Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



gRad2003 Про UnPECompact У меня такая роблемка:



gRad2003 Про UnPECompact У меня такая роблемка:
PEiD показал: PECompact 1.68 - 1.84
Воспользовался я UnPECompact 1.31. Он просто повис.
UnPECompact 1.32 распаковал нормально, только полученный файл не запускается, выдаётся ошибка:
Ошибка при инициализации приложения (0xc00000005) ...
В чём тут дело?
Есле в UnPacker-е, то где взять другой?

MozgC :: Попробуй Generic Unpacker Win32
Ну или сам учись распаковывать. Всю жизнь все равно не сможешь пользоваться автоматическими распаковщиками. А такая ошибка - это когда либо что-то не так в первоначальном дампе, либо что-то с таблицей импорта.

Kerghan :: А ProcDump по-твоему для чего сделан

gRad2003 :: ProcDump тоже некую ляпу выдал




gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о...



gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о распаковке Flash Mailer v1.2 (в какой то теме ссылка на неё была)

В конце первото шага есть такая строчка:

Осталось за малым, теперь только надо в нашем распакованом файле изменить Entry Point на тот что мы обнаружили, только из полученного нами OEP для начала отнимем Image Base, то есть Entry Point=OEP - Image Base, у меня получилось BE878.

Как именно "изменить Entry Point".

Bad_guy :: Взять PE редактор [LordPE, ProcDump,...] и изменить. Или вручную с помощью HEX редактора по смещению 128h.

Kerghan :: В LordPE открой PEeditor и в поле Entry Point напиши OEP минус 00400000.
Типа всё.

DiveSlip :: Вижу хоть кто-то удосужился прочесть мою статью (за что искреннее спасибо). Насчет этого вопроса, вижу уже и без меня ответили (не успел).

gRad2003 :: DiveSlip
Классная статья кстати. Мне понравилась. Ещё бы чего-нибудь такого, с распаковкой ASProtect 1.23

DiveSlip :: Вот когда научуся, тогда и напишу. А статья не классная (если бы она была таковой, то у тебя не возникло бы вопроса), но спасибо за добрые слова (люблю когда меня хвалят).

Shaitan :: Помогите бедному автору вернуть законное имя (DiveSlip)!




MozgC Новичкам - ЧИТАТЬ ! Всем привет!



MozgC Новичкам - ЧИТАТЬ ! Всем привет!
Вообщем мы тут с feuerrader’ом решили написать большой FAQ для начинающих.
Вот лично мне кажется что самая проблема - это где взять вопросы.
В голову особо много не лезет. Мне тут по почте наприсылали около 50 вопросов. Но у меня случилось несчастье =) с диском С: и все вопросы похерились.. Надо набирать заново.
Поэтому если вы хотите сделать сразу 2 дела - помочь мне с вопросами и получить ответ на свой вопрос - шлите мне свои вопросы на MozgCnoSpam@avtograd.ru !
Постараемся ответить на все* вопросы! И все вопросы с ответами включим в будущий FAQ !

PS. * - только плиз не надо вопросов типа "помоги сломать такую-то программу". "Посоветуй как сломать такую-то защиту" - можно.

Жду ваших вопросов!
Bad_guy :: Шо такое дампить ?

Bad_guy :: А вообще я бы к написанию фака присоединился... так что если я нужен - пиши.

MozgC :: 2Bad_guy:
Я не против, присылай пачками по 10 вопросов+ответов мне на мыло.

Perch(он же) :: MozgC привет.
Ты знаешь, хочу у тебя спросить, FAQ - это здорово...я вот тут подумал...у меня к тебе есть предложение...где-то полгода назад я реверсил одну прогу...ну вобщем есть к тебе предложение...у меня совсем нет времени на статьи...а ты хорошо пишешь...могу поделиться полным реверсингом...и соответственно сырцом кейгенана на C++, так как ты на Дельфи пишешь, я правильно понял?...хочу заметить это кейген сразу для 13-ти прог этой компании...скажем так - Универсальный кейген...если ты согласен, все остальные подробности по мылу.

MozgC :: Perch(он же)
Я че-то не понял =) Ты поподробнее расскажи.

MozgC :: Ты типа хочешь предоставить мне полную инфу, чтобы я статью написал на эту тему?

MozgC :: Как думаете, сколько вопросов нужно для FAQ’а ?
Уже более 50 готовых вопросов и ответов.

Guest :: Для начала пойдет, потом можно будет добавить.

MozgC :: Нет, надо без добавок =)
Надо делать раз и навсегда, всмысле на совесть, а не чтоб потом добавлять...
Так что я подумал.. буду писать пока больше уже не смогу придумать вопросов..

Кстати на почту не пришло ни одного письма. Походу никому не надо. И закрадывается такая мысль: "А для кого мы это тогда пишем?"....

Guest :: Я не помню твоей почты MozgC, если кинешь пришлю с пару тройку десятков вопросов с ответами, мне часто задают. Но я не мастер писать, подкаректируешь?

Dred :: 2 MozgC
50 - это мало для ламера(т.е. меня) надо всё подробно.
Ведь ламер он на то и ламер что нихрена не шарит.
В честь твоего дня рождения я щелкал респект тебе изо всех сил.

MozgC :: Dred , придется тебя огорчить, респект у меня уже вроде на максимуме, так что ты зря щелкал =))) Но все равно спасибо =)

Что насчет FAQ’а то я пишу по максимуму, меня прет, вспоминаю все вопросы которые сам когда-то задавал. Надеюсь получиться хорошо. А т.к. ты хочешь МНОГО то посылай мне свои вопросы пачками на мыло.

Араб :: Может кто возьмется написать "Формат РЕ-файлов для ламеров :)". Для фака это расширенный вопрос, а допустим все, что я встречал в сети написано слишком заумно. Может быть даже обозреть не все полностью от и до, а только ту часть, что чаще всего используется при взломе и вызывает вопросы.

MozgC :: Я хотел это написать. Ты подтвердил мое мнение, что надо. Постараюсь какнить вкратце изложить только то что нужно. А то эти полсотни страниц описания формата действительно напрягают...

freeExec :: MozgC Колись своей бетта версией FAQ’а, я почитаю, поприкалываюсь, глядишь ченить рожу

MozgC :: Уже 80+ вопросов-ответов.

Думаю будет самый большой FAQ в России =)

MoonShiner :: И мне тож! Я может поумнею...

FEUERRADER :: Кому лень писать письма для FAQ’a, могут зайти на hxxp://feuerrader.fatal.ru/doafaq.htm и там написать свой вопрос! FAQ будет расчитан на "маленьких" и "средних". Может и из "продвинутых" кому-то понравится :)

Ждите......

Dred :: 2 MozgC
А в ФАК войдёт что нибудь по работе с программами по кряку.
Ну типа не все же знают возможности( или кнопки допустим) в IDA например или в ProcDump’e.
И вообще вопросы начинают возникать при работе с чем нибудь когдо заходишь в тупиковую ситуацию.
Тогда остаётся одно решение - форум!

MozgC :: Нет, про IDA я (может FEURRADER?) ничего писать не буду. Про ProcDump, LordPE, ImpREC вкратце уже написано.

Если есть какие-то конкретные вопросы. То лучше задавай сейчас пока FAQ еще не выпущен.

Dred :: 2 MozgC
Немогу я так сразу задавать вопросы.
Лучше подожду выход ФАКа, а там глядишь и второй не за горами.



"У меня вот в ассемблере них..ра не получается, лажа какая-то
объектный файл не хочет превращаться в исполнимый.
Уже 3 разных версии поставил один хрен ничего."

freeExec :: Кокой компилятор юзаешь?

Dred :: 2 freeExec
link.exe TLINK.EXE TLINK32.EXE

MozgC :: Ассемблер для дос или для windows ?

freeExec :: Dred ну ты мастер :)
link - MASM - Microsoft
Tlink - TASM - Borland
Они не совместимы (их обектные фалы). поэтому чем компилировал прогу тем же и линкуй (из тогоже пакета)

MozgC :: 13, 14 ЧИСЛА - ПОСЛЕДНИЕ ДНИ ПРИЕМА ВОПРОСОВ ДЛЯ FAQ’A
ЕСЛИ У ВАС ЕСТЬ ВОПРОСЫ - ЛУЧШЕ ЗАДАЙТЕ ИХ СЕЙЧАС.
ЗАВТРА МЫ УЖЕ БУДЕМ ЧИСТО РЕДАКТИРОВАТЬ FAQ - ИСПРАВЛЯТЬ ГРАММАТИЧЕСКИЕ И ВООБЩЕ
ОШИБКИ, ОФОРМЛЯТЬ ВСЕ И ПОТОМ ВЫПУСК =)
На данный момент уже 100+ вопросов.
Интересно есть ли в России FAQ больше по объему?
Если кто найдет - будем писать вопросы и ответы, пока не напишем больше чем в найденном
FAQ’e =)

Dred :: 2 freeExec
Я так и делаю(чем компилировал прогу тем же и линкую).
Если у тебя есть мелкая прожка для видосаХР на ассемблере которая точно работает, то ПЛИЗ зашвырни в мыльницу файл.asm

MozgC :: .386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib
includelib \masm32\lib\kernel32.lib

.data
MsgCaption db "ETO MESSAGEBOX =)",0
MsgBoxText db "A ETO TEXT V MESSAGEBOXE =)",0
.code
start:
invoke MessageBox, NULL,addr MsgBoxText, addr MsgCaption, MB_OK
invoke ExitProcess,NULL
end start

MozgC :: Пути только к библиотекам подправь.

<=]Dred[=> :: 2 MozgC
Что-то не работает. Весь текст сохранил в файл .asm и проводил эксперементы.
Пишет в файле листинга - Fatal: Bad object file record in c:\tasm\bin\1.obj near module file offset 0x00000000
Или я дурак или что-то не так.

Какие пути? ( я действую так - записал в блокноте текст -> сохраняю с расширением .asm -> дальше открыть с помощью выбираю программу и .....)

<=]Dred[=> :: А мне можно картинку рядом с именем?

HANDLE :: Вопрос для FAQ’а. Создание патчей для пакованых exe’шников (например ASPack’ом).

dragon :: <=]Dred[=> , как можно пример для MASM’а TASM’ом компилировать. Его типа так надо:

ml /c /coff asm.asm
link /SUBSYSTEM:WINDOWS asm.obj

MozgC :: 2Handle Про лоадеры уже написал.

<=]Dred[=> :: 2dragon (я пробовал и тем и другим)
Где это писать?
ml /c /coff asm.asm
link /SUBSYSTEM:WINDOWS asm.obj
Из под DOSa чтоли?

dragon :: В bat файле это писать. Если не получается, скажи, какие ошибки компилятор выдаёт.

freeExec :: Ктому же инклуды, тоже должны быть из масм32

<=]Dred[=> :: 2 dragon COOL, полный руль всё работает
Ещё вопрос без .bat можно обойтись?

BSL//ZcS :: 2 <=]Dred[=> : make?

dragon :: У make такой синтаксис, что лучше bat файлами пользоваться. Если не хочешь, то скачай IDE, например RadAsm(на wasm.ru лежит).

<=]Dred[=> :: 2 freeExec что такое инклуды?

freeExec :: От слова INCLUDE

[ v o i c e ] :: Мужики, ну чё, когда выходит этот ФАК... Или он уже вышел...

MozgC :: Некоторое время с FAQ’ом было затишье - я был занят. Щас появилось немного свободного времени и мы опять продолжаем писать. Все вопросы и ответы к ним уже написаны (114 вопросов я насчитал).
Осталось исправить всякие мелочи, разделить по группам, оформить, проверить грмм. ошибки. Думаю на это уйдет дней 5...




HamMer Добавление своей функции в EXE Не ругайтесь громко матом, я помню что



HamMer Добавление своей функции в EXE Не ругайтесь громко матом, я помню что такая тема уже была... Просто я ее не читал. Вопрос собственно в следующем. Мне нужно дописать кусок в Exe-шник длиной в 35 байтов. Места свободного нет, поэтому нужно дописать свою функцию, как это сделать. Если можно примерчик или где глянуть.
MozgC :: Цитата из FAQ’a:

Q: Мне нужно изменить работу программы для своих целей. Я хочу вставить на место инструкций, которые хочу изменить, свои инструкции. Но "не хватает места", т.е. мои инструкции занимают больше места, чем те, которые нужно заменить. Что делать?

A: В этом случае составляем нужный нам код (процедуру). В конце кода добавляем команду ret. Создаем новую
секцию (с помощью LordPE или ProcDump’a) и помещаем наш код в эту секцию. В начале инструкций, которые нам надо изменить ставим вызов добавленной процедуры (call), оставшиеся ненужные инструкции, до начала нужных, забиваем командами "nop". Все. Только нужно будет быть внимательными с адресами, их надо будет смотреть в отладчике.

Еще можно это поместить в конец последней секции, где есть обычно блок нолей, в месте выполнения также нужно вставить сall на свой блок, а в конце своего блока нужно написать ret. Если в конце файла нет нолей, можно их дописать и расширить raw и virtual size последней секции и не забыть исправить imagesize

XoraX :: MozgC
когда же фак выйдет полностью?

MoonShiner :: Как вариант, когда по каким то причинам не проходит добавление секции, можно добавить в секцию импорта свою либу с нужной функцией, ну а дальше слегка поправить заголовок, чтобы твоя функция вызывалась.

freeExec :: MoonShiner

цитата:
добавить в секцию импорта свою либу с нужной функцией


Каким софтом?

[RU].Ban0K! :: freeExec пишет:
цитата:
Каким софтом?


А в рукопашку нельзя?

HamMer :: Так как Мозг рассказал у меня получилось и я все замечательно поломал. А вот как в ручную в секцию импорта добавить... У меня прога выбрасывает сообщение после этого о недопустимой ошибке, ну а дальше знаете куда посылает...

Guest :: HamMer проверь почту

MoonShiner :: 2freeExec: Да руками хоть в HexWorkshope каком нить вбить, если имеется представление о PE-формате. А если там нет места или по каким то другим причинам не катит, я делаю извратно:) Гружу импрек и секцию импорта вставляю в конец файла, а импрек в ней оставляет много пустого места. Ну а дальше по аналогии с другими либами. Когда то я ковырял импорт в импрековском формате и добавлял прямо там, а потом приклеивал секцию. Даж приблуда хранилась где то, тока винт сдох:(




Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение),



Начинающий Языки высокого уровня? Подскажите (выскажите свое мнение), пожалуйста, ламеру какой из многочисленных языков программирования, стоит (лучше всего, с точки зрения применения, а не сложности) освоить?
В совершенстве знаю ASM. Просматривал Delphi, C++ Builder, C#, и т.д. и т.п. Ни на одном не смог остановиться, т.е. выбрать. Помогите, плиз!
Зарание всем спасибо.
Kerghan :: Visual C наиболее распрастранен, пожалуй на нем и стоит остановиться

dragon :: Остановиться стоит на C++, а Visual C++ или Borland C++ builder - разница только в IDE, язык то один и тот же.

Начинающий :: Спасибо.
Про C++ понял, а что лучше использовать?: Visual C++ или Borland C++ builder
Может кто еще подскажет, какую инфу где скачать или какую прикупить, для более понятного освоения снуля.
Еще раз спасибо.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Visual C++ или Borland C++ builder


Они отличаются лишь тем, что на Borland C++ builder интерфейс связывать с кодом очень просто (нажал на кнопку, вот тебе и событие OnButtonClick), а на Visual C++ все надо ручками делать:)))))) Ну и размерами создаваемых программ, хотя кого сейчас интересует размер программы??????

Начинающий :: Меня интересует размер прог тоже, а на какой из них больше инфы, и что лучше по Вашему мнению, по мне так лучше все ручками, взять ту же распаковку (к примеру Армадило или ASPR New Strain), кто-нибудь пробовал автоматом распаковать? Если да, то, что у кого получалось? А ручками можно сделать что хош.
А вообще я просто хочу выбрать язык для изучения, и чтоб инфа была подходящая, и чтоб он не устарел как бейсик, чтобы потом не переучиваться. Просто я не могу изучать поверхностно. На изучение ASM’a допустим у меня ушло почти 2,5 года по 4 часа каждый день. Не подумайте что я тормоз просто во всем разбираться люблю досконально.
Спасибо.

Guest :: Я вообще тоже знаю токма ASM, с пол месяца назад начал изучать C++, нашел Borland C++ builder, с подсказки MozgC, и сейчас его пока просто просматриваю, вообще в инете больше инфы на Visual C++, но все одно и тоже - подходит и к Borland C++ builder, и Visual C++. У меня есть пара вопросов: если ты "любишь работать ручками и в совершенстве знаешь ASM", то накой хрен тебе другой язык? По мойму этот язык был есть и будет всегда, а на нем ты можешь писать что хочешь! Или уже просто надоело стучать пальцами по клаве? Или уже память не та?; Ну с аспром я разобрался влет, а вот с армодилой только с dragon’овой подсказки, я думаю всем бы было интересно увидеть твое решение!

Начинающий :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках, армадило это не есть эффективная защита:
1. При желании можно взломать (слишком много желающих потому как там не все так просто)
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз).
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения.

Guest :: Я давно в своих программах использую метод уничтожения файлов при запусках при отладчиках?
1. При желании можно взломать (слишком много желающих потому как там не все так просто) - не все справляются с этой защитой.
2. По первой же причине защита быстро устаревает (см. сколько раз изменялась Армадило в этом году, по моим подсчетам 27 раз). - помойму они меняют раз в неделю.
3. Неоднократное криптографирование файлов, сильно тормозит работу приложения. - ? -Вообще на сегодняшних компах это не особо заметно.
Но все же я так понял ты можешь защитить программы лучше???

Начинающий :: Но все же я так понял ты можешь защитить программы лучше??? Во всяком случае я думаю именно так. Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.

Guest :: Это не реально! Небыло еще таких прог которые бы мы не смогли сломать сами либо с чьей нибудь помощью. Давай крякми.

Начинающий :: Вообще я просил мне помочь с выбором языка, всем спасибо, а крякми выложу куда нибудь завтра после работы.

Guest :: Слушай, Начинающий, судя по твоему IP, ты с где-то рядом? Ты случаем не Соколовский Е.?

Начинающий ::

Guest :: Давай по телефону.
Антон Л.

.::D.e.M.o.N.i.X::. :: Начинающий пишет:
цитата:
Если хочешь я подготовлю крякми ничем не упакованный, с готовыми ключами, тебе просто нужно будет найти эти ключи, и зарегить его. Если же конечно поймешь как сделать так, чтобы прога не стиралась. А представь ситуацию, (это я тебе уже расказал, что прога сотрется если будет запущена вместе с отладчиками), ты скачиваешь файл метров на 30 запускаешь отладчик и "кирдык", - качай заново, она сотрется как распакованная так и в скачаном архиве.


Мне больше нравиться другой подход. Пакуешь UPX-ом, потом изменяешь файл, да так, чтобы даже GUI и ProcDump не смогли распаковать. Перед этим делаешь в проге проверку на размер в байтах как минимум в трех местах, причем незаметно. Крякер распаковывает с помощью айса, потом восстанавливает импорт, потом проверяет работает ли прога и O-o-p-s она самопроизвольно удалилась, да еще и ntkern.dll с собой прихватила, тогда крякеру даже Бил Гейтс не поможет

Начинающий :: .::D.e.M.o.N.i.X::. - хороший вариант, но если крэкер будет работать не с айсом, а с чем нибудь другим? У меня проще: если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов, прога просто удаляется вместе с архивом и прежними версиями даже из реестра, можно конечно сделать и так чтобы удалялось еще и пол Винды. Есть только два способа это предотвратить, по мойму:
1. Нужно знать хорошо ASM под DOS;
2. Спросить у меня как это сделать.

freeExec :: Начинающий
цитата:

что прога сотрется если будет запущена вместе с отладчиками



Если ЕХЕ файл запущен то его не сотрешь :(э

цитата:

сотрется как распакованная так и в скачаном архиве



Сканирование всех дисков в поиске архива (а если он скачен не с офицального сайто, то за имя его не кто неручается; че искато) слишком сумно и подозрительно, ктому же все продвинутые перцы запускают новые проги, в хутшем случаии с пользовательскими привелегиями,я так только из под гостя, который даже найдя свой архив, будет бессилен
ИМХО это не актуально, да и написать на 30 метров надо постораться :)

freeExec :: Начинающий

цитата:
если кто то обращается к исполняемому файлу, не кликом, а через отладчики или редакторы ресурсов


И как же ты собераешься это установить?
Слыхал про уязвимость связанная с тем, что программа не может узнать она сама послала себе SendMessage, или это внешняя программа. А тут уже открываются новые возможности, как запуск процесса с привелегиями программы.

Да еще когда работает отладчик твоя прога отдыхает.

Начинающий :: А переделаю я наверное крякми YuPiter’a, если он конечно будет не против, чтобы всем уже кто сломал было понятно - что к чему, и сразу в нем же будут коментарии - подписи на против того что я изменил в его крякми, чтобы работало, и описание того, что напишу сам, что к чему. - Этакое учебное пособие кто сможет до него добраться. Предупреждаю зарание:
1. иметь дискету для загрузки
2. иметь дистрибутивы тех прог в которых захотите просмотреь крякми и ОС в которой работаете.
3. Если не знаете ASM даже не пытайтесь!!!
4. (для чайников) Если не знаете как перевести из 16-ричной в двоичную, не портите свой комп.
Что будет:
1. Удаление основных файлов ОС.
2. Удаление любого упоминания о проге.
3. Удаление всех тех программ которые будут запущенны на момент взлома (даже из реестра). Кстати для тех кто хочет почистить реестр - "милости прошу"!
Что иметь: текстовый редактор под ДОС, ASM под ДОС, мозги, и самое главное - желание.

Начинающий :: Для freeExec, не говори гоп пока не перепрыгнешь!!!

Начинающий :: Жду согласие YuPiter’a.

Guest :: Евгений, я знал что ты хороший програмист, но чтобы ты смог замутить такое, не верю. Если все правда, то что ты говоришь может обсудим по телефону?

Начинающий :: Антон, по телефону потом, жди крякми, тебе будет полезно для развития. Сохрани все файлы желательно на другом диске!!!

Guest :: Я завтра к тебе на работу заеду! ОК?

freeExec :: Не стоит меня пугать, я в свое время вирусы разбирал и писал, все хитрости знаю. И ИДА тут как раз поможет, т.к. не че не удалится :)

MozgC :: Почитал я этот бред

1) Начинающий. Написать можно все угодно, только вот в настоящей проге ты не будешь иметь права такое применить, соотвественно все твои ухищрения - это только в КРЭКМИ да и то как-то неинтересно. В том смысле что ума много не надо винду запортить. А по нормальному слабо защитить? Тот же армадилло, который ты говоришь слабая защита, вреда никому не делает, винду не запарывает, файлы не стирает.
2) Тебя послушать так тебе надо прям фамилию Солодовников взять и протекторы делать. Смешно.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




bi0w0rM ASPR disasm Опять я здесь...



bi0w0rM ASPR disasm Опять я здесь...

Скажите ALL, плиз, как раздизасмить распакованный после аспра екзешник??
RideX :: Characteristics первой секции E0000020

freeExec :: А в чем собственно трудность?

bi0w0rM :: 2FreeExec: распакованная хрень в w32dasm не дизасмится!
2RideX: А я блин у всех секций делал...

dragon :: Ну качай WDasm 9.0 beta или используй IDA(последнее предпочтительнее)

bi0w0rM :: А чё 8.9 не возьмет?

bi0w0rM :: Ту RideX: Менять у секций характеристики надо ведь до анпака?

dragon :: Нафига до анпака менять, естесственно перед дизассемблированием. И если WDasm не берёт, в том числе и 9.0, то надо пользоваться IDA. И ещё, менять характеристики надо только у секции кода, у остальных лучше не трогать.

MozgC :: блин, ну распаковал, нашел секцию кода и поставил ей характеристику E0000020, а потом хоть чем и хоть какой версией дизассемблируй. Какие тут могут быть еще вопросы ?

Zero :: Пользуйся IDA!
"И ещё, менять характеристики надо только у секции кода, у остальных лучше не трогать" - трогать можно, даже нужно, но только если знаешь что к чему!

.::D.e.M.o.N.i.X::. :: Zero
Извеняюсь, что здесь влез. Ну так как там с кейгеном? Мож все-таки скинешь мне свой FTP на rodl@mail.ru?

MozgC ::
цитата:
трогать можно, даже нужно, но только если знаешь что к чему!


Я хотел спросить.. а зачем же нужно трогать остальные секции, кроме секции кода при дизасме?

bi0w0rM :: MozgC пишет:
цитата:
Я хотел спросить.. а зачем же нужно трогать остальные секции, кроме секции кода при дизасме?


В статье by Dr. Golova "Ручная распаковка файлов, используя ProcDump" написано, что перед распаковкой надо у секции кода(самой огромной по размеру и самой первой) сделать E000002, а после распаковки так вообще у ВСЕХ поставить E000002. Но он писал про пакеры(ASPack, UPX, etc)

Но я запарил чё-то...

bi0w0rM :: Опять запутался... E0000020! А не 002

dragon :: offtopic

MozgC, ты вроде хотел статью про распаковку армадиллы 3.10 посмотреть, я на мыло кидал, мне возвращается, что такого адреса нет. Куда её кидать-то?

bi0w0rM :: dragon, а можешь кинуть её мне тоже? Пожалуйста!

dragon :: Короче, я её вот сюда выложил, скачивайте - http://www.cfiles.nm.ru/files/arm_art.rar

MozgC :: Спасибо, щас посмотрю

MozgC :: одно слово: мрааааак.

Я не думал что Армадилло так трудно и муторно восстанавливать. Завтра попробую начать разбираться, а то щас только просто мельком статью прочитал. Очень много не понятных моментов. На месте dragon’а я бы в инет не заходил с месяцок, потому что вопросов очень много =)

bi0w0rM :: Спасибо, dragon! ВВек не забуду!

MoonShiner :: dragon, рулишь! А я с этой долбаной работой почти положил на кряк:(

dragon :: Да вот тут учёба началась, теперь так активно ломать тоже не придётся...

MozgC :: Мде.. учеба это не в кайф =( Теперь уже толком не поломаешь... Вот статью буду разбирать на выходных наверно.
Dragon, готовься отвечать на вопросы =))

bi0w0rM :: Хорощо быть бездельником и ломать проги!




Anonymous Автоанпакер Скажите, есть ли автоанпакер UPX старых версий? Я хочу



Anonymous Автоанпакер Скажите, есть ли автоанпакер UPX старых версий? Я хочу свой написать, но если такой уже существует, то и смысла нет
RideX :: Есть, ProcDump

XoraX :: Anonymous, а UPX.exe -d filename.exe не помогает?
И если уж на то пошло, то вместо того чтоб писать свой анпакер, легче проги вручняк распаковывать...

GL#0M :: Anonymous
Для старых версий анпакер Generic Unpacker For UPX by Bratalarm.
А вообще-то XoraX прав, лучьше руками.




Maestro Вопрос крякерам Господа, помогите взломать вот эту



Maestro Вопрос крякерам Господа, помогите взломать вот эту http://download.1stbeniso....net/download/arsetup.exe прогу и напишите, плиз, как вы это сделали. Третий месяц бьюсь, ничего не получается. Заранее благодарен.
MC707 :: А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...

MC707 :: А-а, вот. У нее проверка на срсшность...

Maestro :: MC707 пишет:
цитата:
А-а, вот. У нее проверка на срсшность...


И что это такое? И как с этим бороться. Поясните, пожалуйста. Хотелось бы это по-лучше знать. Буду премного благодарен.

Maestro :: MC707 пишет:
цитата:
А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...


И что такое дизмю? Тоже хотелось бы объяснений.
Я не волшебник, я только учусь (С)

XoraX :: Maestro пишет:
цитата:
Третий месяц бьюсь, ничего не получается.


Как же ты бьешься?

XoraX :: Maestro пишет:
цитата:
Поясните, пожалуйста. Хотелось бы это по-лучше знать.


Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.

MC707 :: Для Maestro: Дизмю значит дизассемблирую (есть такая прога. ИДА называется . Можно и Win32dasm).
А проверка на срсшность это значит что прога проверят в себе (в ar.exe) СRС32 (а может и просто CRC, неважно)
и если она не совпадает выдает Что-то типа МессаджБокс, но это не он, иначе SoftIce его поймал бы, я пробовал.

Maestro :: XoraX пишет:
цитата:
Как же ты бьешься?


Обчитался всяких статеек, некоторые с примерами. Накачал полезного софта, такого, как: w32dasm, Soft-ICE, Hiew. И начал по-тихоньку пробовать разные маленькие программульки ломать. Парочку сломать удалось, а вот на этой (см. выше) споткнулся. Ну MC707 сказал что-то там про CRC. Я пока еще с этим не знаком.

И как я писал уже выше - я не волшебник...

Maestro :: XoraX пишет:
цитата:
Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.


Во-первых, «дизмю», как я уже выяснил - слово жаргонное. Т.е., поскольку я новичок, я не мог его слышать раньше. Обычно все, с кем я общался на тему дисассемблирования, так и говорят: «дисассемблирую». Во-вторых, не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками?

MozgC [TSRh] :: http://www.xtin.km.ru/files/faq.html

MC707 :: Maestro пишет:
цитата:
не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками


http://cracklab.narod.ru/

XoraX :: наверное я отстающий, тоже первый раз слово дизмю слышу... только по звучанию догадался....

MC707 :: Ну вы блинваще даете. Это ж так просто : диз(ассе)м(блиру)ю

MozgC [TSRh] :: надо тогда говорить «д» или «дю» так короче, удобнее произносить.
Например: я сейчас дю прогу.

MozgC [TSRh] :: Или «ди», беря пример с DeDe, там же Decompiler = De, а у нас дизассемблер будет «ди».

MC707 :: я п д п. отв з-ра

Diezel :: Эй крякеры да вы вообще от вопроса отошли, тут вас просят помочь взломать прогу, а вы тут такое ему колбасите, а еще крякерами называетесь, даже Мозгс .

Maestro :: Diezel пишет:
цитата:
а еще крякерами называетесь,


Вот такой у нас неотзывчивый народ пошел. Лишь поглумиться и выставить себя крутыми в той или иной области знаний. Ох-хо-хо... Ну хоть спасибо, что без внимания не оставили, как на другом форуме.

-= ALEX =- :: Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»

-= ALEX =- :: Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....

Maestro :: -= ALEX =- пишет:
цитата:
Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»


Если ты внимательно читал мое первое сообщение, то наверное, ты должен был понять, что я прошу помочь сломать эту прогу, и прошу помочь разобраться, как это делается. Т.е., мне нужно, чтоб меня научили ломать такую защиту, которая реализована в этой проге.

Maestro :: -= ALEX =- пишет:
цитата:
Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....


Статей я прочитал довольно много, и уже протые защиты ломать умею. А по поводу дурацких вопросов, мне в частности не было понятно ЖАРГОННОЕ слово «дизмю». А ты вот знаешь, что называют у мотоцикла «Урал» «горшком»? Наверняка не знаешь. Потому что это тоже жаргонное слово, которое употребляют в разговоре рокеры, и не многие простые граждане знают, что оно означает. То же самое и тут... А по поводу статеек, ну если ты такой продвинутый, делись ссылочками, а я посмотрю, что за ссылочки. Можть я их уже читал.

UnKnOwN :: Для Maestro: Та на крак лабе все прочитал, что то не верится...

XoraX :: Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается. Ты сам то посмотри на нее, оцени ситуацию сюда пиши уже конкретный вопрос, если что-то не понятно.

Гость :: Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.

Maestro :: Гость пишет:
цитата:
Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.


Единственный более-менее рациональный ответ. Остальное - такая лажа. Ну народ пошел, никак не хотят помочь ближнему своему. БУРЖУИ, блин!!!

Maestro :: XoraX пишет:
цитата:
Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается.


Так бы и сказал, что лень. Кстати, фраза типа «никому не охота» - это говорит о том, что здесь либо все такие же чайники, как и я (а я не отрицаю, что я чайник, всему приходится учиться, и даже прибегая к помощи других), либо все настолько крутые (шоб они все отсырели ), что прям куда деваться. Короче, хрен с ней с программой, мне уже и так кряк на нее прислали, хоть и галимый, но все же лучше, чем ничего. Просто для общего развития хотелось узнать, принципы построения защиты, которая применена в этой проге, и методы взлома такого рода защиты. Увы, не получилось...

Maestro :: UnKnOwN пишет:
цитата:
Для Maestro: Та на крак лабе все прочитал, что то не верится...


Спасибо, почитаю посиду на досуге.

-= ALEX =- :: Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми

Maestro :: -= ALEX =- пишет:
цитата:
Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми


Слушай, если ты такой умный, можть ты скажешь, на какой форум обраттиться? Я задал вполне нормальный вопрос. Что бестолкового в том, чтоб мне помогли разобраться в принципах защиты, примененной в данной программе? Ну я так понял здесь сидят типа крутые крякеры, можно сказать, старожилы всего крякерского люда. Ну что ж, извиняюсь за беспокойство, господа уважаемые старикашки. Сливки общества крякеров, хакеров и прочих умов. Простите, блин, что потревожил ваше стариковское общество инвалидов крякерства, намозоливших себе пальцы и задницы на этом деле. Больше я вас не потревожу.

ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.

-= ALEX =- :: Ниче парень раскипятился

Maestro :: -= ALEX =- пишет:
цитата:
Ниче парень раскипятился


Раскипятишься тут, когда хочешь по-нормальному, по-людски, а получается как всегда...

freeExec :: Maestro пишет:
цитата:
ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.


Я слишком ленив, ты уж как нибудь сам выкенся

Maestro :: freeExec пишет:
цитата:
Я слишком ленив, ты уж как нибудь сам выкенся


Да ПУУУУУУУУУУУУУК!!! Вам всем в ухо!!!

MC707 :: Не ну че правда на чувака набросились?

MC707 :: Я - то хоть посмотрел че за прога (начал копать, потом описал че нашел и плюнул. Влом копаться)

freeExec :: А мы обычно пропускаем первый пункт

MozgC [TSRh] :: Diezel пишет:
цитата:
а еще крякерами называетесь, даже Мозгс .


А я че крайний чтоли я ее не смотрел, и вообще нигде нет правил чтобы только по теме писать, если никто не против то пишем что прикольно или интересно даже если не по теме. Что насчет помочь, то значит либо не сломали либо не смотрели. Ваше дело маленькое - ждать. А мы уж если посмотрим - отлично, не посмотрим - ну и не обязаны. Еще что насчет цитаты, то я думаю название крэкер не определяется тем что человек пишет на форуме в какой-то конкретной теме.
Чтоб на меня гнали - как освобожусь - посмотрю, я тоже работаю и тоже свои дела есть, уж извините.

MozgC [TSRh] :: Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.

1) Никто не обязан никому помогать.
2) Гнать на того кто задает вопрос тоже не надо, все когда то что-то не знали и спрашивали.

Исходя из этих двух пунктов можно понять что никто не виноват, все хорошие и так и должно быть. Один задает вопрос, другой либо на него отвечает (помогает) либо нет, это его право. Какую-то я лажу написал, но в общем смысл ясен - не надо ругаться.

Прогу седня-завтра скачаю и посмотрю.

Kerghan :: MozgC [TSRh]
че то нехорошие воспоминания нахлынули
Maestro
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м

MozgC [TSRh] :: Kerghan пишет:
цитата:
че то нехорошие воспоминания нахлынули


Не понял, какие?

MozgC [TSRh] :: Скачал я и посмотрел прогу, пропатчил сначала прогу, но там какая-то проверка, может CRC32 и в общем прога не шла, но я это тоже пропатчил и прога пошла... Что рассказывать? Не знаю че вы тут суетились так с ней. И MD5 и SHA я тут не увидел, может не туда смотрел правда, но говорить что там MD5 и SHA основываясь только на PEiD тоже не дело. Во всяком случае мне пофигу, прога пропатчена и работает.

MozgC [TSRh] :: Пока не забыл:

453E4D: setz cl -› xor ecx, ecx
inc ecx

Если проблема была только в проверке контрольной суммы то я написал что менять. Почему? Да просто сначала поставил бряк на createfilea, запустил прогу, и раз 20 жал F5 пока не увидел что функция вызывается с именем нашего пропатченного exe файла в качестве параметра (чтобы это увидеть после срабатываения бряка жмем db *(esp+4) ) после чего пошел тупо трейсить по F10 обращая внимание на условные переходы, нашел какую-то проверку, она была не похожа на CRC но явно что-то проверялось. Я в ней не стал разбираться, подумав что если что потом вернусь и буду уже конкретно смотреть и пофигарил дальше по F10, через какое-то небольшое время увидел странную инструкцию cmp что-то, что-то и потом setz cl, вообще такие редкие инструкции как setz я видел при проверке регистрации или еще чего только раза 3-4 и всегда это оказывалось действительно то что я искал. Поэтому я не задумывась после этой инструкции засунул в cl еденичку, ну типа флаг ZF выставлен значит, потом было видно что скорее всего значение cl использовалось в последующих коллах (это значение сохранялось в esi и дальше уже использовалось для проверки), но я не стал разбираться и побоявшись нажать F5 (не был уверен что это то что нужно) пофигарил дальше по F10 ища проверку на глаз, профигарив экранов 5, я оказался в функции createwindowexa, подумав что это появляется ненавистный messagebox (появляющийся при запуске пропатченного файла) я сначала расстроился, но заветную F10 не отпускал и через несколько секунд увидел что прорисовывается главное окно. Радостно нажал F5 увидел запустившуюся прогу, проверил запись, ограничений не было. Пошел написал предыдущее сообщение на форуме, после чего побоявшись что рано хвастанул на всякий случай пропатчил exe и увидев что прога успешно запускается пошел сюда и написал ЭТО.
Ну в общем вот так, может кому будет интересно почитать как на самом деле патчилась прога, все таки наверно интереснее чем в статьях типа измените этот байт на этот и прога запуститься, конец статьи =)

Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.

MozgC [TSRh] :: Если кому интересно почему я поставил бряк на createfilea то я просто понял что проверяется файл на диске после того как мои бряки bmp на пропатченные участки памяти ни разу не сработали...

Maestro :: MozgC [TSRh] пишет:
цитата:
Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.


Да началось-то все с того, что один крендель (не помню кто, но и неважно) написал, мол, что-то там, типа »...я посмотрел заголовок и подумал: «может тебе еще и шнурки погладить?»». Вот это меня и огорчило, и разозлило. Когда просишь людей помочь в конкретной ситуации, а тебе «вежливо» отказывают подобным образом, это кого хочешь разозлит. Ну а в отстальном все в порядке. И как ты писал, что каждый имеет право задать вопрос, и каждый оставляет за собой право либо ответить, либо нет, это так оно и есть, и я этого не отрицаю, а даже поддерживаю. Но грубости не терплю!!!

Maestro :: Kerghan пишет:
цитата:
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м


Да. В этом смысле я не подумал... Это я тут на работе с 512 кб/с сижу качаю, а многие действительно сидят дома и качают на обычных модемах, на полудохлых АТСках. Ну собссно, на этих ребят я и обижаться не могу. Сам таким был. На стареньком модеме 28800 сидел всю ночь скачивал по тем временам последнюю четвертую версию Интернет Эксплорера.

Maestro :: MozgC [TSRh] пишет:
цитата:
Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.


Буду очень признателен, если ты мне перешлешь и сам патч, и краткое описание, как ты и что пропатчил (какие байты, где и т.д.)

UnKnOwN :: MozgC [TSRh]
а ты свои патчи чем мутиш, патчером каким то или АСМ.?

MozgC [TSRh] :: У Нас есть Reliz Studio прога для быстрого создания крэк-архива. Там буквально за минуту создается архив с понятным названием включающий в себя nfo, file_id.diz и сам патч или кейген, причем патчи тоже создаются этой же прогой. В ней выбираются два файла: исходный и пропатченный и она патч создает. Вещь просто удобнейшая. Можно прикрутить к ней оболочку любого патча, т.е. с любым интерфейсом.

freeExec :: Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал. Там вообще как-то интересно пустая строка сравнивается со 100 строчками какого-то мусора. Только не ясно пустая строка должна остаться, или там как-то из кода появляется текст.

MozgC [TSRh] :: Есть такой раздел программ «геморойные для крэкера проги». Вот она одна из них ее не то что код подобрать, пропатчить то нелегко. Я бы мог конечно месяцок посидеть подумать над кодом, но че-т неохото =)

Maestro :: MozgC [TSRh] пишет:
цитата:
У Нас есть Reliz Studio прога для быстрого создания крэк-архива.


А не могли бы вы поделиться сей прогой? На мыло, плиз: algaranin@cb.rsce.u

MozgC [TSRh] :: Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.

infern0 :: Для freeExec: а это скорее всего из ключа вычисляется MD5 или подобное, и потом сравнивается с той сотней значений, которые автор захардкодил. Это не подбирается - реально только ввести ключ, посмотреть что получается и заменить одну из тех строк на свою. Тогда дальше ничего ломать не надо (скорее всего).

Maestro :: MozgC [TSRh] пишет:
цитата:
Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.


ну ладно тогда... Жаль конечно, но как грится: хозяин - барин.

freeExec :: В том-то и дело что строкас которая наверно долэна содержать мои данные пуста :(

MozgC [TSRh] :: Значит наг убирается так:
В файле:
2569D: 33 С0 -› 40 90
Т.е. заменяем xor eax, eax на inc eax и процедура проверки будет всегда возвращать не 0. Как я нашел процедуру проверки? Я уже писал. Останавливаюсь на EP по F10 иду пока не натыкаюсь на колл, в котором всплывает наг. Запоминаю колл и после перезапуска проги захожу в него и нем иду по F10 пока опять не натыкаюсь на колл, в котором всплывает наг. Опять перезапускаю прогу и уже вхожу в этот колл и так углубляюсь пока не нахожу именно нужный колл, который надо пропустить. В данном случае было что-то типа

call proverka
test eax, eax
jnz no_nag
call nag
nonag:
.................

Вот то что я вверху написал заменить это как раз находится в конце процедуры проверки. Читать до тех пор пока не будет понятно =)

Про проверку целостности я написал, осталось ограничение в 30 секунд. Конечно может прийти вопрос «А на что ставить бряк?» - А ни на что. 30 сек это 30000 мс, это 7530h и в файле нам надо искать последовательно байт 30 75. В файле таких было не много и одно из них было 81 F9 30 75 00 00 что ни что иное как cmp ecx, 7530. Т.е. сравнивается сколько прошло времени, дальше идет плохой переход, который я занопил:

3F8F1: 0F 8F 6E 09 00 00 -› 90 90 90 90 90 90

Готовый патч брать тут:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack-tsr h.zip

Maestro :: MozgC [TSRh] пишет:
цитата:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack- tsr h.zip


Че-то он тут не берется...

MozgC [TSRh] :: freeExec пишет:
цитата:
Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал.


Ну иногда патч единственный реальный способ или способ который позволяет сломать за приемлимое время даже если возможен не только патч. Вспомним AdMuncher и кейген =)

MozgC [TSRh] :: Для Maestro:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.

Maestro :: MozgC [TSRh] пишет:
цитата:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.


СПА-СИ-БО!!! Попробую дома разобраться, что к чему.

Maestro :: Всем откликнувшимся БОЛЬШОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!

Кстати, а как поставить брекпоинт на dll-шку? Ситуация такая: скачал из инета плагин для Soud Forge. При запуске плагина в теле Sound Forge, вылетает окошко с регистрацией. В Soft-Ice я так и не нашел, куда надо воткнуть брекпоинт, чтобы потом как-то предпринимать дальнейшие действия. Есть ли какие-либо методы для взлома подобных плагинов и какими прогами это лучше делать?

MozgC [TSRh] :: А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?

MozgC [TSRh] :: Ну можешь сделать так, посмотреть Entry Point этой dll, потом запускаешь свой sound forge он подгружает эту dll. Ты в любой проге типа PETools, LordPE, ProcDump смотришь по какому адресу загружена эта длл в теле главного процесса. Прибавляешь к этому адресу EP длл, выделяешь адресное пространство нужного процесса и ставишь бряк на полученный адрес, после чего вызываешь плагин. СофтАйс прервется и ты уже дальше иди по телу dll как хочешь и смотри че там происходит. Я так плагин к ФотоШопу ломал.

MozgC [TSRh] :: И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?

Maestro :: MozgC [TSRh] пишет:
цитата:
А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?


Ну, скажем так, в Soft-Ice, когда набираешь команду addr, высвечиваются все процессы, точнее программы, загруженные в данный момент, в том числе и тот ехешник, который я, допустим, собираюсь ломать. Поковыряв в Wdasm32 этот ехешник, я нахожу ту точку, где надо ставить брекпоинт, далее в софтайсе с помощью команды addr активирую свой ехешник и ставлю брекпоинт. И далее уже чисто логически, или по большей части интуитивно ковыряю. Таким макаром, я смог поломать Wave Corrector v.2.1, AKoff Music Composer ver.1.45, и еще пару мелких программулек (щас не вспомню уже). А плагин в софтайсе не виден, как отдельный процесс, вот у меня и возник вопрос. Возможно что и несколько глупый...

Maestro :: MozgC [TSRh] пишет:
цитата:
И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?


Да чайник я, чего уж там. Ну пробовал я проги попроще ломать, ломаются собаки, да еще как. Единственно, я пока еще не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно. Пока... Т.е. особо не разглядываю, как там и чего, а просто при срабатывании брекпоинта, пользуюсь стандартным набором команд софтайса («горячие клавиши», просморт значения всех подряд регистров и т.д.), и, если защита легкая, то нахожу искомое. Но с более сложными защитами сложнее. А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею. В библиотеке вряд ли есть книги по крякерству, хакерству и другим подобным занятиям. А в и-нете тож ене так уж и просто что-либо найти, особенно, когда не знаешь, как правильно поставить вопрос перед посковиком (Яндексом например). Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.

freeExec :: Бряк на ЕР тебе не чего не даст. Там лишь обработчик сообщений, а бряк надо бы на экспортированные функции ставить.

freeExec :: Maestro пишет:
цитата:
не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно


Если сломал то патч написать можно, и от способа взлома это не как не завист.
Maestro пишет:
цитата:
(«горячие клавиши», просморт значения всех подряд регистров и т.д.)


да и мы также, разве что макросы давно написали.

MozgC [TSRh] :: Maestro пишет:
цитата:
А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею.


На начальном и среднем этапе для поднятия уровня нужна просто постоянная практике, и когда что-то не понятно спрашивай где-нить. Все само собой начнет полуаться по мере набора опыта. Сначала ты интуитивно меняешь переходы, потом придет понимание почему так, потом начнешь разбираться уже в самих процедурах и т.д.

Maestro пишет:
цитата:
Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.


Ты на каком форуме находишься? На форуме крэклаба. На этом же сайте есть боле 100 статей, не знаю как ты их мог не заметить. И не надо говорить что статьи не такие или еще что. Да многие статьи не прелесть, но все как-то по ним учились же.

MozgC [TSRh] :: freeExec пишет:
цитата:
Бряк на ЕР тебе не чего не даст


В случае если плагин показывает наг (в моем случае например так и было) то бряк на ЕП даст все что нужно. Останавливаешься на ЕП дллки и попиздил по F10 пока наг не встретишь, там увидишь процедуру проверки, патчишь ее и все.




MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в



MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в память. Снять с нее дамп - не проблема в любом случае. Взять тот же WinHex на худой конец. Проблема потом заключается в том, чтобы хэдер восстановить. Ну вот меня смууутные сомнения терзают, что невозможно его восстановить. Вот позавчера экспериментировал на Аспре 123, но сильно не увлекался. Как думаете - реально?
freeExec :: Что за хедер ты хочешь востановить?

MC707 :: Ну win32 PE естественно
Может неправильно выразился, но имел ввиду восстановить таблицу импорта, секции и тп

MoonShiner :: дык хидер то берется обычно от оригинала... Или я че то не догоняю? А аспр оригинальный хидер вродь нигде не хранит, даж в пошифрованном виде.

MC707 :: Вот я и говорю, что хэдер остается от исходного, запакованного. Он ессно неправильный. Задача - найти правильный. То что аспр (как и любой другой нормальный пакер) не хранит старый хедер - ежу понятно. Это-то и есть главная задача

MozgC [TSRh] :: Какая нафиг главная задача. Исходный заголовок берется либо от запакованного файла, либо создается программой которая снимает дамп, на основке секций и их параметров в памяти.

MC707 :: Для MozgC [TSRh]: Да вот нифига. Где ты такой дампер видел, которая хедер сама восстанавливает? (я не говорю про procdump, который с аспром123 не работает). Если ж было так - то все пакеры/протекторы были бы давно в отстое. Снял дамп - и нет пакера/протектора.

infern0 :: lordPE
ессно import/export и релоки ручками или соотв. тулзами

MC707 :: Для infern0: Ручками не дано (для аспра), а тулзы его так исковеркают, что он вообще восстановлению не будет подлежать

MozgC [TSRh] :: Я вообще не догоняю проблему?

freeExec :: MC707 пишет:
цитата:
Ручками не дано


А чеже тему так назвал?




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




Inferno[mteam] мастдай Сходил я к другу с винтом, переписал у него пару...



Inferno[mteam] мастдай Сходил я к другу с винтом, переписал у него пару миниигр, прихожу, запускаю,
мессага: прога не является win32 приложением. Начинаю усиленно думать, что за ...ня.
Открываю HIEW, смотрю заголовок, вижу знакомые MZ, значит дело не в этом.
Открываю PEeditor, смотрю свойства секций, virtual size, raw size и т.д., вроде на первый взгляд все ок.
Открываю ProcDump, Rebuild PE, запускаю игру, все прекрасно работает.

У кого-нибудь есть идеи, из-за чего может быть такое глюкалово?

У друга мастдай98, у меня XPень.
Да, еще когда я смотрел его коллекцию иконок, я буквально охренел от её размера. то есть фактический размер её около 1 мега, а на диске примерно 10мегов. Потом я увидел,
что размер кластера у него = 16 кило!!!
.::D.e.M.o.N.i.X::. :: Inferno[mteam] пишет:
цитата:
У кого-нибудь есть идеи, из-за чего может быть такое глюкалово?


NT система не прощает пробелы между секциями, после ребилда все было пересчитано и записаны нормальные значения секций - дело скорее всего в этом.

nice :: Inferno[mteam]
Может быть бонально-битый шлейф IDE




Verb The Mop! Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2 (вот...



Verb The Mop! Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2 (вот где она лежит http://www.softlinks.ru/files/f6399.php). Хотел попробовать крякнуть, да эта прога не в ладах с SoftIce-ом (да и познаний в данной области мало – крякнул пару прог и все тут). Заранее огромное спасибо.
Noble Ghost :: Не по адресу, однако...

Vlad :: Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2
-------------------------------------------------- -------------------------------------------------- -----------
Зайди на www.yandex.ru или ещё куда нибудь и напиши типа «crack The Mop v.2.03.2» или просто «crack The Mop». Если помочь разобраться то другой разговор.
P.S.Посмотрю че за прога все таки.

Verb Re: Vlad :: Пробовал я искать на Яндексе, Гугле, Апорте, выдаются ссылки на более ранние версии.
Помогите разобраться.

Verb Re: Vlad :: Пробовал я искать на Яндексе, Гугле, Апорте, выдаются ссылки на более ранние версии.
Помогите разобраться.

Vlad :: @!#$ запакована да ище и SVKP 1.3x

Verb Re: Vlad :: Её хоть можно крякнуть?

Mario555 :: SVKP 1.3x ... им Tweak XP запакован ...
Статья о SVKP: http://www.xtin.km.ru/view.shtml?id=39

Vlad :: Её хоть можно крякнуть?
-------------------------------------------------- -------------------------------------------------- ---------------------------
Конечно. (Глупый вопрос )
Ну вот и вроде все. Прога взломана!

Vlad :: Verb, а мыло есть ? Так и быть скину тебе.
Иструкции:
Распаковываешь в дирректорию с программой и запускаешь Patch.exe все, патч больше не нужен.

Verb Re: Vlad :: Вот моё мыло ecko@e-mail.ru
Огромное тебе спасибо за оказанную помощь.............

MozgC [TSRh] :: Vlad
Ты ее распаковал? Я просто слышал что SVKP не так легко распаковать. Сам не пробовал...

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да сейчас и плагинов для импрека туеву хучу наделали, так что без проблем. Плюс то что не хочет дампить ProcDump и LordPE прекрасно сдампил PE Tools. Могу даже антидампер показать - все обламываются, а PE Tools каким-то образом дампит и получается работающий файлик:)

Vlad :: Распаковать я её не смог (мозгов пока не хватает ). Я сделал так:
1) запустил и сдампил
2) натравил на неё win32dasm
3) зашел в String Data References и нашел там типа вы ввели не правильный ключ, щелкнулся и оказался на этом сообщении
4) посмотрел и увидел много интересног например (keycheck и т.д.)
5) исправил jmp - ы
6) и сделал in-line patch в exe (времени не было и решил использовать DZA)
P.S. Вобщем потребовлось ну 5 минут.

-= ALEX =- :: Vlad я б тоже так и сделал, не люблю долго копаться в прогах...

Vlad :: PE Tools каким-то образом дампит и получается работающий файлик
-------------------------------------------------- -------------------------------------------------- ------------------------------
Надо попробовать. Первый раз слышу!
-------------------------------------------------- -------------------------------------------------- ------------------------------
Я просто слышал что SVKP не так легко распаковать.
-------------------------------------------------- -------------------------------------------------- ------------------------------
Я с тобой согласен.
P.S. Я заметил, что проги запакованные ASProtect, SVKP и т.д. Легко взломать главное их распаковать. Или 1)запустить и сдампить 2) Win32Dasm (кому как) 3) in-line patch 4) кому лень, можно использовать DZA

-= ALEX =- :: Vlad я б тоже так и сделал, не люблю долго копаться в прогах...

Runtime_err0r :: Vlad

цитата:
6) и сделал in-line patch в exe (времени не было и решил использовать DZA)


Странно какую версию DZA ты юзал ? просто я тоже пытался её запатчить, но в SoftICE правлю - всё нормально, а лоадер сделать или inline patch ну никак не получается

Vlad ::
цитата:

Странно какую версию DZA ты юзал ? просто я тоже пытался её запатчить, но в SoftICE правлю - всё нормально, а лоадер сделать или inline patch ну никак не получается



DZA patcher 1.3
Вот ссылка если надо: DeMoNix ReVeRsInG PoRtAl

Verb Re: Vlad :: Принял твое сообщение только без патча. У меня на компе почтовик «The Bat!», возможно это из-за него так вышло. Показывает что получил сообщение размером в 1кб.
Пожалуйста пришли письмо с патчем заного на мое мыло ecko@e-mail.ru
Попробую со страницы почтового сервака загрузить (раньше с нее все загружал).
Заранее огромное тебе спасибо Vlad....

Runtime_err0r :: Vlad
Странно ... у меня нефига не патчится
скинь мне плиз свой патчик на vmu @ newmail.ru я хоть на него посмотрю ...
Кстати, я этот Mop ещё полгода назад ломал (он тогда был запакован UPX’ом + y0da crypter), так вот он лечится заменой 1 байта только вот я его из-за этого SVKP никак заменить не могу ...

P.S. А чего это у меня счётчик постов сбился ???

-= ALEX =- :: да ваще глюки с счетчиком рангов.... админ поди по пьяни намутил :) шутка

Runtime_err0r :: Vlad
Чё-то у меня твой патч не прокатил
Файл пропатчился, но зарегистрированным от этого не стал ... видимо, придётся распаковывать ...

Kerghan :: Runtime_err0r
это точно

Vlad
че-то слишком много неудачных попыток.........странно как-то это

Vlad ::
цитата:

Чё-то у меня твой патч не прокатил
Файл пропатчился, но зарегистрированным от этого не стал ... видимо, придётся распаковывать ...



Не ху... не пойму, я заново закачал прогу и пропатчил её и всё ОК .

Vlad :: @!#$ ... меня эта прога:
1) она мне нах... не нужна
2) времени нет, оценки в школе надо исправлять
P.S. все таки DZA ее патчит

-= ALEX =- :: Что такая уж интересная прогамма ? пропатчить не можете ? или смогли уже...
Vlad тоже ученик что-ли :)

Vlad :: Программа гавно. Даже попытаться распаковывать её не очень охота. Я лучше за WinAmp 5 Pro буда ща ломать.

Verb Re: Vlad :: Все ок! прога пропатчилась......




Yokel Кто ковырял эту тему? Пацаны кто ковырял эту тему:



Yokel Кто ковырял эту тему? Пацаны кто ковырял эту тему:
http://eoda.by.ru/Data/CrackMes/ucfkeygenme.zip
выдайте свои соображения!!!
Kerghan :: было бы неплохо увидеть не битую ссылку

Yokel Re: Kerghan :: Это ссылка нормальная, я с этого сайта дофига крякмисов качал, так что не надо про не рабочию орать! А это есть кракми от UCF называется KeygenMe! Там 3 процедуры проверки 2 нормальных, одна «поддельная», так вот у меня выполняется тока подделбная!

Nitrogen :: ссылка работает 100%

mnalex :: Доступ закрыт (403 Access Denied)

Запрошенный вами документ «http://eoda.by.ru/Data/CrackMes/ucfkeygenme.zip» закрыт для просмотра. Это может происходить по причинам: ....

Ну и там....
Так что ссылка бита :(

Nitrogen :: просто кликаешь на ссылку и все. я вот только что 16.12.03 8:27 AM (GMT +5) проверил!

Yokel Re: Nitrogen :: Довай смотри быстрее будем мнениями делится!

Nitrogen :: наффик.. я ломать не хочу.. :).. я лучше посплю в сторонке.. а вы мне потом расскажете :)

-= ALEX =- :: я скачал нормально, скоро мнением своим поделюсь

Kerghan :: аналогично с mnalex , и через регет не качает

.::D.e.M.o.N.i.X::. :: Kerghan
Да качает:))) Может ваши провайдеры забанены???:))))

XoraX :: не качает!
может кто-нить выложит его куды-нить?

XoraX :: зато на этом сайте я нашел другие интересные вещи. например эта статья. узнал много нового
цитата:
если например просмотреть любой exe
файл то увидите такие непонятные символы. Понятно, что человеку трудно чи-
тать и понимать такой код. Для того чтобы решить эту проблему был придуман
Ассемблер.


оказывается, асм придумали, чтобы крэкерам было легче

MozgC [TSRh] :: Имхо тому кто читает такие статьи лучше не начинать =)

UnKnOwN :: http://www.unknown-ua.nm.ru/

Залил сюда, ищите файл с названием «ucfkeygenme» 547 Кб.

Yokel Re: UnKnOwN :: не что то затихло??? Кто Krypton 0.5 снимал???

Yokel :: Я его вчера смотрел он сверху запакован FSG 1.33 (снимается за 5 сек) потом Krypton 0.5 by Yado/Lockless!
Сегодня вечером буду дальше смотреть! Довайте подключайтесь - вместе мы сила!

Yokel :: пацаны ну чё тему то оставили! Довай те вместе подумаем! Не ленитесь!!!!!

nice :: Yokel
Поковырял, весьма интересно, особенно криптор(снять не смог)
У меня DeDe съел, листинг есть, но там такоой длиинный алгоритм генерации, мне лениво,
времени нет, продолжу в следующем году.

-= ALEX =- :: :) Всех с наступающим !

nice :: Вот ссылка на этот криптор:
http://www.lockless.com/products/L02_KSetup05.zip

А список внушительный:
* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer
Сейчас буду пробовать...

Yokel Re: nice :: Критпор, то у всех есть, а ты дай линк на декриптор!!!!

-= ALEX =- :: Yokel а ты сам ручками...

Yokel Re: -= ALEX =- :: ручками весьма гиморно, но поробую! Кстати я на reversinge читал что пацаны снимали его!!!! Мож кто знает тех людей???

biox :: Yokel
а у тебя кишка тонка? чето я гляжу крутой крутой а на деле ЛАМ

-= ALEX =- :: бесять такие ламосы как biox , которые только и умеют других обсирать...

biox :: -= ALEX =-
хехе я не кого не обсираю я просто говорю правду
этот Yokel только понтуется типа я вот такой перец решил тут понтануть и все поломать и лезет с вопросами типа а я хочу арму закейгенить типа он тут один самый крутой а мы тут ламаки а как доходит до дела так сразу когото начинает просить помогите обьясните и т.д. еще и дайте что нибуть бесят меня такие уроды

MC707 :: Ты не прав, biox!

-= ALEX =- :: да ладно вам...

biox :: MC707
я вырозил свое мнение !!! и тут совсем не дело в том что я прав или не прав тут дело в том что человек понты колотит а толку ноль !!!

-= ALEX =- :: хотя тема которую он поднял слишком крутая, в том смысле что очень и очень сложно будет сделать кейген, там в нем так и написано !

biox :: -= ALEX =-
так вот просто он лезет на крутое а сам не может раскопать тоесть он расчитывает на вас вы поломаете а потом я уверен он пойдет на другой форум и всем нахвастает типа я такой крутой поглядите ка я сам сломал !!! вот посмотришь так и будет

MC707 :: Кстати не «вырозил» а «выразил» Я тоже выразил свое мнение... Хотя в чем-то maybe. Но все равно не хорошо.

biox :: -= ALEX =- пишет:
цитата:
там в нем так и написано


в арме вообще написанно не возможно ее распоковать !!!
хотя лично я распаковывал

MC707 :: Интересно, «распоковать» от какого слова пошло? «Упоковка»?

nice :: biox
Да я тоже считаю, что кейгенить ЭТО тяжко и потеря времени,
когда есть свободное время тогда можно и покейгенить,
а так нужно хотябы криптон этот снять.
Здесь не прокатит bpm [esp-4], эта гадость весь алгоритм распаковки к нему лезет,
я для прикола поставил условие if (bpcount›0f0000) вывалился в отладчике в цикле распаковки, потом увеличил на порядок, так и не дождался когда айс оживет...

-= ALEX =- ::




bi0w0rM SVKP 1.3 Кто сабж ковырял??



bi0w0rM SVKP 1.3 Кто сабж ковырял??
test :: по статье juan jose пробовал.Антидебаг,порча импорта,stolen bites,полиморф.Похож на аспр новый но посложнее для
неопытных вроде меня.

Runtime_err0r :: test
Дай ссылку на статью pliz

angel_aka_k$ :: bi0w0rM
давай ссылку на этот сабж посмотрим

Madness :: bi0w0rM
Ковырял, хз какую версию.

test :: Сейчас уточню!Вообщем анпак на примере Registry Medic,я потом пробовал по статье HEX-а SEPP не смог Там прога
автора(ов?) этогоже пакера круто защищена но HEX ее уложил,Если интересно на xing лежит с 2002 года а я сейчас
линк проверю и выложу а то там сайт обновлялся если что выложу где нибудь.

test :: Вот там статья после переводчика и оригинал.Я ничего не крректировал но разобрать можно.Иногда регистр AL переводит как букву «В» http://user.rol.ru/~num111/

bi0w0rM :: http://www.anticracking.sk

Лежит последняя версия. Я сам временно блин не могу исследовать - софтайс не пашет!

bi0w0rM :: Блин, а нет у кого нормального тутора? Перевод аЦЦтойный

angel_aka_k$ :: bi0w0rM пишет:
цитата:
Я сам временно блин не могу исследовать


и не надо не чего интересного не увидешь посмотрел я не каких сюрпризов не чего интересного .............. антидебуг с полиформом мы уже сто раз видели остальное все также только oep запарно искать

Guest :: гы...да оеп свкп прячет покруче аспра.... а дальше и вправду неинтересно...
всем H N Y

bi0w0rM :: А кто может свой нормальный тутор написать??

test :: Прошу прощения.Сейчас проверил.Stolen bytes не присутствует в SVKP.Так что желающие могут и по этой статье
попробовать.Так же рассматривается способ определения отсутсвующих функций!

bi0w0rM :: Можно в общих чертах объяснить, как до ОЕП добрацца? А то такой перевод кривой, нификак непонятно

Runtime_err0r :: bi0w0rM
Если он не ворует байты с OEP то проще всего добраться до OEP с помощью плагина для PEiD’а Generic OEP Finder

test :: Во-первых мы загружаем RegMedical.exe в olly и даем Run, или F9 чтобы видеть загружается

или есть какой-то трюк с antidebugging. Прога не загрузилась, используем, pluggin olly

IsDebugPresent, его устанавливаем в hide.
Снова загружаем прогу в отладчик.Скрывая присутствие дебагера прога загрузилась.

OEP – ищется с методом исключений. А именно, загрузив прогу в olly и активизировав pluggin

IsDebugPresent жмем Run, сработает excpecion ,жмем Shift + F9, столько раз,чтобы
Прога запустилась(считая число нажатий Shift + F9). Я думаю, что это – четыре(бывает и больше).

Теперь снова грузим прогу в отладчик и повторяем все снова .Снова в excpecion
жмем Shift + F9, но три раза,остановились на последнем исключении НЕ нажимая Shift + F9 смотрим

в View Memory, и мы помещаем бряк bpm on access в секцию CODE.

После установки bpm on access, проводим последнее исключение (жмем Shift + F9) и olly остановится

вот здесь: 08AFB181 LODS BYTE PTR DS:[ESI]

если мы посмотрим немного ниже мы можем видеть, что мы находимся в цикле, чтобы
не трейсить его, снимаем бряк bpm on access CODE и помещаем bpx в RETN, после
цикла. Так: …………..
08afb216 popad
08afb217 RETN - cюда
жмем Run, остановились на BPX . Сейчас уже мы пропустили цикл, так что снимаем bpx и давайте

снова помещать bpm on access в секцию CODE и снова Run:
И мы на OEP. 004debb8

bi0w0rM :: До двух часов ночи ковырял СВКП и OEP-таки накопал. Распаковывал специальный крякмис на асме с мессагбоксом, на который

навешан svkp. Естественно EP изначально был 00401000, но после SVKP там были одни ноли. Потом, после снятия дампа, там были

нужные байты. Это меня наводит на мысль, что SVKP ниче даже и не пакует, а скорее наоборот, но это скорее всего неправильное

утверждение, так как в проге на асме и сжимать нечего, надо еще делфу попробовать пожать. До OEP добраться в Olly не

получилось по тутору, совсем другая какая-то бодяга там, может версия у меня новее, т.к. самую свежую скачал. А вот с

софтайсом(+iceext) у меня получилось по bpm esp-4, несколько раз брякнецца и попадет на OEP. Дамп снял, все ОК, только с

импортом проблемы, почему-то процесс не отображается у некоторых Task-viewer’ов, например в ProcDump и в ImpREC(что важно), а

вот PE Tools и LordPE его видят. Еще почему-то LordPE дампить его не может, а PE-тулсы умеют. Как с этим бороться(с

импортом)? Можно конечно и пораньше сдампить - байты на OEP есть уже после первого срабатывания bpm esp-4, но я попробовал

!SUSPEND и софтайс упал :( мож еще попробую. Может EB FE поможет.

MozgC [TSRh] :: bi0w0rM
Посмотри насчет восстановления импорта на сайте у Хекса.

bi0w0rM :: Дык а там написано, как сделать, чтоб оно в таск-вьювере появилось?

Madness :: bi0w0rM
В импреке галочку поставь дебажные привелегии.

ЗЫ. че та нифига тег bold не работает в опере.

RideX :: 1) Поиски ОЕР:
ОЕР очень часто легче искать в дампе, когда-то на wasm.ru NEOx/[uinC] давал сборничек РЕ-файлов разных компиляторов, они могут помочь в поиске, а для Delphi программ ищите по сигнатурам в InitExe, потому что, например, ASProtect может украсть начальные байты с OEP, но только до этого call’а.

CODE:005E4D94 push ebp
CODE:005E4D95 mov ebp, esp
CODE:005E4D97 add esp, 0FFFFFFF4h
CODE:005E4D9A mov eax, offset dword_5E468C
CODE:005E4D9F call @Sysinit@@InitExe$qqrv ; Sysinit::__linkproc__ InitExe(void)

2) Импорт:
Проблему с восстановлением импорта не решил :( Рассматривал прогу Download Accelerator Plus 7.0 (http://www.speedbit.com/), SVKP 1.3x

Легко можно восстановить вручную или с помощью плагина SvkpIAT, функции, которые начинаются с адресов 00Сххххх, они имеют вид:

00C00001: jmp 00C00005
00C00003: xxxxxxxx
00C00005: push ebp
00C00006: jmp 00C0001A
...

00C0001A: mov ebp,esp
00C0001C: jmp 00Cxxxxx
...

Не восстанавливаются 4 функции с адресов 00BFxxxx:
00BF33FC
00BF5A78
00BF721E
00BF988B

Без них дамп не работает :(

MozgC [TSRh] :: Имхо надо по нормальному ОЕП искать а не по сигнатурам да и плагинами не пользоваться...

Madness :: RideX
›функции, которые начинаются с адресов 00Сххххх, они имеют вид...
Такие функции импрек сам может восстановить трейсером.

›Не восстанавливаются 4 функции
Если они идут подряд, то это функции из svkp_dll (мелкая, в ultrafxp оно называлось ultrafxp.dll).

MozgC [TSRh]
›да и плагинами не пользоваться...
А мне мой плагин к аспру нравится ;) Ни одного сбоя кста не было с полгода уже...

UnKnOwN :: Для Madness :

Какой плагин, если секрет, ещё и к аспру ???

Madness :: UnKnOwN
Импорт восстанавливать (обновленный стандартный плагин), старая версия есть на wasm.ru

UnKnOwN :: Madness

Понял спасибо...

Mario555 :: MozgC [TSRh] пишет:
цитата:
плагинами не пользоваться


Дык там штук 30 этих функций. Причем большинство такие как RideX написал, определяются не сложно, но долго и муторно.
Madness пишет:
цитата:
Такие функции импрек сам может восстановить трейсером


У меня почемуто их даже плагин не востанавливает (SVKP скачан сегодня).
Madness пишет:
цитата:
), старая версия есть на wasm.ru


А новая ?

Madness :: Mario555
›У меня почемуто их даже плагин не востанавливает
RideX привел вид функций, которые получаются спиранием куска кода с начала функций до первой неперемещаемой и добавлением всяких jmp и в конце прыжок на продолжение, по-моему мне тогда хватило trace level 1 (disasm).

›А новая ?
На wasm нету, он только переделан для импрека 1.6 (сменился интерфейс плагинов) и добавлено определение пары функций-переходников аспра.

XoraX :: Madness , дай пожалуста.

Madness :: XoraX
http://kpteam.com/index.php?show=tools
Скоро будет.
PS. [_b_] - не пашет.

XoraX :: ок, ждем

RideX :: Madness пишет:
цитата:
[_b_] - не пашет


Скоро будет ;), вот что пишут:
Вы можете вставлять картинки, если Ваш ранг от 50
Смайлики от 0, шрифты от 50, без антифлуда от 100

-= ALEX =- ::

-= ALEX =- :: круто




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.




KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на...



KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на asm или Delphi??
MoonShiner :: Читай инфу по PE-заголовку.

MozgC [TSRh] :: Мде, ленится народ...

KLAUS Re: MoonShiner :: А конечно понимаю, что проще всего дать мутный ответ, чем дать конкретный и тем самым помощь человеку.
Ну а точнее можно!

KLAUS :: Народ спрашивает у знающих людей, когда сам не смог найти ответ на свой вопрос!

MoonShiner :: KLAUS пишет:
цитата:
Ну а точнее можно!


Находишь PE-заголовок (например, сигнатурку PE для начала), отсчитываешь от ее начала 28 десятичное, и двойное слово, лежащее по получившемуся адресу и есть EP.

KLAUS :: Угу...Спасибо!!
А получившиеся Dword всегда будет OEP, не зависимо от того, запакован файл или нет...
И как всё таки программно определить тогда PE заголовок (хотя бы примерноо)??

Kerghan :: Bad_guy пишет:

цитата:
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset ‹ VSize) and (VEP - VOffset ›= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.


mnalex :: KLAUS
Слушай а ты часом непутаешь ОЕР и ЕР ? Отличие то знаешь в чем?

DEMON :: KLAUS

Не хочешь париться?? Скачай PE Tools v1.5 Xmas Edition!!!

Bad_guy :: А я кажется понял - Клаусу нужно не EP экзешника, а OEP запакованного экзешника найти. В дампе файла можно искать по сигнатурам - такой будет ответ. Где ты возьмешь дамп и как ты будешь искать - твое дело.

Python_Max :: А какой прогой можно изменить именно OEP запакованного файла?
Чтобы не вручную...
Или нет таких? Вроде в одной из статей проскакивало, что это может ProcDump...

DEMON :: Python_Max пишет:
цитата:
Вроде в одной из статей проскакивало, что это может ProcDump...


Не видел такой статьи, но мне кажеться что ProcDump говно!!!!

-= ALEX =- :: Python_Max я тебе уже ответил насчет OEP в теме -=alex=- patcher




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я...



TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я взломать WarCraft3 FT 1.14 - как ни старался - не получилось ничего :( - как просил диск так и просит... я но-сд то нашел, но просто интересно, каким именно образом он защищен, и как можно обойти? Может кто уже ломал и поможет мне написанием мАААаленького туториалчика?
dmitrys :: Отучаем WarCraft 3 (1.01b) от SecuROM

Инструменты : SoftICE, ProcDump, бумага, Win32DAsm
+!!!оригинальный!!! CD с игрой.

SecuROM считывает нечитабельные(другими прогами) сектора
сд-диска. Сравнивает эту инфу со своей и если все сходится
то далее exe’шник дешифруется и идет прыжок на OEP.
И так начнем...
Ставим в СофтАЙСЕ бряк на GetDriveTypeA (bpx GetDriveTypeA).
КОгда выскочит САЙС жмем F12 и записываем EIP. Потом просто
выходим из САЙСА. Затем загружаем в Win32DAsm war3.exe и
идем на тот адрес который вы записали :00465A31 и поднимаемся
пока не увидим такое место :

-------cut here-------

:00463549 CC int 03
:0046354A CC int 03
:0046354B CC int 03
:0046354C CC int 03
:0046354D CC int 03
:0046354E CC int 03
:0046354F CC int 03
:00463550 55 push ebp
:00463551 8BEC mov ebp, esp
:00463553 56 push esi
:00463554 6A01 push 00000001
:00463556 6A00 push 00000000
:00463558 6A00 push 00000000
:0046355A A190B44900 mov eax, dword ptr [0049B490]
:0046355F 50 push eax
:00463560 FF1554D84900 call dword ptr [0049D854]

-------cut here-------

Снова запускаем игру, только из SILoader’a. Ставим брак на
:00463550 - это начало всей прцедуры чтения секторов CD.
Когда стопнется САЙС смотрим что у нас в ESP (d esp). А в
ESP должен быть адрес места гуда нужно вернуться после
этой процедуры (т.е. если вместо push ebp написать ret
то мы должны вернуться именно на этот адрес). А адрес у
нас оказался :00461692. Если посмотреть на это место в
ВинДАсм’е, то мы увидим всякую фигню, значит SecuROM
дешифрует это место во время выполнения. Нам нужно сдампить
exe’шник тогда когда этот кусок памяти будет дешифрован.
Опять ставим бряк на GetDriveTypeA. Когда стопнемся жмем
F12 и оказываемся в exe’шнике. Меняем cmp eax,05 на
jmp EIP (команды : a, jmp EIP). Выходим из САЙСА и запускаем
ProcDump. Сдампим весь exe’шник и убъем процесс. Загружаем
в ВинДасм сдампеный exe’шник. Идем на :00461692 и если там
нормальный код, то вы все сделали правильно...
Предыдущий call - это как раз вызов той процедуры. Если вы
туда зайдете то не пугайтесь, что там совсем другой код.
Просто SecuROM использует одно и тоже место в памяти для
разных процедур. Смотрим далеко вниз и видим такое :

-------cut here-------

:00461876 FF1590A94900 call dword ptr [0049A990]
:0046187C C70558A4490000000000 mov dword ptr [0049A458], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
¦:00461864(C), :0046186D(C)
¦
:00461886 B816124000 mov eax, 00401216
:0046188B 90 nop
:0046188C 90 nop
:0046188D 50 push eax
:0046188E EB03 jmp 00461893

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:00461A35(U)
¦
:00461890 58 pop eax
:00461891 FFE0 jmp eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:0046188E(U)
¦
:00461893 A340C64900 mov dword ptr [0049C640], eax
:00461898 E8F3C0FFFF call 0045D990
:0046189D C7055CAA490000000000 mov dword ptr [0049AA5C], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:004619B5(U)
¦
:004618A7 8B155CAA4900 mov edx, dword ptr [0049AA5C]
:004618AD 6BD20A imul edx, 0000000A

-------cut here-------

По адресу :00461886 видим что в EAX кладется какое-то число
(странно!!!). Ставим в САЙСЕ бряк на :00461886. Когда стопнемся
проходим все до :00461A35. Дело в том что далее идут циклы
дешифровки... Дойдя до :00461A35 видим прыжок на :00461890.
Смело прыгаем и оказывается мы вернулись почти туда же где
стопнулись. Тут восстанавливается EAX (pop eax) и прыгаем на
адрес который в EAX. А в EAX оказывается то число, которое до
этого мы видели (mov eax, 00401216). Значит?... это и есть OEP.
OK..самое трудное мы сделали. Теперь запишем свеженайденый OEP
на бумажку. Теперь осталось сделать нормальный дамп. Ставим
в САЙСЕ бряк на :00461891 и когда стопнемся меняем jmp eax
на jmp EIP. Выходим из САЙСА и дампим exe’шник ПрокДамп’ом.
Не забудте убить процесс. Меняем EP на OEP всеми доступными
средствами. Иногда еще придется восстановить Импорт(Import
table) это можно сделать Import ReConstructor’ом, когда игра
будет запущена, только в поле EP нужно ввести OEP.
Вот и все не такая уж и крутая защита...
Также ломается и WorldEditor.(пусть это будет вышим домашним
заданием)

Ну и как всегда, этот тутор только для образовательных целей.
Здесь ничего не ломается, а описывается защита. Даже не думайте
что-то ломать ;-). За все последствия Автор(т.е. Я) ответственности
НЕ НЕСЕТ!

Все вопросы в мыло...

writer : EGOiST[TSRh]
cracker : EGOiST[TSRh]
web : http://www.ego1st.cjb.net/
: http://kickme.to/tsrh
e-mail : egoist_tsrh@rbcmail.ru
: tsrh@mail.ru

Взято с сайта http://cd-check.tk/

Cigan :: Полный Бред!!! Он ламал пиратку!!! А на лицензии Securom!!! И много гемороя!!!

TankMan :: И что и только 1.01? Не учто ни кто сдесь не ломал Warcraft3 FT 1.14? Может защита слишком сложная, и поэтому ни кто не хочет тратить времени на бедного смертного, чтобы объяснить в чем загвоздка? или как?

-= ALEX =- :: просто прошел уже тот период когда все в нее рубились и искали пути решения траблы с диском...

GL#0M :: TankMan

Во-первых не у всех она есть... мало кто играет на этом форуме... ИМХО
Во-вторых ничего там сложного нет, защиту можно снять по любому из туторов в сети...

Cigan
Никакая это не пиратка, а оригинал. Сам снимал с оригинала, всё также. По Securom дохера инфы, вам просто в гугле лень поискать!!!

Mario555 :: GL#0M пишет:
цитата:
По Securom дохера инфы, вам просто в гугле лень поискать!!!


Ыгы... Всё на буржуйском и старое...

odIsZaPc :: Mario555
Ну дык буржуйский учи!

Cigan :: GL#0M
Ты не прав!!! Dr.Golova мне еще на wasm ответил так что извени!!! :))) А если ты говоришь что все очень просто то снеми 1.14 по туториалу!!! И потом ссылку подкинь на етот туториал, если не влама будет !!! Или сам напишы тутор !!!! :)))

RideX :: Cigan пишет:
цитата:
Dr.Golova мне еще на wasm ответил так что извени!!! :)))


SecuROM снять не ХХХХХ распаковать и одним ImpRec’ом (Mangled import и т.д.) тут ничего не сделаешь, надо DLL свою писать, импорт раскручивать, и т.д. и т.п. в том же духе. Ведь так ответил, а ты тут прикалываешься :)))

TankMan :: Все ясно, значит, не судьба? Но ведь кто-то же снял этот SecuROM, не учто.... ай ну ладно, раз времени нет, то нет...




KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на...



KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на asm или Delphi??
MoonShiner :: Читай инфу по PE-заголовку.

KLAUS Re: MoonShiner :: А конечно понимаю, что проще всего дать мутный ответ, чем дать конкретный и тем самым помощь человеку.
Ну а точнее можно!

MozgC [TSRh] :: Мде, ленится народ...

KLAUS :: Народ спрашивает у знающих людей, когда сам не смог найти ответ на свой вопрос!

MoonShiner :: KLAUS пишет:
цитата:
Ну а точнее можно!


Находишь PE-заголовок (например, сигнатурку PE для начала), отсчитываешь от ее начала 28 десятичное, и двойное слово, лежащее по получившемуся адресу и есть EP.

KLAUS :: Угу...Спасибо!!
А получившиеся Dword всегда будет OEP, не зависимо от того, запакован файл или нет...
И как всё таки программно определить тогда PE заголовок (хотя бы примерноо)??

Kerghan :: Bad_guy пишет:

цитата:
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset ‹ VSize) and (VEP - VOffset ›= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.


mnalex :: KLAUS
Слушай а ты часом непутаешь ОЕР и ЕР ? Отличие то знаешь в чем?

DEMON :: KLAUS

Не хочешь париться?? Скачай PE Tools v1.5 Xmas Edition!!!

Bad_guy :: А я кажется понял - Клаусу нужно не EP экзешника, а OEP запакованного экзешника найти. В дампе файла можно искать по сигнатурам - такой будет ответ. Где ты возьмешь дамп и как ты будешь искать - твое дело.

Python_Max :: А какой прогой можно изменить именно OEP запакованного файла?
Чтобы не вручную...
Или нет таких? Вроде в одной из статей проскакивало, что это может ProcDump...

DEMON :: Python_Max пишет:
цитата:
Вроде в одной из статей проскакивало, что это может ProcDump...


Не видел такой статьи, но мне кажеться что ProcDump говно!!!!

-= ALEX =- :: Python_Max я тебе уже ответил насчет OEP в теме -=alex=- patcher

DEMON :: Так че он конкретно хочет???

KLAUS :: Народ смысл такой у проги OEP=****DF92 нужно чтоб стал ****E0AD , но сделать это ПРОГРАММНО ( не HIEW, не ProceDUMP...ни какой либо другой прогой)......я знаю как заменить, но не знаю как определить ПРОГРММНО OEP!!!!

KLAUS :: ПРограммно (.т.е на ASM, Delphi).....ну самый край С++

MozgC [TSRh] :: ПРога упакована ?

KLAUS :: ДА

MozgC [TSRh] :: И разницу между EP и OEP ты понимаешь ?

KLAUS :: Тебе сказать в чём разница? (Понимаю)

Bad_guy :: А чем упакована то ?

KLAUS :: Так в этом то и дело...нужно чтоб автоматом определяло ( не зависимо чем упакованна прога)!!

MozgC [TSRh] :: Никак ты не сделаешь этого, не запуская прогу. А запуская можешь использовать genoep.dll, но ты не сможешь в общем случае изменить OEP.

KLAUS :: Мля, косяк!
Ну а тогда EP как ПРОГРАММНО определить??

Madness :: KLAUS

цитата:
PE Header:
...
28h - DWord Entry point RVA - адрес, относительно Image Base по которому передается управление при запуске программы или адрес инициализации/завершения библиотеки.
...





Python



Python_Max Странный UPX Сабж состоит в том, что PEiD и ему подобные показывают, что подопытная прога запакована UPX (а конкретнее «UPX 0.89.6 - 1.02 / 1.05 - 1.24 -› Markus & Laszlo»), но в то же время ни сам UPX ни другой unpacker, который может его распаковать, этого сделать не могут и говорят, что UPX’a там и близко нет.
Распаковать смог только ProcDump, но дизасмится распакованный вариант не хочет, а ResourceHacker говорит, что ресурсы нестандартные либо запакованы, хотя тот же PEiD после десяти секунд сканирования (долго однако) говорит, что Borland Delphi 3.0

Че делать-то? Хочу увидеть код программы...

ЗЫ: руками распаковать пробовал - после распаковки по аналогии с туторами дамп не запускается. Но посмотрел я в PE Editor’e тот дамп, который распаковал ProcDump, - он добавил туда еще одну секцию idata. Возможно поэтому его (процдампа) дамп запускается нормально, но, как уже сказал - не дизасмится (конца работы W32Dasm я не дождался).
XoraX :: анализаторы и обмануть можно... покажи файл

Python_Max :: http://www.hotrex.com/soko_pro.exe

Т.е. это инсталяха. А файл - главный exe-шник.

Вот блин, кажись я его даже не оттудова качал :/
Хотя размер сходится, это тот же файл.

WELL :: Лучше распаковывать руками, так надежнее.
Попробуй по такой схеме:
1) Ищешь OEP руками
2) Циклишь прогу (лучше в OllyDbg) на OEP’е
3) Дампишь (лучше с помощью LordPE)
4) Таблицу импорта восстанавливать попробуй ImpRec’ом и Revirgin,
т.к. бывает ImpRec восстанавливает криво (да и Revirgin бывает тоже).
В принципе такая схема обычно подходит для всех простых пакеров (типа ASPack, UPX).

Bob :: Python_Max
Ручками распаковывается все без проблем...
OEP 45e8b0
действу как сказал WELL

Python_Max :: WELL
Thx, я так все и делал, кроме восстановления таблицы импорта.

Bob
OEP я нашел первым делом.

Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/

Выбираю процесс (нераспакованный), ввожу OEP, а ImpREC говорит «Invalid OEP! It does not match in the process memory». А запускаю дамп и получаю - «Ошибка при инициализации приложения...». В самом дампе EP поставил равным OEP-ImageBase.

Что я делаю неправильно?
Может там (в ImpREC) рядом с OEP нужно еще ввести RVA и Size?
А как их узнать?

WELL :: Python_Max
Попробуй Revirgin http://wasm.ru/tools/6/revirgin.zip

Runtime_err0r :: Python_Max
Распакуй этим: _http://www.zone.ee/Runtime_err0r/upx.exe

-=atol=- :: Python_Max пишет:
цитата:
Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/


Юзай 1.6. У меня 1.4.2+ точно такое - же сообщение написал «Invalid OEP! It does not match in the process memory»

KLAUS :: «Invalid OEP! It does not match in the process memory»

Чтоб небыло ошибки нужно правильно указать RVA (если искать автоматом, то будут ошибки), запускай какой-нить Hex редактор (Hex Workshop - например), и в DUMP’e ищи такие (F3) - 1677F7BF, у меня выдался 100110 ( у тебя будет другой), в поле RVA вводи -100000, и в Imprec жми GetImport, потом удаляй всё где стоит NO (Delete Thunks)..и жми FIX DUMP.....и опля ВСЁ РАБОТАЕТ!!!

KLAUS :: Да , кстати там точка входа, это обманка типа jmp наделали на реальную точку...поэтому PEID так долго думает

-=atol=- :: OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

WELL :: KLAUS
А там вообще UPX ?

-=atol=- :: Имеется три секции:
V}«0 -1
^?91 -2
.rsrc -3

WELL :: А модифицироваными упсами с васма пробовали распаковывать ?
У меня был косяк с распаковкой упса со скрамберами, там ImpRec 1.6 не справился, а Revirgin помог.

KLAUS :: Да там балда была...UPX’ом зажата!

KLAUS :: Ну а сам их защищал, и потом распаковывал.....по идеи просто делаеш PE_rebuild и всё.
Ну меня ещё Imprec неразу не подводил...посмотрим что дальше будет!

Python_Max :: -=atol=-
› OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?

Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.
Ради любопытства зациклил прогу и сделал два дампа: один с помощью LordPE, другой - с помошью PE Tools. И проделал те же действия для обоих. В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось (к слову, у дампа LordPE даже не отображалась иконка).
Можно считать, что прога распакована, но редактор ресурсов продолжает гнать все тот же бред: »...it probably been compressed with an EXE compressor».
Это как понимать?

W32Dasm тихо умирает, а вот IDA хоть и предупреждает о том, что таблица импорта повреждена, но дизассемблирует довольно быстро (две минуты), хотя не могу сказать насколько правильно...

А к чему было сообщение о том, что там три секции?

Runtime_err0r
Из-за смайлика боюсь даже качать :)
Тем более я сказал, что UnPacker’ы его не берут. Или этот особенный?

Python_Max :: Хе! В опциях LordPE нужно было две птицы поставить!
Теперь таблица импорта восстанавливается нормально.

Runtime_err0r :: Python_Max
Этот особенный А вообще распаковывать UPX руками - это извращение, читай статью:
http://www.wasm.ru/article.php?article=packers2#8

-=atol=- :: Python_Max пишет:
цитата:
А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?


Да 5E8B0 это EP для дампа, а 45E8B0 это EOP для запакованной проги.Python_Max пишет:

цитата:
Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.


Незнаю у меня все нормально.
Python_Max пишет:
цитата:
В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось


И Lord_PE и Pe-Tools оба дампа получались рабочии.

KLAUS :: А мне вот вообще интерестно, вы вообще пробывали распаковать прогу самим UPX, предварительно в HIEW подправить секции!!

KLAUS :: Короче OEP -0005E8B0 !! Эт 100%
Заменяй секции на UPX0, UPX1 - и разпаковывай самим UPX, без всяких проблем, без всяких дампов..реальный файл занимает 1628

Python_Max :: В смысле имена секций???

KLAUS :: Короче в HIew, нажимаешь F9, выбераешь свой файл, затем F8›F6›F3›F3 и набираешь UPX0. затем Enter›F9 , стускаешься на вторую секцию и тоже самое только UPX1. Всё сохраняешь фаел, запускаешь UPX -d ...прога распакована




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее



RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее отрезано но UPX говорит, что не может запаковать - никто не знает почему
GL#0M :: RavenFH

Делай инлайн патч и не мучайся...
Вот тебе пример:
http://gl00m.fatal.ru/art/hp2002pr.html

RavenFH :: Патч то я сделал интересно обратно ее запаковать а не получается

-= ALEX =- :: RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...

Gloomy :: Или можно попробовать паковать UPXом с ключом »--force», часто помогает.

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


я прекрасно понял о чем речь, просто мне не нравится аспак.
Gloomy пишет:
цитата:
Или можно попробовать паковать UPXом с ключом »--force», часто помогает.


Gloomy спасибо прокатило, (я для себя делал, ну еще и интересно было)

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


Даи кстате про инлайн патч там вот такой интересный прыг на OEP, если смотреть в HIEW

push 00000000
ret
если инлайн то неизвестно с чем больше провозишься и помучаешься.


Gloomy :: RavenFH
›› интересный прыг на OEP
Совершенно нормальный для ASPack’а прыг - поставь на него бряк и запусти программу - я тоже когда первый раз ASPack начал ковырять сильно удивился когда у меня код прямо в отладчике изменился, просто волшебством тогда показалось

RavenFH :: Gloomy пишет:
цитата:
поставь на него бряк и запусти программу


Ты меня все никак не поймешь, чтобы инлайн на лету сделать нужно чтобы этот прыг был нормальный, прогу я уже сломал и
пропатчил, все нормально теперь хочу запаковать UPX-ом, кстате запаковал, она прглючивает, опять копаюсь

Gloomy :: RavenFH
Все равно не понимаю связь прыга и смысла делать распакованный ЕХЕшник - грамотно написанный ин-лайн патч пропатчивает программу именно тогда когда она полностью распакована (т.е. прыг нормальный). Попробуй DZA Patcher - создай им лоадер и посмотри что получится. Если все будет ОК тогда можно попробовать сделать патч. DZA Patcher сколько раз уж выручал от необходимости выкладывать распакованный ЕХЕшник

RideX :: RavenFH пишет:
цитата:
UPX-ом, кстате запаковал


RavenFH пишет:
цитата:
интересный прыг на OEP, если смотреть в HIEW
push 00000000
ret


Действительно, для UPX 1.2x выглядит необычно, что за версия UPX?

RavenFH :: RideX пишет:
цитата:
Действительно, для UPX 1.2x выглядит необычно,


Вы издеваетесь что ли, ну говорил же что все сломано - проблема запаковать UPX-ом и все! ( ну паковщик хочется, интересно, но почему не пакуется ), вообще если чесно, хочу сделать полный дистр оперы 7.23, и халявную регу, хорошая штучка - кто против? И выложу у себя на сайте. Альтернативы Опере не вижу в ближайшие пару лет., поэтому эту штуку стоит крякать. Выложить кряк не могу пока. Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool. Кто знает подскажите, а так не чего клаву террорезировать.

GL#0M :: RavenFH

Не, ну ты даёшь ваще...
Мы как лучьше говорим, а он ещё... блин... делай как хочешь.

GL#0M :: RavenFH пишет:
цитата:
инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Ну, а это твои проблемы... кому геморно, а кому не геморно да ещё и кул.

WELL :: RavenFH пишет:
цитата:
Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Инлайн как раз - cool. Вообще чем меньше байт изменено тем круче.

P.S. Кстати, если бы ты руками распаковывал (а ты видимо тулсой какой-нить) то тебе бы и про инлайн понятней было...

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.

Mario555 :: Появился новый PEiD 0.92 [ hxxp://peid.has.it ]

цитата:
Added support for external database, independant of internal signatures. Added PE details lister. Added Import, Export, TLS and Section viewers. Added Disassembler. Added Hex Viewer.
Added ability to use plugins from Multiscan window. Added exporting of Multiscan results. Added ability to abort MultiScan without loosing results. Added ability to show process icons in Task Viewer.
Added ability to show modules under a process in Task Viewer. Added some more detections.


XoraX ::
цитата:
Added support for external database


где бы ее взять? вдруг пригодится...

PalR :: Ресторатор 2ОО4 v3.О.1129 Full
http://www.hornet.ru/0214/d-res301.zip
http://www.hornet.ru/0214/d-res302.zip

PalR :: Кто не успел, тот опаздал:) Гы

Cigan :: PalR
Плиз выложи еще разок. Блин токо сегодня до форума добрался!!!

PalR :: Restorator 2004 v3.0.1129 Release: DiSTiNCT

-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res301.zip
-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res302.zip
русик
_http://www.apocalypse1.na...004_3001129retail_rus.exe
_http://www.4ru.info/rus/alexagf-Res301129Fr.zip

Cigan :: PalR
Большое бли спасибо!!! :)))

nice :: Обновилась: BETA 2 of OLLYDBG 1.10

is in the page of olly for download

http://home.t-online.de/home/Ollydbg/beta110b.zip

Vesrion 1.10b - second beta

Download v1.10b now - still raw, for troubleshooting only, includes plugin.h and sources of cmdline.dll that demonstrate usage of ODBG_Plugincmd().

There is a big useful new feature: OllyDbg now can debug standalone DLLs. Just drop DLL into OllyDbg and see what happens. A brief walkthrough is available here. Also new is a SEH chain window. Other changes:

A very useful option to remove analysis from selection (shortcut: Backspace);
Attach window is resizeable (and even maximizable);
New stack commands: push doubleword and pop doubleword;
Option to copy all registers to clipboard.

Removed bugs:

Assembler supports simplified form of IMUL: IMUL reg,const. This command is disassembled as IMUL reg,reg,const. One cannot search for IMUL using imprecise register (IMUL R32,CONST - use IMUL R32,R32,CONST instead). Reported by Alexandr Yakubtchik.
Disassembler used address size instead of operand size to decode size of immediate offset (JMP FAR ssss:oooooooo). Reported by Karel;

Tabs in source text in Disassembler comments and info pane were displayed as small rectangles. Now they are extended to at most 8 spaces. Reported by Karel;

ARPL was decoded with 32-bit size of operands (correct decoding is ARPL r/m16,r16). Reported by Karel;
OllyDbg now should correctly work in multi-monitor configurations, but I am unable to verify this. Please check! Reported by Roel Verdult;
2-byte INT 3 (CD 03) was processed incorrectly. Reported by roticv.
That’s all, enjoy and don’t forget to report bugs! Unfortunately I’m very busy now and cannot answer to you emails instantly, sorry. But, earlier or later, I’ll read then all :)

mnalex :: PalR
Во блин, прошлый раз неуспел, и в этот тоже :(, либо сайт глючит, либо за ~ ался :( - чото достучаться немогу... Ты еще неубирал?

AnteC :: все качается...

mnalex :: Угу, вроде стало нормально, а то чото немог :(

Mario555 :: Inno Setup Unpacker

http://innounp.sourceforge.net/

nice :: Mario555
Где раньше был :)

InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar

WELL :: Что-то http://hice.antosha.ru/AsprDbgr_build_104.zip не закачивается,
хотя http://hice.antosha.ru/is7unpack05.rar качнулся нормально.

AlexZ CRaCker :: stripper.exe - под ХР ункриптор вер 2.03
http://protools.anticrack...es/unpackers/stripper.zip

nice :: WELL
http://hice.antosha.ru/AsprDbgr_build_106.zip

AlexZ CRaCker
Уже давно 2_07
http://www.is.svitonline....om/syd/stripper_v207f.rar

Гость :: Дайте ссылочку на masm
(последней версии, ессно)

MC707 :: Гость пишет:
цитата:
Дайте ссылочку на masm


ftp://ftp.exetools.com

Только пасс с логином не спрашивай пожалуйста. На ихнем форуме найдешь

Гость :: Чего то не хочется на форум то их лезть..

PalR :: А нет ли у кого IceExt версии до 0.61

PalR :: Нет что л ни у кого??????????

PalR :: Мдя

ilya :: http://wasm.ru/tools/10/IceExt.zip эта 0.61

PalR :: Мне надо 0.6, 0.59, 0.58, 0.57 и т.д, но не 0.61

DOLTON :: PalR
Есть 0.57. Пиши мыло - пришлю...

PalR :: palrсобакаyandexточкаru
если больше метра лучше порубить.
сенкс




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




hammer Чем прогу сдампить можно? Собственно... сабж. Подскажите пЖаЛста.



hammer Чем прогу сдампить можно? Собственно... сабж. Подскажите пЖаЛста.
Dragon :: PE Tools

-= ALEX =- :: Lord PE...

Slavon :: PEditor, PROCDUMP :)

Slavon :: Дампером

Dragon :: а ещё команда !dump в IceExt. Кто ещё предложит?

KLAUS :: PE Editor by YODA -здавенько пашет!

Mario555 :: OllyDump
Продолжим...

AlexZ CRaCker :: Есть ещё CoolDump. Тока им ни разу не дампил.

Kerghan :: Stud PE
кто больше?

-= ALEX =- :: AlexDump

Slavon :: TRW: dump offset size filename

Slavon :: SI + Icedump

KLAUS :: hammer

Ну ты там как?? Сдампил прогу??

MC707 :: LOL

WinHex

ViViseKtor :: KLAUS пишет:
цитата:
Ну ты там как?? Сдампил прогу??


Чета молчит. Похоже вы его загрузили слишком.

WELL :: ViViseKtor пишет:
цитата:
Чета молчит. Похоже вы его загрузили слишком.


Ну видать пока качает все, что ему насоветовали




AlexZ CRaCker Кому не в напряг качнуть Метр? - просто непонимаю что с прогой...



AlexZ CRaCker Кому не в напряг качнуть Метр? - просто непонимаю что с прогой Метр здесь.
Распаковал за минуту (Аспр примитивный) ОЕР=004E0EB8, импорт - чистый. Прога запускаеться только под Олли. Думал, что сдампил криво, но дампил PE-Tools, LordPE, ProcDump, CollDumper, PEDUMPer..... со всяческими настройками. WinXP Pro SP-1. Уже только из принципа хочу узнать, что там за гадость, т.к. сам не пойму, чё она так себя ведёт.
...Секции тоже поправлял - толку нет.
nice :: AlexZ CRaCker
Да убил 2 часа :(
Но сделал :)
Мне кажется, там ещё ловушки будут, но запускается и работает без проблем ;)
Значит так, для одновременной работы двух копий надо изменить Заголовок симафора и формы:
4E0F80 EJP -› EPP
4E0FB0 TMainEJP -› ...EPP

Теперь прога будет запускать вторую копию, но падать???
Смотрим:

00491A5D . 8B46 3C MOV EAX,[DWORD DS:ESI+3C]
00491A60 . 8B4430 28 MOV EAX,[DWORD DS:EAX+ESI+28]
00491A64 . 66:3D 0010 CMP AX,1000
00491A68 . EB 04 JE SHORT cr.00491A6E !!!! ЗДЕСЬ не соответствует заголовок PE меняем на JMP
00491A6A . 804D FF 01 OR [BYTE SS:EBP-1],1
00491A6E > 5E POP ESI
00491A6F > 807D FF 00 CMP [BYTE SS:EBP-1],0
00491A73 . 74 13 JE SHORT cr.00491A88
[/CODE]

Запускаем падает :(
Идём дальше:
[CODE]
00491A91 ¦. 8B05 16704000 MOV EAX,[DWORD DS:407016] ; <&kernel32.GetModuleHandleA>
00491A97 ¦. 8B18 MOV EBX,[DWORD DS:EAX]
00491A99 FF33 PUSH [DWORD DS:EBX] !!!!! Здесь лежит АПИ Асптр GetModuleHandleA
00491A9B ¦. 895D FC MOV [DWORD SS:EBP-4],EBX !!!!! Но у нас он уже востановлен! Значит нопим 491A99 и 491A9E
00491A9E 8F03 POP [DWORD DS:EBX]
00491AA0 ¦. 8B45 FC MOV EAX,[DWORD SS:EBP-4]
00491AA3 ¦. 5B POP EBX

Запускаем, работает :)))

AlexZ CRaCker :: nice
СПАСИБО, друг!
Вот как там всё было запущено... Кто-то здесь говорил, что распаковывается, и сразу работает. Поэтому мне это показалось странным. Значит был галимый гон! Я тоже раньше патчил, -но не там, где надо. Спасбо за помощь!
Теперь буду разбираться, смотреть, изучать эти баги.

Bob :: AlexZ CRaCker
Это я говорил. А после перезагрузки компа, она перестала работать. Извини, что непоставил в известность вовремя... :-)

AlexZ CRaCker :: Bob
Ничего, всё нормально

Bob :: nice
Напиши в асю




egor2fsys EXE Crypt как распаковать ? версия криптора 1.5.1 - показал пеид...



egor2fsys EXE Crypt как распаковать ? версия криптора 1.5.1 - показал пеид ...

импорт вроде весь правильный %)

вот токо как найти правильную ОЕп и правильно сдампить ?
Mario555 :: ExeCrypt - гадость редкосная :) Он даже не пакер, а именно криптор... Думаю найти OEP будет не проблема, но толку от этого мало... (хотя конечно всё зависит от автора проги)

egor2fsys :: во во ....
гадость ....

размер после дампа не стал сильно больше

однако как я потом посомтрел на дам и немного офигел, по ходу куски то криптованные
печально однако ..

а импорт нетронутый лежит однако

расскажи если можно как найти ОЕП, а то что то я не вижу пока вариантов ...

hттp://www.kraslabs.com/files/strngs132.zip это если кому то вдруг интересно станет

Ara :: Мля, урл подкорректируй, http сам дописывается

egor2fsys :: ZDESЬ ^)

Mario555 :: Для Оли скрипт есть, который OEP находит...
Я завтра попробую вручную OEP найти, сейчас не могу - настроение у меня хреновое :(

egor2fsys :: Mario555

ну что ж буду благодарен :)

а де сей замечательный плуг взять ?

а настроение надо поднимать. неважно даже чем ...

Styx :: calvin.globedomain.com/~apsvans/ollyscript/

Mario555 :: egor2fsys пишет:
цитата:
а де сей замечательный плуг взять ?


http://ollyscript.apsvans.com/ - скрипт для ExeCrypt там же.
OEP = 004C2C58.
Вообще в ExeCrypt до хрена антиотладки и антитрейса... всякие CreateFileA, FindWindowA, считывание надписей в окнах загруженых прог (правда ищет в основном всякое старьё ProcDump32, TRW и т.п.), что-то мутит с DR регистрами причем это не просто тупое занулевание, а всякие приколы по типу EAX+DR0 (в структуре CONTEXT ессно) и возможно установка своего бряка (сам не видел этого обработчика, но в скрипте устанавливается hw бряк, который потом не используется, а если этот бряк не ставить, то до OEP прога не дойдет).
Апи используемые при проверки зарегености (и не только они :)) вызываются отдельно (не через iat) и их вызовы перемешаны с anti-debug кодом.

PS криптовки ОЧЕНЬ много, автор проги наверно несколько часов в исходники запихивал callmark’и ExeCrypt’а.






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS