переписать, именно код протектора и код распаковки... дак нет, какие-то извращенные ключики придумывает :) ну и флаг ему в руки...

Halt ::
-= ALEX =-

цитата:

так что смело перехожу на следующий уровень


Это не следующий уровень, а следующая серия в бееееесконечном бразильском сериале.
пошел смотреть

Danger :: Офтоп: Чувствую форум затихнет на время...

-= ALEX =- :: да я уже понял, что уровень тот же.... обидно :(

FEUERRADER :: Я что-то пропустил?
Где можно почитать/обучится патчиньем аспра нового?

DFC :: FEUERRADER .
Наврядли дождешься как и я...:(

ilya :: AlexZ CRaCker пишет:
цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз

Grim Fandango :: ilya пишет:
цитата:
мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз


Если бы и другие разработчики так делали, то жизнь бы малиной не казалась.

Aster!x :: -= ALEX =-
› дак нет, какие-то извращенные ключики придумывает :)

Твой патч устраняет возможную шифрацию кода?

Не нужно считать Солодовникова дураком.
Нормально заАСПротекченая прога ломается только с валидным ключём, так что только кардить ключики ;-)

Grim Fandango :: Aster!x пишет:
цитата:
› дак нет, какие-то извращенные ключики придумывает :)


Ну для него это наверное легче.

Halt :: Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили

Grim Fandango :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили


Го на protools.cjb.net. Смотри в новостях.

Halt :: Grim Fandango
спасибо

volodya :: ›Го на protools.cjb.net. Смотри в новостях.

Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.

Runtime_err0r :: На сайте автора (h**p://stenri.pisem.net/) оно как-то надёжнее
А вообще интересно, syd сумеет победить эту бяку или проект загнулся ???

Grim Fandango :: volodya пишет:
цитата:
Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.


иии? от того, что он с тобой работает на протулз его не будет? он там есть. вот и всё. =)

DFC :: Halt .
Вообщето со Sten’ом точно надо на прямую общаться :)

Grim Fandango :: DFC, так никто и не разъяснил про патчинг?

ilya :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает


олька хорошо прячется

DFC :: Grim Fandango .

цитата:
DFC, так никто и не разъяснил про патчинг?


Grim, ты видишь ни кто, мало того удалили мой последний пост...:(

DFC :: Grim Fandango .
Ты знаешь, может не в тему...каюсь...честное слово...
Когда ты задавал вопрос по патчмейкерам...для коллекции, я не стал отвечать, негодяй я такой :)
Вобщем сходи на www.hanmen.com
Там есть такая фича - как PatchWise Free, мне этот патчмейкер нравится, я давно в нем работаю, двойной интерфейс, поддержка многих языков, ну и т.д. сам почитаешь :)
Плюс - абсолютно бесплатный :)

Grim Fandango :: Едрить тебя в перец. Чего молчал? =)))
Пасиб.

правда 2.5 метра имхо многовато.

Mario555 :: Гм... странный какой-то этот «новый» аспр.

MozgC [TSRh] :: DFC
Что у тебя удалили? Пост или тему? Какое было содержание?

DFC :: MozgC [TSRh] .
Да ладно, фиг с ним, в данном случае я не в обиде...если товарисчи зохотят ответить, то ответ дадут.

-= ALEX =- :: где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31... очень надо. да и вообще любые проги с аспром....

MC707 :: -= ALEX =-
а самому запаковать?

-= ALEX =- :: MC707 паковал, патчил... не интересно. охота дело сделать, т.е. прогу сломать :)

SIM :: -= ALEX =-
http://desofto.com/myproxy.exe 850kb

Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит

ZX :: SIM пишет:
цитата:
Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит


она уже пропатчена и поломана недели три назад :)

SIM :: ZX пишет:
цитата:
она уже пропатчена и поломана недели три назад :)


Как раз 3 недели назад ее AsLoad патчил и Striper распаковывал, а щас ни тот ни другой и размер проги изменился (версия та же осталась)

GRADY$ :: Можеть кто знает как AntiDebugger ( ASProtector ) снять,
ато IsDebuggerPresent не берют...

SLV :: GRADY$ , www.xtin.org

GRADY$ :: SLV
Там только для старого ASProtector - а.

Ну всё же спасибо!

Halt :: Народ уменя IceExt 0.64 - непомогает от aspra последней версии, че делать-то
Debugger detected

sanniassin :: -= ALEX =- пишет:
цитата:
где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31


ISO Commander 1.4 смотрел (ASPR 1.31)?

-= ALEX =- :: нет. не смотрел. гляну.

CReg [TSRh] :: Halt
цитата из version history:

цитата:
- I decided to turn off most of the antidebugging protection by default.
Use !PROTECT ON command to turn it on when you need it.


Halt :: CReg [TSRh]
Санкс конечно, но I speek deutch
немецкий тоесть.
где бы перевод взять?

-= ALEX =- :: перевод «Я решил вырубить нах все антидебагерские фичи по дефолту. Юзай !PROTECT ON , чтобы включить эту фичу, когда тебе это понадобиться...»

Halt :: Санкс учу англицкий язык

bi0w0rM[AHT] :: Распаковать аспр 2.0 вполне реально, распаковка ничем не отличается от других версий. OEP найти точно так же. Правда при юзании опции Emulate standart functions возникнут проблемы. дофига же функций аспр поспирал себе! Просто весь код из kernel32.dll выудил :) так что надо как-то новый плугин делать! в конце концов там все шаблонно! :)) // все делал в Olly
2-=ALEX=-: а ты опять через API запатчил или как в патчере - с добавлением новой секции и другими извращениями? :)

ilya :: а я вот с олькой запарился уже!аспр там где должен быть переход на оепв сегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
OEP найти точно так же


Там OEP то в принципе нет, оно по аспру размазано...

bi0w0rM[AHT] пишет:
цитата:
так что надо как-то новый плугин делать!


Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?


стоп, не шуми! :) лучше вышли мне свою пакованную прогу.

ilya :: Mario555 пишет:
цитата:
Там OEP то в принципе нет, оно по аспру размазано


так и я про тоже.
ilya пишет:
цитата:
а я вот с олькой запарился уже!аспр там где должен быть переход на оеп всегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.


я с этим аспром *аебался уже!

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
лучше вышли мне свою пакованную прогу.


А зачем ?
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...
Потом уже запаковал другую прогу (PEBrowsePro), так вот её аспр уже по полной программе поимел :)
Этот PEBrowsePro на wasm’е есть, так что можешь оттуда скачать и сам запаковать. И наверно уж PEBrowsePro не единственная такая прога, которую аспр паковать умеет ;)

bi0w0rM[AHT] :: ааа!! я то паковал кракми, а ты сам аспр копал. Там-то мало че поделаешь, раз все обфускано. ты это имел ввиду?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...


вот!! и че ты делал с импортом?

ilya :: извеняюсь что не удержался
вот как я распаковывал crackme

Загружаем программу в OLLYDBG,
Нажимаем Shift+F9 29 раз и оказываемся здесь:

00926807 C700 7F0677B9 MOV DWORD PTR DS:[EAX],B977067F ‹--здесь стоим мы
0092680D FB STI
0092680E 2D F8868BEF SUB EAX,EF8B86F8

Снимаемся с Access violation.Ставим брейкпоинт(F2) на адрес 00926815
и нажимаем Shift+F9.Теперь идём по коду программы по F8

00926878 2945 F8 SUB DWORD PTR SS:[EBP-8],EAX
0092687B E8 18CFFFFF CALL 00923798

.
Нажимаем F7 несколько раз и оказываемся здесь

00B50000 BB 9A35A007 MOV EBX,7A0359A ‹--здесь стоим мы
00B50005 E8 10000000 CALL 00B5001A

Если сейчас нажать F8 то программа запустится а нам это
не надо.Поэтому нажимаем F7 на адресе 00B50005.И долго
идём по F7 пока не окажемся здесь

00B501A1 83E8 60 SUB EAX,60 ‹--здесь стоим мы
00B501A4 F2: PREFIX REPNE:
00B501A5 EB 01 JMP SHORT 00B501A8
00B501A7 F2: PREFIX REPNE:
00B501A8 2BC3 SUB EAX,EBX
00B501AA 5C POP ESP
00B501AB FFE0 JMP EAX ‹--переход на ОЕП
00B501AD 72 23 JB SHORT 00B501D2
00B501AF 37 AAA
00B501B0 0000 ADD BYTE PTR DS:[EAX],AL
00B501B2 0000 ADD BYTE PTR DS:[EAX],AL
00B501B4 0000 ADD BYTE PTR DS:[EAX],AL
00B501B6 0000 ADD BYTE PTR DS:[EAX],AL

по адресу 00B501AB переход на бешенный оеп и он всегда РАЗНЫЙ!!!

bi0w0rM[AHT] :: кстати, в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata... тоже самое было в альфаклок и в нем тоже все обфускано было.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata


В самом аспре ASPack ;)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
В самом аспре ASPack ;)


да что ты говоришь! :))

deep lamer :: Насколько я понял, aspr защищает импорт .exe по разному, в зависимости от какого-то условия (не опции). И если условие не выполнилось, то в aspr’е можно указать кажись «force adv. import protection».
Так вот если кому-то удалось распаковать его за 5 минут, то это от того, что юзался старый импорт (не advanced) + OEP
не был защищен. Есть догадка, что OEP при старом импорте вообще не защищается

bi0w0rM[AHT] :: deep lamer
старо защищенный импорт, говоришь? то есть импорт, который можно восстановить плугином и трейсером? неее. в моем кракмисе OEP тоже не защитился, мне это подозрительно было - вроде врубал опцию спертых байтов! так импорт там не старый. там почти все функции kernel32 сперты из него самого, полная эмуляция их короче! и тут плагин конечно же не помог, ну и трейсер соответственно. а в случае с полным obfuscation’ом(как в PEBrowse) лучше как -=алекс=- найти способ запатчить.

я такой obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны. Но адреса первых процедур(как там в делфе - Application.Initialize, Run и пр.) там были такие же, а в аспре вроде нет! надо бы еще смотреть.

Mario555 :: deep lamer пишет:
цитата:
юзался старый импорт (не advanced) + OEP не был защищен


Дык я об этом и говорю, только вот почему аспр так странно пакует - это не понятно...
Прога, которую аспр хреново защитил была обычная дельфи, а аспр выдал «File is probably already packed/protected!», и при этом запаковал со старым импортом (ну там конечно были переходники, но это правилось парой nop в цикле формирования iat), OEP было незащищено и даже размер файла неизменился.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
я такой obfuscation видел в ACProtect


Ну в ACProtect краденые байты выполняются в секции протектора, так что там это не проблема.
В аспре 1.30 тоже была obfuscation, но там краденые байты выполнялись хоть и вне exe, но обычным образом, а с версии 1.31 RC 05.18 они стали выполнятся через функцию интерпритатора - тоесть псевдокод :(

deep lamer :: Mario555 пишет:
цитата:
аспр выдал «File is probably already packed/protected!


Аа.. ну это то логично - уже запакован, значит импорт и OEP не пакуется и не защищается. Наверно aspr неправильно определил

цитата:
obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны


Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет

цитата:
через функцию интерпритатора - тоесть псевдокод :(


Да, какая-то мутная функция :( Хотя, в принципе, должно быть возможно ее всю (вместе с dll аспра) вырезать и вставить в последнюю/нокую секцию, поменяв у dll адрес загрузки на правильное значение

-= ALEX =- :: bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.

Mario555 :: deep lamer пишет:
цитата:
Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет


В аспре тоже можно... там в папке Examples лежит много всяких гадостей включая callmark UserBuffer, а про него в readme:

цитата:
The code fragment from this mark to the end of this function will be erased and replaced on the polymorphic analogue. ASProtect will change its content throw emulation (like for the EntryPoint Protection), so it will be impossible to restore or even to understand the work principles of the original code.


ну и про саму EntryPoint protection:

цитата:
this version EntryPoint protection uses a Virtual Machine, which makes the removal or recovering of original code practically impossible


bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.


извращения там по-любому есть. :)

bi0w0rM[AHT] :: 2-=ALEX=-: к примеру об извращениях - скажи, сколько раз твой патч перенаправлялся из аспра в твой код? :))

-= ALEX =- :: bi0w0rM[AHT] пожалуйста 4 раза.

bi0w0rM[AHT] :: охх :) 4 раза еще нормально. а ты там что ли checksum подтасовал или что? уж немного то поделись плззз!

-= ALEX =- :: bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...

-= ALEX =- :: :) мне кстати идейка восстановления CRC пришла чуть ли не во сне, прям как менделееву :)

Mario555 :: Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.
А вот с долбаным интерпритатором все гораздо сложнее... основа его функции находится в dll аспра, но оттуда идут обращения ещё к одной странице памяти...

bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...


и ваще, куда ты вогнал 233 байта? Везде, где много нулей, аспр проверяет, причем он шарит не по памяти процесса, а по самому файлу.

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.


это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?


Нет, это в случае где изначально нет iat, тоесть с максимальной защитой импорта.

-= ALEX =- :: bi0w0rM[AHT] вообще-то не все проверяет аспр... границы секций не проверяет, бери туда и пиши... а вообще пиши хоть куда, CRC ж потом восстановишь :)

rok :: Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.

bi0w0rM[AHT] :: rok пишет:
цитата:
Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.


wasm.ru.....

bi0w0rM[AHT] :: var nick=new Array(’DarKSiDE’,’Danger’,’бара’,’EGOiST[TSRh]’,’M ozgC [TSRh]’,’SerGik’,’Ри’,’Mafia32’,’Styx’,’specz’,’[C hG]EliTe’,’bUg.’,’Grim Fandango’,’MC707’,’odIsZaPc’,’Kerghan’,’-= ALEX =-’,’Mario555’,’dMNt’,’KLAUS’,’Runtime_err0r’,’ily a’,’GL#0M’,’[RU].Ban0K!’,’ViViseKtor’,’AlexZ CRaCker’,’DillerXX’,’XoraX’,’WELL’,’CReg [TSRh]’,’FEUERRADER’,’RottingCorpse’,’SLV’,’CHEST’ ,’Halt’,’GPcH’,’TITBIT’,’sanek’,’Bad_guy’);

AlexZ CRaCker :: Прикольно

Grim Fandango :: ээээ, это что такое?

SGA :: люди на форуме, у которых есть аватары.

bi0w0rM[AHT] :: дада :))) пароль я знаю.

The DarkStranger :: мдя темку то закрыли похоже ы мдя так и не разобравшись с protect oep алЯ вирт машина
в опревых oep не размазанно и вся главная ветка легко востанавливается во вторых а че сехи отубили в этом аспре ??? ну нету чтоли seh хиадер или чето там ???
странно я с этим больше всего в 1.3 долбался даже прогу писал ....

Mario555 :: The DarkStranger пишет:
цитата:
вся главная ветка легко востанавливается


Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ? :)) Хотя вот написать аналог этой функции и подсовывать ей только специфичные для каждой проги данные было бы наилучшим вариантом...

The DarkStranger пишет:
цитата:
а че сехи отубили


Угу, они видать работу проги сильно тормозили.

The DarkStranger пишет:
цитата:
долбался даже прогу писал ....


Гм... я функцию обработки и таблицы из аспра рипнул и обработчики на них перенаправил.
А как там вообще можно прогу написать ? ведь в таблицах есть «левые» адреса... или ты анализатор кода написал ?

The DarkStranger :: Mario555 пишет:
цитата:
или ты анализатор кода написал ?


угу
Mario555 пишет:
цитата:
Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ?


востановить все байты
Mario555 пишет:
цитата:
Угу, они видать работу проги сильно тормозили


хз хз .....
в общем мое имхо надо делать так чтобы после распаковки файл стал как до упаковки !!!

Mario555 :: The DarkStranger пишет:
цитата:
востановить все байты


Ну не знаю, у меня на прикрепление секций уйдёт 10~20 минут, а байты восстанавливать явно дольше, хотя конечно это красивее и правильнее.
Функция вообще мутная какая-то... вот например за что в ней цикл отвечает ?




Alton Поиметь Traffic Inspector... Уважаемые специалисты! Кто-то пытался...



Alton Поиметь Traffic Inspector... Уважаемые специалисты! Кто-то пытался поиметь такую софтину, как Трафик Инспектор? Уж больно хороший это прокси-сервер. Офсайт проги http://www.smart-soft.ru.
Разработчики проги правда очень быстро меняют билды... Когда была версия этой проги 1.0.0.98 уважаемый Madness [KpTeam] написал под нее кейген.
С тех пор много воды утекло... и ни кто не берется полечить эту софтину, говоря, что мол гимора много. Я слышал что в этой проге для защиты исп. StarForce...
Какие будут соображения по реализованной защите в этой проге и как ее поиметь?
TITBIT :: Написал бы что вархив занимает свыше 10 метров

WELL :: Alton пишет:
цитата:
Я слышал что в этой проге для защиты исп. StarForce...


Это как ???

MC707 :: WELL
Есть такой новый софт, называется StarForce ProActive. Протектор. Пока никто его достать не может, чтоб хотя бы посмотреть на него. Хотя насчет этой проги я что-то не уверен, что в ней именно он используется.

newborn :: MC707 пишет:
цитата:
Есть такой новый софт, называется StarForce ProActive. Протектор. Пока никто его достать не может, чтоб хотя бы посмотреть на него.


Есть одна мысля насчёт его ,через пару дней или может завтра скажу смогу достать её или нет... , а тогда можно и поковырять её...

SLV :: WELL пишет:
цитата:
Это как ???


www.starforce.ru/

nice :: MC707
Именно этой гадостью запакован, у меня система стала виснуть после этой дряни, эта защита устанавливает драйвера в системе...
Madness говорил, что практически разобрался с генерацией к новой версии

WELL :: А я думал, что старфорс только для защиты СД...

newborn :: WELL
Почитай на досуге
http://www.nrp.nm.ru/StarForce.txt

Madness :: Alton
Я седня добрый - у тебя чуть менее суток чтоб сообщить мне код и привязку новой версии проги, сделаю ключ.

nice
Старфорс очень мешается, собака.

Alton :: Madness, в смысле ключ для привязки ТИ к конкретному АйПи на конкретной машине?

Alton :: Madness, в смысле ключ для привязки ТИ к конкретному АйПи на конкретной машине? Не кейген?

Alton :: Madness, если я правильно понял, то сообщая данные для триал-активации на 30 дней ТИ 1.0.0.106...

Код продукта:
DD2883B7-76D2-4C80-94DB-8103BEBAFD70

Привязка:
A431F7A804361506254EB80835D434A4C5492576

Код активации
B714604AC1BE6BB27322F16DE005CCD5241AD765

Madness :: Alton
›если я правильно понял
Я что то непонятное сказал? ;)

479AC97EECBA330921F51F41142B5A8618DCF9D9

Alton :: Madness, большое Вам спасибо за ответный код, попробую....

Alton :: Madness, большое Вам еще раз спасибо! Все отменно работает!!!




MaZaFaKeR Вопрос Dr.Golov’e... Как я понял, ты работаешь на Каспера и должен...



MaZaFaKeR Вопрос Dr.Golov’e... Как я понял, ты работаешь на Каспера и должен знать ответ на мой вопрос: за каких }{уе м заносят в базу эксплоиты и клиенты бэкдурей? Ведь ни те, ни другие деструкции (на сколько мне известно) не несут...
SLV :: MaZaFaKeR пишет:
цитата:
эксплоиты и клиенты бэкдурей? Ведь ни те, ни другие деструкции (на сколько мне известно) не несут...


Со сплоитом хаЦкер может получить Root-Shell и принести деструкции, больше чем вирь.

nice :: MaZaFaKeR
Вирус не всегда несет в себе деструктивные ф-ии, возьми к примеру некоторых почтовых червей которые проникая в систему рассылают себя и этим просто убивают траффик...

infern0 :: проявление недобросовестной конкуренции - напишешь прикоьлный протектор, который каспер недектирует - сразу получишь место в hacker tool а отмазка будет звучать так, что типа с его помощью можно вирусы и трояны прятать. Смешно.

MC707 :: Вот у меня тож есть вопрос... базы обновлений почему-то не увеличиваются, а уменьшаются, а по идее должно быть наоборот... :) Вернее не вся база, а именно конкретные файлы.

SLV :: nice пишет:
цитата:
Вирус не всегда несет в себе деструктивные ф-ии


А нервы

MaZaFaKeR :: Абсолютно согласен с infern0

MC707 :: Даешь аспр с армой в базы каспера :)

TankMan :: MC707
Я за! Вот было бы круто! :) сразу каталог указываешь на проверку и «лечишь» лечишь лечишь... :)....

Zak[ZxTeam] :: Ну а в общем раньше прокатывало трои аспром защищать - и каспер не видел ( ну прокатывало с LD v 2.6)! А ЩАС orien канает!!! Каспер до сих пор не видит!!!
А ОРИЕН ЕЩЕ НЕ В БАЗЕ! Млин... занести бы надо(заодно аспр 2.0)!

fuck it :: это политика компании

Dr.Golova :: › Даешь аспр с армой в базы каспера :)

Спокойно, все будет. Obsidium уже там =)
А на вопрос про эксплоиты и клиенты за меня уже ответили.

ssx :: может и анпакер встроите, чтобы людям прще жилось? :)

Dr.Golova :: › может и анпакер встроите, чтобы людям прще жилось? :)

Так он и встроен в unpack.avc тока кнопочка «сохранить на диск» есть не у всех ;)

MC707 :: LOL

Black Neuromancer :: Да уж, темка прикольная получилось - посмеялся вдоволь

ssx :: Dr.Golova пишет:
цитата:
Так он и встроен в unpack.avc тока кнопочка «сохранить на диск» есть не у всех ;)


хм. надо посмотреть. труды z0mbie все еще применимы к вашему творению?

Noble Ghost :: Dr.Golova пишет:
цитата:
тока кнопочка «сохранить на диск» есть не у всех ;)


FIX THIS GNUSNIY BUG!!!






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS