Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



gRad2003 Про UnPECompact У меня такая роблемка:



gRad2003 Про UnPECompact У меня такая роблемка:
PEiD показал: PECompact 1.68 - 1.84
Воспользовался я UnPECompact 1.31. Он просто повис.
UnPECompact 1.32 распаковал нормально, только полученный файл не запускается, выдаётся ошибка:
Ошибка при инициализации приложения (0xc00000005) ...
В чём тут дело?
Есле в UnPacker-е, то где взять другой?

MozgC :: Попробуй Generic Unpacker Win32
Ну или сам учись распаковывать. Всю жизнь все равно не сможешь пользоваться автоматическими распаковщиками. А такая ошибка - это когда либо что-то не так в первоначальном дампе, либо что-то с таблицей импорта.

Kerghan :: А ProcDump по-твоему для чего сделан

gRad2003 :: ProcDump тоже некую ляпу выдал




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




Христианин С РОЖДЕСТВОМ! То, что я напишу ниже, возможно покажется тебе...



Христианин С РОЖДЕСТВОМ! То, что я напишу ниже, возможно покажется тебе нелепым,
непонятным или неуместным. Многие будут плеваться, кричать или даже топать ногами по полу. Но я верю, что у тебя должен быть шанс примириться с Ним.

Знай же! Бог любит тебя. Любит больше, чем твоя мама, твои друзья и твои соседи, вместе взятые. И Он готов простить тебе твои ошибки, от которых, я верю, ты хотя бы изредка испытываешь чувство стыда и боли. Примирись с Богом! Признай себя грешным человеком и попроси у Него прощения.
Это, впрочем, нелегко сделать, потому что ты горд. Ты живешь в миру, и мир пропитал тебя. Но, уверен, ты все еще иногда чувствуешь пустоту и тоску, так, словно тебе не хватает чего-то очень важного в жизни. Забудь обо всем, что тебе говорят твои верные друзья. Если ты попадешь в большую беду, большинство из них будут стоять и смотреть. И тогда ты позовешь Его. Все так делают. Ты не знаешь, когда придет время испытаний, но рано или поздно оно приходит ко всем. Не надейся, что ты всегда успеешь примириться с Ним. Почти все погибшие сегодня в автокатастрофах - а их несколько тысяч - почистили зубы, перед тем, как выйти из дома. Зубной пастой с фтором, который хорошо защищает зубы. Почти все они позаботились об улыбке, но почти никто не позаботился о душе.
Не следуй по стопам греха! Покайся! Доверься один раз Богу - Он не обманет тебя. Ты сможешь почувствовать Его присутствие. Тебе станет легко, как еще не было никогда, разве только в детстве. Он простит тебя, и ты спасешься. Бог любит тебя и ждет. Тебе нужно лишь открыть Ему дверь.

Ты не веришь в Него? Что ж, я бросаю тебе вызов! Испытай Бога!
Как это сделать? Закройся у себя в комнате, чтоб никто не мешал.
Опустись на колени, чтобы твоя гордость не встала между тобой и Господом. Затем искренне попроси у Бога прощения за те ошибки, которые ты допустил в своей жизни. Признай, только искренне, Иисуса Христа своим Господом и обещай, что постараешься больше не грешить и что будешь исполнять Его заповеди. Затем попроси Иисуса совершить чудо в твоей жизни. Попроси Его о том, что бы Он показал тебе что-то, что укрепит твою веру, что-то необычное или маловероятное. Что-то очень важное, что-то, что поможет тебе верить. Лучше, если Он сам выберет это чудо. И я верю, Он сделает это. Как уже делал много раз для меня и для многих миллионов верующих в Него.
Поверь, тебе не удастся не заметить того, что Он изменит в твоей
жизни.
Я бросаю тебе вызов. И да благословит тебя Бог! С Рождеством!

-= ALEX =- :: мда.... с Рождеством !

XoraX ::

MC707 :: Боже! Ка мне стыдно за то что я распаковал UPX, PeCompact, teLock, aspack, Yoda’s cryptor и иже с ними. И за то что пытаюсь распаковать aspr1.3.0х & arma all!

Этот чел явно откуда-то из штатов.

MozgC [TSRh] :: Христианин пишет:
цитата:
Признай, только искренне, Иисуса Христа своим Господом и обещай, что постараешься больше не грешить и что будешь исполнять Его заповеди.


А я вот не могу этого искренне обещать, т.к. знаю что не смогу больше не грешить...
А вообще с Рождеством!

mnalex :: Ой Ребята С Рождеством!!!! А не грешить к сожалению мы несможем, это недано ни одному из смертных :( , главное вовремя успеть раскаяться! :))

nice :: Христианин
А меня запарили «истинные» знатоки, кто есть бог, а кто не бог.
ИМХО если ты бы _знал_, что-нибудь, не стал бы навязывать свою точку зрения другим!




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.



FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.
Программа предназначена для быстрой (за пару секунд) распаковки простых пакеров (UPX, ASPack, PE Diminisher, PECompact, PE-PACK и др). Отличается малым размером исполняемой программы и быстротой работы.
Заточена под NT, не восстанавливает импорт под 9х....

Тулза лежит на форуме: http://www.exetools.com/f...read.php?s=&threadid=3478
Кто может выложите еще где-нибудь для народа, кто не зарегистрирован на exetools.

Также можете высказывать мысли по поводу анпакера.

p.s. «This is my first Unpacker, so stop laughing :)» (c) Y0da
Runtime_err0r :: Переложил
_http://www.zone.ee/Runtime_err0r/qunpack_v02.zip

MozgC [TSRh] :: Ну я проверил на UPX, ASPack, PE Compact, ExeStealth - везде сработало, вроде неплохо так все. В общем думаю новичкам понравится, тем более трудно найти распаковщики для PE Compact и eXeStealth, хоть они и очень легкие в плане распаковки.
Только ты бы там написал, что мол автор советует учиться распаковывать вручную =) Прикольно было бы =)

-= ALEX =- :: а я вот что-то попробывал распаковать тот же UPX, просто прога запускается и все....




Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/



Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/
День первый: ставил софтлиз на ХР - не пашет.
День второй: вешал патчи - не пашет.
День третий: ставил драйверстудио 2.6 - не пашет.
День пятый (день четвертый тянул из сетки 96задолбайт!): ставил драйверстудио 3.0 betta 2 - пашет но тем обиднее что глючно!!!

ТИПА bpx GetWindowTextA не хотит ставиться. ТО -биш вроде и ставится, по F5 вываливаться не хочет, в любом случае срабатывает бряк (типа «какай смертью писай громом» но Х... отсюда выйдешь) давим BC* жмем F5 - выпали нормально самочувствие поганое.
День шестой: - Тут то и закрадывается злодейская мысля, которая приходит обычно опосля проверить брякина Функциях иных.
Вывод некоторые пашут как папа Карло над поленом, а иные представители (аналогия с родными ГИББДшниками) сачкуют, придумывая различные отмазы (нечто вроде я не я и Ж... не моя).

День седьмой: не родив подходящего решения, бью клич о помощи.

А теперь вопрос уважаемым знатокам.

ЧТО ДЕЛАЬ и КУДА ВСЕ ЭТО ТЕПЕРЬ ДЕВАТЬ.!!!

бара :: format C: к е*ени матери.

XoraX :: дабы не мудится поставь вторую систему win2k и ломай в свое удовольствие с нормальнам сайсом

MozgC [TSRh] :: XoraX
А причем тут Win2K ? У меня (и у большинства) всегда в WinXP отлично работает.

Krizotill
Что в твоем понимании «не пашет»?

XoraX :: MozgC [TSRh]
при том, что у меня (и не только) на Xp сайс работать правильно отказывается

Dragon :: DS 3 - там бряки - контекстно зависимые. Только в 3.10 настройка появилась, чтобы бряки для всех процессов работали. Так что ищи DS 2.7 или 3.10

Krizotill :: Я согласен «win2k», «DS 2.7 или 3.10» все это решения, комуто может даже «format C: к е*ени матери» понадобится. Но все эти пути не для меня:
1. - Я попутно занимаюсь видео, файлы офигенные (читай: объемные, большие,... синие, зеленые, красные, если не сказать ужасные.) мой малютка Макср...(читай: винт) непотерпит вливания еще №-нного вливантя свежих байт, т.к вторая система требует своего софта из-за природной ревнивости и феноменальной стервозности (Беня Гей посторался на славу), а от ХР, хотя и ярый сторонник 2000, не откажусь. Опять же, с легкой руки некого «Мичурина» скрестившего Adobe Premiere Pro 7-ого рождения с Win XP, я оказался привязанным к Premiere как основному инструменту хлебодобывания, а к Win XP как средству искуственного поддержания жизни в Adobe.
2. - Перекачку из сети еще одной версии нумеги, без гарантий ее дееспособности (читай: вменяемости не говоря о чистоте помыслов и действий), я не переживу (не Connect-ом единым жив Человек), окромя рулона туалетной бумаги (спасибо «фабрике бумажных изделий города Засранска») и баночки горилки (спасибо дружественному народу Хохландии), в холодильнике хотелось бы иногда видеть кусочек натуральной писчи(типа там мяска кусманчик, сырочку (сойдет и дружба), картофанчика чюток)!
3. - Легких путей мы не ищим.
4. - НУ ВОТ КАКОГО microsoft-ТА бряк так ПРИЛЕЖНО! себя ведет (прям как я в школе).

одним словом


Krizotill :: Пордон заболтался.
Глюк в том что по bpx GetWindowTextA из отладчика не выйти, сразу срабатывает бряк (никаких похабных действий над системой не производилось, приложения не запускались).
Вот ведь ____(вставить родственное слово), родил идею - надо посмотреть моих паразитов (желающих овладеть невинностью моего компа предостаточно,вот и приходится следить кто, чего и когда нарушал и сколько же мне это стоит).
А самое прикольное нереагируют бряки на те действия, на которые срабатывал первый пропатченый совтлиз (ну вроде впечатать текст АУ-ГДЕ МЫ).
Причем синтаксис некоторых команд нивкакую не правельный (ближний пример бряк GetWindowText, ShowWindow) какие тут ошибки я не пнял раньше работало именно так.

Krizotill :: Идею я родил правилно!! злополучный СТАТВИН, верой и правдой копивший статистику посягательств, оказался непрочь потрепаться с совтлизом, из-за этого каждое обращение программы (статвин) вываливало, как грыжу при напруге, дитя Нумеги тобишь есть совтлиз.
Совет таков, - гасите проги, что могут геморою вам навлечь.

MC707 :: ollydbg - хорошее исправление (c) Kerghan


WELL :: Krizotill
IMHO под ХР OllyDbg - лучше сайса и всего остального.
По крайней мере поставить бряк на GetWindowText просто.

KLAUS :: НЕ сравнивайте Sice и OLLyDbg это в сущности две разные вещи, и Sice трудно найти замену!!

XoraX :: с олли можно проделать _практически_ все, что можно в айсе...
плюс ко всему там плугины полезные еще есть...

MC707 :: KLAUS
Да никто не сравнивает. Просто нравится Айс - пользуйся им.
А у меня с Олли на сдампивание любого аспра уходит 21 секунда. Полная распаковка упх - секунд 40, PECompact - секунд 50. Это просто примеры, выводы делай сам.

WELL :: KLAUS
По крайней мере Olly не выпрыгнет где-нить в неожиданном месте (типа в игрушке)




WELL Пакеры для маленьких файлов Народ!



WELL Пакеры для маленьких файлов Народ!
Подскажите упаковщики (кроме FSG), которые сжимают файлы мальнького размера (до 8 кб).
Slavon :: Почему ’кроме FSG’???

WELL :: Slavon пишет:
цитата:
Почему ’кроме FSG’???


Потому что FSG я уже знаю

Slavon :: WELL, ну и где его скачать??? Дай ссылку, please...

WELL :: Slavon пишет:
цитата:
ну и где его скачать??? Дай ссылку, please...


Я смотрю ты уже на все темы за последние 2 недели на форуме ответил.
Я тебе уже дал ссылку. Смотри сюда http://cracklab.fastbb.ru...11-000-0-0-0-1081623322-0
И ЮЗАЙ ПОИСКОВИКИ

XoraX :: WELL , а чем UPX не подходит? или PECompact?
хотя я не пробовал ими, всегда FSG пользую...

AlexZ CRaCker :: Slavon пишет:
цитата:
ну и где его скачать??? Дай ссылку, please...


А ещё есть всякие там Васмы, Ексетулзы etc.

MoonShiner :: Степень сжатия маленького , соответственно, также будет маленькой. Зачем сжимать маленький файл?

XoraX :: чтобы защитить его... хотя бы немного.....

Slavon :: XoraX пишет:
цитата:
WELL, а чем UPX не подходит?


UPX пишет, что сжимать нечего :(

WELL :: MoonShiner
XoraX
Сожмётся файл, конечно, немного. Просто нравятся мне маленькие размеры у exe-шников.
Кроме FSG другие пакеры вместо уменьшения, увеличивают размер файла.
Поэтому я и справшиваю, может кроме FSG есть что-нибудь аналогичное.

WELL :: PECompact тоже увеличил размер с 3-х до 4-х кб

KLAUS :: WELL
vacuum попробуй.




bUg. Added some signature for PEiD 0.92 Added some signature for PEiD 0.92....



bUg. Added some signature for PEiD 0.92 Added some signature for PEiD 0.92. Par example:
-PECompact 2.0beta/student version
-WinASM Studio
-PESpin v0.3 -› cyberbob
-SVK Protector v1.32
...

The newest packer that PEiD cannot detect is PECompact 2.0beta. You can add the follow sign into you
userdb.txt
or you can download this file and overwrite.
(by exetools).
WELL :: bUg.
Ну и стоило ли ради этого топик создавать?

bUg. :: WELL
не знаю?
наверное стоило, не многие об этом знают.




MC707 PECompact 2 RC1 Новая версия второго вышла. Решил посмотреть. Довольно...



MC707 PECompact 2 RC1 Новая версия второго вышла. Решил посмотреть. Довольно интересненько, что ЕР совпадает с ОЕР. Единственная интересная фишка
WELL :: MC707 пишет:
цитата:
Довольно интересненько, что ЕР совпадает с ОЕР


Это как? Типа все распаковывается, а потом прыжок на EP?

MC707 :: Нет, находясь на ЕР передается управление распаковщику, тот распаковывает код прямо в ЕР и дальше и в конце прыгает обратно.

WELL :: Прикольно

ZX :: WELL пишет:
цитата:
Прикольно


Эт точно, одной проблемой меньше

SeDoYHg :: MC707

А где его можно качнуть?

MC707 :: www.bitsum.com

Runtime_err0r :: Вышел PECompact (2.00 final)
http: // www . collakesoftware . com / files / pec2setup . zip

MC707 :: Runtime_err0r
Причем снимается элементарно...




MaZaFaKeR Логин/Пароль на eXet00ls... Господа, не могу зарегиться на форуме...



MaZaFaKeR Логин/Пароль на eXet00ls... Господа, не могу зарегиться на форуме Экзетулз...
Может кто-нибудь поделиться логином и пассом от их ФТП? Можно даже на мыло ;)
maza[@]nc.ru
MC707 :: MaZaFaKeR
ушло

MaZaFaKeR :: MC707, огромнейшее спасибо!!!

RottingCorpse :: а мне можно, а то мои уже прибили :)

MC707 :: RottingCorpse
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

none @ tds-crew . tk
SMTP error from remote mailer after RCPT TO:‹none @ tds-crew . tk›:
host NUKUMATAU . TALOHA . COM [195 . 20 . 32 . 92]: 550 No such mailbox found

Lz [TSRh] :: я тоже туда доступ хочу...
не успел докачать буквально 10 метров от DriverStudio 3.1 :(

chr(@)front.ru

Snowbit :: Пошли и мне плиз, я чуть-чуть докачать не успел :(
snowbit(_a__t_)km.ru, или по iCQ: 223410381

XoraX :: я не понимаю вас. че так трудно самим взять на форуме?
или там уже не раздают? ;)

ZX :: XoraX
Мож подскажешь способ как зарегистрироваться?

bUg. :: XoraX
Я пореганый, а они закрыли этот топик т.к. я мало чё писал на форуме.

RottingCorpse :: уже не раздают
мое мыло admin#собака#tds-crew.tk

MC707 :: RottingCorpse
ты б мыло свое починил сначала...

MaZaFaKeR :: На мыло с сервака .TK почта не отходит... :( Сам пробовал...

k176la7 :: Господа вы что не читали что там написано?

Написано дословно следующее , если хотим получить доступ к FTP - от нас требуется минимум 10 постов, причем посты отбираются по информативности и мусор не защитывается :( Я хотя и зарёган и читаю новости на ехетоолсах , но облом в доступе к фтп, чуть чуть не успел докачать тоже нужные доки и софтины, причем прикрыли все 20 апреля походу .

Snowbit :: Пожалуйста, перешлите кто-нибудь логин/пароль на snowbit@km.ru!
Мне скачать осталось всего 23 байта!!!

k176la7 :: Вот господа споследнии новости :(

Only can upload, can not download. Before upload, please look over the current files existed.
please make a directory like XXX_Uploaded_By_MemberName.
If somebody uploaded many good stuffs, he will be allowed to get the download account password
__________________________________________________ _____________________________________

Только могем закачивать туда, скачки нету. Только тот кто закачает много интересных вещей может получить доступ на скачку :(

MaZaFaKeR :: Зашибись... Откуда теперь сливать будем, господа?..

bUg. :: MaZaFaKeR
будем рейтинг поднимать а потом сливать.

ilya :: MaZaFaKeR пишет:
цитата:
Откуда теперь сливать будем, господа?.


а что именно тебе скачать надо???

MC707 :: Нда... видимо я к элите отношусь, т.к. Только что скачал оттуда PECompact.v2.00.Final.Cracked-CORE

bUg. :: ilya
DriverStudio 3.1 delphi 8

ilya :: bUg.
ну я же давал нормальное линки на ds3.1 где нет никаких ограничений если нужно могу выложить

bUg. :: ilya
а Delphi?

ilya :: bUg.
все те линки на ds3.1 которые я выкладывал прикрыли(хорошо что скачать успел). а вот Delphi нету.а зачем тебе сливать купи диск за 90р

bUg. :: ilya
у нас еще нет компакта




Styx Распаковка древнего PE Compact Решил тут распаковать сам PE Compact 1.84...



Styx Распаковка древнего PE Compact Решил тут распаковать сам PE Compact 1.84 Нашёл OEP = 3E000 и IAT в раёне 3E400, но ImpRec нифига не находит. В чём я неправ?
DZmey :: Во всем :)

SeDoYHg :: Styx

Ты читал статью MozgC про упаковщики ?

Styx :: Читал и вроде делал всё как там. HELP!!!

DZmey :: Styx

Давай ЕХЕшку позырем

ViNCE [AHT] :: Хоть древний, хоть новый - совершенно легко распаковывается... не сложнее UPX’а

Kerghan :: ViNCE [AHT]
на самом деле сложнее

Styx :: Kerghan
я его тебе на мыло скину, посмотри плз, а то в нете эту хрень уже скачать негде

Kerghan :: ну давай. можт я тебе для него лучше ин-лайн патч напишу

SeDoYHg :: Styx пишет:
цитата:
в нете эту хрень уже скачать негде


Если бы поискал, то мог найти здесь PE Compact 1.84

WELL :: SeDoYHg пишет:
цитата:
Если бы поискал, то мог найти здесь PE Compact 1.84


Styx видимо имел ввиду упакованную прогу, а не сам пакер. Наверное

Styx :: WELL
Не как раз пакер и имел ввиду

SeDoYHg
Это уже вторая версия!
Я уже видел такую ссылку на 2-ю с подписью 1.84

SeDoYHg :: Styx

Значит нас обманывают

ViNCE [AHT] :: На wasm’е лежит 2.0

SeDoYHg :: ViNCE [AHT] пишет:
цитата:
На wasm’е лежит 2.0


Он везде лежит. Styx ’у нужен 1.84

GL#0M :: Styx

У меня есть 1.84, но мне кажется нет необходимости его выкладывать, т.к. анпак его - это как два пальца... короче ещё раз прочти фак мозга по анпаку...

GL#0M :: И ещё, что за программа?

Styx :: GL#0M

Сам PeCompact 1.84 !!!

Нашёл OEP = 3E000 (43E000) и IAT в раёне 3E400, но ImpRec нифига не находит.

GL#0M :: Styx пишет:
цитата:
Сам PeCompact 1.84 !!!


Ну зачем так грубо...

Вот подумай немного и ещё раз прочитай фак мозга...

OEP: 00001161 IATRVA: 00012328

З.Ы. Ладно уж, подскажу.... под пе компактом ещё пе бундл...

SeDoYHg :: Я, вот, подумал, если у него закриптованный файл ( поверх ПЕ Компакт) ?

У меня так было с одной тузой. Поверх ASPack’a был криптор.

GL#0M :: SeDoYHg пишет:
цитата:

Я, вот, подумал, если у него закриптованный файл ( поверх ПЕ Компакт) ?

У меня так было с одной тузой. Поверх ASPack’a был криптор.



Не понял я тебя что-то...
Я же об этом и говорю, этот пекомпакт запакован сначало пебунделом (те же ребята делали), а уж потом самим собой... оеп и иатрва я сказал...

SeDoYHg :: GL#0M

Извини, я не внимательно прочёл твой пост. Я просто, вернулся с днюхи лучшего друга

ZX :: Styx
Залей куда-нибудь этот ПЕ Компакт. Я вот распаковал версию 2.0 минут за 10(на этапе исследования и изучения, интересно было как он работает), но он меня не впечатлил, вообще проблем не встретил, даже как-то не серьезно. После изучения - засек распаковка занимает 40 сек, не спеша.

Kerghan пишет:
цитата:
на самом деле сложнее


Чем сложнее?

ViNCE [AHT] :: GL#0M пишет:
цитата:
И ещё, что за программа?


Скорее всего - это прога, известная в узких кругах... -›› блокнот

Kerghan :: ZX
ну блин это риторический вопрос... сложнее - не сложнее
у upx’а достаточно две страницы пролистать до ОЕР, а у pecomp’а полиморф

Styx :: GL#0M
Thanks!!!

ZX :: Kerghan пишет:
цитата:
ну блин это риторический вопрос


Согласен, потому что я изучал алгоритм УПХ дня два :) , правда давно это было.




DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь



DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь ~ 0.77 mb!
Вроде бы на первый взгляд всё легко - 480038 --› B001C3
Но в этом случае при попытке перейти в режим Heal & Boost следует неминуемая перезагрузка... типа защита..

P.S. Посоветуйте пожалуйста, как обойти эту защиту, а то после вызова
480540 call 480038 комп перезапускается...
Mafia32 :: Я ломал PCMedic недавно, правда версия 6.3xxx. Там, по-моему, в 2х местах происходит перезагрузка. Попробуй определи эти процедуры и за’nop’ь. или бери отладчик и DeDe. Находи в DeDe процедуру TrackBar1Change и начинай ее отлаживать. Сначала определи те места (у меня их было 2), где происходит перезагрузка. Смотри условные переходы, ведущие на них. Программа Throttle этой же фирмы имеет защиту один в один и если в PCMedic я патчил каждый усл.переход, то в Throttle я просто занопил перезагрузку. А вычислить то место, где собственно перезагрузка. Чтоб тебе было полегче, вот внутренности процедуры перезагрузки из версии 6.3, я думаю они остались такими же.

0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret

Mafia32 :: Если будут еще вопросы, то спрашивай, я отвечу. Если совсем никак, я скачаю и пришлю тебе патченный exe.

DOLTON :: Mafia32
Большое спасибо за разъяснения.
На словах всё пока понятно... буду разбираться :)
Mafia32 пишет:
цитата:
Если будут еще вопросы, то спрашивай, я отвечу.


Через некоторое время сообщу как идут дела...

ZX :: DOLTON
Интересно, что это за пакер, мож кто знает? Распаковывается без проблем, но все же интересно.

DOLTON :: ZX пишет:
цитата:
Интересно, что это за пакер, мож кто знает?


PEiD знает, спроси у него :))

ZX :: DOLTON пишет:
цитата:
PEiD знает, спроси у него


Пойду обновлю, он мне не признавался, гад такой

DOLTON :: ZX пишет:
цитата:
Пойду обновлю, он мне не признавался, гад такой


Мой только после долгих пыток сознался

P.S. PECompact 2.0x Heuristic Mode -› Jeremy Collake

MozgC [TSRh] :: В версиях 5.хх перезагрузка была примерно в 10 местах....

Mafia32 :: Я версии 5 не ломал, я впервые решил взломать медика, когда твою[MozgC] статью про распаковку просматривал. :-) Но в 6-ых в 10 местах точно не было... Кажется, 2-3 места всего. Или я уже забыл, помню, что просто было все нопить. :-)

EGOiST[TSRh] :: а кейген?

Mafia32 :: Чего кейген? Я не исследовал алгоритм.

DZmey :: EGOiST[TSRh]

В инете уже есть готовые кейгены к Медику :)

DOLTON :: MozgC [TSRh] пишет:
цитата:
В версиях 5.хх перезагрузка была примерно в 10 местах....


В 6.х перезагрузка вызывается из 14 мест, из них 9 - так называемых плохих перезагрузок...
Остальные 5 - для перезагрузки по желанию в случае успешной оптимизации...
В Win XP принудительная перезагрузка происходит 5 раз, первый при перемещении ползунка
в положение Boost, остальные - в конце, при сохранении результатов оптимизации.
В остальных системах тоже вызывается, но уже из других мест :)

Mafia32
Ещё раз спасибо за помощь!

Nitrogen :: EGOiST[TSRh]
кейген реально.. особливо на hll, а на асме я просто не нашел одной нужной функции.. из самой проги было обломно ее рипать, а переписывать самому было лень.. так и бросил на половине :(

DZmey :: Nitrogen
А что за функция

MozgC [TSRh] :: да там есть одна...
call KeygenPCMedikPls

DZmey :: MozgC [TSRh]

Ясно, наверное тогда call KeygenPCMedikPlZ

DarKSiDE :: Mafia32

цитата:
0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret



Хе….хе.. Я к примеру ничего не нопил, а нашел CALL-ы к этому куску кода и все места КРОМЕ где есть текст, что типа «хотите перезагрузиться сейчас или потом?», их примерно 9 или 10 мест и переходы JLE заменил на JMP-ы, т.е. мы перепрыгиваем вызов данного CALL-а.
Вот меня один вопрос мучает. Ну почему большинство нашего брата к РЕСомраст-у ленятся писать инлайн патчи? Ведь сколько я видел релизов ПиСиМедика, ГеймГайн и Троттл – все кряк ЕХЕ. ИМХО. Странно мне вот не в лом лишний инлайн написать. Чего и всем желаю!

Styx :: DarKSiDE
Я делал также

DarKSiDE :: Styx
Молоток! А инлайн писал к этим прогам? Я да. Вот только с TRIAL версиями заморочка. Там PECompact сам себя распаковывает двумя последовательными циклами. И прыжок на ОЕР тоже. Дак мне пришлось в 3 местах отлавливать распаковку чтобы до JMP OEP добраться! А в FULL версиях элементарно, там конец рспаковки - это реальный JMP EAX, где в ЕАХ адрес ОЕР. Вот!

Styx :: DarKSiDE
Не он мне нетак часто PEComp попадается, да и снять его нифиг делать

DarKSiDE :: Styx
Хе... Я не о том, что снять! Это и ежу понятно. А о том, что наверное лучше и меньше по размеру инлайн, чем ЕХЕ-шник? ЕХЕ-шник поломать и упаковать UPX-ом много ума не надо. А инлайн - надо сломать прогу да еще и мозги напрячь, чтобы рабочий инлайн написать.




nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!



nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!
http://www.woodmann.net/b...nload.php?id=xt_fsg20.zip
Mafia32 :: nice

поглядим...

WELL :: FSG пока лучший пакер, из всех мною опробованных для файлов меньше 8кб.
nice
Спасибо за ссылку.

KLAUS :: Проги бы ещё запускались после его паковки, хотя поглядим как в 2.0

DarKSiDE :: KLAUS
У меня все прекрасно запускается, если что. А UPX лучше, один хрен. FSG на его основе вроде бы сделан? Или я ошибаюсь?

KLAUS :: DarKSiDE
Не, у меня бывало что ошибку выдавало....Насчёт UPX согласен ( если только не пакуешь проги небольшого размера, тогда FSG канает.

P.S.
НАсчёт 2.0 .. пакует парядком лучше предыдущей версии + пока не определяется Pe-ID

DarKSiDE :: DANGER!!!

Инсталлер заражен вирусом - Bloodhound.W32.EP !!!!!!!!!!!!!

KLAUS :: DarKSiDE

Эт ты чем таким проверил???

DarKSiDE :: Нортон Антивирус с базой от 13.05.2004 года. Я все что с Инета качаю сперва проверяю антивирем.

KLAUS :: Корка, Drweb и Каспер молчат

nice :: Да точно у меня такая же беда
Просто может тот троян был FSG 2 пакован, а он дурак FSGую сигнатуру взял...

XoraX :: nice
thx, good news :)

DarKSiDE :: nice
Ну и что? Значит ложная тревога?

KLAUS :: DarKSiDE

Хорошо если так...

WELL :: Да нортон лажа полная. Чему вы поверили? Нортон стоит в последнем ряду вместе с каспером, пандой и стопом...

SGA :: Эта Шняга с нортоном потому-что FSG окупирует DOS header.
RTFM - там всё написано. Ж)

DarKSiDE :: WELL
Кстати!
Подобная ситуация у меня была когда я скачал с официального сайта SVKP версию 1.3…
Так она тоже заражена каким-то вирем, сейчас не помню уже. Просто я обнаружил поздно, уже себе на «болванку закатал». Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!). Можно долго и упорно спорить какой антивирусник лучше или хуже, но факт остается фактом. Можете использовать на свой страх и риск! Но просто подумайте о том, что им вы пакуете свои релизы и антивирь сработает еще у кого-то. И вы думаете, что после подобного кто-то еще будет качать ваши релизы? Врятли. Таким способом легко заработать славу не кракера, а «засранца который делает мелкие пакости» в виде распространения вирусов.ИМХО.

Aster!x :: › Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!).

Мля, какая бредятина..

› Эта Шняга с нортоном потому-что FSG окупирует DOS header.

То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?

-= ALEX =- :: у меня тоже антивири матеряться во всю...

Aster!x :: Онлайн проверка у Каспера:

Проверенный файл: fsg.rar
fsg.rar - архив RAR
fsg.rar/fsg.ini - в порядке
fsg.rar/fsg.exe - в порядке
fsg.rar/xt.nfo - в порядке

Статистика проверки:

Известных вирусов:
89631
Дата последнего обновления:
25.05.2004

Размер файла (Kb):
24
Время проверки:
00:00:01

Скорость (Kb/sec):
24
Тел вирусов:
0

Архивов:
1
Упакованных:
0

Каталогов:
0
Файлов:
4

Подозрительных:
0
Предупреждений:
0

WELL :: Сигнатуры у некоторых антивирей кривые. Вот что я думаю...

DarKSiDE :: Aster!x

цитата:
Мля, какая бредятина..


цитата:
То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?


Вред это ты несешь!!!!!! Ты что каждому юзверю эту байду объяснать будешь? Сам то мозги включи! Я это понимаю, ты это понимаешь, но не у всех уровень знаний такой...... В говне измараться - пять минут делов, а оправдываться - целое дело...... Разве не так? Так не лучьше ли использовать старый добрый FSG 1.33 и в ~ не дуть! А?

fuck it :: хули, понятно что ниего пока не распознает, он же новый, через пару месяцев всякие касперские и пеид сразу будут кричать fsg 2.0

SLV :: Антивири могут ругаться из-зи того, что entry point не в начале файла, а ближе к его концу, может это - причина?

Nitrogen :: DarKSiDE
ты тормоз

SLV :: WELL пишет:
цитата:
Сигнатуры у некоторых антивирей кривые. Вот что я думаю...


И у вирей тоже

WELL :: По крайней мере пакует FSG асмовые проги здраво.

SLV :: WELL пишет:
цитата:
По крайней мере пакует FSG асмовые проги здраво.


Дык он и написан на Асме...

Styx :: Ну чё, кто забацает сигнатуру под PeID?

SLV :: Чё-то мне нихера им не сжать. Экран смерти лезет...

XoraX :: Styx пишет:
цитата:
Ну чё, кто забацает сигнатуру под PeID?


[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true

XoraX :: вроде работает на _большинстве_ файлов.. :)

SLV :: Я писал крэк на MASM-е, рашил его сжать (38Kb), в итоге ничего не получилось, зато PECompact сжал это дело до 4KB...

KLAUS :: XoraX пишет:
цитата:

[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true


Куда эт вставить, чтоб определялрось?

Styx :: KLAUS
В файл userdb.txt в папке PeID

KLAUS :: Styx
Thanks
И так можно добавлять прямо в userbd...или нужно будет удалять предыдущую запись?

GPcH :: Может кто под MEW 10 сигнатурку написал?

Для справки: им упакован мой второй крякми

XoraX :: KLAUS можно. там ведь синтаксис простого INI файла..

XoraX :: GPcH пишет:
цитата:
Может кто под MEW 10 сигнатурку написал?


дай сам пакер..

GPcH :: XoraX пишет:
цитата:
дай сам пакер..


http://hcc.kenyer.hu/tools/Mew%205.zip
http://hcc.kenyer.hu/tools/Mew%2010%20v1.1.zip

GPcH :: Вот склепал сигнатурку для PEiD:

[MEW 10 - Northfox]
signature = 33 C0 E9
ep_only = true

Особо не пинать за 3 байта - остальные всегда разные

GPcH :: Вот еще одну сигнатурку, только для MEW 5 замутил:

[MEW 5 - Northfox]
signature = BE ?? ?? ?? ?? Ad 91 AD 93 53 Ad 96 56 5F AC
ep_only = true




MC707 PECompact 2 RC1 Новая версия второго вышла. Решил посмотреть. Довольно...



MC707 PECompact 2 RC1 Новая версия второго вышла. Решил посмотреть. Довольно интересненько, что ЕР совпадает с ОЕР. Единственная интересная фишка
WELL :: MC707 пишет:
цитата:
Довольно интересненько, что ЕР совпадает с ОЕР


Это как? Типа все распаковывается, а потом прыжок на EP?

MC707 :: Нет, находясь на ЕР передается управление распаковщику, тот распаковывает код прямо в ЕР и дальше и в конце прыгает обратно.

WELL :: Прикольно

ZX :: WELL пишет:
цитата:
Прикольно


Эт точно, одной проблемой меньше

SeDoYHg :: MC707

А где его можно качнуть?

MC707 :: www.bitsum.com

Runtime_err0r :: Вышел PECompact (2.00 final)
http: // www . collakesoftware . com / files / pec2setup . zip

MC707 :: Runtime_err0r
Причем снимается элементарно...




MaZaFaKeR Логин/Пароль на eXet00ls... Господа, не могу зарегиться на форуме...



MaZaFaKeR Логин/Пароль на eXet00ls... Господа, не могу зарегиться на форуме Экзетулз...
Может кто-нибудь поделиться логином и пассом от их ФТП? Можно даже на мыло ;)
maza[@]nc.ru
MC707 :: MaZaFaKeR
ушло

MaZaFaKeR :: MC707, огромнейшее спасибо!!!

RottingCorpse :: а мне можно, а то мои уже прибили :)

MC707 :: RottingCorpse
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

none @ tds-crew . tk
SMTP error from remote mailer after RCPT TO:‹none @ tds-crew . tk›:
host NUKUMATAU . TALOHA . COM [195 . 20 . 32 . 92]: 550 No such mailbox found

Lz [TSRh] :: я тоже туда доступ хочу...
не успел докачать буквально 10 метров от DriverStudio 3.1 :(

chr(@)front.ru

Snowbit :: Пошли и мне плиз, я чуть-чуть докачать не успел :(
snowbit(_a__t_)km.ru, или по iCQ: 223410381

XoraX :: я не понимаю вас. че так трудно самим взять на форуме?
или там уже не раздают? ;)

ZX :: XoraX
Мож подскажешь способ как зарегистрироваться?

bUg. :: XoraX
Я пореганый, а они закрыли этот топик т.к. я мало чё писал на форуме.

RottingCorpse :: уже не раздают
мое мыло admin#собака#tds-crew.tk

MC707 :: RottingCorpse
ты б мыло свое починил сначала...

MaZaFaKeR :: На мыло с сервака .TK почта не отходит... :( Сам пробовал...

k176la7 :: Господа вы что не читали что там написано?

Написано дословно следующее , если хотим получить доступ к FTP - от нас требуется минимум 10 постов, причем посты отбираются по информативности и мусор не защитывается :( Я хотя и зарёган и читаю новости на ехетоолсах , но облом в доступе к фтп, чуть чуть не успел докачать тоже нужные доки и софтины, причем прикрыли все 20 апреля походу .

Snowbit :: Пожалуйста, перешлите кто-нибудь логин/пароль на snowbit@km.ru!
Мне скачать осталось всего 23 байта!!!

k176la7 :: Вот господа споследнии новости :(

Only can upload, can not download. Before upload, please look over the current files existed.
please make a directory like XXX_Uploaded_By_MemberName.
If somebody uploaded many good stuffs, he will be allowed to get the download account password
__________________________________________________ _____________________________________

Только могем закачивать туда, скачки нету. Только тот кто закачает много интересных вещей может получить доступ на скачку :(

MaZaFaKeR :: Зашибись... Откуда теперь сливать будем, господа?..

bUg. :: MaZaFaKeR
будем рейтинг поднимать а потом сливать.

ilya :: MaZaFaKeR пишет:
цитата:
Откуда теперь сливать будем, господа?.


а что именно тебе скачать надо???

MC707 :: Нда... видимо я к элите отношусь, т.к. Только что скачал оттуда PECompact.v2.00.Final.Cracked-CORE

bUg. :: ilya
DriverStudio 3.1 delphi 8

ilya :: bUg.
ну я же давал нормальное линки на ds3.1 где нет никаких ограничений если нужно могу выложить

bUg. :: ilya
а Delphi?

ilya :: bUg.
все те линки на ds3.1 которые я выкладывал прикрыли(хорошо что скачать успел). а вот Delphi нету.а зачем тебе сливать купи диск за 90р

bUg. :: ilya
у нас еще нет компакта




Styx Распаковка древнего PE Compact Решил тут распаковать сам PE Compact 1.84...



Styx Распаковка древнего PE Compact Решил тут распаковать сам PE Compact 1.84 Нашёл OEP = 3E000 и IAT в раёне 3E400, но ImpRec нифига не находит. В чём я неправ?
DZmey :: Во всем :)

SeDoYHg :: Styx

Ты читал статью MozgC про упаковщики ?

Styx :: Читал и вроде делал всё как там. HELP!!!

DZmey :: Styx

Давай ЕХЕшку позырем

ViNCE [AHT] :: Хоть древний, хоть новый - совершенно легко распаковывается... не сложнее UPX’а

Kerghan :: ViNCE [AHT]
на самом деле сложнее

Styx :: Kerghan
я его тебе на мыло скину, посмотри плз, а то в нете эту хрень уже скачать негде

Kerghan :: ну давай. можт я тебе для него лучше ин-лайн патч напишу

SeDoYHg :: Styx пишет:
цитата:
в нете эту хрень уже скачать негде


Если бы поискал, то мог найти здесь PE Compact 1.84

WELL :: SeDoYHg пишет:
цитата:
Если бы поискал, то мог найти здесь PE Compact 1.84


Styx видимо имел ввиду упакованную прогу, а не сам пакер. Наверное

Styx :: WELL
Не как раз пакер и имел ввиду

SeDoYHg
Это уже вторая версия!
Я уже видел такую ссылку на 2-ю с подписью 1.84

SeDoYHg :: Styx

Значит нас обманывают

ViNCE [AHT] :: На wasm’е лежит 2.0

SeDoYHg :: ViNCE [AHT] пишет:
цитата:
На wasm’е лежит 2.0


Он везде лежит. Styx ’у нужен 1.84

GL#0M :: Styx

У меня есть 1.84, но мне кажется нет необходимости его выкладывать, т.к. анпак его - это как два пальца... короче ещё раз прочти фак мозга по анпаку...

GL#0M :: И ещё, что за программа?

Styx :: GL#0M

Сам PeCompact 1.84 !!!

Нашёл OEP = 3E000 (43E000) и IAT в раёне 3E400, но ImpRec нифига не находит.

GL#0M :: Styx пишет:
цитата:
Сам PeCompact 1.84 !!!


Ну зачем так грубо...

Вот подумай немного и ещё раз прочитай фак мозга...

OEP: 00001161 IATRVA: 00012328

З.Ы. Ладно уж, подскажу.... под пе компактом ещё пе бундл...

SeDoYHg :: Я, вот, подумал, если у него закриптованный файл ( поверх ПЕ Компакт) ?

У меня так было с одной тузой. Поверх ASPack’a был криптор.

GL#0M :: SeDoYHg пишет:
цитата:

Я, вот, подумал, если у него закриптованный файл ( поверх ПЕ Компакт) ?

У меня так было с одной тузой. Поверх ASPack’a был криптор.



Не понял я тебя что-то...
Я же об этом и говорю, этот пекомпакт запакован сначало пебунделом (те же ребята делали), а уж потом самим собой... оеп и иатрва я сказал...

SeDoYHg :: GL#0M

Извини, я не внимательно прочёл твой пост. Я просто, вернулся с днюхи лучшего друга

ZX :: Styx
Залей куда-нибудь этот ПЕ Компакт. Я вот распаковал версию 2.0 минут за 10(на этапе исследования и изучения, интересно было как он работает), но он меня не впечатлил, вообще проблем не встретил, даже как-то не серьезно. После изучения - засек распаковка занимает 40 сек, не спеша.

Kerghan пишет:
цитата:
на самом деле сложнее


Чем сложнее?

ViNCE [AHT] :: GL#0M пишет:
цитата:
И ещё, что за программа?


Скорее всего - это прога, известная в узких кругах... -›› блокнот

Kerghan :: ZX
ну блин это риторический вопрос... сложнее - не сложнее
у upx’а достаточно две страницы пролистать до ОЕР, а у pecomp’а полиморф

Styx :: GL#0M
Thanks!!!

ZX :: Kerghan пишет:
цитата:
ну блин это риторический вопрос


Согласен, потому что я изучал алгоритм УПХ дня два :) , правда давно это было.




TITBIT Inline-Patch Качнул я сегодня Offlline Explorer Enterprise 3.2 SR1....



TITBIT Inline-Patch Качнул я сегодня Offlline Explorer Enterprise 3.2 SR1. Распаковав (ASPack 2.11b), поломал. И захотел сделать инлайн патч но.... жопа. Делал так. Нашел OEP через bpm esp-4. Там
Push 0070760C
ret

Запомнил адрес и в ехе файле на этом месте решил сделать jump на свой кусок кода. Но в ехе какае-то ~ на этом месте, не то что в айсе:
0081D3BB: 8C ???
0081D3BC: F1 ???
0081D3BD: 41 INC
Затем вбил сюда переход на свой код и запустил. Прога упала. Юзая Айс узнал что загружаются совсем не те команды что я вбивал. Если же в файле ни чего не менять а в Айсе вместо push oep -› jmp мой код прога запускается! Как быть? Где нужно делать переход на свой код?
Aster!x :: Ты не путай ASPack 2.11 и 2.12, 2.11 с небольшим полиморфом, так что нужно учесть это в патче.

хость :: файловый оффсет правильно вычислил ?

TITBIT :: Aster!x пишет:
цитата:
2.11 с небольшим полиморфом


А поточнее...

TITBIT :: хость пишет:
цитата:
файловый оффсет правильно вычислил ?


Да, но не в этом дело. Того jump’a который я прописываю в файле в Айсе уже нет. Вместо него какае-то х...

MozgC [TSRh] :: ну я просто думаю что там идет либо простенькая шифрация кода, либо двойная распаковка. Первое более вероятно.
Т.е. при получении управления код распаковщика расшифровывает место, где должен быть переход на ОЕП вот и все, а в файле ты видишь там бяку.
Про двойную упаковку я думаю понятно.

Ara :: А еще возможно что ты неверно переход на ОЕР нашел, поэтому такая хрень!

RottingCorpse :: Или неправильно посчитал, или не переход на OEP... Было уже такое :)

TITBIT :: MozgC [TSRh] пишет:
цитата:
я просто думаю что там идет либо простенькая шифрация кода


По видимому да.
MozgC [TSRh] пишет:
цитата:
Т.е. при получении управления код распаковщика расшифровывает место, где должен быть переход на ОЕП


А как мне в файле подправить это место чтоб был переход не на ОЕП а на нужный кусок кода?

Ara пишет:
цитата:
А еще возможно что ты неверно переход на ОЕР нашел


ОЕП тот. Т.к. распаковывал руками. Прога запускается...

TITBIT :: MozgC [TSRh] пишет:
цитата:
я просто думаю что там идет либо простенькая шифрация кода


По видимому да.
MozgC [TSRh] пишет:
цитата:
Т.е. при получении управления код распаковщика расшифровывает место, где должен быть переход на ОЕП


А как мне в файле подправить это место чтоб был переход не на ОЕП а на нужный кусок кода?

Ara пишет:
цитата:
А еще возможно что ты неверно переход на ОЕР нашел


ОЕП тот. Т.к. распаковывал руками. Прога запускается...

ZX :: В аспаке переход на ОЕР выглядит в нераспакованном экзешнике как push 00000000 ret, после распаковки там адрес ОЕР. Адрес туда подставляется ~ пятью строками выше. он лежит без ImigeBase там же. Просто туда надо поставить свой адрес без ImigeBase.

TITBIT :: ZX пишет:
цитата:
В аспаке переход на ОЕР выглядит в нераспакованном экзешнике как ret 00000000, после распаковки там адрес ОЕР


Это в Aspack’e без полиморфа. Здесь же нет того Push 0000000.
В Айсе сначала идет POPAD затем расшифровка и далее
Push ОЕП
ret
Если до расшифровки перейти на свой кусок кода и затем на OEP попаду естно на «нули». Нужно именно после расшифровки. Как это замутить?

TITBIT :: Какой сервак и имя канала?

ZX :: Скачал все-таки, полиморф полиморфом, но этот ксор на F9 :) , почему на F9? Солода, видимо колбасит :))

-= ALEX =- :: да все там элементарно, ставь бряк на read/write на код который пихает нужный адрес в push... найдешь сразу место где расшифровывается код этот. задача тока усложнится что сначало надо дождаться пока расшифруется переходник, а потом уже патчить сам переходник. вот и все. ниче ксорить и извращатся не надо. я помню давненько еще прогу писал для создания инлайн патчей для UPS, ASPACK 2.11 и ASPACK 2.12.

ZX :: -= ALEX =-
Ты все любишь усложнять, как раз поксорить будет проще

DarKSiDE :: TITBIT
Ну я делал инлайн для Аспака 2.11b.
Для того чтобы добраться до конца распаковки, мне пришлось три раза патчить основной поток. Сперва упаковщик себя распаковывает, а за тем прогу. Подобное в PECompact 1.84. Начинай искать места расшифровки с конца распаковки проги. В Сайсе BPM xxxxx RW.

-= ALEX =- :: ничего сложного нет. постепенно. вот буду статью про последний аспр писать, там будет гиморно очень %)
ЗЫ DarKSiDE помню ты на форуме wasm на меня наехал, обвинил мне, что я что-то у кого-то идею спер. отвечу тебе спокойно - ты во всем не прав. и закроем эту тему. чтоб лишних разговоров чтобы было.

Aster!x :: DarKSiDE
› Для того чтобы добраться до конца распаковки, мне пришлось три раза патчить основной поток

Зачем аж 3 раза? :-)
Мне хватило 2-х секционного патча, вторая секция уже собственно патчила код самой проги.

DarKSiDE :: Aster!x
Блин! Я не помню уже точно, если честно! Я для AutoDialogs 2.1.115 инлайн делал. Но это было давно. Возможно и два раза. Но разве это принципиально?

DarKSiDE :: -= ALEX =-
Забили!

Mario555 :: DarKSiDE пишет:
цитата:
Начинай искать места расшифровки с конца распаковки проги


Это самый «дубовый» способ, обычно всё-таки можно найти в коде пакера адрес перехода к OEP (возможно и зашифрованный) или ещё какой-нить «островок». А патчить через слои - это гемор.

TITBIT :: Все прблема решена. Спасибо всем за инфу.
З.Ы. ZX’у РЕСПЕКТ!!!

DarKSiDE :: [moderated]
DarKSiDE, давай без перехода на личности. Mario555 вовсе не хотел тебя обижать, а имел ввиду, что это не рационально. А ты начал флеймить. Не дело это.
[/moderated]

DFC :: -= ALEX =- пишет:

цитата:
ничего сложного нет. постепенно. вот буду статью про последний аспр писать, там будет гиморно очень %)


очень бы хотелось почитать, не забудь ссылку :)
-= ALEX =- .
А вообще, ты или кто другой поделится инфой по инлайн патчу для AsPr’а, или это остается тайной, или я не внимательно читаю...

bi0w0rM[AHT] :: никакой тайны нет. я знаю теперь, как он управление получил на патч код в Альфаклок. Я то всем скажу, кому надо. Тупая какая-то тайна.

хость :: bi0w0rM[AHT]
поведуй «тайну» :)

bi0w0rM[AHT] :: не каждому нах. а вообще копайте сами. там ниче сложного. вместо того что спрашивать лучше б копали :)

хость :: bi0w0rM[AHT]
падонак.
гы
:P

DarKSiDE :: хость
Рот заткни! Сам из пи..зды на лыжах приперся, а уже хамишь!

хость :: DarKSiDE
оть не хотел флеймить.....
но ответить надо на грубости всякие.
как у вас с чувством юмора, товарисч? :)
очень запущено imho. нука срочно на природу, шашлычки там, девушки :)

DarKSiDE :: C чуством юмора у меня туго, особенно когда хамят!

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
Тупая какая-то тайна.


Тайна была не тупая и на то, чтобы она оставалась тайной были причины (неоднократно объяснялись на этом форуме). Хотя как я понял теперь Солод тему просёк и адреса апи зашифровал.

bi0w0rM[AHT] пишет:
цитата:
Я то всем скажу, кому надо.


Мда...

sanniassin :: DFC пишет:
цитата:
кто другой поделится инфой по инлайн патчу для AsPr’а


Я могу по мылу рассказать, если Mario и -= ALEX =- не возражают

-= ALEX =- :: bi0w0rM[AHT] мда весело. расковырял чужой код и теперь все знает и будет всем рассказывать. а как насчет самому сделать, догадаться и т.д. Рассказывайте что хотите, мне уже пофиг. дыру эту закрыли...
ЗЫ когда писал это, уже полностью сделал новый инлайн для последнего аспра... хотел было статью писать, но вот даже и не знаю... позакрывают нах дырки и все тут. наверна если кому-то и захочется сделать подобное, то сам сделает ... извиняйте, после 3 дней упорной войны с аспром уже башка едет....

sanniassin :: -= ALEX =- пишет:
цитата:
хотел было статью писать, но вот даже и не знаю...


Мож поделишся опытом по мылу?

-= ALEX =- :: опыт :) просто проходишься по всему коду аспротекта до самого OEP. минуя множевство циклов распаковки всяких распаковщиков. вот и весь принцип.

sanniassin :: -= ALEX =- пишет:
цитата:
просто проходишься по всему коду аспротекта до самого OEP


Да меня из-за компа выгонят раньше, чем я и половину аспра пройду (скока по времени ты трассировал?)

nice :: sanniassin
Да поймите вы наконец, что ПОКА ВЫ НЕ ПОЙМЕТЕ ПРИНЦИПЫ ЕГО РАБОТЫ о серьёзных действиях над ним не может быть и речи!

Когда исследовал его движок потратил дня 3-4.

bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] мда весело. расковырял чужой код и теперь все знает и будет всем рассказывать. а как насчет самому сделать, догадаться и т.д. Рассказывайте что хотите, мне уже пофиг. дыру эту закрыли...


А Madness расковырял не чужой код что ли? Универсальный патч на Aston??

-= ALEX =- :: ладно, вы уже запарили с этим аспром. разбирайте принцип его работы, как это уже говорил nice. проходить его не долго с самого начала и до конца. главное правильно обходить функции дешифровки всякие, а также куча SEH’ов, самых извращенных, и еще нигде не оставлять bpx, сразу же их удалять, т.к. множество проверок crc всего кода аспра....

sanniassin :: -= ALEX =- пишет:
цитата:
проходить его не долго


А в чём проходил?

-= ALEX =- :: sanniassin я всегда в сайсе работаю...

sanniassin :: Млин, никак не врублюсь, как обойти при трассировке команду «SYSENTER» :-(((

sanniassin :: Ужо разобрался

DFC :: sanniassin .
Буду тебе благодарен за инфу, хотя мне и не верится что тебе 14 лет, ну да ладно, забили...
-= ALEX =- .
Зря ты горячишся, хотя мне прямого ответа и не дал...
nice .
3-4 дня - это фигня, 3-4 месяца - это ближе...
sanniassin .
мое мыло - toperch@hotbox.ru
С нетерпением жду :)




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41



FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41
---------------------
Поправил ImpREC.dll, теперь тулза сама меняет в импорте ResoreLastError на SetLastError (привет MozgC :)).
Если кто будет юзать у себя ImpREC.dll - советую юзать из этого релиза Quick Unpack.

P.S. И только не говорите мне типа «Почему она не бкркт PEcompact свежий?». Тулза для распаковки только для UPX, ASPack.

Качать отсюда
Grim Fandango :: Всё равно приятно.

DOLTON :: FEUERRADER
Спасибо. Хорошая вещь.

XoraX :: FEUERRADER а, кстати, почему она не берет pecompact свежий? :) там что-то существенно отличается от старого? (я не видел) :)

GL#0M :: Помнб в одном из первых билдов второй версии EP равняля OEP :)
Хотя может чего и намутили сейчас... врятли %)




FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.



FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.
Давайте свое мыло. Вышлю 0.42. Надо погонять на как можно больше скрэмблерах (всякие новые DotFix, PEStubOEP и пр.), FSG 2.0, новый PECompact и прочие другие + включая старые пакеры.
Просто исправил большой баг, теперь не будет кучей вылезать exception at... а если попадается SEH, то прога его обходит и просто показывает его в репорте. Т.о. прерывается только на ОЕР, а не на первом же exception’e.
TITBIT :: Кинь мне на : saniok@xxx.lt

nice :: FEUERRADER
Присылай мне, у меня будет хорошая новость для тебя, если ты SEH сделал
nicesc # yandex.ru

-= ALEX =- :: ну скинь и мне тогда, гляну. мыло знаешь.

WELL :: FEUERRADER
12(at)netman(dot)ru

FEUERRADER :: Хм..всем отослал, а ответил только WELL

GPcH :: И мне пошли ;)) Как никак помогу потестить по дружбе

fuck it :: FEUERRADER
left_mail [at] tut.by

WELL :: FEUERRADER пишет:
цитата:
Хм..всем отослал, а ответил только WELL


Сегодня еще потестю ;)

nice :: FEUERRADER
До дома пока не добрался :(

MaZaFaKeR :: FEUERRADER , ну и мне на maza[nc]ru

-= ALEX =- :: а у меня самого унпакера 0.41 нету :) надо будет скачать...

broken :: cnbroken[at]hackermail.com

fuck it :: FEUERRADER
ну чё, трохи пашет :)






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS