Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



XoraX вопрос про аспротект привет усем!



XoraX вопрос про аспротект привет усем!
объясните пожалуйста принципиальную разницу между аспр 1.2 и аспр 1.2 [new strain].
почему 1.2 распаковывают унпакеры, типа каспр и stripper, а нью стрейн не могут распаковать?
Guest :: Вообще у ASProtect много модификаций , которые различаются по способу криптования.

MozgC :: [new strain] это начиная с версии 1.23 по-моему.
А 1.2 он всегда просто 1.2

1.2х не распаковывается автоматическими распаковщиками потому что там добавлены дополнительные приемы, усложняющие распаковку и делающие автоматический анализ очень сложным.

Вот отличия, которые первым делом приходят в голову:

1) Улучшенная защита от отладчика
2) Кража байт с OEP
3) Эмуляция Windows API функций, а не простая замена адресов функций адресами переходников
4) Случайная распаковка тела аспра (разные адреса) (более новые версии)
5) Разное замусоривание краденных байт в зависимости от компилятора (более новые версии)

Это наиболее яркие отличия. Еще версией отличаются =)

Может кто дополнит...

MoonShiner :: А еще, правда глубоко не копал, в некоторых аспрах - юзание в своих целях отладочных регистров, а не просто их сбрасывание.

test :: stripper 2.03 - Распаковщик аспр аспр1.2 [new strain] - в том числе.

MozgC :: новые версии нифига не распаковывает

Guest :: MozgC, красивая надпись! А новые версии точно не распаковывает!

MozgC :: Не хочу никого обидеть, но по-моему это как-то стренмо использовать автоматические распаковщики. Неужели самим не интересно распаковать? Это пойдет только на пользу, прибавит опыта.

vins :: Для MozgC: Мы и сами бы распаковывали если где нибудь, можно было бы прочитать как это делать

MozgC :: Ну например смотри статьи у Хекса на сайте, еще вроде на крэклабе ну и жди моей мегастатьи =)

vins :: Для MozgC: а долго?

MozgC :: я уже начал писать, попытаюсь разжевать просто абсолютно все, но все равно распаковка там нелегкая... А готово будет примерно через неделю или позже.

XoraX :: я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.
может ты сможешь объяснить с более понятными вещами....

MozgC :: если без апимона, то
1) остановись на EP
2) поставь бряк "bpm esp-4"
3) жми 2 раза F5
4) Там будет вроде jmp xxxxxx, вот xxxxxx - это и есть OEP. Цикли на этом jmp программу, снимай дамп и дальше по статье...

freeExec :: XoraX

цитата:
я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.


Незнаю откуда ты ее качал, но то что я выкладывал, один в один чем пользовался я.

XoraX :: 2 MozgC: отсюда вопросы:
1. Как словить EP ?
2. Я нашел OEP у проги с помощью PeInform 1.0 by FEUERRADER. Она показала 008D4C9C. почему не 004xxxxx и верна ли такая информация? Спс заранее.

XoraX :: И еще:
3. Как зациклить на OEP?

MoonShiner :: Стал на точке, в которой хочешь забабахать цикл. пишешь в айсе "a eip", затем "jmp eip". При необходимости затертые байты можешь потом вернуть на место.

MozgC :: 2XoraX
Ладно, почти все твои вопросы уже есть в FAQ’e - жди =)

XoraX :: только побыстрее, побыстрее бы.....

MoonShiner :: Скоро только кошки родятся:)




DiveSlip Этот вопрос, конечно, уже затерт донельзя, но... Может кто знает хоть



DiveSlip Этот вопрос, конечно, уже затерт донельзя, но... Может кто знает хоть какую-нибудь ссылку, где скачать SoftICE из DriverStudio 3, или сам DriverStudio 3. Я нашел только один китайский (японский или корейский, кто знает) http://www.driverdevelop....com/download.php?sortid=5, где вроде бы можно скачать эти злополучные (для меня) инструменты, но там требуется пароль (который я, понятное дело, не имею).
LT :: Вот тут или вот тут. Без разницы откуда будешь качать, она лежит в одном месте, просто в первом варианте можно не найти - долго грузится страница. Да..качать FlashGet’ом, иначе не сможешь получить доступ к файлу.

DiveSlip :: Мда, 62 метра, умереть можно.

DiveSlip :: LT: огромное спасибо.

LT :: Ну дык там по частям. Можешь сегодня часть, зафтра часть и т.. :)

nice :: DiveSlip
Можешь не качать, не поможет :(
Я уже пол дня трахаюсь, не могу эту гадину DS2_7 завести и DS3_0 пробовал...
Все патчи поперепробовал, одна фигня: Айс активируется по Ctrl+D а окно не прорисовывается, как был рабочий стол, так и остался( только bet’у 2 не пробовал) :((((((
Dx переставлял, переставлял дрова, все бесполезно.

Правильно народ говорит, надо ХР без сп.1 ставить.

Вот ссылки:
http://reversing.kulichki...es/debug/nticexppatch.rar // убирает проблему с видео прорисовкой :)))
http://cracktools.palm-uae.com/files/patchxp.zip // Айс начинает БП ставить, при этом надо заметить, что в winice.dat
// должна строчка стоять: NTSYMBOLS=ON

Вот айсы 2_7(Small):
http://MozgC2.nm.ru/files/SI%20from%20DS27.zip
http://reversing.kulichki...iles/debug/sinstallnt.rar

//Вот здесь лежит порезанный ХР+реги, реги-некоторым помогали решить проблему с БПоитнами
http://kiev-security.org.ua

Вот ещё цитата с wasm.ru:
Очень признателен Insanio, который натолкнул меня на эту мысль. Перейдем к главному: я воспользовался windows update:) Т.е. на свой СП1 я поставил все постфиксы, предлагаемые виндовым апдейтером. До апдейта у меня была версия 1080 (билд 2600), после - версия 1151 (билд тот-же ес-но). Выкачивание постфиксов по _плохонькому_ диалапу заняло порядка 2 с половиной часов. Так что это вполне реально.

Единственное 4_05 ставить не пробывал...

DiveSlip :: Не понял я тебя nice, у меня лично Windows XP с Service Pack 1 и Driver Studio 2.7, окно Айса нормально прорисовывается, все ОК (даже скролл работает так как надо), только вот не пишет он LastBranchIp и все тут, только в этом у меня проблема.

MoonShiner :: Могу вечером дать линка на ДС 3.0. 90 мегов, чел говорит, что нормальный.

nice :: DiveSlip
У меня DS2_7 не работает :(, окно не прорисовывается

Но я поставил айс 4_05+patch и все заработало
http://reversing.kulichki...es/debug/nticexppatch.rar

nice :: MoonShiner

Driver Suite
или
Driver Studio?

3acpaHeLI ::
насчет msr ов это оказывается отладочные регистры процессора инфа есть здесь
http://www.cs.inf.ethz.ch...r/lab/doc/intel-part4.pdf
тока как их подключить или считать? x z

MODEL-SPECIFIC REGISTERS (MSRS)

hex dec rgistr name Bit Description

1D9H 473 DEBUGCTLMSR 0 Enable/Disable Last Branch Records

1DBH 475 LASTBRANCHFROMIP
1DCH 476 LASTBRANCHTOIP
1DDH 477 LASTINTFROMIP

Che :: Знаю что AlexSoft выпустил «Начинающему программисту: Ассемблер»
Название конечно интересное, но типа у них такая серия :)
Так вот на нем есть
COMPUWARE SOFTICE DRIVER SUITE V3.0
DATARESCUE IDA PRO 4.5.0.762
DATARESCUE IDA PRO SDK 4.3.0.735

Насчет работы.
SI работает. Только как то странно. Для того что бы заработал bpx в программе надо ее запустить
птом указать addr [pid_программы]
после чего ставить bpx.
Если этого не делать нефига не срабатывает. Для раних версий в 98 это не наблюдалось.

nice :: Che
А IDA 4.5.0.762 колько весит?

MozgC :: Che
Если ты ставишь bpx на адрес, а не на имя API функции Windows, то так и должно быть

MoonShiner :: Driver Studio 3.0
http://www.0daycn.net/0da...dvHoNGoGxcvHvG&key=sxdown
флэшгетом или регетом... Но ногами меня не пинать, сам не качал, хотя чел говорит, что нормальный.

DiveSlip :: Спасибо за информацию. Я тут провел следственный эксперимент. Установил Windows XP без Service Pack 1 на два разных компьютера (один мой с Hyper Threading, другой моего лучшего друга - он без HT) с одного и того же диска, также установили Driver Studio 2.7. Эксперимент показал, что у моего друга Айс работает нормально, а у меня нет, на основе этого я пришел к выводу, что все мои проблемы с Айсом из-за «железа». То есть теперь остается только два пути: застрелиться (и больше не мучаться) или подождать, когда компания NuMega выпустит очередную версию Driver Studio, которая будет работать у меня. Я еще молодой, поэтому застреливаться не хочется (да и нечем), придется ждать. Еще раз большое спасибо за информацию и вашу помощь.

MozgC :: Ну не верю, не верю в то, что это из за HT

3acpaHeLI :: мля а уменя то ведь не HT тоже мастая переставлял с разными вариантами и ни туя не могет сосулина показывать мсэры то.
DiveSlip а у другана какой проц то хоть стоит?
я ужо тоже все пробывал ниче не помогает может насамом деле и зза проца мож че поменяли интеловцы спецон что б проги их ограниченно ковыряли :)
вобщем хyz знает что делать :(

DiveSlip :: Проверяли мы на Селероне, все работает четко. Еще проверял на своем дохлом Pentium 2 266, тоже работает, но ХР не летает, а ползает еле-еле, работать сложновато. Да и к тому же половина оборудования не поддерживается.

3acpaHeLI :: да похоже p4 бреется с msr ами

freeExec :: Долой Intel, все за AMD

LT :: Засранец, что делает Пентиум4? А то я собрался брать новый комп на Пент4 3.2 или 3.0, не дай бог в нем софтайс работать не будет.

Короче, сейчас у меня Селерон 600, видюха нвидиа GF2 MX/MX 400 (дрова предпоследние)(в софтайсе ставлю Universal Driver), оська ХР PRO SP1 + все обновления(не летает конечно, но и не ползает - форматирую раз в месяц т.к. дефрагментация не спасает) и у меня DS 3.0 нормально пашет.

LT :: Еще, как вариант, предлагаю вам завести осла (eDonkey) и скачать оттуда DS 3.0.1, кто-то здесь мне говорил, что там убрали какие-то баги, которые присутствовали в версии 3.0 (хотя по моему это просто полный диск). Вес этого архива 121Мб (только не надо делать такие глаза , я сам качал 12 или 14ч. по диалапу, хотя у меня и версия 3.0 нормально работала). Вот.

3acpaHeLI :: да а у меня и DiveSlip а на p4 с маздаем XP с sp 0 и sp1
не работают ни туя msr ы LastBranchFromIp и LastBranchToIp ни в ds 3.0 ни в 2.7. короче полный пипец :(

3acpaHeLI :: 2 LT
да это пожалуй единственное что осталось сделать

DiveSlip :: Мда, я сейчас качаю SoftICE из DriverStudio 3 (62 метра), уже 42 мега скачал, выходит напрасно? И не хочу показаться полным лохом (а может я им и кажусь), что такое: «предлагаю вам завести осла (eDonkey) и скачать оттуда DS 3.0.1»? Что такое DS 3.0.1 я понял.

3acpaHeLI :: да это прога такая eDonkey рыщет по чужим компам и типа каждый может выложить проги удобно искать то что нужно но долго качать

LT :: DiveSlip, докачивай, потом иди на сайт этого форума, там вот эта статейка, настраивай все и потом скажешь. Да..файл winice.dat в ХР находится в \Windows\System32\Drivers, а так делай все также как там описано.

DiveSlip :: Хмм, 18 лет живу, 6 месяцев Айсом пользуюсь, никогда бы не подумал что файл winice.dat в ХР находится в \Windows\System32\Drivers .

LT :: Ну вдруг не знал, начнутся вопросы Стараюсь опережать события :)

DiveSlip :: Спасибо за заботу

MozgC :: DiveSlip пишет:
цитата:
мм, 18 лет живу, 6 месяцев Айсом пользуюсь


Врешь, подлец, 3 месяца айс пользуешь =))))

DiveSlip :: Я его впервые в апреле 2003 года установил. Версия 4.05 для Вин98. Правда я еще не знал как им пользоваться, читал Руководство и статьи. А активно его использовать начал в конце мая-начале июня.

MozgC :: И больше не обманывай!

DiveSlip :: А кого я обманул?

Che :: to nice
А IDA 4.5.0.762 колько весит?
11.2 Мб

Да я ошибся...
Не AlexSoft выпустил, а CDBoom
Что то у меня законтачило ;)

nice :: Che
Это демо ломаная, там половины функций нет :(
такой с www.ttdown.com скачать можно...

DiveSlip
Да железо для Sice оригинально :)))
Мне надо свой Ti4200 выкидывать и ставить STrio 64+(на ней точно пашет)
Никто товарищи не желает разменяться :)))))

Che :: to nice
Чистое любопытство.
а сколько весит полная ?

nice :: Che
Я к сожелению не являюсь счастливым обладателем
Думаю мегов 50

MozgC :: Есть возможность купить полную... может получится...
Молитесь =)

nice :: MozgC
Я на www.kpnemo.ru встречал интересную мыслю:
скидываться кучей и покупать какую-нибудь софтину

DiveSlip :: Блин, все-таки зря я качал эти гребанные 62 метра, все равно нормально Айс не работает. Черт!

3acpaHeLI :: я сегодня пробовал ds 2.7 на pIII win2000 все пучком

DiveSlip :: А может у кого-нибудь Пень4 и Айс на нем работает?

3acpaHeLI :: да да люди у кого p4 winXP и аис дружат отзовитесь

DiveSlip :: Для 3acpaHeLI: MozgC тут мне посоветовал. Поразмышляли и решили письмо написать компании NuMega, может они что-нибудь предложат.

3acpaHeLI :: дык ведь ето как его надо наверно для начала сосульку купить чтоб ответили или как?




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




AlexZ CRaCker Голосование: Какой Ваш основной ЯЗЫК(програм.)



AlexZ CRaCker Голосование: Какой Ваш основной ЯЗЫК(програм.) ­SavagE'MsFUCK'UnKnOwN'-=atol=-'Dragon'DillerXX'Kerghan'Styx'Kot'MoonShiner'Nitrogen'AlexZ'PalR'WELL'Gen0cide'Bishop'1899'infern0'Gloomy'xpusik'Гость'Perch'Dred'Xedfr'bi0w0rM'ozzman'ADo'FenechkA'­Я - ДЕЛФИец (Pascal)'9
С/С++'5
Asm'12
Basic(серьезно)'
Basic(учусь)'
Fortran'
Perl'
web-языки'
Русский, кое как...'2
­Интересно узнать, какие языки юзают крэкеры. ­
Noble Ghost :: Были бы чекбоксы, я бы проголосовал... Даже если взять основной, то сложно выбрать между сями и асмом.

dMNt :: русский/английский/матерный

XoraX :: вопрос крайне некорректный.
основной язык программирования для крэкера - асм.
но кодить на нем серьезные проги - неудобно.
беру дельфу.
я если вздумается пагу в интернете забахать, то придется браться за PHP.

основного языка не выделить, тк они грубо говоря предназначены для разных целей.

конечно же это все ИМХО.

MC707 :: AlexZ CRaCker пишет:
цитата:
Интересно узнать, какие языки юзают крэкеры


никаких, даже асм

AlexZ CRaCker :: Noble Ghost
XoraX
Ну, чекбоксов нету... ничего не поделаю...
Может поправить вопрос на: «Какой Ваш любимый язык (на котором прагу состряпать - удовольствие)?» (правда тогда обнулится счётчик.) Или ваще удалить, если никому не нравится(подскажите как это сделать).

И что такое «ИМХО» - какое-то сокращенье матных слов?

AnteC :: И-ин М-май Хембл Оппинион (по моему скромному мнению)

[RU].Ban0K! :: Хм... основной язык...
Да вООбщем нет основных то, взависимости от задачи...
Вот недавно надо было прогу для обработки AT сотового, написать быстро... VB6!
Тесты на работу порешить... Delphi6!
Сайт.. PHP!
Проги для мобильников... только Java2ME
А так для дела... FASM,TASM...

AlexZ CRaCker :: Да, внатуре неподумал над вопросом... Ты прав, «профессионального» языка нету, всё по задачам.
Как удалить этот опрос?

[RU].Ban0K! :: AlexZ CRaCker пишет:
цитата:
Как удалить этот опрос?


Нужно ли?

Никто на Java2ME не писал (пишет)?

AlexZ CRaCker :: [RU].Ban0K! пишет:
цитата:
Нужно ли?


А что, опрос разве не - дерьмо/ОМЬРЕД?

XoraX :: AlexZ CRaCker пишет:
цитата:
подскажите как это сделать


Первый пост -› Правка -› Удалить сообщение -› Отправить

Raw :: QBASIC, адназначна =)

[RU].Ban0K! :: Raw пишет:
цитата:
QBASIC, адназначна =)


Ага... как-то даже пробовал на нём вирусняк писать... неполучилось

KLAUS :: Сам код на asm, а всё визуальные примочки можно на Delphi сделать.

WELL :: KLAUS пишет:
цитата:
Сам код на asm, а всё визуальные примочки можно на Delphi сделать.


Согласен абсолютно...

Gen0cide :: ASM однозначно!

Dragon :: Код можно на асме, а визуально всё в редакторе ресурсов, например в VC++, а Delphi сойдёт по моему так для обучения, вместо VB, а что-то серьёзное надо писать на асме, VC++ или в C++Builder если быстро надо.

Gloomy :: Если время позволяет лучше всего писать на АСМе, если нужно быстро - тогда Дельфи.

MozgC [TSRh] :: Я вообще не считаю себя путевым кодером, во всяком случае когда я начинаю разговаривать с действительно путевым кодером, типа Funbit’а =)
А вообще пописываю на Asm, Delphi, начал учить PHP, хочу удалить Delphi и вернуться к C++ Builder.

Dragon :: хочу удалить Delphi и вернуться к C++ Builder
Вот, правильное решение

Гость :: Dragon пишет:
цитата:
хочу удалить Delphi и вернуться к C++ Builder


Почему?

SedHg :: Основным языком крэкера является асм. Крэкер без знания асма - это нуль без палочки.
Причем не на уровне знания отдельных команд, а с приличной практикой написания на нем
программ.
Если уходить от темы реверсинга, то ,IMHO, если нужно быстро написать программу приличной
сложности, не обращая внимания на её размер и быстродействие, то Delphi лучший инструмент.
Если время не поджимает, и вы в одиночку не собираетесь написать что-то типа Word’а, и при этом
хотите максимум быстродействия и минимум размера, то тут два конкурента С и асм(точнее MASM).
Хотя, у этих языков разная «весовая категория», все таки C - это язык высокого уровня.
Ну и на последок, золотой серединой является MS Visual C++. Так что, для каждой цели свои методы.

P.S. Я, лично, на заказ пишу на Delphi, для себя - на MASM’е.

››QBASIC, адназначна =)
Я думал уже никто не помнит это «божественное убожество» =).
››никаких, даже асм
Это тебе бабушка на ночь рассказывала :-)

Kerghan :: SedHg пишет:
цитата:
Крэкер без знания асма - это нуль без палочки.


да нихрена подобного, для рядового взлома shareware достаточно знать основные команды(j**, call, push, mov, ну и еще от силы десяток), хотя конечно знание асма значительно увеличивает производительность и скорость взлома

[RU].Ban0K! :: Dragon пишет:
цитата:
хочу удалить Delphi и вернуться к C++ Builder
Вот, правильное решение


по мне так всё наоборот... Знаешь C++ пиши на VC.

AlexZ CRaCker :: Какой язык мне учить? Нврно возьмусь за ДЕЛЬФИ.
Ато я года 2 назад, после изучения основ на Бэйсике, купил книженцию «Borland C++ 5 для чайников», ничему не научился, ессно.
Вывод: Иль книга - говно, иль язык(что маловероятно).
ЗЫ Самые кульные книги - «Самоучитель работы ...» Авторы: братья Тайц(да, вроде Тайц)

Dragon :: [RU].Ban0K!
Ну да, VC лучше чем BCB, но ведь если надоедает Delphi и хочеться на нормальный язык перейти, то легче будет на C++ Builder перейти, чем сразу на VC, IDE одинаковое.

AlexZ CRaCker :: Dragon
Опа, дык есть разница между BCB & VC? (Я думал С++ - он и в Котосранске С++)
Наверно, возьмусь за Делфи, не зря его в курс информатики включили(Делфи - это же Паскаль?)

Dragon :: Да, делфи это паскаль, поэтому советую заняться C++ и лучше VC.

Gloomy :: Dragon
Мне в C++ Builder не нравится сочетание С++ с идеей быстрой разработки - ну никак они не вяжутся. Почему например нельзя просто написать:

Label1-›Caption = «Gloomy is real cool» + » mega-cracker :)))»;

а нужно писать что-то типа

char szBuff[100];
strcpy(szBuff, «Gloomy is a real cool»);
strcat(szBuff, » mega-cracker :)))»);
Label1-›Caption = szBuf;

Ясен пень что С++ велит так писать но для среды бЫстрой разработки программ это выглядит несколько дико. В VC++ все более сбалансировано - такого продвинутого редактора ресурсов как в C++ Builder нет, но зато по крайней мере сам код как-то больше подходит к внешнему виду среды разработки. У Дельфи в этом смысле проще, там все четко сбалансировано. На одном из программерских форумов была очень длинная ветка про то что можно написать на Дельфи и нельзя на С++ и наоборот - в итоге пришли всего к паре-тройке таких примеров, причем эти примеры были далеки от жизни и скорее являлись теоретическими наглядными пособиями, не находящими себе применения в жизни (или очень и очень редко используемыми только для специфических задач). C++ Builder следует рассматривать только как промежуточный этап при изучении С++ и переходе на VC++ - то что в нем проще и быстрее писать чем в VC++ с этим полностью согласен.

Все это ИМХО конечно.

З.Ы. А еще C++ Builder по сравнению с Дельфи дико тормозит на одном и том же компе и в одинаковых условиях работы - пробовал С++ Builder 6 и Дельфи 6: Билдер и грузился дольше, и проект (a-la «Hello world!») компилировал дольше а когда при быстрой прокрутке текста Билдер падал, частенько унося с собой Винду (2000) я не выдержал, снес его и поклялся на книжке «Советы программистам на Дельфи» никогда его больше не ставить

Dragon :: Почему например нельзя просто написать:

Label1-›Caption = «Gloomy is real cool» + » mega-cracker :)))»;

Как это нельзя, как раз так то писать можно, там в классе AnsiString есть сложение строк.

Ясен пень что С++ велит так писать но для среды бЫстрой разработки программ это выглядит несколько дико. В VC++ все более сбалансировано - такого продвинутого редактора ресурсов как в C++ Builder нет, но зато по крайней мере сам код как-то больше подходит к внешнему виду среды разработки. У Дельфи в этом смысле проще, там все четко сбалансировано. На одном из программерских форумов была очень длинная ветка про то что можно написать на Дельфи и нельзя на С++ и наоборот - в итоге пришли всего к паре-тройке таких примеров, причем эти примеры были далеки от жизни и скорее являлись теоретическими наглядными пособиями, не находящими себе применения в жизни (или очень и очень редко используемыми только для специфических задач). C++ Builder следует рассматривать только как промежуточный этап при изучении С++ и переходе на VC++ - то что в нем проще и быстрее писать чем в VC++ с этим полностью согласен.

Вообще то на C++Builder можно писать всё, что можно на Delphi. В том же Delphi вроде как невозможно напрямую к памяти обращаться. Вот то, что надо на VC++ переходить, то согласен, там и компилятор качественнее и нет скрытого кода, и к тому же проги получаются в 10 раз меньше, чем на Builder. Я лично вообше заменителем пользуюсь - Intel C++ и как редактор ресурсов Resource builder, просто так всё полностью под контролем. Единственное что вместо простых обработчиков приходиться процедуру сообщений делать, но всё равно быстро привыкаешь.

Недостатком IDE отличных от Delphi и C++ Builder - хреновые редакторы ресурсов, вот довели бы хотя бы этот Resource builder до такого уровня и всё, про продукцию Borland можно забыть

З.Ы. А еще C++ Builder по сравнению с Дельфи дико тормозит на одном и том же компе и в одинаковых условиях работы - пробовал С++ Builder 6 и Дельфи 6: Билдер и грузился дольше, и проект (a-la «Hello world!») компилировал дольше а когда при быстрой прокрутке текста Билдер падал, частенько унося с собой Винду (2000) я не выдержал, снес его и поклялся на книжке «Советы программистам на Дельфи» никогда его больше не ставить

Ставь C++ Builder 5 а не 6, тот не падает. А компилирует он дольше из-за слишком кривого линкера. Вот link.exe от MS на порядок лучше будет.

AlexZ CRaCker :: Dragon
Че-та Вы меня запутали малость...* Можно конкретно сказать, че из них дермо(сорри):
Delphi
Microsoft Vizual C++
Borland C++
* Поеду на днях наверно за книженцией по ДЕЛФИ.
Dragon пишет:
цитата:
Да, делфи это паскаль, поэтому советую заняться C++ и лучше VC.


Ну, не только же из-за компилера? Чем плох Паскаль?

P.S. Подскажите КУЛьные книжки по Делфику. (Серию »... для чайников» не предлагать!)

Dragon :: AlexZ CRaCker
По мне отстой - Delphi, BCB так средне(компилятор хреновый, но хорошее IDE и это хотя бы C++), нормально это VC++. И паскаль не советую учить, C лучше. Кто хорошо владеет C, тот обычно паскаль не переваривает, и учить его не посоветует.

[RU].Ban0K! :: C++ по сравнению с паскалем, монстР просто..., но зная и то и другое пишу на Delphi, так как быстрее выХодит...
Dragon пишет:
цитата:
BCB так средне(компилятор хреновый, но хорошее IDE и это хотя бы C++)


Компилятор отбивает всё желание писать на C++, IMHO...
Самое интересное конечно же Асма... вроде как трудно, а на самом деле всё просто...

Noble Ghost :: Полностью согласен с Dragon’ ом. Поверь моему личному опыту: я целый год(!) писал на паскале. Невозможно передать словами, как сейчас мне жалко времени, потраченного впустую... Ещё полгода я потратил на BCB5 (не ругайтесь на долгие запуск и компиляцию! Вы не работали с этой хренью на К6-2 225 с 16 метрами оперативки и убитым винтом). Сейчас я пишу небольшой проект на Масме и ещё один на VC(выполнение учебного плана :)
К Билдеру я не вернусь. ИМХО, это тот же Дельфи, только синтаксис другой. Блин, мою мысль уловить сложно, но я советую учить С++. Потом ещё спасибо скажешь. А книжки -- by Stroustrop. Плюс (если абсолютно не знаешь приёмов кодинга под винды) сайты, типа RSDN и книжку по VC6.0 (ни назвния, ни автора не помню, но знающие люди весьма лестно о ней отзывались -- поспрашивай у народа, может кто чё слышал)

[RU].Ban0K! :: Noble Ghost пишет:
цитата:
ни назвния, ни автора не помню, но знающие люди весьма лестно о ней отзывались -- поспрашивай у народа, может кто чё слышал


Румянцев обе части... для API просто супер...

bi0w0rM :: да фу, маздай ваш делфи. если уж надо быстрее накалякать прогу, то уж надо брать VC и писать с MFC.

bi0w0rM :: [тест]

[RU].Ban0K! :: bi0w0rM
Вот уж что я не люблю и не уважаю, так это MFC...

AlexZ CRaCker :: Нееееее................ Несколько языков мне не потянуть. А-то здесь кто за Делфик, кто за С++ . Ищё спор о компилерах идет неслабый. Приведу своё наблюдение: видел исходник Делфийской проги(появляется окно, бегают тараканы, их надо давить ккурсором типа «Молоток»), и тоже самое на С++. Си-шные размеры меня убили.

P.S. Можно-ль на Делфи сделать чтоб они непосредственно на рабочем столе бегали, а не в окне?

Kerghan :: звиняйте, что ссылку дать не могу, пришлось сюда вставить. AlexZ CRaCker, может почерпаешь чего полезное :)

В свое вpемя физики пpедложили свою подбоpкy методов pешения задачи о
поимке льва в пyстыне и помещении его в клеткy. А как pешают тy же задачy
pазличные деятели эпохи инфоpмационных технологий?

Пpогpаммист на Паскале
Пpосматpивает пyстыню полным пеpебоpом. Обнаpyжив льва, стpоит вокpyг
него клеткy.

Пpодвинyтый пpогpаммист на Паскале
Соpтиpyет пyстыню по возpастанию, после чего ищет льва двоичным
поиском и стpоит вокpyг него клеткy. Если в пpоцессе стpоительства лев
yходит, бpосает pаботy с кpиком «Range Check Error ».

Пpогpаммист на Си
Ищет в пyстыне камень и помещает его в клеткy. Пpисваивает камню
значение «лев ».

Пpодвинyтый пpогpаммист на Си
Пpисвавает пyстыне значение «клетка ».

Пpогpаммист на Си
Пpоектиpyет клеткy таким обpазом, чтобы лев был ее составной частью.
Пpи инициализации клетки лев автоматически генеpиpyется внyтpи.

Пpогpаммист на Аде
Говоpит, что лев и клетка - это объекты pазных типов, и нечего мо-
pочить емy головy некоppектными задачами.

Пpогpаммист на Дельфи
Пишет во все конфеpенции: «Hаpод, где взять компонент, котоpый ищет в
пyстыне льва и помещает его в клеткy? »

Железячник
Покyпает в зоопаpке львицy, делает ей опеpацию по смене пола и долго
пытается запихнyть ее в клеткy для канаpейки.

Геймеp-action?еp
Вооpyжается сyпеpшотганом, плазмаганом, pэйлганом, нэйлганом,
шестиствольным пyлеметом и бензопилой. Пpочесывает пyстыню, pазнося
все на своем пyти. Ищет сpеди yбитых льва и пытается обнаpyжить y него
в животе желтый ключ. Если находит, отпиpает им клеткy и ждет нагpады.

Геймеp-квестовик
Ищет по всей пyстыне льва, находит, кладет в каpман. Затем ищет по
всей пyстыне клеткy, попyтно пытаясь засyнyть льва в чайник, башмак,
телевизоp, ведpо с кpаской и дpyгие попадающиеся на пyти емкости.

Геймеp-стpатег
Поднимает по всей пyстыне налоги, чтобы полyчить деньги на
стpоительство клетки и охотничьих юнитов. К моментy окончания
стpоительства все львы дохнyт от голода.

Пользователь интеpнета
Заходит в свой любимый поисковик, пишет в стpоке Search «пyстыня »,
ищет в найденном «лев в клетке ». Если не находит, говоpит, что задача
неpазpешима.

Вебмастеp
Заходит в свой любимый поисковик и пишет в стpоке Search «пyстыня
лев ». Создает докyмент клетка.html и пpописывает в нем ссылкy на
найденное.

Спамеp
Рассылает по всей пyстыне множестов клеток, к каждой из котоpых
пpивязана бyмажка: «Если вы лев, пожалyйста, зайдите внyтpь и
закpойтесь изнyтpи ».

Тpоянщик
Делает то же, что и спамеp, но вместо бyмажки снаpyжи вешает внyтpи
клетки каpтинкy с голой львицей.

Админ
Выкапывает вокpyг клетки pов, заполняет его концентpиpованной
кислотой, yстанавливает вдоль беpега пpотивотанковые ежи и
пpотивопехотные мины, все это опyтывает колючей пpоволокой. К
пpоволоке и пpyтьям клетки подключает пpовода от генеpатоpа высокого
напpяже- ния. Вешает на клеткy 10 кодовых и 12 амбаpных замков.
Заходит внyтpь, запиpается на все замки, пyскает ток,
ключи пpоглатывает, коды забывает и говоpит, что тепеpь емy никакой
лев не стpашен.

Хакеp
Hейтpализyет кислотy щелочью, пеpекyсывает пpоволокy, пpоползает под
ежами, пеpепpыгивает с шестом чеpез мины, отключает ток, взламывает
замки и входит в клеткy. Hе обнаpyжив внyтpи льва, матеpится с досады,
дает пинка админy и yходит обpатно в пyстыню

[ChG]EliTe :: Kerghan пишет:
цитата:
Пpогpаммист на Дельфи
Пишет во все конфеpенции: «Hаpод, где взять компонент, котоpый ищет в
пyстыне льва и помещает его в клеткy? »


Не согласен.... точнее отчасти согласен, но как минимум еще должен быть пункт : «Пpодвинyтый пpогpаммист на Delphi»

[RU].Ban0K! ::
ЗАДАЧА: Прострелить себе ногу. C: Вы простреливаете себе ногу. C++: Вы
случайно создаете дюжину экземпляров объекта «вы» и всем им
простреливаете ногу. Срочная медицинская помощь оказывается
невозможной, так как вы не можете разобраться, где настоящие объекты, а где
- те, которые только указывают на них и говорят: «А вот - я!». Фортран:
Итерактивно вы простреливаете каждый палец ноги, а когда пальцы
заканчиваются, загружаете следующую ногу и продолжаете. Когда пули
заканчиваются, вы все равно продолжаете попытки прострелить себе ноги,
потому что не имеете возможности обработать такую особую ситуацию.
Паскаль: Транслятор не позволит вам прострелить себе ногу. Ada: После
тщательного описания пакета «нога», вы пытаетесь одновременно зарядить
пистолет, нажать курок, завопить и выстрелить себе в ногу. В ходе попыток
обнаруживается, однако, что вас постигла неудача, так как ваша нога
оказалась неверного типа. Кобол: Hаводите ПИСТОЛЕТ COLT 45 на
HОГА.СТОПА, Затем помещаете РУКА.КИСТЬ.ПАЛЕЦ на
ПИСТОЛЕТ.КРЮЧОК и HАЖИМАЕТЕ. Затем возвращаете ПИСТОЛЕТ в
КОБУРУ. ПРОВЕРЬТЕ, нуждаются ли шнурки в повторном связывании. LISP:
Вы простреливаете себе отросток, который держит пистолет, с помощью
которого вы простреливаете себе отросток, который держит пистолет, с
помощью которого вы простреливаете себе отросток, который держит
пистолет, с помощью которого вы простреливаете себе отросток, который
держит пистолет, с помощью которого вы простреливаете себе отросток,
который... Форт: Hога простреливать себе вы. Пролог: Вы сообщаете вашей
программе, что вы хотите иметь простреленную ногу. Программа
разрабатывает способ этого достичь, но синтаксис языка не позволяет
объяснить этот способ вам. Бейсик: Вы простреливаете себе ногу из водяного
пистолета. а расширенных реализациях языка продолжайте, пока вся нижняя
часть тела не промокнет. Visual Basic: Hа самом деле вы будете только
выглядеть, как будто ваша нога прострелена. Однако в процессе реализации
вы получите столько удовольствия, что подобные мелочи вас не озаботят.
HyperTalk: Поместите первую пулю пистолета в ступню левой ноги вас.
Сообщите результат. Motif: Вы затрачиваете несколько дней на построение
UIL - описания вашей ноги, пули, ее траектории и замысловатой резьбы по
слоновой кости на рукоятке пистолета. Когда вы наконец-то управились и
готовы нажать на курок, пистолет закупоривается. APL: Вы простреливаете
себе ногу, затем тратите весь день на то, чтобы представить себе, как это
сделать с меньшим количеством символов. Снобол: Если вам удастся,
прострелите себе левую ногу. Если не удастся, то прострелите себе правую
ногу. Unix: % ls Foot.c foot.h foot.o toe.c toe.o % rm * .o rm: .o no such file or
directory % ls % Параллельный Euclid: Вы простреливаете себе чью-то чужую
ногу. Язык управления заданиями IBM/370: Вы посылаете свою ногу в
управляющую информационную систему с приложением документа на 400
страниц, точно описывающего, как именно вы хотите быть простреленным.
Через три года ваша нога возвращается с глубоким ожогом. Paradox: е только
вы можете прострелить себе ногу, но и ваши пользователи. Access: Вы
пытаетесь прицелиться в вашу ногу, но в результате простреливаете все
Борландовские дистрибутивные дискеты. Revelation: Вы уверены, что сможете
прострелить себе ногу, как только разберетесь, для чего служат эти маленькие
хорошенькие пульки. Ассемблер: Вы пытаетесь прострелить себе ногу, но
обнаруживаете, что прежде вам придется изобрести пистолет, пулю, курок и
вашу ногу. Модула-2: После того, как вы понимаете, что фактически ничего не
можете сделать на этом языке, вы простреливаете себе голову.

AlexZ CRaCker Re: Kerghan :: Прикольно...
Наверно всё это самому пройти надо, и посмотреть что лучше.

P.S. Как ни странно, кой-чё извлеч можно, тока че будет делать в такой ситуации ПРОГРАМИСТ НА АССЕМБЛЕРЕ?
PPS Лучше ничё не учить. (...и от полученных знаний скончался на месте)
PPPS (Запись в трудовой книжке: «Уволен к ~ ени матери»)

AlexZ CRaCker :: [RU].Ban0K! пишет:
цитата:
C++: Вы
случайно создаете дюжину экземпляров объекта «вы» и всем им
простреливаете ногу. Срочная медицинская помощь оказывается
невозможной, так как вы не можете разобраться, где настоящие объекты, а где
- те, которые только указывают на них и говорят: «А вот - я!»


Да, там указатели, конструкторы, деструкторы - Мля...

Dragon :: Если без приколов, то так: следует ставить VC++ последней версии, затем заменить компилятор в нём на Intel C+(он лучше). Если надо что-то быстро накатать, то MFC, если не обязательно быстро, то как обычно, обработка сообщений.

bi0w0rM :: AlexZ CRaCker пишет:
цитата:
Ищё спор о компилерах идет неслабый. Приведу своё наблюдение: видел исходник Делфийской проги(появляется окно, бегают тараканы, их надо давить ккурсором типа «Молоток»), и тоже самое на С++. Си-шные размеры меня убили.


ты наверно C++Builder сравнивал :) это конечно же.

bi0w0rM :: [RU].Ban0K! пишет:
цитата:
Вот уж что я не люблю и не уважаю, так это MFC...


и что такого? чем он хуже делфи?

[ChG]EliTe :: bi0w0rM пишет:
цитата:
чем он хуже делфи?


Я бы так вопрос не ставил типа: ХУЖЕ/ЛУЧШЕ я бы сказал - Это разные языки... хотя знать и то и то полезно..

Gloomy :: AlexZ CRaCker
Книжки по Дельфи:
1. Архангельский «Дельфи 6» - в основном про то как работать в среде разработки, описание компонентов;
2. «Справочник по Дельфи» (издательство O’Relly) - отличный справочник;
3. «Дельфи - советы программистов» - незаменимая книжка, полезная в отсутсвии Инета (и даже при его наличии);
4. И конечно же встроенная в Дельфи справка

Книжки по С++:
1. Б. Страуструп «Язык программирования С++» - классика от создателя языка;
2. Любая книжка про VC++ (C++ Builder) - главное чтобы была не из серии «для кофейников»;

Книжки по ASMу:
1. Зубков «Ассемблер для DOS, Windows и UNIX» - классика
2. Пирогов «Самоучитель» и «Справочник» - тоже хорошие книжки;

AlexZ CRaCker пишет:
цитата:
Си-шные размеры меня убили.


Ты просто забыл включить галку «Компиляция с использованием run-time библиотек» - я тоже сначала обрадовался а потом (после сноса C++ Builder) очень удивился почему моя мега-программа не желает запускаться.

Dragon пишет:
цитата:
Если надо что-то быстро накатать, то MFC


Даже с MFC VC++ не дотягивает до того же C++ Builder по скорости разработки.

Dragon пишет:
цитата:
Я лично вообше заменителем пользуюсь - Intel C++ и как редактор ресурсов Resource builder


В таком случае лучше писать на ASMе - разница по скорости написания кода получается очень небольшой, зато на ASMе писать проще

Noble Ghost :: Короче, выбирай сам. Главное не язык, а мысли, им выражаемые. Учи что хочешь, если ты уверен, что сможешь при неоходимости перейти на другой язык программирования. Это довольно сложно сделать, особенно если такой переход совершается впервые.

ЗЫ Пара плюсов к С: 1)Linux; 2)меньше лишнего кода(ненавижу Begin..End ;); 3)удобнее разбирать всякие разные алгоритмы (особенно связанные с АТД).

AlexZ CRaCker :: Noble Ghost
Gloomy
Да, видимо придётся пальцем в небо. БУду учть один язык, понравится-непонравится, а там самому выбирать надо. Наверно, это лучший вариант.
Gloomy пишет:
цитата:
Ты просто забыл включить галку «Компиляция с использованием run-time библиотек» - я тоже сначала обрадовался а потом (после сноса C++ Builder) очень удивился почему моя мега-программа не желает запускаться.


Не, Gloomy , я имел ввиду размеры листинга. А то что после сноса С++, праги неработали - это правда западло!

Dragon :: Вот кстати ещё один плюс VC++, его хоть сноси, хоть не сноси, а проги работать будут, т.к. runtime библиотека является частью Windows.

Gloomy :: AlexZ CRaCker
AlexZ CRaCker пишет:
цитата:
Да, видимо придётся пальцем в небо.


ИМХО, начать все-таки лучше всего с Дельфи - там немного попроще. А потом можно и на С++ браться

KLAUS :: Dragon
Dragon пишет:
цитата:

Вот кстати ещё один плюс VC++, его хоть сноси, хоть не сноси, а проги работать будут


А разве если Delphi/C++ удалить, то проги написаннае на них перестанун работать

KLAUS :: AlexZ CRaCker

А лучше найди справочник по WinApi функциям и програмь, они везде одинаковы!




ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-ч



ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-чё подправил теперь диск не просит, но выдаёт сообщение об ошибке и вообщем-то правильно делает - большую часть ресурсов она хавает с диска. В реестре нашёл пути указывающие прямиком CD, подправил на C:\Pro... , но это нифига не решило (вылетает ещё одна ошибка), она видно , проверяет ,что-ли, такие дела.
Вообщем жду ваших капитальных советов и предложений. По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).
Kerghan :: ADVANCED пишет:
цитата:
По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).


иш размечтался :) вообще можешь ollydbg взять, даже 5ти метровые экзешники у меня брал. Ставь бряки на CreateFile, OpenFile.... Ну и строки поищи с путями

MC707 :: А возможно еще использование такой API функции, как GetDriveType()

ADVANCED :: Я вообщето начинающий.
цитата:
Ставь бряки на CreateFile, OpenFile....


Не понял я как это в ollydbg делать

ADVANCED :: Я, там где GetDriveTypeA изменил 5 на 3, там где GetVolumInformation изменил jne на jmp. Но там остаётся куча WriteFile, CreateFile - как понять что мне нужен именно этот; и ещё там есть GetDiskFreeSpace, но там нет ниединого перехода! ЧЁ делать белому человеку в этой Африке?
Kerghan пишет:
цитата:
Ставь бряки на CreateFile, OpenFile


Заодно объясните, а OpenFile здесь причём.И какие API ещё могут использовать программеры в гнусных целях?

ADVANCED :: ПРИЯТНО ПОГОВОРИТЬ С УМНЫМ ЧЕЛОВЕКОМ

(в смысле ADVANCED vs ADVANCED)

nice :: ADVANCED
Чем ковыряешь?
Если OllyDbg, то отладчик отчетливо показывает:
PUSH 00433333 ; e:\hero3\music.pak
....
CALL CreateFileA

А бряки ставить:
ALT+F1: BPX CreateFileA - появится список, выбирешь там
Или BP CreateFileA - Прям в системной библиотеке бряк

ADVANCED :: nice пишет:
цитата:
e:\hero3\music.pak


К сожалению (или к счастью) это не третьи герои, а карта моёго города.

nice пишет:
цитата:
А бряки ставить:


Спасибо, что сказал.

sanek :: Если так хочется но не как не получается, то можно виртуальный диск создать (программ навалом, и даже обходящих защиту, не всю правда!!!) и с него юзай свою карту.
Т.Е. создаешь образ с диска с помощью программы(Paragon, virtual cd, .....), только место на винте занимает в размере диска и все. Попробуй!!!!!
Да и возможно потребуется windows commander, через проводник не всегда открывается.

ADVANCED :: sanek пишет:
цитата:
можно виртуальный диск создать


Это то можно, но не интересно. Уж очень хочется её сломать.

ADVANCED :: Екатеринбург - тот самый город.

Может есть кто оттудова.

Гость :: sanek
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)
ADVANCED
с сайсом дружить не обязательно, тем более щас на все (почти) проги ставят детект. А какая еще ошибка у тебя вылетает после правки путей? (последнее время очень интересует меня отучение всяких софтваров от cd - винт не резиновый...!)

ADVANCED Re: Гость :: Ошибка:

Ошибка инициализации:
EAccessViolation.

цитата:
- винт не резиновый...!)


К тому же работает без дисков и образов работает намного быстрее.
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.

Гость :: ADVANCED пишет:
цитата:
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.


так же и с играми

ADVANCED :: Гость пишет:
цитата:
А какая еще ошибка у тебя вылетает после правки путей?


Ошибка:

Ошибка инициализации:
EAccessViolation.

Гость, тебе это ни о чём не говорит?

Гость :: Стандартная мастдаевская ошибка... 8) 8(

ADVANCED :: А возможно совмещение защит т.е. GetDriveType() + некая извращённая защита(не API)?
Киньте сылочек на туториалы по теме «извращённая защита(не API)».

Некто Fess писал:
цитата:
Почитайте статьи ASMax’a на www.reversing.net.


Но помоему www.reversing.net не существует
Может где-нибудь ещё есть статьи ASMax’a или кого-нибудь ещё.

sanek :: Гость пишет:
цитата:
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)


На самом деле место на винте занимается только в размере CD сам эмулятор весит не более 0.5 мб.
А для исследования обращений программы к CD даже очень полезно.
Да и скорость работы такая же как и с винта и CDюк не гробишь, и диск можно взять на прокат снять образ и пользоваться без проблем. А захочешь сломать так он и под рукой всегда.

ADVANCED ::
цитата:
6) Другие виды проверки
Теория: Бывают и другие сильно замусоленные проверки
Как часто встречается:
На дисках компании «Русобит»
Метод взлома:
Почитайте статьи ASMax’a на www.reversing.net


линки на статьи о сильно замусоленных проверках пожалуйста подкиньте

SeeKeR :: нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком

SeeKeR :: ADVANCED
поломал прогу ? или сдулся ?

ADVANCED :: SeeKeR
Я в оффлайне - баблосы кончились. Пока не сломал.
SeeKeR пишет:
цитата:
нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком


Скажи это ты про «Русобит» или ты из Е-бурга?
Если второе то можешь как нибудь поконкретнее что где и как а то я уже задолбался - знаний не хватает

SeeKeR :: я про карту

ADVANCED :: SeeKeR
это канечно очень, очень хорошо, что-нибудь по типу туториала можно?

SeeKeR :: поправить надо следуюющие вещи:
1. GetDriveType
2. GetVolumeInformation
3. Идет проверка контрольной суммы файлов (ВНИМАНИЕ!!) находящихся в корне !!!!!! диска забитого в реестре
то есть если в реестре SGODir=d:\FolderVasya\SGO, то проверятся будет не d:\FolderVasya а d:\

все ! удачи

SLV :: Кто пробовал править KERNEL32.DLL так, чтоб харды стали CD-ROM-ами (mov eax,00000005 на mov eax,00000003)? Я поменял, всё OK, но файлы сразу же удаляются безвозвратно... Кто нибудь знает как эту хрень подправить???




TOR Пара вопросов 1.Проблема - SI нормально брякается на функции кроме одной...



TOR Пара вопросов 1.Проблема - SI нормально брякается на функции кроме одной hmemcpy.Которая также присутствует в экспорте.
2.Какие есть делфевые функции для доступа к реестру //я с делфями не работал,а прогу разобрать нужно :)
SLV :: Вообще Delphi работает с реетром через модуль Registry. В нём есть типы TRegistry и TRegInifile. Именно через них всё и идёт, за исключением ’ручного’ использования API функций. А всю эту байду ты увидешь в DeDe...

SLV ::

P.S. У тебя наверно стоит XP. В ней нету hmemcpy...

TOR Re: SLV :: Спасибо, а существует ее аналог под ХР.

SLV :: Хер её знает, сам искал ответ на этот влпрос, потом достало и поставил я себе W98SE. Вообще во многих случаях можно найти альтернативу: GEtWindowTExta, GetDlgItemTexta...

TOR Re: SLV :: Прога пашет только под ХР,а «альтернатива» не проходит.

SLV :: Чё за прога-то (линк+размер)?

TOR Re: SLV :: В инете ее нет.Я по заказу разработчика ломаю(правда на шару).Просто сам под 98 раньше восновном сидел.

SeDoYHg :: TOR пишет:

цитата:
«альтернатива» не проходит.


Ясен пень, не проходит, какой же Делфи-программист будет использовать апишки для чтения строки из TEdit

Тут только один выход - изучать листинги DeDe.

TOR Re: SeDoYHg :: Ты бы меня не этим удивил,а лучше бы подсказал замену hmemcpy под ХР

muha :: memcpy
Но это тебе мало чем поможет.

MC707 :: TOR
point h - ее замена.
Ссылок не знаю, гугль в помощь.
Точно знаю что есть тутор у Нарвахи на английском

KLAUS :: TOR пишет:
цитата:
Какие есть делфевые функции для доступа к реестру


RegCreateKey, RegDeleteKey, RegQueryValue, RegQueryValueEx, RegCloseKey, RegOpenKeyTOR

TOR Re: KLAUS :: Все дороги ведут в Рим...

KLAUS :: Точнее к Help’у по Delphi да по WinApi

DiveSlip :: Насчет point-h есть тутор на русском от (ry0, можешь по этой ссылке посмотреть

TOR :: Спасибо.




Halt Помогите с ASM под Win Подскажите где можно взять примерчики для выода...



Halt Помогите с ASM под Win Подскажите где можно взять примерчики для выода сообщения с текстом (Msgbox) типа как у mario555 в крякми было.
(начинаю понимать что ассемблер штука хорошая)
И еще в откомпилированной проге- я знаю где нах-ся верный ключ-адрес вседа один esp-8 надо записать это значение в реестр.
Фишка в чем: есть таблица импорта и адреса надо взять оттуда( в смысле адреса функций - по крайней мере я так думаю), но я попоробовал, чё-то не получается .
И если можно описание Api функции regcreatekey у меня есть но на инглище(от делфа), а я его не изучал(инглишь в смысле), в принципе вроде понятно, но че-то не получается . Желательно с примером, помоему, именно его и не хватает.
Спасибо.
PS можно конечно и тако вариант брать код из памят ии записывать его в нужный edit, правда это извращенство и мне пока такого не сделать
PPS не кинете ссылку с туториалом ASM под виндовс(в пределах разумного - размер в смысле)

Halt :: подскажите плиз ссылочки на описание настройки Sygate_Personal_Firewall_PRO_v5.5 как его правильно настраивать - тема про безопасность дором не прошла только русские, ну или сами напишите, если не влом.
Спасибо.
PS - открыть на сайте новый раздел - сетевая безопасность или как сделать так, чтобы тебя долго искали

musulmanin :: Halt
на wasm’e смотрел???
например, Низкоуровневое программирование для дZенствующих

musulmanin :: Halt
http://kilobytes.by.ru/firewall.shtm

KLAUS :: Halt пишет:
цитата:
Подскажите где можно взять примерчики для выода сообщения с текстом


.386
.model flat

include \Tasm5p\INCLUDE\KERNEL32.INC
include \Tasm5p\INCLUDE\USER32.INC

extrn MessageBoxA:proc
extrn ExitProcess:proc

.data
mb_text db ’How are you?’,0
mb_caption db ’Hello my FRIEND’,0
.code
start:
push 0
push offset mb_caption
push offset mb_text
push 0
call MessageBoxA
push 0
call ExitProcess

endp
end start

WELL :: Halt
На васме есть и примеры и статьи хорошие.

ViNCE [AHT] :: Особенно Iczelion Tutors...

-= ALEX =- :: KLAUS ты че TASM’ом пользуешься ?

KLAUS :: -= ALEX =-
И TAsm и в некоторых слчаях Masm

бара :: без лишнего, если переделать KLAUS’а пример, то

.ideal
.386
.model flat
extrn MessageBoxA:proc
extrn ExitProcess:proc

.code
start:
jmp short RGD
mb_text db ’How are you?’,0
mb_caption db ’Hello my FRIEND’,0
RGD:
call MessageBoxA, 0, offset mb_text, offset mb_caption, 0
call ExitProcess, 0
endp
end start

KLAUS :: бара

Точно, размер даже меньше получится!

SeDoYHg :: Halt
Прежде чем окошки выводить, необходимо разобраться с архитектрурой процессора, устройством памяти и системами счисления. Без этого минимума выучить асм не возможно.

Halt :: to SeDoYHg
Это я знаю и асм знаю (правда на 3 и под дос)
А считаю тоьлко в hex режиме

Остальным, звиняйте конечно, но помоему вы вопросика не поняли( или я криво написал - скорее всего) как это сделать в уже откомпиленой проге т.е. call MessageboxA - не пройдет и offset mb_caption я не знаю, а знаю только адрес памяти по которому она висит (текстовая строка всмысле)
тогда обращатся надо
push 0
push [eax] - заголовок
push [edx] - текст (при просмотре памяти всегд апо этому адресу)
push 0
call 426e28 - MeccageboxA ( в таблице импорта) вроде так, но вылетает ошибка типа прогга обратилась к памяти, конорая не м.б. read

или опять же из компиленой проги записать ключь в реестр, значение которого опять же взять с адреса Н: [eax]
Как быть?

Mario555 :: Halt пишет:
цитата:
типа как у mario555 в крякми было.


Э-э я крякми никогда не делал... ;)

бара :: Halt

Читай книги по асму. Ты вообще посмотри дизассемблером как ты messageBox вызываешь. У тебя там в стэк видать хрень заталкивается. Потому и вылетает программа....

вот тебе учебник: http://www.team-x.ru/xforum/topic862.html

DZmey :: Mario555

Уже за тебя делают =) по всей видимости хороший крякми

-= ALEX =- :: Halt скобки не нужны push [eax] , push [edx], т.е. тебе надо в стэк ложить offset строчек, а ни dword этих строк :)

SLV :: На MASM-e:
.386
.model flat,stdcall
option casemap: none
include windows.inc
.data
txt db «Text»,0
cap db «Caption»,0
.code
start
invoke MessageBoxA,0,addr txt,addr cap,MB_ICONINFORMATION
invoke ExitProcess,0
end start

бара :: ремарка:
тоже самое что и на TASM’е, только вместо invoke - call

Halt :: Спасибо всем вроде все ок




TOR Пара вопросов 1.Проблема - SI нормально брякается на функции кроме одной...



TOR Пара вопросов 1.Проблема - SI нормально брякается на функции кроме одной hmemcpy.Которая также присутствует в экспорте.
2.Какие есть делфевые функции для доступа к реестру //я с делфями не работал,а прогу разобрать нужно :)
SLV :: Вообще Delphi работает с реетром через модуль Registry. В нём есть типы TRegistry и TRegInifile. Именно через них всё и идёт, за исключением ’ручного’ использования API функций. А всю эту байду ты увидешь в DeDe...

SLV ::


P.S. У тебя наверно стоит XP. В ней нету hmemcpy...

TOR Re: SLV :: Спасибо, а существует ее аналог под ХР.

SLV :: Хер её знает, сам искал ответ на этот влпрос, потом достало и поставил я себе W98SE. Вообще во многих случаях можно найти альтернативу: GEtWindowTExta, GetDlgItemTexta...

TOR Re: SLV :: Прога пашет только под ХР,а «альтернатива» не проходит.

SLV :: Чё за прога-то (линк+размер)?

TOR Re: SLV :: В инете ее нет.Я по заказу разработчика ломаю(правда на шару).Просто сам под 98 раньше восновном сидел.

SeDoYHg :: TOR пишет:

цитата:
«альтернатива» не проходит.


Ясен пень, не проходит, какой же Делфи-программист будет использовать апишки для чтения строки из TEdit

Тут только один выход - изучать листинги DeDe.

TOR Re: SeDoYHg :: Ты бы меня не этим удивил,а лучше бы подсказал замену hmemcpy под ХР

muha :: memcpy
Но это тебе мало чем поможет.

MC707 :: TOR
point h - ее замена.
Ссылок не знаю, гугль в помощь.
Точно знаю что есть тутор у Нарвахи на английском

KLAUS :: TOR пишет:
цитата:
Какие есть делфевые функции для доступа к реестру


RegCreateKey, RegDeleteKey, RegQueryValue, RegQueryValueEx, RegCloseKey, RegOpenKeyTOR

TOR Re: KLAUS :: Все дороги ведут в Рим...

KLAUS :: Точнее к Help’у по Delphi да по WinApi

DiveSlip :: Насчет point-h есть тутор на русском от (ry0, можешь по этой ссылке посмотреть

TOR :: Спасибо.






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS