Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



XoraX вопрос про аспротект привет усем!



XoraX вопрос про аспротект привет усем!
объясните пожалуйста принципиальную разницу между аспр 1.2 и аспр 1.2 [new strain].
почему 1.2 распаковывают унпакеры, типа каспр и stripper, а нью стрейн не могут распаковать?
Guest :: Вообще у ASProtect много модификаций , которые различаются по способу криптования.

MozgC :: [new strain] это начиная с версии 1.23 по-моему.
А 1.2 он всегда просто 1.2

1.2х не распаковывается автоматическими распаковщиками потому что там добавлены дополнительные приемы, усложняющие распаковку и делающие автоматический анализ очень сложным.

Вот отличия, которые первым делом приходят в голову:

1) Улучшенная защита от отладчика
2) Кража байт с OEP
3) Эмуляция Windows API функций, а не простая замена адресов функций адресами переходников
4) Случайная распаковка тела аспра (разные адреса) (более новые версии)
5) Разное замусоривание краденных байт в зависимости от компилятора (более новые версии)

Это наиболее яркие отличия. Еще версией отличаются =)

Может кто дополнит...

MoonShiner :: А еще, правда глубоко не копал, в некоторых аспрах - юзание в своих целях отладочных регистров, а не просто их сбрасывание.

test :: stripper 2.03 - Распаковщик аспр аспр1.2 [new strain] - в том числе.

MozgC :: новые версии нифига не распаковывает

Guest :: MozgC, красивая надпись! А новые версии точно не распаковывает!

MozgC :: Не хочу никого обидеть, но по-моему это как-то стренмо использовать автоматические распаковщики. Неужели самим не интересно распаковать? Это пойдет только на пользу, прибавит опыта.

vins :: Для MozgC: Мы и сами бы распаковывали если где нибудь, можно было бы прочитать как это делать

MozgC :: Ну например смотри статьи у Хекса на сайте, еще вроде на крэклабе ну и жди моей мегастатьи =)

vins :: Для MozgC: а долго?

MozgC :: я уже начал писать, попытаюсь разжевать просто абсолютно все, но все равно распаковка там нелегкая... А готово будет примерно через неделю или позже.

XoraX :: я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.
может ты сможешь объяснить с более понятными вещами....

MozgC :: если без апимона, то
1) остановись на EP
2) поставь бряк "bpm esp-4"
3) жми 2 раза F5
4) Там будет вроде jmp xxxxxx, вот xxxxxx - это и есть OEP. Цикли на этом jmp программу, снимай дамп и дальше по статье...

freeExec :: XoraX

цитата:
я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.


Незнаю откуда ты ее качал, но то что я выкладывал, один в один чем пользовался я.

XoraX :: 2 MozgC: отсюда вопросы:
1. Как словить EP ?
2. Я нашел OEP у проги с помощью PeInform 1.0 by FEUERRADER. Она показала 008D4C9C. почему не 004xxxxx и верна ли такая информация? Спс заранее.

XoraX :: И еще:
3. Как зациклить на OEP?

MoonShiner :: Стал на точке, в которой хочешь забабахать цикл. пишешь в айсе "a eip", затем "jmp eip". При необходимости затертые байты можешь потом вернуть на место.

MozgC :: 2XoraX
Ладно, почти все твои вопросы уже есть в FAQ’e - жди =)

XoraX :: только побыстрее, побыстрее бы.....

MoonShiner :: Скоро только кошки родятся:)




gRad2003 Некоторые програмы не запускаются при обнаружении SoftICE. Некоторые



gRad2003 Некоторые програмы не запускаются при обнаружении SoftICE. Некоторые програмы не запускаются при обнаружении SoftICE.
Как от этого избавиться?

MozgC :: Использовать добавки для SoftIce, позволяющие его скрыть.
Для Win9x - FrogsIce, IceDump
Для Win2K/XP - IceExt
Если стоит Win9x и речь идет конкретно об ASProtect, то поможет AsLoad.

gRad2003 :: А IceDump под WinXP почему нельзя?

gRad2003 :: Так вот.

Установил IceExt (install.bat). Перезагрузился.
В командной строке для активации набрал "net start IceExt", а там ошибка 1450:
Недостаточно системных ресурсов.

Что ж я сделал такого (что ресурсов недостаточно )?

MozgC :: Не знаю, спроси у автора IceExt




gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о...



gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о распаковке Flash Mailer v1.2 (в какой то теме ссылка на неё была)

В конце первото шага есть такая строчка:

Осталось за малым, теперь только надо в нашем распакованом файле изменить Entry Point на тот что мы обнаружили, только из полученного нами OEP для начала отнимем Image Base, то есть Entry Point=OEP - Image Base, у меня получилось BE878.

Как именно "изменить Entry Point".

Bad_guy :: Взять PE редактор [LordPE, ProcDump,...] и изменить. Или вручную с помощью HEX редактора по смещению 128h.

Kerghan :: В LordPE открой PEeditor и в поле Entry Point напиши OEP минус 00400000.
Типа всё.

DiveSlip :: Вижу хоть кто-то удосужился прочесть мою статью (за что искреннее спасибо). Насчет этого вопроса, вижу уже и без меня ответили (не успел).

gRad2003 :: DiveSlip
Классная статья кстати. Мне понравилась. Ещё бы чего-нибудь такого, с распаковкой ASProtect 1.23

DiveSlip :: Вот когда научуся, тогда и напишу. А статья не классная (если бы она была таковой, то у тебя не возникло бы вопроса), но спасибо за добрые слова (люблю когда меня хвалят).

Shaitan :: Помогите бедному автору вернуть законное имя (DiveSlip)!




Kosha ASProtect 1.2x[New Strain] Есть у меня прога Express WebPictures-1.85....



Kosha ASProtect 1.2x[New Strain] Есть у меня прога Express WebPictures-1.85. Так вот, после распаковки, я попытался восстановить импорт. Imprec выдал мне 3000! ф-ий unresolved. Почти всё оказался мусор.
Мне интересно.Это так должно быть, или что-то сделано неправильно?
Kerghan :: Скорее всего в поле OEP ты оставил текущее значение, а не изменил на OriginalEntryPoint.

Kosha :: Для Kerghan: OEP я находил разными способами -всё одинаково.

Kerghan :: А в ImpRec ты оставлял, какое было или вписывал найденное?

MoonShiner :: ImageBase учитывал?




Mike Помогите взломать генератор РОЛа на 10RU Генератор защищен AS Protect...



Mike Помогите взломать генератор РОЛа на 10RU Генератор защищен AS Protect 2.12
Требует ввести путь к рег. файлу перед генерацией новой карты 10RU
Кто хочет попробовать - пишите. Вышлю прогу. E-mail: mike-r@e-mailanywhere.com
dragon :: Вообще должно быть бред это всё, нет таких прог. А если и есть, в инете их нахаляву не выклыдывают. А даже если и выложили бы, то это сразу бы и накрыли. Т.к. на всех провайдерах сейчас аоны стоят. Представь себе, что ты купил карту, вводишь номер, а там написано, что он неправильный. Что ты будешь делать? Правильно, обратишься в техподдержку, в конце концов они определят, на какой аккуант было добавлено время с этой карты, а затем телефон и адрес. И всё, привет ментам. Так что лучше подумать, прежде чем с этим связываться.

И тем более, что ето за ASProtect 2.12, когда последний 1.23RC1?

MozgC :: 2.12 это AsPack

ferguss :: генерацией новой карты 10RU,купи карту или жди ментов!!!!!!!
Купи веб плас или ком линк и недорого и сытно,100 часов со скидкой всего 40 зелёных о том как добыть скидку на легальную карту подумай сам,меня неспрашивай посажу лет на дцать,ну ты понял!!!!!

HamMer :: Блин, вы чего тут вообще несете? Кулхацкеры... Не будем предков вспоминать! Вы чего не можете себе уже на инет заработать? Ты лучше свою энергию пусти в направлении зарабытавания денег, а не х..ей занимайся. С тем же успехом можно програм написать или другой програм сломать под заказ. И вообще, предлагаю закрывать такие темы сразу, как кто-то начинает об этом разговор. И потом, если бы я хотел тебе какое-нибудь дерьмо на комп засунуть, я бы именно такую прогу и написал и для пущей реалистичности еще и защитил ее. По моему мнению, тебя просто развели, как ясельного ребенка, а если нет, то за эти дела, короче dragon уже об этом сказал!

Guest :: Так у нас на форуме кто-то кого-то может садить проверю-ка я его комп!!! если мент скажу.
Для Mike купи новую карту HamMer правильно сказал оно того не стоит!




Dj MpegDj DoublePlayer Помогите пожалуйста сломать Эту программу !!!



Dj MpegDj DoublePlayer Помогите пожалуйста сломать Эту программу !!!
Скачать её можно здесь : http://www.xaudio.de
Пограмма работает в демо 30 минут.
Нужен серийник !!! :-)
Guest :: Весит эта прога 2,3 метра стоит она 210$, мое Вам предложение: перечисляете Bad_guy 10% ее стоимости на оплату хостинга, мне по баксу за каждый неполный скачаный мег, и пару ящиков пива на всю братву на этом форуме, как выполните эти условия так сразу получите то, что хотите
PS: Если ВЫ готовы предложить несоизмеримо больше, высказывайте свои предложения, мы всегда готовы ВАС выслушать.

MozgC :: Постараюсь сломать за 9% =)

Guest :: Не в процентах дело. Ну что ему трудно хоть чтонить пообещать

dj :: Ну во-первых стоит она:
MpegDJ DoublePlayer Software only 129 Euro approx 148 US$
(210$ C Приставкой)
Во-вторых кому перечислить деньги (по подробнее) :-)

dj :: Да чуть-чуть не забыл !
Прога запакованна asprotectом.

Guest :: Мой кошель Z205846589115 три бакса, а остальное Bad_guy’y, либо с MozgC’ом договорись, меня все-равно минимум с недельку не будет это если не посадят - уезжаю на суд, да кстати, патч у меня готов.

MozgC :: Скачай этот файл:
http://MozgC2.nm.ru/files/DoublePlayer.zip
и замени им свой оригинальный экзешник.

Если вдруг решишь как-то это поощрить (что конечно приветствуется =), то вот мои WM кошельки:
R646596207437
Z173594733460

MozgC :: Если не качается, то вот еще ссылка:
http://MozgC.narod.ru/DoublePlayer.zip

HamMer :: Guest, никак мы солидарны. Тебя за что?

dj :: Ребята всем спасибо!!!!
В воскресенье или в понедельник обязательно переведу!!!
(Ведь любая работа стоит денег !!!!)

Guest :: dj, Да любая стоит денег.

HamMer, да я пару ****ов ломанул, с конскими косяками, по незнаню,
один на меня в суд подал, другой на работу зовет говорит по первому договорится. Не хочется мне на дядю работать, меня и мой комп устраивает, но если сильно припекет прийдется. Много глупостей по пьяне делаем, потом расплачиваемся. Но я думаю меня мои адвокаты отмажут, если нет, то прийдется заниматься совсем другим делом. НЕЕЕЕХООООООЧУ!!!

dj :: MozgC !!!
Ещё раз большое спасибо !!!!
Деньги дошли ???

MozgC :: dj, да, дошли, тебе спасибо большое, если что - обращайся в любое время.
Если еще надо с чем помочь - пиши мне на почту - помогу! (ествественно бесплатно =)

MozgC :: Dj, мне на почту приходят твои ответы, так как я подписался на эту тему (нет возможности теперь на форуме часто быть изза проблем с инетом) но тут твои ответы почему то не видны. Напиши мне письмо на MozgCnoSpam@avtograd.ru и поговорим если хочешь.




Kerghan Код пакера Распаковка - это хорошо, а ручная распаковка еще лучше....



Kerghan Код пакера Распаковка - это хорошо, а ручная распаковка еще лучше. Фишка вот в чем: пакую пять(разного размера и написанные на разных языках) прог UPX(1.08)’ом и АСПаком(2.12), при распаковке такая закономерность

UPX
jmp xxxxx <---бряк сюда
db 0
db 0

ASPack
push esi
push 8000
......
......
......
......
jnz .....
push 8000 <---бряк сюда(возможно сработает бряк, поставленный ниже)
push 0

Снимаю дампы, фикшу их. Все работает.
Затем беру сам ASPack 2.12(им же и упакован), ищу там код указанный выше, но его там нет. Подобную чушь можно наблюдать и в других программах, хотя по-идее код паковщика должен быть боле-мение похож во всех прогах.
Может кто знает из-за чего такая хрень пролучается.
dragon :: Может быть разными параметрами при упаковке

Runtime_err0r :: > Затем беру сам ASPack 2.12(им же и упакован)
ASPack 2.12 упакован ASProtect’ом

Kerghan :: Runtime_err0r
нифига, у меня два екзешника, один аспром упакован, а другой аспаком




gRad2003 И опять ASProtect 1.23 ... Находясь на EP (bpm 401000 x) ставлю



gRad2003 И опять ASProtect 1.23 ... Находясь на EP (bpm 401000 x) ставлю
bpm esp-24
После второй остановки вроде должен находиться на такой конструкции:
popad
jmp eax (eax=OEP)
Но похожего не наблюдалось...
Так вышеописанное действительно только до ASProtect 1.2, или у меня проблемы с руками
DiveSlip :: Ну во-первых прерываний (остановок) должно быть не два, а больше (лично у меня от 19-25). А во-вторых будет не:
popad
jmp eax (eax=OEP)
а вот что:
pushad
pushfd
........
popfd
popad
ret, отсюда надо трассировать до тех пор пока не увидишь:
0000
0000
0000 <--- Тут будут спертые восстановленные байты
0000
0000
call lalalatopolya <--- первая процедура
tut_chto_ugodno <--- мы окажемся тут
Вот ты и рядом с ОЕР, это правда я выяснил только что с помощью некого MozgC

MozgC :: вообщем чтобы не запутаться в срабатываниях bpm esp-24
ставь бряк на bpx mapviewoffile.
При срабатывании бряка когда он будет вызван из исследуемой программы пиши bpm esp-24 где вместо esp подставляй свое значение esp, которое при старте программы.
Вообще если аспротект относительно старый, 1.2 - начальные версии 1.23, то там надо ставить бряк на esp-4 и тогда действительно прервешься на popad после чего будет либо jmp OEP, либо push OEP, ret
Если аспротект новый, то там будут спертые байты, сложность и вид спертых и замусоренных байт зависят от версии аспротекта. Ты должен (после того как прервался по bpx mapviewoffile и поставил бряк на bpm esp-24) нажимать F5 до тех пор, пока не увидишь начало спертых байт. Как узнать начало ? Это будет выглядить как странные команды, частые jmp, постоянная работа со стеком. Далее все зависит от версии аспра. Если аспр совсем новый, то мусора, в котором перемешаны спертые команды будет очень и очень много. В этом случае надо как начнутся спертые байты, идти по ним с помощью F10 до первого ret’a (ниже которого будет много нулей). Потом когда сработает команда ret ты вылетишь на

pushad
pushfd
........
popfd
popad
ret

Когда сработает и этот ret то иди еще до одного ret’а а потом еще возможно до одного. Остановись тогда, когда после выполнения ret’a ты окажешься в таком месте:

0000
0000
0000 <--- Тут будут спертые восстановленные байты
0000
0000
call lalalatopolya <--- первая процедура
tut_chto_ugodno <--- мы окажемся тут

call lalalatopolya может выглядеть не как call а как левые команды, если отладчик не правильно распознает эти байты. Тогда ориентируйся по нулям выше этого места. Первый или второй (если первый относится к предыдщей команде) и будет OEP.

Это справедливо для последней версии аспра.

В чуть более старых версиях мусора поменьше, и прыжок на OEP там будет либо как jmp OEP либо как
push OEP
ret

В этом случае мусора будет максимум на 2 экрана софтайса.

Не думаю, что мое писалово тебе чем-то поможет. Так как это надо самому пробовать пробовать и пробовать, а лучше прочитать полную статью. Когда-нибудь я ее допишу =)))

gRad2003 :: >> esp, которое при старте программы
Т.е. надо запомнить значение esp находясь на 401000, или в некотором другом месте?

MozgC :: Вот вопрос из ФАКа:

Q: Читал статьи по распаковке программ, в частности по распаковке AsProtect и там почему-то пишут, что надо ставить breakpoint на esp-4 или esp-24 для нахождения OEP. Почему?
A: Привожу отрывок из своей статьи (MozgC):

"Для нахождения OEP используем тот факт, что при старте программы в Windows, указатель на верхушку стека (esp) должен быть одним и тем же. Это не обязательно, но это стандарт. Например, в Windows 2K/XP, esp при старте программы равен 12FFC4h. Хотя конечно если изменить esp вручную, ради интереса, находясь на EP, то ничего страшного не произойдет. Однако, повторюсь, такой стандарт сохраняется, и мы его используем для нахождения OEP. При запуске программы, упакованной ASProtect’ом, esp равен этому стандартному значению. Так как ASProtect во время своей работы следит за стеком (т.е. сколько поместил в стек, столько потом и достал из стека), то перед прыжком на OEP esp должен быть опять равен этому "стандартному значению". Например в ранних версиях ASProtect’a, когда ASProtect восстанавливал стек перед переходом на OEP, считывалось значение в стеке по адресу esp-4 (имеется ввиду что esp = "стандартному значению") следующий элемент стека уже был по адресу esp, и ASProtect его трогать не должен, т.к. не он ложил этот элемент в стек. Т.е. используя тот факт, что последним будет считываться значение по адресу esp-4, можно поставить брейкпоинт на тот момент, когда это будет происходить (bpm esp-4), и когда этот брейкпоинт сработает последний раз перед непосредтвенным запуском программы, мы окажемся перед переходом на OEP"

Если вдруг не понял, то значение esp при старте программ в Windows всегда одинаковое, его можно посмотреть остановившись на EP программы. В частности в твоем случае с ASProtectom, EP = 401000, там и смотри.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




SmartL Народ, ктонибудь, помогите пожалуйсто !!! Есть ценная прога Remote Task



SmartL Народ, ктонибудь, помогите пожалуйсто !!! Есть ценная прога Remote Task Manager, умеет много всего, но вот есть одна проблема работает всего 30 дней, а кряк к ней ни как не могу найти.
Помогите пожалуйсто найти к ней кряк.
http://www.ntutility.com/ru/rtm/download.html (1,9 метра)
MoonShiner :: Влом искать, так скажу. Если 30 дней, то чует мое сердце, что там какой нить асспротект. Скачаь прогу TrashReg или любую иную для чистки и удаления ключей от Asprotect. А уж если хочешь ломануть красиво - то просто распакуй.

SmartL :: Так Я неумею, потому и прошу помощи.

RideX :: Надо же, прога ничем не пакована, чистый VC++ :)))

SmartL пишет:
цитата:
Так Я неумею, потому и прошу помощи


Сделай так в любом HEX-редакторе:
000359BA: 75 -> EB (прибиваешь NAG и Timelimit)
0004D34A: 75 -> EB (прибиваешь результат проверки CRC)

MoonShiner :: А если он не знает, что такое хекс?

Bad_guy :: Райд, у тебя чего патчмэкера нет что ли ?

HamMer :: 2Bad_guy
Райду просто в лом его делать, а потом, я считаю, что на халву только сыр в мышеловке. Мне кажется, что и так он все понятно объяснил. А если не знает что такое Хекс-редактор, так для этого есть полезный сайт www.yandex.ru. Там легко ответ найдет!

Man’Gun :: Поищи на www.astalavista.com




3acpaHeLI iceext установил iceext 0.52



3acpaHeLI iceext установил iceext 0.52
отсюда http://stenri.pisem.net/iceext52.zip
driverstudio 4.2.7 build 562
os winXP SP1 bild 2600
пишу net start IceExt запускается сайс а исследуемая прога запаковнная ASprotectom 1.2x http://www.stampz.ru/kassy/kassy03d.zip попрежнему его видит и говорит что нарушать авторские права не хорошо :)
при наборе в сайсе типа !tetris итд. грит что ’comand not found’
как быть помогите !!!!!
я в этом деле бамбук это мой первый опыт не считая blueFace по статье MozgC (за что ему большое спасибо)

Kerghan :: Прочитав два тутора,ты пытаешься ломануть прогу, упакованную АСПАКОМ?????!!!!!!
Тебе не кажется, что нужно начать с чего то попроще, скажем с чтения

3acpaHeLI :: мда iceext все таки добил и он обрадовал меня тем что даже loader его не детектит а тетрис ваще руль.
-ASprotect побрился с напоминанием о правах,
-прогу распаковал однако при просмотре в windasme и при трассировке по моему отсутствовали проверки ключа 2 ( защита проги состоит в сравнении 2 х ключей 1 выдается автоматически а второй вводит user в диалог регистрации) похоже прога вобще не имеет кода сравнения ключей муть какая то!!???
если кто ломал это дело подскажите плиз мож я в пустую время трачу

MozgC :: 3acpaHeLI спасибо за отзыв о стаьтях

Что насчет проги твоей, то не может быть такого что сравнения нет. Скорее всего ты просто не можешь его найти.

freeExec :: А может его ставнивал АСП, когда ты вводишь код, прога просит ее перезапустить, или сразу говорит, что ты обложался?

3acpaHeLI :: Нет прога сразу грит что код не верный и не просит перезапуска stringi типа ключ правильный итд вобще нет
вобщем запутался я в ней а прога рульная кассовые чеки делает
да и кряка к ней нигде нет :(

AV :: сам кассы не копал, но говорят, там прото некоторые символы не нарисованы - так шо эту дему ломать смысла нет

MoonShiner :: ааа, встречался. Stamp и kassidy или какие то такие. Фича в том, что регкод там найти очень легко, но он генерится с помощью операций над числами с плавающей точкой. Но там они будут лежать в открытом виде.

3acpaHeLI :: MoonShiner
пожалуста если можно поподробней буду очень признателен

MoonShiner :: Дык я уж не помню, просто ломал как то... там всякие инструкции типа fadd, и прочая ботва... Просто нужно следить за их результатами и в итоге увидишь нужный регкод.

Kerghan :: Мунш, там полюбому голяк(во всяком случае со Штампом). Там просто функции выдраны и ни какой регкод не поможет. Один чувак кажется сохранение все-таки впихнул, но с печатью точно болты.

3acpaHeLI :: мда вот я ужо две недели долблюсь с етим делом никак не вьеду в чем дело
брякаюсь на GetWindowtextA а текст этот нигде ни фигурирует
и насчет floating это как оно там ведь и буквы задействованы в 1 ключе???
для примера начал смотреть крякнутый stamp 0.81 и сравнивать со stamp 0.81demo дык в stamp 0.81 явно дописаны функции которых нету в stamp 0.81demo и пожоже с kassy такая же беда

LT :: Слушай засранец :) тебе прога нужна или тебя сам процесс интресует?

LT :: эта.. есть у меня и касса и штамп.

Kerghan :: LT:
блин, дай ссылку на штамп или на мыло кинь kerghan@pisem.net
нужно очень

LT :: Дам в обмен на знания :) В общем лови.

3acpaHeLI :: Слушай LT если есть kassy кинь плиз прога очень
zacpahec@hitv.ru

3acpaHeLI :: ну очень нужна

LT :: забирай

3acpaHeLI :: big fanks




debial Help!!! Вопрос не для новичков. Давно пора было затронуть эту тему. Это



debial Help!!! Вопрос не для новичков. Давно пора было затронуть эту тему. Это касается прог запакованных aspr, armadillo. Вопрос вот вчем: как снимать триальный период с этих прог. Я понимаю, надо распаковать найти место(вставить свое имя и т.д), а как быть если надо написать Loader(поделится с другом, не будеш же давать ему трех метровую прогу??!! Loader - самое оптимальное решение!!!). Проблема эта актуальна, так, как все больше программеров доверяют свои творения этим пакерам.
ЗЫ Я вот на этом пару раз ловился.(убирал все ограничения спроги, а вот trial aspr и armadllo несмог убрать)
А вот пример таких прог: Universal Explorer 4.0, Advanced Grapher 2.08 ну и др.
3acpaHeLI ::
Незнаю как в armadillo. но вот Asprotectore триал реализуется следующим путем при установке программа записывает ключ в реестр который служит отправной точкой триала в некоторых случаях этот ключ точнее номер ключа не меняется пример aviedit и достаточно перед каждым запуском стирать этот ключ при этом прога создаст новй и так каждый раз правильнее конечно будет сделать это по другому в самой программе занапов эти функции или что то в этом роде но до этого я еще не дошел
в случае с Universal Explorer 4.0 дело обстоит немного по другому а именн при установке создает ключ счетчик маскирующийся под другие программы например

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\InprocHandler32]
@="ole32.dll"

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\InprocServer32]
@="ole32.dll"

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\LocalServer32]
@="C:\\programs\\corel_V11\\Programs\\coreldrw.exe /automation"

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\ProgID]
@="CorelDRAW.StructExportOptions.11"

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\TypeLib]
@="{7CF77669-B83D-32D6-A890-A849D57CF311}"

[HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884- B42508BE17F3}\VersionIndependentProgID]
@="CorelDRAW.StructExportOptions"
в данном случае сам номер ключа 1BD8D6EC-7C0E-48D7-1884-B42508BE17F3 является счетчиком а свиду вроде ключ программы
при удалении ключа HKEY_CLASSES_ROOT\CLSID\{1BD8D6EC-7C0E-48D7-1884-B 42508BE17F3}
и следующем запуске программы она проеряет етот ключ и если его не находит создает совершенно новый ключ и вдальнейшем ориентируется на него
для снятия триала в данном случае необходимо копаться уже в самой программе и обходить функции проверки ключа либо если нужно оставить программу без изменений необходимо определить код генерации ключа и на его основе делать патч который перед запуском программы сотрет счетчик

MozgC :: Loader это как раз не самое оптимальное решение. Нужно распаковывать, а если не хочешь потом меги по инету слать, ну упакуй и перешли. По мне так лучше один раз скачать и потом нормально пользоваться, чем каждый раз лоадер запускать. Стремно как то это. Тем более лоадером ты не сможешь пропатчить места в самом начале программы. Он не будет успевать и ты возможно скоро с этим столкнешься если будешь делать лоадеры.
Так что либо распаковка либо патч запакованной программы (это отдельная тема).
Что насчет регистрации программы крэкерским способом, а не стиранием ключей, то я вчера ну или край позавчера в какой-то теме писал про это. А вообще читай статьи, это вопрос отдельной статьи а не ответа на форуме.

MozgC :: Кстати это не ты вчера заходил на канал #TSRH и спрашивал там про эти проги ?

LT :: Эта.. а что нельзя разве сжать их ?

Мозг, а вообще есть канал или там чат, где вся тутошняя "банда" собирается? Если да, то там вообще реально вопросы задавать или как в обычной ирке - отвечают только энтузиасты и не всегда правильно? В общем пофиг как отвечают, главное чтобы на мысль навели.

debial :: MozgC 2 Кстати это не ты вчера заходил на канал #TSRH и спрашивал там про эти проги ?
То был не Я. Во-первых: Я не спрашивал мнения твою. 3acpaHeLI Во-второых: спасибоньки, что дал интересную информацию.

MozgC ::
цитата:
MozgC 2 Кстати это не ты вчера заходил на канал #TSRH и спрашивал там про эти проги ?
То был не Я. Во-первых: Я не спрашивал мнения твою


Не спрашивал мнения мою? Во-первых, поучи русский. Во-вторых, а на хуй тебя не послать? Там будешь говорить чьего мнения ты спрашивал, а чьего нет.

3acpaHeLI :: 3acpaHeLI Во-второых: спасибоньки, что дал интересную информацию.

Мля а че смешного то у каждого свой уровень ты спросил а я ответил то что знал про ету прогу
информация не бывает не полезной ты ведь не один этот форум читаеш

сам знаю что ето стремно но пока увы я вручную распаковывать так и не научился :(
з ы главное было бы желание :)




Runtime



Runtime_err0r Помогите ломануть PE-PATCHER 2.0 Вообщем есть такая прога PE-PATCHER лежит здесь: http://programs.fatal.ru/
Там в архиве две версии - бесплатная и платная. Платная запакованна ASProtect’ом 1.2 (распаковывается CASPR’ом без проблем), но она к тому же написана на VB
Я уж её и SmartCheck’ом пытался поковырять и TRW чё-то никак не получается. Может кто-нибудь какие-нибудь умные мысли подкинет ???
.::D.e.M.o.N.i.X::. :: Есть тулза VBspy, с помощью нее я нашел код
Если надо, то напиши мне я тебе ее скину или здесь оставь мейл.




digger распаковка ASProtect прога запакована аспротектом 1,22-1,23



digger распаковка ASProtect прога запакована аспротектом 1,22-1,23
нашел OEP а там вместо push ebp
три call’a подряд в каком месте нада зациклить прогу
чтобы дамп снять?

freeExec :: А может это не ОЕР?

MozgC :: Там может быть и 3 call’a подряд, если это относительно новый аспр, который все команды до call’a спер.
В каком месте зациклить прогу - не принципиально, иногда и просто снимают дамп просто запустив прогу, не всегда правда это прокатывает. Можешь прямо там и зациклить на этих трех call’ах, только не забудь потом в дампе исправть EB FE (jmp eip) на то что было на том месте до зацикливания.




MAD помогите расспаковать ASProtect 1.23 RC1 Короче решил я попробывать...



MAD помогите расспаковать ASProtect 1.23 RC1 Короче решил я попробывать крякнуть программку. И тут взял проверил через peid чем запокована ,вот он мне выдал
ASProtect 1.23 RC1 -> Alexey Solodovnikov . Вот тока чем его теперь расспаковать ? Пробывал пару расспаковщиков не фига.
Люди подскажите чем можно открыть ?
Kerghan :: руками

Runtime_err0r :: Stripper 2.03 - http://www.is.svitonline.com/syd

.::D.e.M.o.N.i.X::. :: Runtime_err0r пишет:
цитата:
Stripper 2.03


Гавно често говоря, лучше версией 1.35

Kerghan :: Stripper хрен берет [New Strain]

MozgC :: Kerghan Kerghan, берет, не всегда, но берет. Примерно в половине случаев, если там нет особо уж сильных заморочек. По-моему как-то раз даже взял самую последнюю версию аспра... или я путаю. Но new strain иногда берет, это точно.

EGOiST[TSRh] :: ней страйн всегда берет но тока 2,05

nice :: EGOiST[TSRh]
Неужели есть такая?
На сайте 2_03(public)

MozgC :: EGOiST[TSRh]
ICQ проверь, я уж замучался ждать =(

Kerghan :: MozgC
распаковывать то распаковывает, но прога потом запускается на десятую долю секнды. Я уже три проги распаковывал - без эффекта. Может у кого такая хрень тоже была.

MozgC :: Kerghan
Хз у меня все ок. Не всегда но факт есть факт.




digger как снять Trial прога запакована аспротектом 1.22-1.23.



digger как снять Trial прога запакована аспротектом 1.22-1.23.
при запуске выводится сообщение о том что закончилось время действия проги
сообщение как я понял устаноовлено самим аспротектом
как распаковать такую фичу...
или обойти сообщение
http://www.codesector.com/ftp/dfolders.exe
Араб :: Время назад переведи...

Kerghan :: или вперед
кто-то так делал(тока не помню кто)

MozgC :: Перевод времени не поможет. Аспротект предоставляет пользователю спец. функции для защиты программы кроме самой упаковки. Тебе надо найти эти функции в теле программы. Одна из функций будет использовать dword значение из секции данных. В этом dword значении будет хранится адрес, по которому будет хранится имя зарегестрированного пользователя. Если по тому адресу лежит 0, то программа незарегестрирована. В этом случае надо поменять адрес так, чтобы он указывал на какое-то место в программе, и в то место подсунуть свое имя. Как найти функции аспротекта ? Легко. Там есть функция, эмулирующая GetModuleHandleA (если ты восстанавливал импорт вручную, то ты должен знать). Внутри этой функции, если передаваемый ей параметр равен 0, в возвращаемое значение (eax) ложится 400000 обычно. Это 400000 достается там в таком виде:
mov eax, dword ptr [xxxxxx]
Ты набираешь "dd xxxxxx" и видишь там область памяти, где будет лежать такое:
00400000 00400000 хххххххх хххххххх и т.д.
После 400000 через некоторое время могут идти адреса 4ххххх или 5ххххх эти адреса и есть адреса функций аспротекта. Их обычно от двух до десяти. Ну в общем вот так вот.

Вообще такой способ регистрации прокатывает примерно в больше чем половине всех программ защищенных аспром с использованием ЕГО функций триала.

Есть вопросы - задавай.

MozgC :: Если же ты не умеешь распаковывать, то можешь просто использовать программу "Die, ASPRotect, Die" которая будет делать поиск ключей аспра в реестре и удалять их, после чего триал будет обнуляться. Прокатывает тоже более чем в половине случаев.

digger :: какую статью можете посоветовать по распаковке аспротекта вручную...
чтобы можно было разобраться самому во всем этом...

MozgC :: ну я думаю чтонить пока без краденных байтов.

Например по распаковке NetVampire или Mailer какой-то там DiveSlip распаковывал.

MoonShiner :: Как то я делал, чтобы триал без распаковки грохать. Во-первых, реестр можно почистить (TrashReg делает), а во-вторых, так: брякаемся на GetLocalTime. На последнем вызове из движка аспра жмем Ф12 и может быть еще раз и там сразу сравнение и джампы. Их правишь и в путь. А потом патч в памяти пишешь.

3acpaHeLI :: для снятия триала ASprotectora можно воспользоваться программой Registry Trash Keys Finder 3.0.0 final она находит ключи в реестре которые меняет ASprotector при каждом запуске если программа в триальном периоде ничем не ограничена то иногда чтоб обнулить триал достаточно лишь удалить данные ключи реестра которые находит данный софт так же можно написать bat файл который удаляет данные ключи а затем запускает прогу :)
например
NOtrial.bat
@echo off
regedit /s avitrial.reg
aviedit.exe
EXIT
end NOtrial.bat

avitrial.reg
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E17DA1C0-9D72-2F72-68C4- D416C142157B}]
@=-

[HKEY_CLASSES_ROOT\CLSID\{E17DA1C0-9D72-2F72-68C4- D416C142157B}\InProcServer32]

[HKEY_CLASSES_ROOT\CLSID\{E17DA1C0-9D72-2F72-68C4- D416C142157B}\ProgID]
end avitrial.reg

Ландух :: Kerghan пишет "или вперед кто-то так делал(тока не помню кто)", я делал, помогает!

Kerghan :: Ландух
перевод времени "не наш" способ

Ландух :: Kerghan "перевод времени "не наш" способ" Да я это если человек не хочет ручками работать, то пусть время переводит, но вперед, тогда триал снимается!!!

digger :: я воспользовался прогой... Registry Trash Keys Finder...
помогла..

MoonShiner :: Ландух... я думал, это слово тока мы с друганом знаем:) Он в детстве так ландыши называл

Ландух :: Да я просто ландух! Т.е. чайник, или с большими ушами, или понимай как знаешь. Но на форуме я как понял ландухов еще больше че я.

Runtime_err0r :: digger
Прога распаковывается Stripper’ом ( http://www.is.svitonline.com/syd ) причём надо распаковать сам df.exe и setup.dll (сначала переименовать в setup.exe потом распаковать и распакованный _setup.exe переименовать обратно в setup.dll).
Дальше ковыряй сам ...

digger :: благодарю за помощь Runtime_err0r

digger :: распаковал я прогу Stripper’ом но в 98 она не работает

Runtime_err0r :: Поставь в опциях галочку
Dump code section on OEP
и
Dump data section on OEP
Должно помочь

digger :: вот теперь все отлично распаковалось...




-= ALEX =- УР@ ! Наконец-таки я пропатчил этот ASProtect, мучился-мучился, но



-= ALEX =- УР@ ! Наконец-таки я пропатчил этот ASProtect, мучился-мучился, но все-таки добился своего и сделал универсальный патчер... (пока только NT, но и WinXX не проблема)... можете посмотреть что получилось на примере RegetDx 3.3 Build 186...
Планирую может быть и статейку написать ;)
P.S. www.alex2kx.nm.ru/mg-regetdx33186.zip
XoraX :: неслабо

MozgC [TSRh] :: Я до последнего момента не верил, щас посмотрим, а почему только для ВинНТ? Что это значит? Что патчер будет работать только в ВинНТ или что пропатченный файл будет работать только для ВинНТ?

MozgC [TSRh] :: Можно совет? Убери музыку из патчей...

MozgC [TSRh] :: ALEX вышел Reget build 187, надо его того =)

RideX :: MozgC [TSRh] пишет:
цитата:
Я до последнего момента не верил


Я тоже не верил, поздравляю с успехом :)

Kerghan :: MozgC [TSRh]
насчет музыки.
это личное дело каждого, лепить ее или нет. я лично с музыкой предпочитаю.
-= ALEX =-
а твое полное имя случаем не Alex Solodovnikov?

MozgC [TSRh] :: Кстати, неплохо бы сделать эту тулзу приватной. Если она разойдется по всему миру, то очень скоро она попадет к Солодовникову и он раскопает че и как.

MozgC [TSRh] :: Ну вы музыку предпочитаете как создатели патчей и кейгенов, вам бы лишь бы наворотить патч. А вот пользователя она может раздражать, ему бы лишь бы пропатчить быстрее. Да и вот например у меня колонки не слабые стоят с сабвуфером и эта музыка заиграла так что мне чуть штаны не пришлось менять. Да у меня уменьшенная громкость, но не настолько, полностью уменьшить я ее не могу, потому что тогда будет не совпадать громкость в разных приложениях, поэтому нашел эдакую серединку золотую, но на этой золотой серединке мызка из патча была как гром среди ясного неба.

MozgC [TSRh] :: У регета в About:

Our thanks to:
Encryption mechanism:
Alexey Solodovnikov

=)

MozgC [TSRh] :: Ээээ..... я думал там аспр крутой, а там версия старая, еще где

popad
jmp eax

и нет спертых байтов. Патчер будет работать на новых версиях аспра? Хотя бы на последней из 1.2x ?

XoraX :: MozgC [TSRh] пишет:
цитата:
Убери музыку из патчей...


, можно не убирать музыку, а просто сделать кнопочку типа «Вырубить музыку».
А то ведь есть такие, кому музыка нрацца...

XoraX :: -= ALEX =-, у вас че с сайтом? совсем серьезно так все?

[RU].Ban0K! :: Для XoraX:
Ага, а ещё можно сделать выбор скинов , проигрывание mp3, быстрые клавиши, и печать результатов.... НУ ЗАЧЕМ ЛИШНИЙ ПОНТ???
Меня лично музыка не отвлекает... я в нём максимум минуту сидеть буду.. да и все уто его использую... и пользуются им не более раза за несколько месяцев... следовательно... не успеет надоесть...
Да и вообще патч создан для патчинга, а не для мультимедии и т.д.

MozgC [TSRh] :: ALEX, Kerghan сделайте тогда плиз чтобы можно было в маленьком окошке патча или кейгена смотреть в это время TV (ну у кого TV Tuner есть) или фильм какой искался на винте и рэндомайзом включался (только чтоб имя фильма не содержало «videoout», «xxx», «porn» а то мало ли, родители будут мимо проходить) еще просьба сделать встроенный тетрис и чистильщик реестра (очень нужная штука). Как сказал Рубанок, без скинов тоже не дело. Скины обязательны! Надеюсь в следующих версиях вы это все сделаете. Искренне Ваш, почитатель Ваших патчей, Мозг.

PS. Если нужно будет просмотр TV протестить или тетрис... поиграть там пару часов.. то обращайтесь ко мне. Помогу чем смогу.

angel_aka_k$ :: MozgC [TSRh]
а еще лучше если в пач встроить инет брузер офис пережатель из cda в mp3 и еще чего нить например doom 3

MozgC [TSRh] :: Дум3 тормозить будет, не надо =)

angel_aka_k$ :: MozgC [TSRh]

-= ALEX =- :: Hi всем.... спасибо за добрые слова :) Начну по-порядку, под NT пока работает патч, т.к. я использовал доступ к кольцу 0 под NT, под WinXX , это достигается путем VxD.... напишу потом и это... Насчет кряденных байтов, моему патчу это по барабану, т.к. на другом совсем принципе работает.... MozgC [TSRh] че ты к моему патчу прикопался, тема-то другая, мож тебе коллекцию фильмов к патчу прилагать ? В общем буду работать еще над патчем, у увидят его не все ! а только избранные :))))

-= ALEX =- :: Жалко вот, что наша команда распалась :((

MoonShiner :: -= ALEX =- пишет:
цитата:
Начну по-порядку, под NT пока работает патч, т.к. я использовал доступ к кольцу 0 под NT, под WinXX , это достигается путем VxD....


VxD или сервисы VxD? Посмотри как на ринг0 лезет чернобыль.

-= ALEX =- :: я пока еще не разбирался с Win98, но есть уже примерные исходники как получить доступ к ring-0

-= ALEX =- :: Дайте мне ссылочку на самый - при самый последний аспр, я проверю патч на нем...

MC707 :: Для -= ALEX =-: на - http://www.aspack.com/files/asprotect123.zip

MozgC [TSRh] :: Давай я тебе ченить запакую последним аспром из версий 1.2х. Не самый последний на данный момент, но все-таки на уровне.

-= ALEX =- пишет:
цитата:
MozgC [TSRh] че ты к моему патчу прикопался, тема-то другая, мож тебе коллекцию фильмов к патчу прилагать ?


Да я не прикопался, я угараю просто если ты не заметил. Что насчет коллекции фильмов то я про это и говорил - обязательно! А ты вместо того чтобы так реагировать, задумался бы. Дело твое в итоге конечно.

-= ALEX =- :: проверил только что свой патч на ASProtect 1.2 / 1.2c -› Alexey Solodovnikov, тобишь который щас на сайте aspack, работает великолепно !!! Смотрю ссылка http://www.aspack.com/files/asprotect123.zip отличается от той, по которй я скачивал.... щас скачаю, посмотрю и скажу результаты....
MozgC [TSRh] запакуй например блокнот или калькулятор из XP

-= ALEX =- :: или напиши микропрограммку с нагом и скажи где пропатчить, т.е. по какому адресу...

-= ALEX =- :: может кто ключик подскажет для ASProtect 1.23 RC4 DEMO ? http://www.aspack.com/files/asprotect123.zip

MozgC [TSRh] :: Алекс, стукнись ко мне в аську, дам лицензионный последний из серии 1.2х аспр с ключом. С тебя патчер =)
ICQ 906789.

MozgC [TSRh] :: http://tsrh.crackz.ws/aspred.zip

450249: 9090

Bad_guy :: MozgC [TSRh] пишет:
цитата:
лицензионный последний из серии 1.2х аспр с ключом.


и мне тоже надо...

-= ALEX =- пишет:
цитата:
у увидят его не все ! а только избранные


Надеюсь быть одним из них...

XoraX :: -= ALEX =- пишет:
цитата:
только избранные :))))


,а может избранными окажутся форумчане

freeExec :: ИМХО достать лоадер из пропатченной проги, будет быстрее чем его писал АЛЕКС. Врятли он там применил крутоя шифрование, максимум ХОР с динамическим ключом. Плюс из одной темы выясняем что патчит он на каждый байт одной командой «mov dword ptr [XXXXXXX], YYYYYYYY», ее просто надо будет заменить на нужную и все. Единственное чего не будет хватать, так это гуидной упаковки :(

freeExec :: -= ALEX =- пишет:
цитата:
Жалко вот, что наша команда распалась :((


А почему я об этом не знаю?

GL#0M :: «увидят его не все ! а только избранные :))))»
а говорил
«Планирую может быть и статейку написать ;)»

ээх...

-= ALEX =- :: Короче, щас проверю патч на новом аспре, вчера проверял, новый аспр отличается от того, что я взламывал.... Выдрать патч из пропатченной проги можно, но я думаю что трудно будет понять принцип, да и врятли заработает потом.... Сам патч по последним меркам занимает 1500 байт ! а это ОЧЕНЬ МНОГО !!!

-= ALEX =- :: Под словом «патч» я подразумеваю микропрограммку которая встравивается в тело АСПРА и в дальнейшем пропатчивает байтики самой программы....

freeExec :: Полтора кило - это ты назыаешь много?

freeExec :: -= ALEX =- пишет:
цитата:
но я думаю что трудно будет понять принцип


Один раз поинять все жизнь пользоваться

-= ALEX =- :: Да копайся наздоровье, никакой защиты там нет, все писалось компактно....

-= ALEX =- :: Свершилось ! Мой патч для аспра (давайте название придумаем) успешно работает на ASprotect 1.23 RC 4 ! (последняя версия АСПРа)
Вот к примеру взломанный MegaProtection, который любезно предоставил MozgC [TSRh]
http://www.alex2kx.nm.ru/megaprotection.zip

vins :: AAASP - Alex Anti ASProtect’op

nice :: -= ALEX =-
А 1_30, про который столько разговоров?
PS как там насчет всречи?

angel_aka_k$ :: nice пишет:
цитата:
А 1_30, про который столько разговоров


это и есть 1.23 rc4

-= ALEX =-
молодец сказать не чего не могу так как я не люблю патчеры лоадеры и т.д. т.п. ( я все распаковываю (не спорю геморойней IMHO но интересней и результ лучше так как структуру аспра лучше понимаешь )
это лично мое мнение !!!! и оно не подлижит обсуждению !!!!

Kerghan ::
цитата:
это лично мое мнение !!!! и оно не подлижит обсуждению !!!!


вот давайте его и обсудим

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
это и есть 1.23 rc4


Нет. 1.23 RC4 - это 1.23 RC4 так привычный нам в конце лета и начале осени. А 1.30 - это 1.30, который был в Send-safe например.

angel_aka_k$ :: MozgC [TSRh]
блин помнишь мы с тобой на эту тему общались просто на той проге где я с инитом @!#$ ........ peedit написал мне что это 1.23 rc4 и на XTIN рускими членораздельными словами описан 1.3 хотя peedit орет что это 1.23 rc4 так что вот так вот и вот в fastsumbit в котором в явном виде видно что это 1.3 peedit орет что 1.23 вот а впринцепи какая разница главно новые фичи отламываются без проблем вот думаю может прогу настряпать по востановлению инит а то в ручную долго получается

Kerghan пишет:
цитата:
вот давайте его и обсудим


angel_aka_k$ :: ALEX пишет:
цитата:
Жалко вот, что наша команда распалась :((


а че случилось то

Kerghan :: -=Alex=- пишет:

цитата:
занимает 1500 байт ! а это ОЧЕНЬ МНОГО !!!


Если быть точным 1338

angel_aka_k$
medigo.ru

angel_aka_k$ :: Kerghan
да жалко !!!

-= ALEX =- :: Очень жалко...




LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни



LT Asprotect///эх ПроглЯдел все статьи ... что сказать нечего... одни дифирамбы... кому статьи писались вообще не поняно...понимающий он и так поймет... ну вот хоть бы одна статейка с нормальным описанием (что, для чего и почему) нет.! Ээээх!
angel_aka_k$ :: LT
попроси мозга написать об аспротекте у него хорошо статьи получаются

Kerghan :: если один раз читать, х..н че поймешь. Прочитай раза четыре, поаробуй распаковать че полегче, снова читай etc.

-= ALEX =- :: А лучше самому неделю посвятить отладчику и аспру, тогда точно сам все будешь знать и другим советывать...

MozgC [TSRh] :: LT для начала прочитай статью про распаковку NetVampire, там вроде более менее получилось. Хотя как мы там с freeExec’ом ОЕП искали это неправильно. В том случае оно сработало, но можно сказать что это совпадение. В общем лучше ерундой не заниматься и искать по bpm esp-4 или bpm esp-24
Т.е. ставишь бряк на MapViewOfFile запускаешь прогу зааспренную, когда функция MapViewoFfile вызовется из программы (для этого смотри в правый нижний угол окна айса, там должно будет быть имя упакованной проги) то убирай этот бряк и ставь бряк «bpm esp-4» (это для NetVampire, вместо esp подставь число которому равен esp на EP запакованной программы, например «bpm 12FFC4-4») И жми F5 пока не увидишь выход на ОЕП, в данном случае будет jmp eax. В eax в это время будет адрес OEP. Таким образом ты найдешь OEP нормальным способом, ну а дальше по статье. В общем может я зря это все написал, но я бы очень советовал прочитать эту статью для начала. Ищи ее на крэклабе. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить... А потом уж и до аспра доберусь...

LT :: Мозг, а может попробуешь.. написать статью или дай мне что почитать только с сылками. Заранеее благодарен.

MozgC [TSRh] :: Ну написать может и напишу, только не скоро. Что почитать я тебе сказал - статью про NetVampire которая лежит на крэклабе.

LT :: ок. гляну ща

Runtime_err0r :: MozgC [TSRh]

цитата:
. А потом может какнить соберусь и накалякаю ченить свое. На этих выходных планирую написать статью по распаковке основных пакеров - упх, аспак, пекомпакт, может еще ченить...


А ты уверен, что это кому-нибудь нужно, кроме тебя ??? По этим пакерам статьями уже весь Инет завален (хотя большинство из них явный бред - либо автор «забывает» про восстановление IAT написать либо ещё где-нибудь накосячит, хотя на XTIN и на WASM.RU статьи действительно очень толковые), да и в вашем FAQ тоже есть раздел по распаковке. А вот толковых статей по ASPR’у действительно нет так что давай про ASPR лучше пиши

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А ты уверен, что это кому-нибудь нужно, кроме тебя ???


Как раз мне это нафиг не нужно. А вот когда меня в аське начинают доставать как распаковать упх, причем люди которые уже несколько месяцев занимаются крэкерством и которые уже что-то ломали а не только крэкми, вот это реально удивляет. Ну а PE Compact и ExeStealth таких крэкеров просто убивают =)

Madness :: Runtime_err0r
›А вот толковых статей по ASPR’у действительно нет
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему. Я, помнится, свой первый аспр очень долго распаковывал, проходя до оер вручную по десятку раз.

MozgC [TSRh] :: Толковая статья эта после которой все понятно и не приходится вручную проходить до ОЕП по десятку раз.

nice :: MozgC [TSRh]
Полностью согласен, у хекса в статьях проходят «простые» термины,
который видимо они используют в своём кругу, а ты сам допирай,
хорошо если представляешь о чем идет речь, а если нет

DeMoNiX :: nice пишет:
цитата:
Полностью согласен, у хекса в сиаьях проходят «простые» термины,


Хохол он и в Африке хохол:)))

MozgC [TSRh] :: =)

GL#0M :: Да... Ну ты даёшь DeMoNiX

Runtime_err0r :: Madness , MozgC [TSRh]
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется

Madness

цитата:
Да есть статьи толковые, у Hex’а, например, только кому то лениво посидеть, почитать, самому понять что не работает и почему.


Кто-то спросит - ну как же можно так ?
Дуракам всё можно ! Я же ведь дурак
© Шнур

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
В том-то всё и дело, что после того как человек сам всё прошёл и распаковал ему очень трудно описать всё так, чтоб было понятно и новичку. Обычно в статье описывается просто последовательность действий типа «а вот этот call надо заNOPить», а вот почему именно этот а не соседний - не объясняется


Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.

Runtime_err0r :: MozgC [TSRh]

цитата:
Вот такие статьи я не люблю, и в своих стараюсь объяснить почему именно этот call а не соседний.


Согласен - ты пишешь хорошие статьи и «разжёвываешь» там все тонкости

MozgC [TSRh] :: Ну вот постараюсь про упаковщики тоже нормально написать... Надеюсь получится. Идет набор бетатестеров =)

UnKnOwN :: Для MozgC [TSRh]:
Бета тестеров для чего...?

MozgC [TSRh] :: Да шучу я, но все равно надо будет тройке-пятерке новичков дать почитать, прокомментировать перед тем как статью в инет выкладывать...

Kerghan :: самые лучшие тестеры находятся на этом форуме

[RU].Ban0K! :: Для MozgC [TSRh]:
Самое главное не отмазываЦа от критики...

UnKnOwN :: Для Kerghan: Вот это ты прямо в яблочко

LT :: Пер @!#$ уквы этой статьи хоть написаны? :)

MozgC [TSRh] :: LT пишет:
цитата:
Пер @!#$ уквы этой статьи хоть написаны? :)


Угу, мало того, написан аж первый абзац! =)
А вообще щас с работой бодяга, освобожусь числа 4 декабря, и тогда сразу в бой, дописывать статью!

LT :: Ждем с нетерпением!

GL#0M :: Для MozgC [TSRh]: Так какие упаковщики-то взял?

.::D.e.M.o.N.i.X::. :: Runtime_err0r пишет:
цитата:
Да есть статьи толковые, у Hex’а, например


Hex вообще хрен знает для кого пишет:) Сейчас то все понятно, а вот когда любительски начинал, то хз для кого он пишет...

angel_aka_k$ :: .::D.e.M.o.N.i.X::.
хз я лично учился по статьям hex’a и собственно по его статьям научился распаковывать проги так что спорный вопрос по поводу его статей мне наоборот кажется что самые толковые статьи как раз у HEX’a покрайней мере он пишет так что потом понять можно вон например volodia написал статью так я там 50% не х...... не понял и не стал вообще доконца ее читать мозги просто расплавляются от его статьи и вся проблема в том что он написал научным языком !!! а это всегда напрягает мозги а hex пишет нормальным языком и все понятно !!!! просто думать надо а не бегло читать !!!!

angel_aka_k$ :: Runtime_err0r пишет:
цитата:
А вот толковых статей по ASPR’у действительно нет


я пишу про 1.3 надеюсь нормально получится покрайней мере стараюсь все описать и подробно разжевать почему так а не подругому :))))))
вобщем все равно вам судить так что посмотрим может толково получится

test :: Для LT: Не теряй время! Есть хорошие стати по распаковке почти всех протекторов включая
Armadillo copymem2&nanomites ,aspr1.23RC4.Правда один минус они не на русском,но зато
наглядность там очень хорошая.Неплохо конечно если кто перевёл бы но там очень много материала.Если есть желание дам ссылку.

GL#0M :: test
Конечно давай. Переведём если что.

LT :: 2test давай , вон и переводчики нашлись.

P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?

MozgC [TSRh] :: LT пишет:
цитата:
P.S. Стать нетвампир просмотрел, тем более оеп искался не верно... нах она нужна?


Ты про что?

LT :: ну ты сам говорил, что оер там не верно искался

MozgC [TSRh] :: Да, но ОЕП это мелкая часть распаковки. Остальное там нормально написано, и говорить нах она нужна как-то...

LT :: ну сорьки... ну если я не найду оеп все остальное ...вернее всего остального и не будет.

MozgC [TSRh] :: А для я кого написал как ОЕП найти по нормальному? Для себя чтоли?

test :: Для LT: http://www.hackemate.com....589186cbc517d78f692920e2b

test :: Для GL#0M: Если сможешь на spanish http://www.hackemate.com....589186cbc517d78f692920e2b
Я использую X-Translator Platinum,т.к. Wordовские doc с сохранением форматирования текста и картинок как в оригинале делает
только он. другие не нашел,если кто подскажет что получше то спасибо.

GL#0M :: test
Сейчас сяду переводить...

GL#0M :: Рульный сайт, я о нём не знал, т.е. раньше на нём этого не было, помоему.

angel_aka_k$ :: test пишет:
цитата:
aspr1.23RC4


вообщето там далеко не 1.23 rc4 [аля asprotect 1.3]
то простой 1.2x [new strang] распаковывается с пол пинка так что проверяй инфу прежде чем постить !!!!!

-= ALEX =- :: Да я тоже нигде не встречал статей про новый аспр, мы одни тут такие, кто с этим аспром разбирается, а один тут воще патчит его :)

RideX :: -= ALEX =-
Что, продвигается дело?

infern0 :: Для -= ALEX =-: у HEXа есть отличная статья про новый аспр- там все толково расписано. Причем лежит она у него уже минимум месяц...

-= ALEX =- :: infern0 Мне не надо статей, я сам впринципе умею такие аспры распаковывать...
RideX Дело продвигается нормально...

test :: Для angel_aka_k$: 138-ASProtect 1.23rcx por Juan Jose.rar - архив, Programa: Advanced File Organizer v.2.1 (ASProtect 1.23 RC4)
у меня вроде есть?

test :: Для angel_aka_k$: Не могу зайти на сайт чтоб ссылку дать точно, вот качал архив (actualizacion octubre 2003) - это обновления
в этом архиве лежит.Наши статьи конечно лучше и я изучаю материал используя всю доступную информацию, и кто пишет статьи
(любые!) им очень благодарен, я читаю всё и по возможности с практикой.На других языках конечно сложнее понять тему Но
ведь переводят их и ничего!Я начинающий и любые советы принимаю!

test :: Для GL#0M:Если хочешь перевести не только для себя то я диск дам со всем материалом и крэкми что скачал, осталось только
несколько крэкми оригиналы докачать.А то на офиц,сайтах уже некоторые обновлены а например с HASPом и вообще
не найти наверно.Проверил пока не всё конечно но армадиллу распаковал по туториалу первый раз.Если не проблема качать
то есть ссылка еще на ftp если что скажи или лучше контакты дай пришлю файллист с пояснением.

GL#0M :: Для test: Вот мои контакты

GL#0M :: test
Куда пропал-то? Чего файллист с пояснением не прислал?

angel_aka_k$ :: test
давай лучше ссылку на этот переводчик ( давно уже хочу иметь переводчик на тачке )

LT :: 2Мозг, не выходит по твоему. Вернее выходит, но как то не так: бряк срабатывает, но в правом нижнем у. совсем другая программа(CSRCC), несколько раз пробовал.

До того до пробовался, что комп стал глючить - по иконке любой кликаешь, а открывается не программа, а свойства файла. Это фигня все, с этим я разборался - от чего и почему.

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

UnKnOwN :: Для LT:

Слушай, у меня такая же байда была, отчего эта хрень..

GL#0M :: angel_aka_k$
Да это промт (x-translator бывший qtrans) ваще-то. Так что качать долго придётся.

LT :: 2UnKnOwN да Софтайс это чудит. :)

LT :: 2angel_aka_k$, Promt XT Family хороший, ищи, качай..версий правда несколько. Лучше конечно диск купить по дешевке, если есть где.

angel_aka_k$ ::
в том то и дело что я поиском в сети не занимался и если что то надо не когда не найду :((((( вот и здесь....... так что если не сложно то кинте мне ссылку не хотите в форум кинте на мыло заранее сенкс
просто иногда переводчик очень нужен а нету :(((((

LT :: Тов. Мозг, че делать таааа?! (это я все о том же)

2angel_aka_k$, увижу скажу.

MozgC [TSRh] :: Надо жать F5 до тех пор пока в правом нижнем углу будет не CRSS или как он там =) а нужная программа. Т.е. ставишь бряк на MapViewOfFile, запускаешь прогу и когда бряк сработает, то жмешь F5 пока функция будет вызвана не сервисом CRSS а аспровой прогой.

test :: Для GL#0M: Да небыло инета!Отправлял раз 5 мыло сервер глючил или GPRS если не получил через пару дней выйду с другого места там связь получше. Если что залью куда нибудь все новые статьи которые не выложены на их сайте или переводчик ну вобщем там подскажешь.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Надо жать F5 до тех пор


пока не посинеешь

MozgC [TSRh] :: =)))
Да ну на самом деле больше 5 раз не бывает =)

angel_aka_k$ :: MozgC [TSRh]
да я в курсе :))))))) кстате как говорится о птичках короче я тут мозгами пораскинул и нашел более простой способ востановлению IAT так вот теперь не знаю дописать тот что есть ( сложный но дает понять всю структуру построения IAT ) или написать более простой способ ( очень поверхностно дает понять что и как ) вот советуй :))))))))))))

MozgC [TSRh] :: Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.

LT :: 2MozgC Все равно не получается по F5 проходит раз 5 и на 6-ом открывается программа. Вот так.

MozgC [TSRh] :: =) Хех, ну значит я гуру какой-то, у меня всегда работает. Че за программа то ?

LT :: да я взял Net Vampire 4, чтоб скорей понять как аспр распаковывать.

MozgC [TSRh] :: Ну я щас проверил. Ставлю бряк MapViewOfFile, запускаю vampire.exe, первые 2 раза прерывается в CSRSS, но третий раз в Vampire, так что по-моему ты что-то путаешь или делаешь не так. Уверен на 95%.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Давай и то и то. Было бы лучше всего. Т.е. я так понял первым способом у тебя немного осталось писать, так допиши, а потом второй более простой, он же не длинный как я понял.


ок буду писать то и то !!!!

Mario555 :: При запуске распакованной проги [ASPR 1.0] вылетает такая вот хрень: «Can t open C:\Program Files\~\dumped_.gex!» , что за gex такой ? Это какой-то приём ASPR’a , или я криво распаковал ???

LT :: 2Мозг, ты когда бряк ставишь у тебя, что в нижн. пр. уг. Софтайса? я думаю может из за этого.

.::D.e.M.o.N.i.X::. :: Тут блин ковыряю ATClock 1.2 - так там аспр вжился в прогу так, что надо аж около 15~20мест исправлять + откуда то появилось ~12 API аспра (причем по разным адресам!!!).
angel_aka_k$
Могу ссылку дать - такого я еще не видел...

MozgC [TSRh] :: Ну стандартно, пишешь bpx MapViewOfFile когда еще находишься в а.п. Idle а когда бряк поставился то уже в а.п. приложения или сервиса в котором загружена kernel32.dll, обычно в CSRSS.

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Там короче после первого колла поставь прыжок на нужный колл. Там после первого колла и между «вторым нормальным коллом в дельфи прогах» понапихано очень много аспровых коллов, их просто перепрыгивай, на «второй нормальный дельфийский колл» =))), потом еще переходы занопь после последующих коллов в главной ветви программы, это все проверки аспровые, они на ExitProcess указывают. И тогда останется примерно 4-5 проверок, которые не совсем сложно найти. Регистрация стандартная - подменой адреса строки зарегенного пользователя.

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Могу ссылку дать - такого я еще не видел...


давай
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


я так и не вкурил где это делается, скок аспров перелопатил не где не смог подменить. На скоко мне память не отшибает там в getprocaddress надо пихать свое имя точнее адрес где оно хранится, или я не то сказанул
P.S. все в выходные буду писать статью, и поломаю ченить заодно!!! блин на работе достали просто проходу не дают из - за работы не х...... не успеваю, поэтому статья задержалась но в выходные точнее завтра сяду и допишу
P.S.S. MozgC [TSRh] кстате я тут попробовал простой способ нех..... не получилось оказалось геморойнее чем сложный я просто думал что мне места хватит а не хватило :(((( да и то на что я расчитовал не получилось ( я просто хотел весь гимор на importrec повесить а она сдохла :((((( отказалась апи востанавливать поэтому остается только геморойный способ зато все чисто и аккуратно )
ну вобщем на выходных сам оценишь способ востановления :)))))

-= ALEX =- :: ждёмс статью....
P.S. я тоже что-то не могу разобраться с способе MozgC [TSRh] , чтоб прога была зарегена :)

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...

GL#0M :: angel_aka_k$
-= ALEX =-
-= ALEX =- пишет:
цитата:
я тоже что-то не могу разобраться с способе MozgC [TSRh], чтоб прога была зарегена :)


Я могу ошибаться (не разбираюсь в этом так хорошо), но это способ не MozgC [TSRh].
Я так понял речь шла об этом:
MozgC [TSRh] пишет:
цитата:
Регистрация стандартная - подменой адреса строки зарегенного пользователя.


Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)

angel_aka_k$ :: GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


дык вот я и не понял как это осуществить

angel_aka_k$ :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Качай : http://www.atclock.com/files/AtClockInstall.exe (1 метр)- только вот я там второго оригинального Call’a не нашел:(( Он есть, но в дебрях проги и не к месту вообще...


ок посмотрю

nice :: angel_aka_k$
«Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»»
А говорил не читаешь туторы

-= ALEX =- :: где-бы эту статью найти.... а вообще нахожу я эти апи, нахожу примерно где надо изменить на свое имя, но нифига не происходит, т.е. все по другому не так как в статье...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Смотри ящик:)))

infern0 :: Для .::D.e.M.o.N.i.X::.: а в моем ящике нету :)

.::D.e.M.o.N.i.X::. :: infern0
Был бы еще ящик твой:)))

MozgC [TSRh] :: angel_aka_k$ , -= ALEX =- да вы что издеваетесь? По-моему этот способ знают уже все кроме вас =)
Алекс, отошли angel’у те скроиншоты что я тебе слал если остались. Хотя они у меня тоже вроде остались...

GL#0M пишет:
цитата:
Так это же способ который описывал Kola. Эмуляция API (статья «Исследование защиты на основе ASProtect 1.2x»)


Хз, статьи этой не читал, а когда сам начал так делать не помню...

angel_aka_k$ :: -= ALEX =-
angel_aka_ks@pisem.net - шли сюда :))))) заранее сенкс
MozgC [TSRh]
у мня тут проблемка точнее я забыл просто эта как в фотожо @!#$ елать чтоб поруски писал а то начал картинки доделывать и руский не вкакую еси знаешь подскажи и еще чем лучше обрезание делать картинкам ????
.::D.e.M.o.N.i.X::.
уже качаю седня гляну интересно че там :)))))))))

MozgC [TSRh] :: Ну с русскими шрифтами у фотошопа всегда была проблема, можно например в реестре изменить кодировку HKLM\System\CurrentControlSet\Control\Nls\1252 -› c_1251.nls, не факт что поможет (но я так делаю),
можно еще скачать попробовать шрифты вот эти http://www.beos.ru/files/BSFontsCyr13.zip, тоже не факт что поможет. Обрезать можно инструментом Crop в фотошопе или тем же инструментом в простейшем ACD Photo Enchancer (ACDSee -› CTRL+E)

RideX :: MozgC [TSRh] пишет:
цитата:
1252 -› c_1251.nls, не факт что поможет


В 99% случаев поможет, если нет попробуй добавить 1250 -› 1251, иначе используй «чисто» кириллический шрифт. MozgC всё точно написал, мне добавить нечего :)




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




Mario555 IceExt 1) Как им ваще пользоваться ? У меня после запуска iceext.bat



Mario555 IceExt 1) Как им ваще пользоваться ? У меня после запуска iceext.bat появляется синий экран. ( Вынь XP pro SP1)

2) Во многих туторах про ASPR встречается подобная фраза: »... об этом написано в статье «Исследование защиты на основе ASProtect 1.2x» by Kola ...» ; А где эту статью найти ?
GL#0M :: Mario555 пишет:
цитата:
А где эту статью найти ?


Она раньше на reversing.net лежала, которого теперь к сожалению нет.
Проверь ящик...

mnalex :: Люди, а вы выложили бы, эту статью гденить еще! А то так что? Каждому кому нуна кидать будете? Если так, а не против, мне тоже нужна...

GL#0M :: mnalex

http://gl00m.fatal.ru/art/aspr12x.zip

Mario555 :: to Gl#OM: Пасибо, буду читать.

С Iceext у меня одного такой лаг что ли ? Неужто никто с этим не сталкивался.

UnKnOwN :: Снеси ты на фиг этот SP1, поставь просто вынь ХР и ни каких у тебя проблем не будет, у меня такое было после этого вс прошло...




MozgC [TSRh] ASProtect In-line Patcher В общем че-то тема прошлая разраслась...



MozgC [TSRh] ASProtect In-line Patcher В общем че-то тема прошлая разраслась до 200 постов и в конце уже идет один флейм. Я ее закрыл и тут давайте писать по теме только об InLine Patcher’e ок?
Кому что-то интересно или кто не в курсе что это такое - смотрите в предыдущих темах.
angel_aka_k$ :: Demonix да но мельком я статью писал распаковать я ее быстро смог а дальше не ковырял пока попоже погляжу вообще я эмуляцией не особо люблю заниматся :-)
MozgC [TSRh]
сори сори сори за то что не в тему ответил можешь меня попинать за это только не сильно :))))))))))))))))))
P.S. куда тебе кинуть мой черновик я дописал

xZ :: Скиньте мне патчер, плиз:

asprinline@pochta.ru

-= ALEX =- :: xZ сам скоро скачаешь, а вообще тебе зачем ?

MozgC [TSRh] :: asprinline@pochta.ru... Странный адрес..

-= ALEX =- :: ага.... очень даже подозрительный...

Kerghan :: очень похож на адрес Солодовникова

XoraX :: xZ , ага.. тебя раскусили!

.::D.e.M.o.N.i.X::. :: Залез на ящик asprinline@pochta.ru, а там одни :) (лыбы) стоят.

xZ :: Люди ну вы просто сборище ЛОЛов

Я не Солод, просто хотел патчер поковырять и все

А чтобы мне спам не шел, я ящик быстро сделал и все

xZ :: .::D.e.M.o.N.i.X::.
Не надо лазить в чужие ящики

MozgC [TSRh] :: Имхо лучше завести себе один ящик для таких целей и все, и использовать его для получения файлов, подтверждения регистраций и т.д. Это лучше чем каждый раз новый регить.

UnKnOwN :: А чё Солод не может завести себе такой ящик, ну типа подозрительный ???
MozgC [TSRh] не пинай меня сильно, больше не буду засорять тему....

UnKnOwN :: Кстати, кто ещё не успел скачать патчер Alex’a вот ссылочька по которой его можно качнуть

http://www.unknown-ua.nm.ru/AP.rar 28 Кб

-= ALEX =- c твоего разрешения я размещу это добро для скачивания...

Kerghan :: UnKnOwN
Солодовников сильно рад будет

UnKnOwN :: Для Kerghan: Что ты предлагаеш убрать оттуда, может он ещё не успел качнуть,
а если и так ну и х... ему

-= ALEX =- :: Да забейте вы на этого Солодовникова... че он бог что-ли ? Что он может еще такого придумать, чтоб это было не подвластно нам (крякерам) ? я тут обновил патчер, убрал много лишнего.... UnKnOwN я тебе скину обновленную версию...

-= ALEX =- :: я тут с прогой столкнулся.... мож кто поковыряет Flexiblesoft Dialer II 3.34X.... мож кто сумеет зарегить с помощью моего патча... потом расскажите :)

-= ALEX =- :: UnKnOwN я тебе на мыло выслал новый патчер...

YDS :: Для UnKnOwN: Что-то ссылка http://www.unknown-ua.nm.ru/AP.rar не работает , может есть другая?

Kerghan :: UnKnOwN
да, впринципе, если убирать из инета все проги, которые теоретически могут натолкнуть Солодовникова на улучшение защиты, то придется убрать ВСЕ проги
так что, размещай, если не боишься

-= ALEX =- :: Kerghan пишет:
цитата:
так что, размещай, если не боишься


А почему он должен бояться ?

Vlad :: Киньте патчер посмотреть охота. Vlad@shellov.net

GL#0M :: -= ALEX =- пишет:
цитата:
мож кто поковыряет Flexiblesoft Dialer II 3.34X.... мож кто сумеет зарегить


К «нормальному виду» её пока никто не приводил... посмотрим может у кого получится.
Про это будет интересно почитать.

Hex :: Flexiblesoft Dialer прикольная, прога помню что там какая-то хитрость была с аспровыми апи. но ничего более. А на счет inline патчера: раньше можно было это делать. Т.к. CRC и OEP лежали в .adata в открытом виде. А ща я не знаю как вы себе это представляете. Ща настройки аспра зашифрованы.

XoraX :: Hex , но ведь патчер пашет как-то

UnKnOwN :: Короче качайте, кто ещё не скачал, новая, улучщеная версия

http://www.unknown-ua.nm.ru/apnew.rar 28Кб

Спасибо, кидайте в -= ALEX =- , щютка

GL#0M :: UnKnOwN пишет:
цитата:
Короче качайте, кто ещё не скачал, новая, улучщеная версия

http://www.unknown-ua.nm.ru/apnew.rar 28Кб


Не качается что-то

UnKnOwN :: Для GL#0M: мыло проверь, я тебе туда забросил, а то эти хостинги бесплатные меня уже ззззззззаеееееебааааааааааааааалииииииииииии

Runtime_err0r :: GL#0M

цитата:
Короче качайте, кто ещё не скачал, новая, улучщеная версия

http://www.unknown-ua.nm.ru/apnew.rar 28Кб

цитата:

Не качается что-то





У меня вс



У меня всё качается ... они просто сделали как на народе - сначала жмёшь еа ссылку, открывается окошко с новой ссылкой, а по ней уже качается файл

YDS :: Для -= ALEX =-: Проблема не только с FlexibleSoft Dialer, то же самое например и с Essential NetTools: http://www.tamos.ru/ent3.zip. Аспр разнообразен, однако

-= ALEX =- :: Hex пишет:
цитата:
А на счет inline патчера: раньше можно было это делать. Т.к. CRC и OEP лежали в .adata в открытом виде. А ща я не знаю как вы себе это представляете. Ща настройки аспра зашифрованы.


Приятно было увидеть здесь HEX’a... но я смотрю он форумы не читает и до сихпор не верит, что можно пропатчить аспр ...

Hex :: Может и правда от жизни отстал... Ща скачаю отреверсю этот патчер как-нить и тогда поверю можно это или нет :) А про продукты tamos я у ся на xtin’e писал. Там супер прикольно работают с ресурсами.

-= ALEX =- :: Hex пишет:
цитата:
Ща скачаю отреверсю этот патчер как-нить и тогда поверю можно это или нет :)


поверь возможно.... тока особо не ковыряй :)

Hex :: Мдя, реально возможно. Тока это ж блин не inline patch. Вы ж меня не пугайте. Это уже типа встраивание loader’a в exe файл. Inline patch подразумевает неизменность размера файла, а не вот такое наращивание. Inline - это типа между строк, т.е. как обычный патч, тока в условиях запакованости, типа как с UPX, а это уже outline patch. А ваще прикольно извратнулся. Похучил функции :) Уже смешно становится. Если дальше будет так все развиваться то протектор будет хучить, потом мы будем у протектора хук отбирать, а потом назад ему отдавать :) Я вот тока не понял как ты с CRC справился? Времени просто нет чтоб досматривать твои дебри. И еще я не понял зачем везде вот это:
alex:00401BE3 068 pusha
alex:00401BE4 088 call $+5
alex:00401BE4
alex:00401BE9
alex:00401BE9 loc_401BE9: ; DATA XREF: sub_401918+2D2o
alex:00401BE9 08C pop ebp
alex:00401BEA 088 sub ebp, offset loc_401BE9
.................
alex:00401BDF 068 popa

Чтоб в ebp 0 получить? но зачем? Чем это лучше xor ebp,ebp?

Madness :: Hex
›Inline patch подразумевает неизменность размера файла
А если покриптованные функции в этом патче вставить надо назад, они, как понимаешь, в пару байт не влезут, чего тады делать то?

›как ты с CRC справился
Мапит файл, правит чего изменилось, подсовывает как рез-т mapviewoffile.

Hex :: ›А если покриптованные функции в этом патче вставить надо назад, они, как понимаешь, в пару байт не влезут, чего тады делать то?
Тады это не inline patch :) А чо? так важно чтоб прога была именно inline патчером? Я просто изза названия офигел. Если даже так пропатчили тоже круто.

P.S. Да тут уж солодовников просчитался, проверять надо и образ файла в памяти и сам файл на диске...

MC707 :: Hex пишет:
цитата:
Да тут уж солодовников просчитался


Зря ты это добавил . Он ведь так и сделает

-= ALEX =- :: Начну по-порядку: в последней версии я хучил всего-одну функцию getprocaddress в момент создания IAT для loader #3, «Если дальше будет так все развиваться то протектор будет хучить, потом мы будем у протектора хук отбирать, а потом назад ему отдавать :) » вот этой мысли я не понял, в общем по барабану.... дальше зачем call $+5 etc, чтобы узнать текущее расположение, т.е. virtual address (патч универсальный, в каких-то переменных хранятся данные, а чтобы читать из них при компиляции необходимо такая конструкция (я не в HIEW свой патч делал,а в блокноте :) чистый асм листинг)). Как убить CRC - › пересчитать его заново, солод лоханулся и проверяет «свое тело» тока на определенной длине, остается только исправить PE Header.... исправит этот баг - не проблема, т.к. можно опять же подсунуть первоначальную длину файла.... По-другому пропатчить такой «крутой» пакер НЕВОЗМОЖНО, и ни в какие строки патч не разместить.... ТОЛЬКО ТАК :)

Madness :: Hex
›и сам файл на диске...
Ну тады еще подменить createfilea (я при распаковке dll часто подменяю файл и прокатывает) и се.

-= ALEX =-
› ТОЛЬКО ТАК :)
Не будь столь категоричен :)

nice :: -= ALEX =-
У меня нод как на первой так и на этой версии орет, и блокирует доступ, на недельке посмотрю, может, что и удастся скрыть от глаз, а вообще конечно оригинальная идея, -= ALEX =- - молодчина!

-= ALEX =- ::

.::D.e.M.o.N.i.X::. ::

-= ALEX =- :: .::D.e.M.o.N.i.X::. это ты к чему ?

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Это типа тебе:)

Не в тему:
Тут сидел в форуме по KOL (объяснять, что такое я думаю не стоит:) и увидел такое:
procedure MemPatch(filename:string);
const buf:array[0..1] of byte=($00,$90); // Первый байт - хоть что, второй опкод nop'а
var
rw:cardinal;
sti:tstartupinfo;
lpPi:tprocessinformation;

begin
// Создаем процесс
if not CreateProcess(nil,PChar(filename),nil,nil,false,CR EATE_NEW_CONSOLE or
NORMAL_PRIORITY_CLASS,nil,nil,StI,lpPI) then
begin
ShowMessage('Can''t find...');
exit
end
else
while true do
if readprocessmemory(lppi.hProcess,pointer($4A1C91),@ buf[0],1,rw) // Читаем один байт по адресу 00441785
then
if buf[0]<>$0 then // Проверяем на распакованность, если не 0 - то распаковалась
begin
// Подождем, пока asprotect проверит память, иначе будет писать 'Protection Error 15'
sleep(300);
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($4A1C91), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C92), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C93), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C94), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C95), @buf[1],1,rw);
writeprocessmemory(lppi.hProcess,pointer($4A1C96), @buf[1],1,rw);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
exit;
end;
end;

Прочтите внимательно!!! -= ALEX =-
случаем не твое творение по loader’y (если ты его еще помнишь) на KOL переводят???

-= ALEX =- :: @!#$ моё творение ! без спросу так делают.... хоть бы комменты мои убрали.... так кто там собирается переводить на KOl ? :)

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Зайди на мастера и увидишь:)))

-= ALEX =- :: щас пойду поругаюсь....

-= ALEX =- :: .... это мой знакомый Igi(t) написал, так что ругаться не буду, он в моей команде был DiZER TEAm

MozgC [TSRh] :: Я вообще не в курил что за КОЛ и кто че где про че написал ? =)

-= ALEX =- :: это для дельфи.... типа кому лень на winapi писать, может воспользоваться этим, там все упрощено, в общем почитай...

Madness :: MozgC [TSRh]
delphi.mastak.ru
http://xcl.cjb.net/

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Классная штука, особенно писать патчеры, в чистом виде одна форма незапакованная весит 9 кб (+ еще релоки отрубить так вааще прелесть). Все прелести визуального программирования + любимый паскаль:)))

xZ :: Вот я никак не могу понять людей, которые пишут на пасКАЛе
Он ведь убог совсем! Взять хотя бы Си, а еще лучше асму - вот это другое дело

Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?

В стандарте паскаля так точно нельзя сделать, мож в дельфях можно?

Особенно для меня странно, когда реверсеры (которые, кажется , должны хорошо знать асму) пишут на этом Ацтое (вы только посмотрите, какой код генерируют компиляторы дельфей! )

xZ :: ЗЫ это не флейм, а так, типа просто ИМХА

Greetz flyes out to Kerghan:

Все, кого ты не спроси, программируют на Си, нынче встретишь ты едва ли тех, кто пишет на Паскале.

angel_aka_k$ :: xZ
я лично только на ассме и с++ не перевариваю

xZ :: angel_aka_k$
Большо-ой тебе респект

Асма решает, это правда

MozgC [TSRh] :: xZ пишет:
цитата:
Вот я никак не могу понять людей, которые пишут на пасКАЛе
Он ведь убог совсем! Взять хотя бы Си, а еще лучше асму - вот это другое дело


Глупость полная. Все зависит от умения программировать. Что по возможностям то не думаю что на Дельфи нельзя написать чего-то что можно на Си. Некоторые возможности в С++ реализованы удобнее, некоторые наборот. Факт в том что я видел миллион примеров огромных просто программ на Дельфи, которые могли заткнуть за пояс любую программу на Си. И вообще это глупо так сравнивать, как десткий сад - это отстой, это рулит.

MozgC [TSRh] :: Одно дело как говорит angel_aka_k$ что он С++ не переваривает. Это его мнение, его дело. Но говорить Паскаль - отстой, это выходит за рамки своего мнения и выглядит по крайней мере глупо...

xZ ::
цитата:
Это его мнение, его дело


цитата:
ЗЫ это не флейм, а так, типа просто ИМХА


цитата:
Особенно для меня странно, когда реверсеры...


Мозг, ты бы прочитал повнимательнее

Я думаю, что любой профессиональный программер согласится, что Си гораздо мощнее паскаля - см. хотя бы это:

цитата:
Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?


Я считаю, что если и спорить, то только с аргументами, так что моя идея просто такова, что Си гораздо мощнее + большой выбор компиляторов, хорошо оптимизмрующих код.

А что касается паскаля, то мне кажется, что ты должен знать (я на примере дельфей), что код там убогий.

Я провел множество времени за отладкой чужих приложений, поэтому я встречал десятки таких «перлов» у дельфей, что меня это приводило просто в состояние полного зависания

Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)

Я думаю, что ты сам много раз видел проги на дельфях и билдере, и надеюсь, что ты видел и на Си (дизассемблированный листинг). Мне кажется что этого уже достаточно, чтобы сделать выводы о качестве кода. При этом я сейчас говорю о компиляторах MS VC 6/7, далеко не самых качественных - взять хотя бы тот же Intel C Compiler или LCC32.

Я вполне понимаю, почему в инете (да и вообще) так много дельфи-программистов. Потому что большинству из них сильно не хочется напрягаться и чуточку шевелить мозг[/]ами

Действительно, зачем @#$ть мозги, когда можно просто кинуть на форму компонент - и у тебя уже готовый браузер, анимированные кнопочки и много чего еще красивого, что можно сделать за 5 минут (я не о разработке компонентов).
Это даже программированием не назовешь - видел я таких людей, которые типа все из себя такие крутые, красивые проги на дельфях делают (с помощью чужих компонентов), а на деле - не могут написать простейшую сортировку.

Опять же следует отметить, что Паскаль разрабытывался для обучения людей програраммироканию, и только.

А с точки зрения возможностей языка, то здесь Паскаль в пролете, так как отсутствует преобразование типов, нормальные классы (хотя можно говорить и об обычном Си без классов), указатели(!)[/] (ссылочный тип - полнейшее убожество).

Вот и все, что я хотел сказать. Сорри за такой длинный пост, просто наболело, так как в универе заставляют программировать именно на паскале, а асм начнется позже.

Для меня только один вопрос остается без ответа:

цитата:
Зачем люди, знающие Си, пишут на паскале?


цитата:
Глупость полная.


Ну что же, ты имеешь право на свое мнение (естественно!), но, все-таки, будь поскромнее, учитывая то, что судя по твоим постам ты имеешь не очень большой опыт программирования (сорри, если я ошибаюсь).

xZ :: эээ... ну и пост получился

xZ :: О! Как удачно! Прям только что нашел на сайте Hex’а:

цитата:
Nick: beginner [10.07.2003 ¦ 16:11:17]
sorry за оффтопик, но все же: как в си называется функция, которая получает коды символов? В дельфи вроде ord(), а в си незнаю. А то я тут кейген пишу(написал уже), и эта функция нужна очень.


xZ :: Прикольно, мой ранг заблокирован!

= 1

xZ :: Типа у этого форума глюк - первые несколько моих сообщений я писал незарегистрировавшись, а теперь он мне везде пишет ранг = 1 :))))))

___________________________________________
just test

MozgC [TSRh] :: xZ пишет:
цитата:
но, все-таки, будь поскромнее, учитывая то, что судя по твоим постам ты имеешь не очень большой опыт программирования


Можно указать конкретно по каким постам видно что я имею не очень большой опыт программирования? Я не говорю что имею большой опыт. Но все-таки?

MozgC [TSRh] :: Не смотря не все твои комментарии (их оспаривать не буду, тем более смотрю ты из тех людей что готовы спорить до потери пульса =) я скажу одно и скажу еще раз. Если смотреть конечный продукт, то есть миллион просто замечательнейших прог на Дельфи и говорить что Паскаль отстой - это глупо и необдуманно, а на фоне этого миллиона программ и необоснованно.
Это все равно что Виндовс обсирать, однако ты им пользуешься, это удобно и если его бы не было, щас бы сидели и смотрели до сих пор на синий экран виндовс коммандера.

Inferno[mteam] :: Вступлюсь за MozgC, хотя он в нем(в заступничестве), скорее всего, не нуждается...
Вот ты, xZ, задал вопросик насчет паскаля, а я тебе задам встречный
вопрос, причем на 70% уверен, что ты на него не сможешь ответить :).
Собственно вопрос:
Как в Си сделать кнопки с битмапом на них, причем кнопки должны быть расположены
на панели, ниже меню(как, например, в Internet Explorer).
Панель - CDialogBar или Rebar. В дельфи это делается мгновенно.
В си для CDialog - тоже не проблема. А для CDialogBar ? Сможешь?

nice :: xZ пишет:
цитата:
Кстати вопрос по паскалю: как обратиться к внешней (глобальной) переменной, если есть локальная с таким же именем?


А зачем тебе это? Это хороший стиль программирования? Это необходимость?
Про си есть поговорка: СИ настолько мощный язык программирования, что бесконечный цикл выполняется за 10 секунд,
а по поводу мнения проффесиональных программистов почитай: http://delphi.vitpc.com/article/language.htm

Ты сам то пробовал на LCC32 писать? Код качественный не спорю, а по гемморойности на асме проще чем на lcc32.

Есть альтернативы delphi: tmtpascal и freePascal

Тема бесконечная...

infern0 :: xZ пишет:
цитата:
Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)


а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.

-= ALEX =- :: @!#$ ну вы тут баталию устроили, тема-то какая.... создали бы отдельную тему и доказывали до усёру, какой язык программирования лучший...

.::D.e.M.o.N.i.X::. :: Вопрос мона??? А нафиг в Delphi асм есть???:))) Т.е. берете KOL+MCK и вперед на асме все писать. Все прелести визуального программирования + асм + маленькие проги. Что еще надо??? :)))

Nitrogen :: .::D.e.M.o.N.i.X::.
если знаешь асм, то зачем delphi+kol?.. берешь и пишешь все на асме под w32.. код-то еще меньше будет

-= ALEX =- :: Nitrogen я с тобой полностью согласен, я вот только недавно перешел на ASM, но уже радуюсь-ненарадуюсь :)

xZ ::
цитата:
Что по возможностям то не думаю что на Дельфи нельзя написать чего-то что можно на Си. Некоторые возможности в С++ реализованы удобнее, некоторые наборот.


Раз уж ты так написал, то скажи, что именно тебе в Си не так удобно, как в Паскале.

xZ :: infern0

цитата:
а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.


Ты уж извини конечно, но C++ Builder - это не Си, это лишь одно название, которое совершенно не подходит к содержанию. Просто люди попытались объединить красоту, компактность, наглядность, ... (здесь перечисляются все преимущества Си ) с возможностью использовать кучу компонентов Дельфей. Что из этого вышло судить вам, но как показывает пример выше

цитата:

xZ пишет:

цитата:
Самый простой пример, когда компилятор дельфей использует длинные команды вместо комбинаций коротких. (например 5 байт vs. 3)



а это не проблема делфей - это проблема багландовских компилеров вообще. Ты точно также офигеешь если посмотришь на код который генерит c++ builder.




xZ 2MozgC › ONLY ‹ Слушай, а почему ты закрыл тему Holy War?



xZ 2MozgC › ONLY ‹ Слушай, а почему ты закрыл тему Holy War?
Она кому мешала, а?

----------------------------------------------
Начал эту тему, чтобы не писать в новый ASProtect Patcher.
----------------------------------------------

#############################
! Удалить после прочтения !
#############################

-= ALEX =- :: правильно сделал, тут обсуждают вопросы по защитам программ, а не показывают, кто крутой программист и какой язык программирования лучше....




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




UnKnOwN Какой - то новый AsProtect ????? Вот рылся в инете и нарыл вот такой



UnKnOwN Какой - то новый AsProtect ????? Вот рылся в инете и нарыл вот такой новый Протектор

http://www.ultraprotect.com/

Скриншоты :

1. http://www.ultraprotect.com/image/sshot1.jpg
2. http://www.ultraprotect.com/image/sshot2.jpg

Что то он уж больно похож на настоящий.
Kerghan :: не, это не новый...это старый...
жалкая пародия на аспр

XoraX :: Хекс про нее писал на ХТИНе.... Сказал, что плагиат с аспра...

Madness :: Раньше оно так и называлось - ultraprotect, но видать не судьба была раскрутиться, и переименовались в ACProtect :)
Прикалывает меня надпись внизу страницы: ACProtector Key Words и т.д. Очень похоже на следование советам статьи типа «как сделать мою страничку посещаемой», гы.

UnKnOwN :: А кто что может сказать про вот этот ASPR

ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov

Это что и есть эта версия типа 1.3 ????

MozgC [TSRh] :: ASProtect 1.23 RC4 - последний build вроде 08.07 или 07.08
1.3 - на то и есть build 08.24




Чайник Распаковка ASProtect v1.2x (New Strain) для чайников Подскажите в какой



Чайник Распаковка ASProtect v1.2x (New Strain) для чайников Подскажите в какой статье на CrackLab описана распаковка ASProtect v1.2x (New Strain) более понятно, по шагам.
Kerghan :: http://www.xtin.km.ru/view.shtml?id=90
хотя лучше эту
http://cracklab.narod.ru/doc/nvamp.htm

GL#0M :: Kerghan пишет:
цитата:
http://www.xtin.km.ru/view.shtml?id=90


В этой статье вообще про саму распаковку ни слова...

Чайник
Прочти все статьи... http://www.xtin.km.ru/view.shtml?ind=3
Ещё здесь посмотри:
http://gl00m.fatal.ru/




MozgC [TSRh] ASProtect Patcher Начинаем тему заново.



MozgC [TSRh] ASProtect Patcher Начинаем тему заново.
В общем 1 пост сильно не по теме - предупреждение. Второй - бан.
Kerghan :: MozgC [TSRh]
походу придеться открыть новый форум «ASProtect In-line(or Out-line) by -=Alex=-»

MozgC [TSRh] :: Kerghan без обид, первое предупреждение. Я и многие другие заходят на форум и когда видят новые сообщения в теме то хотят увидеть там что-то новое ОБ ОБСУЖДАЕМОЙ ТЕМЕ, а не что-то там от косяка. Первая тема разросласб до 20 страниц. По теме там было страницы 3-4. Вторая тема моментом разрослась до 7 страниц, по теме там 1 страницы. Давайте не будем флудить тут. Если нечего сказать по теме - не говорите. На это сообщение тоже отвечать не надо.

-= ALEX =- :: Скажу по теме.... щас буду коврять прогу пакованную ASProtect 1.30, на которую мой патч не сработал. При быстром осмотре узнал, что mapviewoffile не вызывается :( поэтому пишет «corrupt file etc»

MozgC [TSRh] :: Может новый какой-то аспр? Как называется прога на которой не сработал ? Насчет corrupt file тоже самое было и с ProxyInspector но в принципе тогда дело было в mapviewoffile а тут ты говоришь что он не вызывается... странно я ни разу не видел чтобы в аспре не вызывалась mapviewoffile, Аспров 1.30 я только 3 смотрел, но там работало....

mnalex :: Я предыдущие форумы читал бегло и не все, из-за флуда. Вопрос. Насколько я понял этот патчер ломает AsProtect 1.2 1.3 и т.п. А как насчет 1.2х ? Его он берёт?

Kerghan :: mnalex
да

-= ALEX =- :: а не проще проверить ? я думаю что должно, т.к. принцип остался тот же...

-= ALEX =- :: MozgC [TSRh] В том то и дело, что нету там MapViewOfFile.... у меня вообще бряки в последнее время не срабатывают :( но дело в том, что при создании IAT для loader#3, там в списках MapViewOfFile нету :) Но зато подозрительные ReadFile, SetFilePointer etc, короче будет время я еще посмотрю...

F :: Может ктонибудь это чудо кинуть на мыло =) а то я из прошлых постов так линк и не мог найти на патчер
f4y@mail.ru

MozgC [TSRh] :: -= ALEX =- кинь и мне плиз, надо пропатчить ProxyInspector, а патчер твой че-то не могу найти у себя, хоть и помню что качал. Или давайте мне я выложу на tsrh.crackz.ws.

UnKnOwN :: у меня лежит http://www.unknown-ua.nm.ru/apnew.rar 28 кб.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Может новый какой-то аспр?


это тот по который я говорил тот про который пишу :)

-= ALEX =- :: angel_aka_k$ Расскажи в чем особенность этого АСПра...

-= ALEX =- :: Давайте подумай над названием моей тулзы... Обновил патчер, сделал поддержку тем XP... спасибо DeMoNiX’у ;)

-= ALEX =- :: ... мне тут syd прислал полностью ту прогу, на которой мой патчер не сработал.... щас буду ковырять

angel_aka_k$ :: -= ALEX =-
короче 3 апи поковерканы так что их просто не узнать весь прикол в том что допустим getprocaddress возращает адрес апи допустим getmodulehandlea а последущая процедура смещает этот адрес так что получается getprocaddress !!! это я например написал так как щас точно не помню с какой апи смещение до getproc идет что еще нового короче все мы знаем что есть набор jmp ов которые указывают на iat offset пример jmp (iat offset ) ну а в IAT offset сами знаете что так вот после аспра получается call/jmp (aspr ) !!!! IAT offset вообще нету еще из нового теперь на начало апи бряк не поставишь (аспр палит) исковеркан инит ехе тоесть все мы не раз видели такую картину :
push ebp
mov ebp,esp
......
первый call
xor eax,eax
а в первом call :
push ebx
mov ebx,eax
.......
call getmodule
mov eax,[xxxxxxxx]
........
call куда то
....
call на инит а в нем цикл где из определенного адреса берутся адреса для прыжков на дальнейшию иницилизацию так вот после аспра такая картина

мусор
xor eax,eax
:) это не все там где был getmoule такая картина
мусор
mov eax,[xxxxxxxx]
........
call куда то
......
call на инит а в нем все тот же цикл только он не работает !!!! так как в eax заносится не адрес проги а адрес аспра а в нем аспровый цикл те кто ковырял 1.23 RC3 то узнают его те кто не ковырял просто изучите процедуру на которую мы попадаем при bpm esp-24 и сразу поймете. вобщем в цикле на инит расшифровываются адреса проги тоесть в eax попадает зашифрованный адрес потом он смещается делится и в итоге в eax попадает нормальный адрес проги и аспр кидает прогу на него потом возврат идет опять на цикл и поновой расшифровываем адрес и опять прыжок и т.д. ( в 1.23 это было зделано для того чтобы спрятать mov eax,xxxxxx подсказка xxxxxx расшифровывается 1 раз !!! ) так это что касается инита что еще нового ? да помему нечего защиту от айса я не ковырял так как iceext спасет SEH вообще не встретил может они где то и есть но я не думаю что они стали другие ( xor eax,[eax] ) проверки на sice 2 одна на exeption ведет вторая где то в глубинах что то с памятью я просто другим способом это дело обошел вроде все если что то упустил то не значительное если не понятно обьяснил то ждем нашу статью ( я & MozgC ) задержка в написание произошла из за армадилы 3.40 я тут два дня в ней разбирался и распоковал саму её и прогу ей пожатую :))))) полностью разобрался в ней интересный криптор особенно наномиты класно аргонизованны мне понравилось

-= ALEX =- :: Короче я нашел способ пропатчить этот «новый» аспр.... только пока такие проги «редкость»

UnKnOwN :: Re: -= ALEX =-

Напиши чё за прога просто интересно чё за новый aspr....

Небось уже 1.4 дядя Солод выпустил ???

-= ALEX =- :: прогу наверное не получиться показать, т.к. она авторская, syd ее сделал... вот он ее запаковал каким-то 1.30 аспром, там по-другому идет проверка CRC, т.е. полиморфным кодом генерятся адреса апи (MapViewOfFileA,CreateFileMappingA,GetModuleFileNa meW)...

angel_aka_k$ :: -= ALEX =-
для меня лично проще распаковать этот аспр и не парится тем более что распаковка занимает максимум 30 минут ( с IAT долго возится ) а потом файл без пролем можно ломать при чем как обычно триал отпадает сам так что это луче чем пачить его :) а нащет генерации апи я же говорил что наверняка что то забыл я видел эту генерацию :))))))))) просто забыл упомянуть о ней так как подругому обошел это :) и как то не заморачивался нащет crc хз не смотрел мне оно не надо я все что нужно зделал в памяти jmp [iat offset] получил и секцию с адресами апи и все мне собственно для анпака не чего больше и не добыло поэтому crc я не смотрел :))))))))))

MozgC [TSRh] :: angel_aka_k$
А по-моему за алексовым патчером ближайшее будущее. У меня подозрение что такими тесмпами аспр скоро станет одним из самых геморных протекторов и распаковать его будет долго и не просто... Уже щас видно как он вживается в дельфи программы. У меня плохое предчувствие что через какое-то время аспр и программа будут как одно целое...

Madness :: MozgC [TSRh]
›через какое-то время аспр и программа будут как одно целое...
И борланды встроят его в компиллер...

MozgC [TSRh] :: Madness пишет:
цитата:
И борланды встроят его в компиллер...


Лол, реально =)

angel_aka_k$ :: MozgC [TSRh]
ну тыж мня знаешь я не ищу легких путей :)

MozgC [TSRh] :: Да я тоже патчером воспользовался пока только один раз для ProxyInspector’a, другое дело когда в упор не можешь распаковать или в будущем когда возможно это будет проблемой... Вот тогда на помощь и будет приходить патчер. Тем более патчер - более чистый способ, вместо того чтобы релизить например 1-2Мб cracked.exe можно зарелизить 20Кб патчик - удобно.

-= ALEX =- :: сделать патчер не проблема. я и этот новый аспр пропатчил, дело в подходе к реализации... так что кому распаковать легче, а кому и пропатчить :)

mnalex :: 1 Делаю:
aspr_patcher.exe -› AtClock.exe (PEid -› ASProtect 1.23 RC4 Registered)
2 Результат:
AtClock.exe (PEid -› ASPack / ASProtect x.xx -› Alexey Solodovnikov)
Старт -› Вылет :(
W32Dasm (Ver 8.93++) -› Вылет :(
??? Вот из дыс ???

Хренотень - тень отбрасываемая хреном на что либо :)...

MozgC [TSRh] :: Какая версия ATCLock?

Kerghan :: mnalex
кажется было что-то подобное вроде с ArtCursor

MozgC [TSRh] :: -= ALEX =-
Действительно при патче ATClock v 1.1 build 120 возникает ошибка, точнее не при патче, а при попытке запустить пропатченный файл. Если надо могу кинуть AtClock.

-= ALEX =- :: посмотрим...

-= ALEX =- :: патч мой работает нормально, дело в самой проге, он просто берет и закрывается :(

-= ALEX =- :: ATClock v 1.1 build 120 мож кто поковыряет, мне эта прога понравилась, но что-то вылетает она. Тестируйте вместе с моим патчем...

MozgC [TSRh] :: -= ALEX =- пишет:
цитата:
Тестируйте вместе с моим патчем...


Используй вместе с моим крэком =)

Madness :: -= ALEX =-
Возможно размер проверяет (и там не дураки сидят)...

-= ALEX =- :: да вроде размер не проверяет, там что-то вылетает при апи аспра, или я туплю ?

UnKnOwN :: -= ALEX =- пишет:
цитата:
ATClock v 1.1 build 120


а, где можна взять ???

Дайте ссылку, если не влом...

-= ALEX =- :: короче там проверка стояла по адресу 00542074, там надо поставить EB... Щас буду с регистрацией разбираться




Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb)....



Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb). Peid пишет «ASProtect 1.23 RC4 Demo». Перед переходом на OEP есть команда «REP STOS BYTE ...» , если это выполнение краденых байт, то как их найти.

PS: Stripper’ом не распаковывается.
Madness :: Mario555
Скорее это затирание этих самых байт.

angel_aka_k$ :: Mario555
push ebp
mov ebp,esp
sub esp,0c
mov eax,00413120
OEP 004131e8
IATRVA=00418000
IATSIZE=00000500

Mario555 :: angel_aka_k$

IATRVA=004180c8
IATSIZE=000003b8

Дык откуда байты то взялись (как найти ?).

OEP 004131e8 ??? - это почему.

Я вписал эти байты, поставил OEP 004131e8, но дамп всё равно виснет.

MozgC [TSRh] :: Ставлю на Angel_aka_k$ =)

angel_aka_k$ :: MozgC [TSRh]
:)))))
Mario555
хочешь узнать откуда байты хорошо no problemmmm
bpx mapviewoffile
2 срабатывание в теле аспра
ф11
bpm 0012ffa0 ( аля esp-24)
и изучаем дешифратор адресов а там глядишь и байты найдутся
и вопросы отпадут
а зависание хехе ты IAT востановил ??? LOL
P.S. файл распаковывается за 2 минуты

Mario555 :: angel_aka_k$ пишет:
цитата:
дешифратор адресов


Это куча «живого кода» ? Ты в статье о «antivirus stop 5» не стал описывать как найти адреса (а жаль, что не стал). Я ваще не понимаю как там можно что-то найти.

angel_aka_k$ пишет:
цитата:
IAT востановил ???


Делал так:

Call c32f00
Call c3313c ‹----- занопил
Mov EDX, [EDI]
Mov [EDX], EAX

Там EDX = 4180c8,
Потом f 4180cc l 1000 0,
После цикла создания Iat вернул на место Call c3313c, и сдампил после Call [eax].

Где ошибся?

Дык где дампить-то надо, после Call [eax], или перед getmodulehandle (как antivirus stop 5) ?

MozgC [TSRh] :: Дампить можно где угодно, можешь на начале спертых байт, можешь перед прыжком на спертый колл.
В частных случаях дампять после создания импорта и проверки CRС...
Если дампишь после создания импорта то надо дампить не после call [eax] а после выхода из этой процедуры, в которой находится call [eax].
Там же так
jmp вверх
popad
call xxx ‹-- тут внутри сех и call [eax]
...... ‹--- А тут дампишь.

Но так дампят - только когда дамп не работает (если его сдампили на оеп) в остальных случаях надо дампить на ОЕП. Я обычно дампил на рете в конце мусора.

Mario555 :: Sorry, я просто статью не до конца дочитал, и полез спрашивать.

Как искать адреса всё равно не понял (особенно как их в куче мусора за 2 минуты найти...).

MozgC [TSRh] :: Mario555 для дельфи прог можно особо не искать. Прочитай статью Hex’a «новые варианты». Там он описывает как найти эти спизженные байты для дельфи прог. Работает в 3х случаях из 4х. Для этого случая тоже. Так что прочитай и поймешь.

angel_aka_k$ :: IMHO проще 1 раз понять этот дешифратор чем обламыватся 1 раз из 4
Mario555
разбери код на который ты попадаешь при bpm 0012ffa0 и сразу все поймешь там спертые байты кстате в статье о stop я писал как найти последний байт так что внимательней !!!!
вобщем дамп снимай на getmodulehandlea
потом импорт надо востанавливать !!! а не просто сдампить и пытатся заставить прогу работать короче после занупивания цикли прогу и востанавливай импорт не пугайся там будет много мусора ты просто среди него найди адресса аспра и отресолвь их остальное showinvalid и сute fink’s и все если зделаешь все правильно файл будет работать

Mario555 :: angel_aka_k$ пишет:
цитата:
востанавливай импорт


С импортом всё было OK, висло на Call Dword ptr xxxxxx (в дампе xxxxxx было 000000) , в оригинальной проге в xxxxxx было 407b28, поменял Call Dword ptr xxxxxx на Call 407b28 и прога запустилась.

Пытаюсь распаковать подобные проги, чё то пока не получается. Хоть версия аспра и одна, а всё по разному.

angel_aka_k$ :: Mario555
не знаю че ты там на косячил у меня все ок запускается без правки dword

MozgC [TSRh] :: angel_aka_k$
Я так понял он дампил после создания импорта, когда еще API аспра не выполнились и не выбрали способ запуска программы, т.е. не записали адрес дальнейшего выполнения в ту ячейку.

angel_aka_k$ :: MozgC [TSRh]
наверно :) хз его трудности я посмотрю на него кода он чуток посложнее прогу возьмет :)

Mario555 :: angel_aka_k$ пишет:
цитата:
я посмотрю на него кода он чуток посложнее прогу возьмет


??? Я и с этой-то, как видишь, справиться не мог. И распаковывать ёще только учусь.

angel_aka_k$ :: Mario555
я тебе даю понять что ты не научишся распаковывать до тех пор пока не начнешь вникать в то что делает критор/пакер/протектор !!!! разбирайся !!!!! изучи дешифратор изучи посторение переходников и жизнь твоя станет легче !!!!

Mario555 :: У меня опять проблемка: ftp://listsoft.ru/pub/8431/artefactsetup.zip (3,5 MB), какой-то словарь-переводчик. Тот же ASPR, распаковался вроде нормально. При запуске дампа появляется наг, а при нажатии на «продолжить» прога висла (примерно так же, как в статье о «antivirus stop 5» ), потом висла ещё где-то (не помню адрес); если это всё подправить, то она запускается (можно открыть MainScreen), но при нажатии на любой пункт меню (на иконке в трее), опять падает.

OEP: 00047B24

push ebp
mov ebp, esp
mov ecx, 00000016

PS: Если я криво распаковал, то почему она запускается ?

PPS: Архив с EXE и Dll весит 280 кб.

angel_aka_k$ :: Mario555
хехе это апи аспра !!! так что смотри как в оригенале читай статьи и глядишь получится :)

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
PS: Stripper’ом не распаковывается


Stripper 2.07 берет даже Aspr 1.3:)))

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. \
У меня стриппер 2.07 даже инит не восстанавливает, не то распаковать нормально...




Verb The Mop! Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2 (вот...



Verb The Mop! Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2 (вот где она лежит http://www.softlinks.ru/files/f6399.php). Хотел попробовать крякнуть, да эта прога не в ладах с SoftIce-ом (да и познаний в данной области мало – крякнул пару прог и все тут). Заранее огромное спасибо.
Noble Ghost :: Не по адресу, однако...

Vlad :: Ребята пожалуйста помогите найти кряк на The Mop v.2.03.2
-------------------------------------------------- -------------------------------------------------- -----------
Зайди на www.yandex.ru или ещё куда нибудь и напиши типа «crack The Mop v.2.03.2» или просто «crack The Mop». Если помочь разобраться то другой разговор.
P.S.Посмотрю че за прога все таки.

Verb Re: Vlad :: Пробовал я искать на Яндексе, Гугле, Апорте, выдаются ссылки на более ранние версии.
Помогите разобраться.

Verb Re: Vlad :: Пробовал я искать на Яндексе, Гугле, Апорте, выдаются ссылки на более ранние версии.
Помогите разобраться.

Vlad :: @!#$ запакована да ище и SVKP 1.3x

Verb Re: Vlad :: Её хоть можно крякнуть?

Mario555 :: SVKP 1.3x ... им Tweak XP запакован ...
Статья о SVKP: http://www.xtin.km.ru/view.shtml?id=39

Vlad :: Её хоть можно крякнуть?
-------------------------------------------------- -------------------------------------------------- ---------------------------
Конечно. (Глупый вопрос )
Ну вот и вроде все. Прога взломана!

Vlad :: Verb, а мыло есть ? Так и быть скину тебе.
Иструкции:
Распаковываешь в дирректорию с программой и запускаешь Patch.exe все, патч больше не нужен.

Verb Re: Vlad :: Вот моё мыло ecko@e-mail.ru
Огромное тебе спасибо за оказанную помощь.............

MozgC [TSRh] :: Vlad
Ты ее распаковал? Я просто слышал что SVKP не так легко распаковать. Сам не пробовал...

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да сейчас и плагинов для импрека туеву хучу наделали, так что без проблем. Плюс то что не хочет дампить ProcDump и LordPE прекрасно сдампил PE Tools. Могу даже антидампер показать - все обламываются, а PE Tools каким-то образом дампит и получается работающий файлик:)

Vlad :: Распаковать я её не смог (мозгов пока не хватает ). Я сделал так:
1) запустил и сдампил
2) натравил на неё win32dasm
3) зашел в String Data References и нашел там типа вы ввели не правильный ключ, щелкнулся и оказался на этом сообщении
4) посмотрел и увидел много интересног например (keycheck и т.д.)
5) исправил jmp - ы
6) и сделал in-line patch в exe (времени не было и решил использовать DZA)
P.S. Вобщем потребовлось ну 5 минут.

-= ALEX =- :: Vlad я б тоже так и сделал, не люблю долго копаться в прогах...

Vlad :: PE Tools каким-то образом дампит и получается работающий файлик
-------------------------------------------------- -------------------------------------------------- ------------------------------
Надо попробовать. Первый раз слышу!
-------------------------------------------------- -------------------------------------------------- ------------------------------
Я просто слышал что SVKP не так легко распаковать.
-------------------------------------------------- -------------------------------------------------- ------------------------------
Я с тобой согласен.
P.S. Я заметил, что проги запакованные ASProtect, SVKP и т.д. Легко взломать главное их распаковать. Или 1)запустить и сдампить 2) Win32Dasm (кому как) 3) in-line patch 4) кому лень, можно использовать DZA

-= ALEX =- :: Vlad я б тоже так и сделал, не люблю долго копаться в прогах...

Runtime_err0r :: Vlad

цитата:
6) и сделал in-line patch в exe (времени не было и решил использовать DZA)


Странно какую версию DZA ты юзал ? просто я тоже пытался её запатчить, но в SoftICE правлю - всё нормально, а лоадер сделать или inline patch ну никак не получается

Vlad ::
цитата:

Странно какую версию DZA ты юзал ? просто я тоже пытался её запатчить, но в SoftICE правлю - всё нормально, а лоадер сделать или inline patch ну никак не получается



DZA patcher 1.3
Вот ссылка если надо: DeMoNix ReVeRsInG PoRtAl

Verb Re: Vlad :: Принял твое сообщение только без патча. У меня на компе почтовик «The Bat!», возможно это из-за него так вышло. Показывает что получил сообщение размером в 1кб.
Пожалуйста пришли письмо с патчем заного на мое мыло ecko@e-mail.ru
Попробую со страницы почтового сервака загрузить (раньше с нее все загружал).
Заранее огромное тебе спасибо Vlad....

Runtime_err0r :: Vlad
Странно ... у меня нефига не патчится
скинь мне плиз свой патчик на vmu @ newmail.ru я хоть на него посмотрю ...
Кстати, я этот Mop ещё полгода назад ломал (он тогда был запакован UPX’ом + y0da crypter), так вот он лечится заменой 1 байта только вот я его из-за этого SVKP никак заменить не могу ...

P.S. А чего это у меня счётчик постов сбился ???

-= ALEX =- :: да ваще глюки с счетчиком рангов.... админ поди по пьяни намутил :) шутка

Runtime_err0r :: Vlad
Чё-то у меня твой патч не прокатил
Файл пропатчился, но зарегистрированным от этого не стал ... видимо, придётся распаковывать ...

Kerghan :: Runtime_err0r
это точно

Vlad
че-то слишком много неудачных попыток.........странно как-то это

Vlad ::
цитата:

Чё-то у меня твой патч не прокатил
Файл пропатчился, но зарегистрированным от этого не стал ... видимо, придётся распаковывать ...



Не ху... не пойму, я заново закачал прогу и пропатчил её и всё ОК .

Vlad :: @!#$ ... меня эта прога:
1) она мне нах... не нужна
2) времени нет, оценки в школе надо исправлять
P.S. все таки DZA ее патчит

-= ALEX =- :: Что такая уж интересная прогамма ? пропатчить не можете ? или смогли уже...
Vlad тоже ученик что-ли :)

Vlad :: Программа гавно. Даже попытаться распаковывать её не очень охота. Я лучше за WinAmp 5 Pro буда ща ломать.

Verb Re: Vlad :: Все ок! прога пропатчилась......




Patron ASProtect 1.23 RC4 Demo- Помогите с ним справиться! ASProtect 1.23 RC4



Patron ASProtect 1.23 RC4 Demo- Помогите с ним справиться! ASProtect 1.23 RC4 Demo - им защищена программа 3wGet v1.41 build 132.
Помогите с распаковкой!
shmel73@mail.ru
Mario555 :: Patron пишет:
цитата:
им защищена программа 3wGet


Им до ху* прог защищено...

angel_aka_k$ :: LOL

test :: уже другой 3wGet v1.41 build 132 - ASProtect 1.23 RC4 - 1.3.08.24




Fiodor Club Timer 2.41 Что не так? Стрвница www.ctimer.ru



Fiodor Club Timer 2.41 Что не так? Стрвница www.ctimer.ru
Размер - 2.06 мб

Все делаю по рекомендациям HEX - по call 404408 идем на call 40С874
прыгаем на 40С874, меняем 40с896 740A на 750A
далее 40CA40 740A меняем на 750A
Прога должна быть зарегестрирована, но... через 15 секунд она, без лишних слов,
закрывается. В чем грабли?

MozgC [TSRh] :: Возможно есть проверка по таймеру и она «палит» что ее пропатчили.
Попробуй вот что:
1) Попробуй не патчить файл, а пропатчить в памяти, чтобы отсечь проверку файла на диске.
2) Если проверка все-таки в памяти, то попробуй поставить «bpm xxxx» на адрес по которому ты пропатчил переход
3) Поставь брейкпоинт на SetTimer. Одним из параметров этой функции задается задержка в милисекундах. Если брейкпоинт сработает, то посмотри, может там как раз 15000 мс задается и когда таймер срабатывает то прога выходит.
4) Поставь брейкпоинт на ExitProcess и если он сработает при выходе проги, то с помощью постепенных установок «bpm addr x» и использования LastBranchFromIP, LastBranchToIp попробуй найти место от которого прога начинает идти на выход и узнать причину

PS. Привыкай когда патчить не инвертировать переход а менять его на безусловный, либо нопить.
PPS. Высказал только предположения так как прогу посмотреть не могу - мало инета совсем в последнее время.

Fiodor :: Все делал, как рекомендовано - результат=0
Видно, прога хитрее меня...

HeBe3yXa :: Хакер из меня никудышний :(, но вот какие мысли приходят...
Почитай, что тебе админ в логе пишет: «Некорректная версия сервера»
Скорее всего, Василий встроил дополнительную проверку на взлом...
Судя по всему по контрольной сумме...
Теперь бы найти вот где, а админе или в самом сервере.

MozgC [TSRh] :: Angel_aka_k$ вроде уже его доломал.

HeBe3yXa :: Дык пусть подскажет хоть, куды копать ;)

-= ALEX =- :: Fiodor я б ни подумал, что HEX рекомендовал тебе менять опкоды условных jmp’ов на противоположные

HeBe3yXa :: -= ALEX =- пишет:
цитата:
Fiodor я б ни подумал, что HEX рекомендовал тебе менять опкоды условных jmp’ов на противоположные


НЕХ рекомендовал ПОМЕНЯТЬ :))) на что менять рекомендаций не было :))
В данном случае это не принципиально.... Кроме того это замечание уже высказывалось MozgC [TSRh]
я менял на безусловные в одном месте, и на НОПы в другом, правда я пошел немного другим путем...
а вот проверку CRC пока не могу найти :(((

-= ALEX =- :: ну тогда надо трассировать и еще раз трассировать, трассируешь поочередно нормальную прогу и пропатченную, и находишь места потихоньку где и стоит проверочка. Муторно, но должно точно работать...

HeBe3yXa :: :((( удрученно повесив голову пошел трассировать ....

mnalex :: HeBe3yXa
Скоро вернется с Гордо поднятой :)) ... И скажет Трасса е 95 :))

Fiodor :: Да, сломал я ее, правда, так криво, что самому противно.
Но - работает, падла :)))

-= ALEX =- :: Fiodor Молодец !

Fiodor :: -= ALEX =-
Спасибо.
Но попутно, замечу, что, если в проге идет проверка СRС, то менять условный переход на безусловный - чревато... всяко jmp длиннее jne.

-= ALEX =- :: смотря какой jmp, бывает короткий и длинный, если стоит что-то типа 0x74XX или 0x75XX, то заменив первый байт на EB, получите короткий прыжок, так же дело обстоит и с длинными прыжками, так что все равноценно правиться, ни байта больше ни меньше...

-= ALEX =- :: учитесь, и еще раз учитесь !

Kerghan :: Fiodor

цитата:
всяко jmp длиннее jne


никогда бы не подумал, что возикнет такой вопрос
хочу заметить, что после каждого je/jne стоит код... а я за свою практику ни разу не встречал, чтобы этот код был короче 3 байт. А при затирании, этого кода как известно ничего не менятся

MozgC [TSRh] :: Fiodor пишет:
цитата:
о попутно, замечу, что, если в проге идет проверка СRС, то менять условный переход на безусловный - чревато... всяко jmp длиннее jne.


Неправда. Во-первых на безусловный или на противоположный - все равно CRC это увидит. Во-вторых я не понял при чем тут длина перехода?

Fiodor :: MozgC [TSRh]
[q]не понял при чем тут длина перехода[/q]
я имел ввиду длину в числовом выражении
7473 jne
EB7300 jmp

MozgC [TSRh] :: 74 73 - jne
eb 73 - jmp
any questions?

Fiodor :: MozgC [TSRh]
Ну, я кракер начинающий (относительно), до многого приходится доходить своим умом, в окружении - одни гуманитарии, которые у компьютера знают только одну, большую, красивую, круглую кнопку :). Спросить не у кого...
Раз пошла такая пьянка, два вопроса:
1. Я взломал эту прогу, загнав счетчик секунд до умирания в бесконечный цикл (jmp в зад). Это корректно? Процессор, вроде, не загружен.
2. Так и не понял, как в S-Ice сделать процесс текущим (sorry!)
В окне софтайса вижу список процессов примерно такого вида:
obj #### add ####:####### mod= progatakayato
делаю, как у вас написано addr progatakayato - говорит invalid и чего бы не вводил в этот addr все равно ругвет invalid handle. Как надо вводить правильно?
S-Ice rip из Driver Studio
Спасибо за помощь!!!

MozgC [TSRh] :: Fiodor пишет:
цитата:
1. Я взломал эту прогу, загнав счетчик секунд до умирания в бесконечный цикл (jmp в зад). Это корректно? Процессор, вроде, не загружен.


Нет, некорректно.

Fiodor пишет:
цитата:
2. Так и не понял, как в S-Ice сделать процесс текущим (sorry!)


addr programname типа addr opera или addr totalcmd

Fiodor :: MozgC [TSRh]

«addr programname типа addr opera или addr totalcmd »
Не срабатывает такая команда, говорит invalid handle

MozgC [TSRh] :: Ну хз.. можно вешаться =) Кстати если я неправильное имя ввожу типа addr %^$*&%$^ то пишет No Context Found но не Invalid handle...

Fiodor :: Точнее сказать: Invalid Context Handle
заявляет мне она :-(
Веревку намылил

-= ALEX =- :: пригодовся вешаться....

angel_aka_k$ :: LOL

angel_aka_k$ :: делаем так addr
смотрим че он там нам дал в конце гдето ищем нашу поопытную смотрим ее PID допустим 0010 значит в sice пишем addr 0010

HeBe3yXa :: angel_aka_k$
ты ж ее уже поломал вроде.... подскажи новичкам, намекни хоть.
Она точно проверку СРС делает?
Где? в админе или в сервере? (по-моему в админе..)

Fiodor :: HeBe3yXa
В админе...

HeBe3yXa :: Fiodor
ты по SetTimer поймал ?

Fiodor :: HeBe3yXa
По SetTimer ловить трудно, т.к. он вызывается сразу из обеих частей проги: и админа и сервера. Задача админа: закрыть окно программы, задача сервера: разорвать связь с клиентом. Первым делом, думаем: раз окно исчезает, нет ли тут DestroyWindow?...

HeBe3yXa :: Короче я понял, реверсера из меня не выдет :((( стар, наверное, чтоб чему-то новому учиться :)))
Одним словом, так у меня ничего и не получилось :(((

MozgC [TSRh] :: HeBe3yXa
А может ты просто рано губу на ClubTimer раскатал ?

Fiodor :: HeBe3yXa пишет:
цитата:
Короче я понял, реверсера из меня не выдет :((( стар, наверное, чтоб чему-то новому учиться :)))
Одним словом, так у меня ничего и не получилось :(((


Не смеши, старее меня здесь, один хрен, никого нет... Я два года назад впервые в жизни компьютер увидел.
И не сдаюсь, пытаюсь чего-то новое узнать. Вот Ассемблер изучаю :)))
Пиши chirurg[ сабак ]pochtamt.ru - подскажу, чего смогу.
Заодно, просьба к Angel_aka_k$ -если не трудно, отпиши в тот же адрес, твой способ взлома. Мне эта программа на хрен не нужна, хочу учиться. Взамен отпишу свой - если надо (что вряд ли...). Больно уж он у меня убогий. НО все работает!
Даже статистика ведется
...наполняясь гордостью...
А то на какой кракерский форум не зайдешь и чего не спросишь - в ответ растопыренные пальцы: да мы вручную ASProtect за 6 сек снимаем, а ты со своим г-ном лезешь. Ну, все крутые донельзя, только почти никакой реальной работы не видно. Я вот сейчас валенком прикинусь и орать начну, что я, да мы, да... Ну, и чего толку?
В моем селе слово «API-функции» прозвучит как матерок или издевательство над честными крестьянами :)
У кого ж спрашивать-то? У попа в церкви что ли?

-= ALEX =- :: спроси у меня, я такой же как вы начинающий...

MC707 Re: -= ALEX =- :: ну-ну
писец ты ваще. Люди по нормальному спршивают, а он мля типа такой крутой, патчер сделал и все. А реально помочь товарищам зачем? Глупый вопрос.
Без обид только, это не только тебя касается.

-= ALEX =- :: дак ты спроси реально что тебе надо...

-= ALEX =- :: все базовые знания можно прочитать на сайте cracklab. Лень - это уже другое дело... щас скачаю прогу эту и посмотрю, может действительно там хорошая защита и для начинающего она пока не пойдет...

Fiodor :: -= ALEX =-
Я не конкретно к данному форуму, к данному форуму претензий нет, здесь мне реально помогли. Я вообще, о взаимопомощи. Все, что здесь (и не только) есть , я прочитал и применил. Иначе бы и не писал.
MC707
Честно говоря, ничего не понял... Если кого обидел - прошу прощения :(((

Kerghan :: MC707

цитата:
это не только тебя касается


да чего там, всех бы перечислил.
а то некоторые еще подумают, что они здесь кому-то помогают

-= ALEX =- :: ладно, я так думаю тема уже закрыта. Я так и не смог у себя запустить сиё чудо, а у друга по локалке ваше при запуске каждом комп зависал :)

MozgC [TSRh] :: Тему закрываю а то какая-то лажа пошла. Кто не сломал тот не успел.




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23



vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL




Новенький Экранные заставки от Подскажите, если кто знает как можно



Новенький Экранные заставки от Подскажите, если кто знает как можно зарегистрировать Screen Savers от 3Planesoft. Уж больно они красивые, а за красоту платить пока не хочется.
Заранее спасибо.

Я там ставил и бряки на setwindowtexta и в дизассемблере но пока ниче не сделал ... Скачать их можно с http://www.3planesoft.com

Aragon :: А ты снял?
ASProtect 1.23 RC4 Registered -› Alexey Solodovnikov
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
самое интересное что от Registered я не могу спрятать SoftIce не помогает
ни IceDump, ни FrogIce.

-= ALEX =- :: Aragon Переходи на XP. И вообще я думаю, что там не супер генерация серийника, берешь в сайсе и находишь свой серийник, не надо даже распаковывать файл...

-= ALEX =- :: Новенький зайди на www.kpnemo.ru там скачаешь два кряка...

Новенький :: Спасибо за то что сказали где есть кряки - но на кпнемо тока два кряка - для хэлувина и еще для одной заставвки, а остальные то как ломать?

-= ALEX =- :: не знаю, я не скачиваю, т.к. размер для меня слишком большой :((

Mario555 :: У меня есть какая-то версия Nautilus 3D Screensaver, там аспр попроще (ASProtect 1.22 - 1.23 Beta 21).
Но не понятно, как ломать после распаковки...




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться...



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




Новенький Экранные заставки от Подскажите, если кто знает как можно...



Новенький Экранные заставки от Подскажите, если кто знает как можно зарегистрировать Screen Savers от 3Planesoft. Уж больно они красивые, а за красоту платить пока не хочется.
Заранее спасибо.

Я там ставил и бряки на setwindowtexta и в дизассемблере но пока ниче не сделал ... Скачать их можно с http://www.3planesoft.com

Aragon :: А ты снял?
ASProtect 1.23 RC4 Registered -› Alexey Solodovnikov
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
самое интересное что от Registered я не могу спрятать SoftIce не помогает
ни IceDump, ни FrogIce.

-= ALEX =- :: Aragon Переходи на XP. И вообще я думаю, что там не супер генерация серийника, берешь в сайсе и находишь свой серийник, не надо даже распаковывать файл...

-= ALEX =- :: Новенький зайди на www.kpnemo.ru там скачаешь два кряка...

Новенький :: Спасибо за то что сказали где есть кряки - но на кпнемо тока два кряка - для хэлувина и еще для одной заставвки, а остальные то как ломать?

-= ALEX =- :: не знаю, я не скачиваю, т.к. размер для меня слишком большой :((

Mario555 :: У меня есть какая-то версия Nautilus 3D Screensaver, там аспр попроще (ASProtect 1.22 - 1.23 Beta 21).
Но не понятно, как ломать после распаковки...




TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль...



TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль нет... но я задался вопросом, как обойти (новую?) фишку аспра...
У меня 98SE... вот, и стандартный iceDump да и сам сайс тоже... никогда не обнаруживали...а сейчас, какая-то прожка мне заявляет, что типа нельзя с отладчиком, а на запуск айсдампа, ни как не реагирует... словно и не запускал :(... чего ж мне делать то не знаю... я просто 3 месяца в онлайне небыл... вот и потерялся...(хотя до этого я полгода не занимался взломом :))) вот поможите если что?




TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль...



TankMan Я тут из Тайги пришел...(asprotect) Не знаю, актуальна тема еще иль нет... но я задался вопросом, как обойти (новую?) фишку аспра...
У меня 98SE... вот, и стандартный iceDump да и сам сайс тоже... никогда не обнаруживали...а сейчас, какая-то прожка мне заявляет, что типа нельзя с отладчиком, а на запуск айсдампа, ни как не реагирует... словно и не запускал :(... чего ж мне делать то не знаю... я просто 3 месяца в онлайне небыл... вот и потерялся...(хотя до этого я полгода не занимался взломом :))) вот поможите если что?
MozgC [TSRh] :: Скачай ASLoad или переходи на WinXP + IceExt а имхо каждый раз вручную ловить и править это геморой




vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23...



vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL

Madness :: angel_aka_k$
›ты видно с дельфи прогами не часто встречался :)
А хто это? :LOL:

›поэтому это getversionexa !!
аспр(до 1.3) не трогает getversionexa, а только getversion.

99% MozgC [TSRh] правильно говорит.
Для 100% нужен список импорта что есть (только для проги на delphi).

-= ALEX =- :: я согласен с Madness и MozgC [TSRh] !!!

angel_aka_k$ :: иде лана уговорили просто если вставить getversionexa то будет пахать я проверял ;) так что тут уже дело принципа ставить freeresource или getversionexa так как в обоих случаях прога пашет нормально

Mario555 :: Насколько можно доверять плагину ?
Есть ли вероятность, что он неправильно определит функцию (вместо того чтобы оставить её неопределённой).

MozgC [TSRh] :: Канешна есть =)

Mario555 :: MozgC [TSRh] пишет:
цитата:
Канешна есть =)


Как тогда найти неправильно определённую функцию среди правильных (кроме как определять все вручную) ?
Плагин ошибается на какой-то определённой функции, или ошибка равновероятна с любой ?

MozgC [TSRh] :: Посоветую 2 способа:
1) Учиться определять функции вручную
2) Учиться делать так, чтобы аспротект заполнял таблицу импорта адресами реальных апи.

Не посоветую:
Пользоваться плагинами и т.д.

Что насчет ошибки, то она конечно не равновероятна, тем не менее на каких-то функциях и на разных версиях аспра плагины могут ошибиться.
В любом случае нужно обязательно учиться править это вручную.

vins :: короче что с этой ф что без нее не пашет.
выдает ошибку на том же месте. я так понял что эта ошибка появляется из-за попытки программы обратиться к коду аспра, потому что в оригинальной программе ставил бряк на то место где ошибка, и вылазила ошибка протект еррор 17.

MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41

Mario555 :: vins пишет:
цитата:
это Advanced Office XP Password Recovery pro 2.41


Или про Artefact Dictionary ...

vins :: Mario555
нет

MozgC [TSRh] :: vins пишет:
цитата:
MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41


Нееее =) Я помню очень долго мучился с версией 2.30. Распаковывается то легко, а ломал я ее дней 4-5 ! Да и щас сессия, некогда...

vins :: MozgC [TSRh]
так мне как раз распаковка и нужна. у меня там глюки с проверками аспра.

-= ALEX =- :: vins нигде в теле аспра не ставь bpx, тогда не будет protection error’ов.. юзай bpm адрес x, эффект тот же ;)

vins :: -= ALEX =-
это я знаю, я не знаю как избавиться от кала этого адреса я пробовал нопить но там еще куча проверок кажется есть.

так может кто нить распакует, потом мне расскажет.

-= ALEX =- :: а ты можешь поточнее рассказать в чем прикол ? я вот допустим распаковывал этот registered вроде бы...

vins :: у меня peid написал Demo.
на счет прикола не знаю, но после того как я распаковал, сначали глюки были по адресу 0x00000010, там аспр над esi прикалвался, это я исправил, потом ошибка на eip 0x79062506, короче вызов адреса которого нету.
я не заю что делать.

test Re: vins :: Попробовал распаковать вроде все прошло без проблем,stolen bites нет, все шаблонно, правда неопределились 9 ф-ций плагин
ImpRec-а не сработал.Распаковывал по статье про CDClone.Конечно перевод из под переводчика ,но это лутше чем ничего!Если нужно будет - скажи.После анпака проверка какая то не дает запуск переход по адр 004017BA EB 19 JNZ SHORT aoxppr.004017D5 - cменил на jmp - все покатило!

vins :: test
у меня плагин только одну ф-цию не нашел. А ссылку на статью не дашь?

test Re: vins :: Ссылку на сайт дам когда найду.Пока вот http://user.rol.ru/~num11...20clonecd%20por%20ans.zip только без перевода, а статья на испанском.Я переводил через переводчик.Но распаковка 1-1.

Mario555 :: test пишет:
цитата:
все шаблонно


Угу...
А функция эта - GetModuleHandleA.
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.

-= ALEX =- :: Mario555 пишет:
цитата:
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.


Это зависит от того, поставил ли разработчик программы галочки нужные в ASProtect. В данном случае он не поставил галочку напротив защиты ОЕП




bi0w0rM SVKP 1.3 Кто сабж ковырял??



bi0w0rM SVKP 1.3 Кто сабж ковырял??
test :: по статье juan jose пробовал.Антидебаг,порча импорта,stolen bites,полиморф.Похож на аспр новый но посложнее для
неопытных вроде меня.

Runtime_err0r :: test
Дай ссылку на статью pliz

angel_aka_k$ :: bi0w0rM
давай ссылку на этот сабж посмотрим

Madness :: bi0w0rM
Ковырял, хз какую версию.

test :: Сейчас уточню!Вообщем анпак на примере Registry Medic,я потом пробовал по статье HEX-а SEPP не смог Там прога
автора(ов?) этогоже пакера круто защищена но HEX ее уложил,Если интересно на xing лежит с 2002 года а я сейчас
линк проверю и выложу а то там сайт обновлялся если что выложу где нибудь.

test :: Вот там статья после переводчика и оригинал.Я ничего не крректировал но разобрать можно.Иногда регистр AL переводит как букву «В» http://user.rol.ru/~num111/

bi0w0rM :: http://www.anticracking.sk

Лежит последняя версия. Я сам временно блин не могу исследовать - софтайс не пашет!

bi0w0rM :: Блин, а нет у кого нормального тутора? Перевод аЦЦтойный

angel_aka_k$ :: bi0w0rM пишет:
цитата:
Я сам временно блин не могу исследовать


и не надо не чего интересного не увидешь посмотрел я не каких сюрпризов не чего интересного .............. антидебуг с полиформом мы уже сто раз видели остальное все также только oep запарно искать

Guest :: гы...да оеп свкп прячет покруче аспра.... а дальше и вправду неинтересно...
всем H N Y

bi0w0rM :: А кто может свой нормальный тутор написать??

test :: Прошу прощения.Сейчас проверил.Stolen bytes не присутствует в SVKP.Так что желающие могут и по этой статье
попробовать.Так же рассматривается способ определения отсутсвующих функций!

bi0w0rM :: Можно в общих чертах объяснить, как до ОЕП добрацца? А то такой перевод кривой, нификак непонятно

Runtime_err0r :: bi0w0rM
Если он не ворует байты с OEP то проще всего добраться до OEP с помощью плагина для PEiD’а Generic OEP Finder

test :: Во-первых мы загружаем RegMedical.exe в olly и даем Run, или F9 чтобы видеть загружается

или есть какой-то трюк с antidebugging. Прога не загрузилась, используем, pluggin olly

IsDebugPresent, его устанавливаем в hide.
Снова загружаем прогу в отладчик.Скрывая присутствие дебагера прога загрузилась.

OEP – ищется с методом исключений. А именно, загрузив прогу в olly и активизировав pluggin

IsDebugPresent жмем Run, сработает excpecion ,жмем Shift + F9, столько раз,чтобы
Прога запустилась(считая число нажатий Shift + F9). Я думаю, что это – четыре(бывает и больше).

Теперь снова грузим прогу в отладчик и повторяем все снова .Снова в excpecion
жмем Shift + F9, но три раза,остановились на последнем исключении НЕ нажимая Shift + F9 смотрим

в View Memory, и мы помещаем бряк bpm on access в секцию CODE.

После установки bpm on access, проводим последнее исключение (жмем Shift + F9) и olly остановится

вот здесь: 08AFB181 LODS BYTE PTR DS:[ESI]

если мы посмотрим немного ниже мы можем видеть, что мы находимся в цикле, чтобы
не трейсить его, снимаем бряк bpm on access CODE и помещаем bpx в RETN, после
цикла. Так: …………..
08afb216 popad
08afb217 RETN - cюда
жмем Run, остановились на BPX . Сейчас уже мы пропустили цикл, так что снимаем bpx и давайте

снова помещать bpm on access в секцию CODE и снова Run:
И мы на OEP. 004debb8

bi0w0rM :: До двух часов ночи ковырял СВКП и OEP-таки накопал. Распаковывал специальный крякмис на асме с мессагбоксом, на который

навешан svkp. Естественно EP изначально был 00401000, но после SVKP там были одни ноли. Потом, после снятия дампа, там были

нужные байты. Это меня наводит на мысль, что SVKP ниче даже и не пакует, а скорее наоборот, но это скорее всего неправильное

утверждение, так как в проге на асме и сжимать нечего, надо еще делфу попробовать пожать. До OEP добраться в Olly не

получилось по тутору, совсем другая какая-то бодяга там, может версия у меня новее, т.к. самую свежую скачал. А вот с

софтайсом(+iceext) у меня получилось по bpm esp-4, несколько раз брякнецца и попадет на OEP. Дамп снял, все ОК, только с

импортом проблемы, почему-то процесс не отображается у некоторых Task-viewer’ов, например в ProcDump и в ImpREC(что важно), а

вот PE Tools и LordPE его видят. Еще почему-то LordPE дампить его не может, а PE-тулсы умеют. Как с этим бороться(с

импортом)? Можно конечно и пораньше сдампить - байты на OEP есть уже после первого срабатывания bpm esp-4, но я попробовал

!SUSPEND и софтайс упал :( мож еще попробую. Может EB FE поможет.

MozgC [TSRh] :: bi0w0rM
Посмотри насчет восстановления импорта на сайте у Хекса.

bi0w0rM :: Дык а там написано, как сделать, чтоб оно в таск-вьювере появилось?

Madness :: bi0w0rM
В импреке галочку поставь дебажные привелегии.

ЗЫ. че та нифига тег bold не работает в опере.

RideX :: 1) Поиски ОЕР:
ОЕР очень часто легче искать в дампе, когда-то на wasm.ru NEOx/[uinC] давал сборничек РЕ-файлов разных компиляторов, они могут помочь в поиске, а для Delphi программ ищите по сигнатурам в InitExe, потому что, например, ASProtect может украсть начальные байты с OEP, но только до этого call’а.

CODE:005E4D94 push ebp
CODE:005E4D95 mov ebp, esp
CODE:005E4D97 add esp, 0FFFFFFF4h
CODE:005E4D9A mov eax, offset dword_5E468C
CODE:005E4D9F call @Sysinit@@InitExe$qqrv ; Sysinit::__linkproc__ InitExe(void)

2) Импорт:
Проблему с восстановлением импорта не решил :( Рассматривал прогу Download Accelerator Plus 7.0 (http://www.speedbit.com/), SVKP 1.3x

Легко можно восстановить вручную или с помощью плагина SvkpIAT, функции, которые начинаются с адресов 00Сххххх, они имеют вид:

00C00001: jmp 00C00005
00C00003: xxxxxxxx
00C00005: push ebp
00C00006: jmp 00C0001A
...

00C0001A: mov ebp,esp
00C0001C: jmp 00Cxxxxx
...

Не восстанавливаются 4 функции с адресов 00BFxxxx:
00BF33FC
00BF5A78
00BF721E
00BF988B

Без них дамп не работает :(

MozgC [TSRh] :: Имхо надо по нормальному ОЕП искать а не по сигнатурам да и плагинами не пользоваться...

Madness :: RideX
›функции, которые начинаются с адресов 00Сххххх, они имеют вид...
Такие функции импрек сам может восстановить трейсером.

›Не восстанавливаются 4 функции
Если они идут подряд, то это функции из svkp_dll (мелкая, в ultrafxp оно называлось ultrafxp.dll).

MozgC [TSRh]
›да и плагинами не пользоваться...
А мне мой плагин к аспру нравится ;) Ни одного сбоя кста не было с полгода уже...

UnKnOwN :: Для Madness :

Какой плагин, если секрет, ещё и к аспру ???

Madness :: UnKnOwN
Импорт восстанавливать (обновленный стандартный плагин), старая версия есть на wasm.ru

UnKnOwN :: Madness

Понял спасибо...

Mario555 :: MozgC [TSRh] пишет:
цитата:
плагинами не пользоваться


Дык там штук 30 этих функций. Причем большинство такие как RideX написал, определяются не сложно, но долго и муторно.
Madness пишет:
цитата:
Такие функции импрек сам может восстановить трейсером


У меня почемуто их даже плагин не востанавливает (SVKP скачан сегодня).
Madness пишет:
цитата:
), старая версия есть на wasm.ru


А новая ?

Madness :: Mario555
›У меня почемуто их даже плагин не востанавливает
RideX привел вид функций, которые получаются спиранием куска кода с начала функций до первой неперемещаемой и добавлением всяких jmp и в конце прыжок на продолжение, по-моему мне тогда хватило trace level 1 (disasm).

›А новая ?
На wasm нету, он только переделан для импрека 1.6 (сменился интерфейс плагинов) и добавлено определение пары функций-переходников аспра.

XoraX :: Madness , дай пожалуста.

Madness :: XoraX
http://kpteam.com/index.php?show=tools
Скоро будет.
PS. [_b_] - не пашет.

XoraX :: ок, ждем

RideX :: Madness пишет:
цитата:
[_b_] - не пашет


Скоро будет ;), вот что пишут:
Вы можете вставлять картинки, если Ваш ранг от 50
Смайлики от 0, шрифты от 50, без антифлуда от 100

-= ALEX =- ::

-= ALEX =- :: круто




F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал...



F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал ктонить а то по нету валяются кряки только до второй версии?
Mario555 :: После распаковки триал отвалился (почему-то вместе с функцией прятания от диспетчера задач...)

-= ALEX =- :: Mario555 дак ты дальше ковыряй...

MC707 :: Линк надо, чтоб что то сказать.

Gloomy :: Уже версия 3.01 есть. Смотреть тут: http://www.refog.com/files/keyspectpro_30.exe (1 Мб)

MC707 :: Не, я так не играю . Тут аспр 1.3 навешан. Я еще только учусь с ним разбираться...

-= ALEX =- :: MC707 главное чтоб там не было спизженной структуры, а так можно распаковать...

MC707 :: Мне IAT руками что-то не в кайф восстанавливать. А импрек не находит.

Mario555 :: MC707 пишет:
цитата:
А импрек не находит


Находит, только неправильно...
IAT FE168 size ~900 OEP 000EF1BB
Краденые байты:
PUSH EBP
MOV EBP,ESP
MOV ECX,7
NOP

MC707 пишет:
цитата:
Тут аспр 1.3 навешан


Это почему (как ты это определил) ?

-= ALEX =- пишет:
цитата:
главное чтоб там не было спизженной структуры


А шо это ?

XoraX :: Mario555 пишет:
цитата:
А шо это ?


это спижженые байты.

MC707 :: 2 Mario555: А глаза на что? Хотя бы PEiD возьми...
Mario555 пишет:
цитата:
Находит, только неправильно...


Дык я это и имел ввиду

-= ALEX =- :: XoraX пишет:
цитата:
это спижженые байты.


Неее братцы, это покруче будет ! Все наверное знают как выглядит начало к примеру дельфи прог... call’ы всякие и т.д. в пердпоследнем прога запускается.... дак вот эта вся структура в теле аспра щас с мусором находитья :) или :(

F :: Не знаю как насчет 3.1 а у меня при распаковке 3.0 возник вопросик:
Распаковываю Keyboard Spectator Pro 3.0 упакован ASProtect 1.23 Нашел OEP - 4EF1C4 нормально подправил импорт. Запускаю прогу вылетает ошибка Программа 1 вызвала ошибку обращения к стеку
в модуле 1.EXE по адресу 0167:004ef1c6.
Лезу смотреть что там за траблы :
4EF1C2 0000 ADD[EAX],AL
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:

4EF1C3 006A00 ADD[EDX+00],CH ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX
4EF1C9 JNZ 004EF1C4
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

Есть какиенить соображения?
И еще в этой проге когда искал OEP аспр часто использовал функции ReqQuery_кактотам_непомню (ну типа к реестру обращается) до полиморфного кода хотя в других прогах запакованных этой версией я что-то такого не видел? Что за хрень?

XoraX :: -= ALEX =- , гкхм.. это ты про последний аспр?

Serg :: F пишет:
цитата:
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:


А откуда ты этот код взял? Из проги? из аспра? или... ?
В Delphi такое часто встречается, например для выделения памяти
под локально объявленный буфер, заодно ее 0’м инициализирует..

br, Serg

-= ALEX =- :: XoraX да я про новый аспр

New beta version 1.3 is ready.

All options are in the beta state, so please report us about possible bugs.
We’re working on short keys version of ASProtect 2.0 too, so hope to see the
alfa version in about one month.

Thanks for your help! So now few words about new version:

It has few very important security options against manual unpacking:

1. New import table protection (protects automatically)

2. New options (Options Tab)

- Protect Delphi forms against decompilation
This options protect Delphi forms constantly in the memory,
so it’s impossible just dump all forms from memory when an
application is running.

- Improved EntryPoint protection
It’s old but improved option when a part of application -
(usually about few hundred bytes) is copied to the envelope’s
code and change its content thru emulation, so it’s not so easy
to restore the original code ever by hand.

- Emulate Exception Handlers
Very power option against manual unpacking - ASProtect removes some code from
protected application and put wrong opcodes on changed places. If the application
generates an exception (wrong opcode) ASProtect check its tables and handle the
exception then executes removed code in the memory and returns the control to the
application.

- Emulate Standard system functions
One more good option against manual unpacking - ASProtect just removes some common
functions from protected application and executes them in the envelope code.

3. New ASProtect envelope checks
In order to use new checks you need to insert one of two type of checks:

Type 1 - if ASProtect envelope was removed - it just generates an exception.
You can handle it and then do something awful.

Example for Delphi (see \Examples\Delphi\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
MessageBox(0,’Begin’,’’,0);
{$I DelphiCheck.inc}
MessageBox(0,’End’,’’,0);

Example for Visual C (see \Examples\VC\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
#include «include\aspr.h»

MessageBox(0,«Begin»,»»,0);
#include «include\cppCheck.inc»
MessageBox(0,«End»,»»,0);

Type 2 - this type works as a function that returns false if ASProtect envelope
was removed.

Example for Delphi (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
Function EnvelopeCheck: Boolean;
{$I DelphiProcCheck.inc}

//...

If not EnvelopeCheck then // .. do something awful

Example for Visual C (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
BOOL EnvelopeCheck()
{
#include «include\cppProcCheck.inc»
}

if ( !EnvelopeCheck() ) // .. do something awful

4. New code sections with CRC (for EXE files only !)
Very useful against loaders. So if you want to set additional CRC check for some fragment
of your code just insert a special markers at the begin and end of this code:

Example for Delphi (see \examples\delphi\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}

Example for Visual C (see \examples\vc\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~
#include «include\aspr.h»

#include «include\cppCrcBegin.inc»
// some code
#include «include\cppCrcEnd.inc»

NOTE! This version doesn’t support nested marks, so please don’t use
the code like this:

{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}
// some code
{$I DelphiCrcEnd.inc}

-= ALEX =- :: круто да ?!

Serg ::
цитата:
1. New import table protection (protects automatically)


Это, видимо, про новые переходники для API + бряки не ставятся на используемые аспр’ом API.

цитата:
- Protect Delphi forms against decompilation
- Improved EntryPoint protection
- Emulate Exception Handlers
- Emulate Standard system functions


Воо - а это кто-нибудь видел ??

br, Serg

-= ALEX =- :: ну я видел, раз уж написал :)

Runtime_err0r :: -= ALEX =-
Да ты никак ASPRotect покупаешь ?

Mario555 :: MC707 пишет:
цитата:
Хотя бы PEiD возьми...


Пишет что ASProtect 1.23 RC4 Registered.
А адрес Iat по getprocaddress найти несложно.

F пишет:
цитата:
Нашел OEP - 4EF1C4


Это не совсем OEP, оно без краденых байт. Кстати даже после вписывания этих байтов, прога запускаться не будет, там ещё править надо...
F пишет:
цитата:
когда искал OEP аспр часто использовал функции ReqQuery


Это как ты так искал ? Там же по Esp-24 всё легко находится.

-= ALEX =- :: Runtime_err0r я его произвожу :)

Serg ::

цитата:
Runtime_err0r я его произвожу :)


Не смешно. Ты живешь в Новосибирске, скорей всего по диалапу
в инет выходишь.. через «электросвязь Новосибрска» что на Орджоникидзе 18.
Никакой ты не автор, тем более не сотрудник.

br, Serg

F :: Mario555
OEP искал посредством прохода вручную сначала бряк на мапвиеооффайл или как его там потом бряк на гетпрокадресс )) ну а потом пешочком.
2 Serg а код приведен из когда запускаю подправленный дамп просто переименован как 1.exe

-= ALEX =- :: Serg блин какой ты умный, я аж поражаюсь. Мож ты и мой адрес скажешь ? и домашний телефон ? А вообще у тебя с юмором @!#$ во....

Mario555 :: F пишет:
цитата:
ну а потом пешочком


И сколь раз начинал этот путь заново?

MC707 :: 2 Mario555
Новый PEiD возьми с сайта автора.

F :: 2 Mario
немного раза 4 =)

Mario555 :: MC707 пишет:
цитата:
PEiD возьми


У меня PEiD v0.91 build 02.01.2004...
Да и вообще, какая на х** разница, что он пишет, если бы написал что это арма, тоже бы поверил?
Ты про 1.3 на xtin статью читал? В Keyboard Spectator Pro что нибудь подобное видел?
Это не 1.3, я бы его врятли распаковал, а с этим справился.

MC707 :: 2 Mario555
Я вообще-то с самого начала говорил, что на анализаторы надеяться не стоит. Первым делом сам смотрю чем прога пакована. А ПЕиД пользуюсь, чтоб версию уточнить. Статью читал. ХЗ может это и не 1.3. Просто сказал, что ПЕиД написал. Глупо, конечно, признаю.

-= ALEX =- :: peid этот не точный, пишет вот так 1.23 rc 4 - 1.3.8.07 :) причем без разницы на самом деле чем запаковано :) АСПР 1.30 пока редко встречается я его вообще в прогах не встречал, пока только он у меня :) там вооще труба полная




MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и только ЗДЕСЬ! Значит так.



MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и только ЗДЕСЬ! Значит так.
Кому нужен крэк пишете в этой теме сообщение.

В сообщении указывается:
1) Точный URL к программе (не к сайту а самому файлу программы)
2) Точный размер программы
3) Ее предназначение.

При невыполнении этого, сообщения будут просто удаляться.
Помните, что никто не обязан вам ничего ломать или помогать иным способом. Не нужно надоедать. Оставьте здесь свое сообщение и просто ждите. Сломают - ответят здесь же. Не сломают - не ответят =)
Все темы с просьбами крэков вне этой темы будут удаляться и вплоть до бана. Надеюсь все понятно. Крэкеры (возможно новички) которым нужна помощь именно объясняющего характера по прежнему могут создавать новые темы. Всем удачи.
Вшьщтв :: Всем привет!!! На сайте http://compebook.ru есть учебник «Электронный учебник по Excel XP»-это электронная книга с паролем,который не могу подобрать.Может у вас получиться.Заранее благодарен!Удачи!

MC707 Re: Вшьщтв :: Значиттся так, Вшьщтв.
Для своего компа я пасс нашел. Подозреваю, что у тебя он будет другой. Поэтому копаем глубже и получаем, что нужно только занопить джамп по адресу 403E49. Если уж так надо могу патчем поделиться ;)
Кстати имхо подбирать этот пасс - дело неблагодарное. Он состоит из 15 символов типа JHG324QWV...

Dimond :: MC707,был бы тебе очень благодарен за сылку на патч!Ещё раз спасибо!

MC707 :: На: http://exchange.bugz.ru/i...excel.book.crack-bugz.zip

Жду комментов, потому что проверить работоспособность не могу, т.е. он патчит, и все как и было, т.к. он, собака, серийник, который я ввел где-то прописал и теперь она у меня вечно зарегистрированная

dido1 Re: MC707 :: В реестре найди EBook.
Замени параметр DWord c 00 на 01.
Регистрация снята. Если обратно то ясно.

Dimond :: Супер!!! Патч работает!!! Молодец!!!Пытался вручную,но джамп по адресу 403E49 не нашёл.(ближайшие 403E44 и 403E46).Мoжет другой?
В любом слуае Оромный Thanksss!!!

MC707 :: Обрашчайтесь еще

Bob :: MozgC [TSRh] А ты выдели эту тему ЖИРНЫМ ФОНОМ, чтоб все слепые замечали :-))

XoraX :: Bob ? форум вроде не позволяет этого. но это уже флейм пошел...
Мозг, ты бы удалял оффтопиковые месаги.

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

-= ALEX =- :: DOLTON тиы говоришь коллекция пасбянсов, там одна прога или куча малньких-пасьянсиков :) ?

MC707 :: Он имел ввиду одну универсальную прогу-пасьянс из 370 штук

Bob :: Автор этого пасьянса все предыдущие версии тоже аспром защищал и как я понял следит за всеми новинками Солодовникова.

MozgC [TSRh] :: Насчет пасьянса просите Angel’a, думаю, что только он пока из здешних частых обитетелей распакует Аспр 1.30

-= ALEX =- :: ну я типа распаковал эту прогу. Щас вот ее ковыряю...

MozgC [TSRh] :: Там не ASProtect 1.30...

-= ALEX =- :: MozgC [TSRh] пишет:
цитата:
Там не ASProtect 1.30...


да, мы с тобой только что выяснили...

WebMaster :: Помогите пожалуйста взломать программку Perl Editor v5.4.1 от DzSoft
Вот линк и размер:
http://www.dzsoft.com/download/dzperl541.exe
Размер 1.8Мб
Из названия думаю понятно для чего она нужна. Очень надеюсь на вашу помощь!

Solitaire :: речь пойдет о программе российского автора и, как я понимаю, это накладывает небольшие, всем понятные, ограничения (я точно знаю, что существует идея - «программы соотечественников - ломать не будем!»)
программа, на мой ламерский взгляд, очень нехорошая в плане ломания, правда к ней без проблем делается лоадер, который будет обнулять кол-во дней перед запуском, но лоадер - он и в ... лоадер! я хочу, чтобы ее кто-нить попробывал сломать нормально! если уж не серийник подобрать, то хотя бы кракед.ехе сделать. там, кроме счетчика дней, есть как в небезызвестном Tweak-XP Pro поганый наг,

XPiS :: URL: ftp://ftp.altap.cz/pub/altap/salamand/sal25b3.exe
Size: ~1.3mb

Лучший файл менеджер (если не верите, то поймете, что Total Commander и рядом не стоял - извините, если фэна задел).

Я ломал сам, но программа работает некорректно:
1. При вызове Диалог About все идет к чертям.
2. (самое неприятное)После нескольких пробегах мышкой по меню плагинов или из вызовов
оные отказываюся работать вообще (и это при замене 1 байта(типа je на jne) в exe!).
Подозреваю какую-то странную защиту?
Замечание: Не запаковано. Чистый vc++. Но ценные штуки в памяти делает.
Заранее благодарю.

Kerghan :: Solitaire
вроде части текста не хватает, в том числе и ссылки

MozgC
а тема процветает, уж и сам не знаю, хорошо это или плохо

angel_aka_k$ :: XPiS
LOL не че там странного нету мде 2 места правим и все пашет
1) чтоб нага не было 004a0d4b ( jne › jmp )
2) чтоб триала не было 004a0d2d ( jae›nop )

WebMaster :: Изивините, что надоедаю.. Просто интересно, взял ли кто-нить прогу уже посмотреть которую я попросил? Программа честно очень нужна мне по работе. MozgC, Kerghan может хоть вы посмотрите, вы проде самые активные участники! Или любой другой кто? Мне все равно... Был бы очень очень признателен!!!

Mario555 :: -= ALEX =- пишет:
цитата:
ну я типа распаковал эту прогу. Щас вот ее ковыряю...


Как ты избавился от ошибки при закрытии проги ?
Интересно, как её ломать после распаковки...

Kerghan :: WebMaster
щас гляну

XPiS :: angel_aka_k$

Цитата:1) чтоб нага не было 004a0d4b

Меняем и ничего. Нага то нет, но:
После нескольких пробегах мышкой по меню плагинов(чтобы их собственные менюшки загрузились) или из вызовов
оные отказываюся работать вообще

!!!

angel_aka_k$ :: XPiS а я просто волшебник и у меня все пашет

Aragon :: Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.

[RU].Ban0K! Re: Aragon :: Aragon пишет:
цитата:
Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.


на еХетооlZ есть все версии...

Runtime_err0r :: Aragon

цитата:
Большая просьба,если у кого есть UPX v0.71 - v0.72 или более древний,
скиньте, пожалуйста, мне в мыло aragon @ pisem.net
Буду очень благодарен.


У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...

XPiS :: angel_aka_k$

По второму rva:004a0d2d - cmp word ptr... а не jae.
Извини, но ты не прав.
Объясняю.
Меню Plugins-›останавиливаемся мышком на одном, ждем загрузки его меню. То же самое делаем еще на нескольких разных (для верности 5-7). Потом попробуй запустить какой-нибудь (если и запуститься(?), то другой уже нет).

angel_aka_k$ :: XPiS одно могу сказать значит у нас разные версии так как по второму 004a0d2d у меня jae вобщем я уже выкинул ее но у меня все пахало

Aragon :: [RU].Ban0K! пишет:
цитата:
на еХетооlZ есть все версии...


Спасибо за ссылку,я раньше на него заходил видил белый экран и уходил,видимо защита от ламеров.Видимо был ламером.

Runtime_err0r пишет:
цитата:
У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...


Буду ждать.

Aragon :: [RU].Ban0K! пишет:
цитата:
на еХетооlZ есть все версии...


Спасибо за ссылку. Я раньше на него заходил смотрел на белый экран и уходил.
Видимо защита от ламеров. Значит был я лам......

Runtime_err0r пишет:
цитата:
У меня есть все UPXы от 0.60 до 1.90 Завтра выложу на ftp для всех ...


Буду ждать.

Kerghan :: Aragon пишет:

цитата:
Видимо защита от ламеров


типа такая http:\\exetoolz.com\

2 [RU].Ban.OK!
ты сайт доделывать собираешься? а то всё учеба, учеба...

MozgC [TSRh] :: Ребят, давайте по теме ок?

PS. На это можете не отвечать.

Runtime_err0r :: Старые версии UPX’а (060 - 0993): _http://www.zone.ee/Runtime_err0r/UPX_OLD.rar

[RU].Ban0K! :: Kerghan пишет:
цитата:
ты сайт доделывать собираешься? а то всё учеба, учеба...


Маза фака эХзамины... сессия... может повеситЦа ещё успею... (блин 10 начинаю здавать... а учить... забыл :) )
Сайт... собираюсь... чувака нашёл который мне 200 мегов прог зальёт, осталось только сдёлать комментарии, ну и статей куча нужна...
... блин а ещё столько мыслей... было начал протектор делать... потом чтото ещё начал... теперь большая идея ... но другая... :)
Короче как всегда идей полно... когда сессссия...

MozgC [TSRh]
Извиняюсь....

Inferno[mteam] :: hi to all,

Вот уж не ожидал, что буду постить в этой теме, вроде раньше сам крякал проги.
Но чего я не умел, так это ломать VBasic проги. Так что, help!
Мне не раз помогали на этом форуме, надеюсь помогут и в этот раз.

основное ограничение - невозможность создать ландшафт больше чем на 257х257.
Landscape-›Size-›недоступны кнопки: 2049, 1025, 4097.

Название проги: Terragen
Что делает: создает фотореалистичные скрины ландшафтов с водой, облаками и т.д.
http://www.ashundar.co.uk...gen/tg2/tginstall0919.exe
вес около 3-х мегов.
запакована aspack’ом.

MozgC [TSRh] :: WebMaster
http://MozgC.com/dzsoft.p...or.5.4.1.cracked-tsrh.zip
Вот крэк, я че-то поздно заметил что ты эту прогу просил...
А вообще мог бы и сам поискать, я ее еще в середине ноября релизил.

AHTOxA :: ЗАПРОС!!!!
1) http://host32.ipowerweb.c...sco/download/uiso6_ru.exe
2) 1.2 MБ (1 162 136 байт)
3) Работа с образами дисков.
Очень надо, товарищи. Может есть у кого тутор по исследованию или если кто-напишет - вообще сказка

AHTOxA :: ЗАПРОС!!!!
______________
ISO Commander v1.2
1) http://www.turtleblast.com/files/isocommander.exe
2) 509Kb
3) Работа с образами дисков.
______________
Первая программа - UltraISO 6.52, а то забыл

LT :: Moзг, где статьти пр Распаковеку?!

Inferno[mteam] :: Запрос отменяется, справился сам.

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

DOLTON :: Всем прива!
Большая просьба помочь вот с этой cool program!

[http://www.solitaire.ru/downloads/cards50.exe]
[2471 Kb]
BVS Solitaire Collection 5.0.2 для Windows 95/98/ME/NT/2000/XP - зто коллекция из 370 пасьянсов, значительная часть из которых - уникальные вариации, не встречающиеся больше нигде.

Запакован каким-то последним ASProtect 1.3.хх, так что будет не легко.
Заранее благодарен за любую помощь.
Удачи!

XoraX :: DOLTON!
MozgC [TSRh] пишет:
цитата:
Не нужно надоедать




Solitaire :: мессага планировалась такой: «речь пойдет о программе российского автора и, как я понимаю, это накладывает небольшие, всем понятные, ограничения (я точно знаю, что существует идея - «программы соотечественников - ломать не будем!»)
программа, на мой ламерский взгляд, очень нехорошая в плане ломания, правда к ней без проблем делается лоадер, который будет обнулять кол-во дней перед запуском, но лоадер - он и в ... лоадер! я хочу, чтобы ее кто-нить попробывал сломать нормально! если уж не серийник подобрать, то хотя бы кракед.ехе сделать. там, кроме счетчика дней, есть как в небезызвестном Tweak-XP Pro поганый наг, где и еще идет счет до активации кнопки «Продолжить» то, что тулза руль в своем роде - это точно, у кого есть тв-тюнер\платы захвата видео, с ней точно сталкивались, вобщем это..... iuVCR от уважаемого Ивана Ускова.
ссылка на совсем свежую версию (28.12.2004)
http://www.iulabs.com/download/iuvcr_setup_ru.exe
версия: 4.8.4.327 RU размер: 1,489,739 bytes»

но лан проглючил... пришлось вылезти по модему, но уже поздно...
на днях залез на кпнемо и обнаружил кряк новенький!!!
так что вопрос отпадает, ну и спасибо -=Alex=-’у за ломалку!!! еле-еле дошло как изменить имя, на которое зарегена эта прога (которое отображается в заголовке окна)

odIsZaPc :: Вот задачка: «КОМПАС 3D V6 Plus». Программа для машиностроительного проектирования - на мой взгляд лучшая в своем роде. Кроме того, создана русскими программерами.

Ссылка:
http://download.kompas.ko...as3DV6Plus_dis.part01.rar
http://download.kompas.ko...as3DV6Plus_dis.part02.rar
http://download.kompas.ko...as3DV6Plus_dis.part03.rar
http://download.kompas.ko...as3DV6Plus_dis.part04.rar
http://download.kompas.ko...as3DV6Plus_dis.part05.rar
http://download.kompas.ko...as3DV6Plus_dis.part06.rar
http://download.kompas.ko...as3DV6Plus_dis.part07.rar
http://download.kompas.ko...as3DV6Plus_dis.part08.rar
http://download.kompas.ko...as3DV6Plus_dis.part09.rar
http://download.kompas.ko...as3DV6Plus_dis.part10.rar
http://download.kompas.ko...as3DV6Plus_dis.part11.rar
http://download.kompas.ko...as3DV6Plus_dis.part12.rar
http://download.kompas.ko...as3DV6Plus_dis.part13.rar
http://download.kompas.ko...as3DV6Plus_dis.part14.rar
http://download.kompas.ko...as3DV6Plus_dis.part15.rar
http://download.kompas.ko...as3DV6Plus_dis.part16.rar
http://download.kompas.ko...as3DV6Plus_dis.part17.rar
http://download.kompas.ko...as3DV6Plus_dis.part18.rar
http://download.kompas.ko...as3DV6Plus_dis.part19.rar
http://download.kompas.ko...as3DV6Plus_dis.part20.rar

Размер: 192508431 байт (184 Mb)

Программа защищена ключом аппаратной защиты HASP. На данный момент кряка к конкретно этой версии НЕТ. Темы на форумах по поиску кряка уже перевалили за 60 страниц - народу очень надо. Собственно мне такой лом не по зубам. Предпочтителен лом без использования эмулятора Hasp’а (имеется ввиду rhaspemu), а конкретно лом экзешника. Ну это потому что у некоторых проблемы с его установкой. В общем, попытайтесь. Кто-то мне говорил, что там довольно крутая защита. Возмется кто?

[RU].Ban0K! :: Есть садо-маза-фака-извращеНцы, качать это чудо.... ?
p.s. у меня друг ща её пытаеЦа с имулить...

.::D.e.M.o.N.i.X::. :: odIsZaPc
За определенную плату могу и скачать и взломать. Только свистни.

-= ALEX =- :: AHTOxA насчет Ultra ISO http://www.seriall.com/u/3.html

AHTOxA Re: -= ALEX =- :: Спасибо, конечно, но не катит Ни один

odIsZaPc :: .::D.e.M.o.N.i.X::. пишет:
цитата:
За определенную плату могу и скачать и взломать. Только свистни.


Сколько хочешь за кряк? Ты точно уверен, что сможешь? Там HASP последней версии... А предыдущая версия Компаса ломалась правкой около 10-ти длл-ок....

MIV :: ДОБРЫЕ КРЭКЕРЫ КТО-НИБУДБ ПРИШЛИТЕ НА E-МЫЛО КРЯК (НЕ СБРАСЫВАТЬ КАЖДЫЙ РАЗ СЧЁТЧИК А КРЯК) ДЛЯ ПРОГИ TWEAK-XP PRO 3.0.2
ЗАРАНИЕ СПАСИБО!!!

infern0 :: MIV пишет:
цитата:
ДОБРЫЕ КРЭКЕРЫ


ты где таких видел ? они уже вымерли все ....

-= ALEX =- :: MIV мне лично было очень влом ковыряться в продуктах этой компании, т.к. они написаны на VB

MozgC [TSRh] :: MIV
По русски читать умеешь? Нет? Учись. Умеешь? ТАК И ЧИТАЙ ЧТО Я НАПИСАЛ В САМОМ НАЧАЛЕ.

MRAK :: прога ClubTimer 2.41 адрес http://www.ctimer.ru/ на 100 компов.

pipen :: Надеюсь кого нибудь заинтересует программа Bookmark Explorer v1.0.137 beta (Shareware программа с ограничением
30 дней, адрес http://activeurls.com/download/bexsetup.exe размер 3.9 Мb ) которая представляет собой очень удобный инструмент для автоматического (по расписанию сосотавленному пользователем) отслеживания изменения/доступности любых страниц в интернет. Применима практически в любых областях деятельности, имеет много полезных функций, вобщем значительно облегчает жизнь. Так вот если у кого нибудь появится желание и время ощастливить многочисленных пользователей крэком для нее, то я готов поделится коллекцией тематических, отсортированных ссылок (более 1000) для работы в этой программе. Заранее признателен за любой ответ.

pipen3@yandex.ru

odIsZaPc :: MIV пишет:
цитата:
ДОБРЫЕ КРЭКЕРЫ КТО-НИБУДБ ПРИШЛИТЕ НА E-МЫЛО КРЯК (НЕ СБРАСЫВАТЬ КАЖДЫЙ РАЗ СЧЁТЧИК А КРЯК) ДЛЯ ПРОГИ TWEAK-XP PRO 3.0.2
ЗАРАНИЕ СПАСИБО


http://wmw.crackz.ws/hjkl...ll.version.crack-tsrh.zip

MozgC [TSRh] :: MRAK
У тебя тоже с русским плохо? Давай точную ссылку к файлу.

pipen
Я какнить постараюсь глянуть на днях, прикольная вроде прога. Токо щас с инетом проблемы, поэтому не знаю когда смогу скачать.

Nice & Kerghan
Не надо тут устраивать свое общение. Все вопросы и ответы не по теме задавайте и пишите в других темах.

.::D.e.M.o.N.i.X::. :: odIsZaPc пишет:
цитата:
Сколько хочешь за кряк? Ты точно уверен, что сможешь? Там HASP последней версии... А предыдущая версия Компаса ломалась правкой около 10-ти длл-ок....


Пиши в мыло, там все обсудим...

XoraX :: pipen , смотри в мыле.

MozgC [TSRh] :: XoraX
Ты уже сломал ? Мне качать?

Chirurg :: MozgC [TSRh]
Имею печальный опыт создания подобных тем.
Уверяю вас, что поток желающих скоро захлестнет все. На халяву-то..
IMHO конечно, но тему надо.. того...

Chirurg :: MRAK
Sorry, модем глючит ... Ента прога мною уже давно взломана и кряк валяется повсюду. Юзай поиск и обретешь щастье

MozgC [TSRh] :: Ну посмотрим че будет.. Пока более менее треть или половину выполняем =)

Solitaire :: MIV

скачай удалитель онлайн проверки от Реалисти, там в нфо-шнике есть ссылки на полную версию 3.0.2

кстати, на форуме imho.ws есть сообщения, ставящие под сомнение эту примочку от Реалисти... (может кто прокомментирует?)

MRAK :: MozgC [TSRh]
адрес проги http://www.ctimer.ru/clubtimer.exe есть лекарство но не работает лежит на http://crackz.ws/?i=97138 и http://crackz.ws/?i=97139 размер файла сервера не соответствует ломанный меньше.

MRAK :: Chirurg
может адресочки кинеш? а то перерыл почти все кроме этих двух ненашол

Chirurg :: MRAK
Туфта это, а не краки... Crisis team крякнули экзешник clubserver от предыдущей версии :))) (v. 2.40)
и кричат, что ура! А в версии 2.41 в клубадмине идет проверка на целостность кода сервера. И ни х..рена не крякается таким образом. Ищи меня в асе 146614834

diezel :: Да ты не профиль эт точно, я знаю

XoraX :: Chirurg , я ковырял последнюю версию, там нет проверки целостности.

XoraX :: MozgC [TSRh] , Bookmark Explorer - я убрал триал, но не получилось снять наг.
pipen сказал, что этого достаточно.... если самому интересно - то скачай...

P.S. замечу что прога убогая в плане оформления - у автора совершенно нет вкуса ;)

Саня :: Народ, ну взломайте этот Clubtimer 2.41, а? Он же уже давно вышел. А как же поддержка высочайшего уровня мозга российских хакеров? Кстати, а над кейгеном никто не думал? А то все сломать пытаются, а не пробовали ли посмотреть алгоритм проверки валидности серийника?

Chirurg :: XoraX
Есть. Если изменить хоть один байт в сервере, прога молча закрывается. Могу назвать адреса проверки (если вспомню)...

Саня
Ты читать умеешь? Взломали его. Над кмгенои я не думал и не собираюсь. Алгоритм проверки описан в статье HEX на этом сайте. Почитай...

Саня :: Если взломали - молодцы. Вот только крякой-то хоть поделились бы :)
А то тот лоадер, что везде распространен - работает криво. Сама прога-то запускается, но, например, база клиентов - не работает. Время поставить удается не каждый раз, а раза с десятого, если повезет...
Если есть рабочий кряк - вышлите кто-нибудь мне, пожалуйста, на navigator@ultranet.ru

pipen :: XoraX

Проверь почту плз.

Кстати, объясните ламеру, что такое наг и чем чревато его не снятие?

MC707 :: Отвечу за XoraX-a, т.к. он только часа через два будет. Наг - назойливо-надоедливое окошко с напоминанием о незарегистрированности программы.

MRAK :: Chirurg
так как насчет адреса к лекарству?
А то сломан сломан я одни только кривые видел.

odIsZaPc :: Короче, вот вам ссылка, тока чур никому.... :)

http://seasolution.com/Do...lease/Rus/SeaSolution.exe
Логин и пароль для скачки:
login: al
password: al01

А вот тут скачайте файл лицензии, там в readme все написал:
http://personal.primorye.ru/snaker/seasol.zip

Прога для судостроительного проектирования, Файл весит всего-то 4,44 Mb, при этом его стоимость около 1500 баксов....
Запустить ее будет элементарно, любой справиться. Нужно, чтобы она не только запустилась, но и были доступны все пункты из следующих меню:

File -› Output
File -› Import
File -› Export

У меня только половина доступна... Это если я код правлю, а не память.... А если правлю память, то доступны все меню, но из-за разности адресов, прога не работает в XP или 98 (в зависимости от того, где ломал)...

odIsZaPc :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Пиши в мыло, там все обсудим...


пиши

Ellie :: Народ! К вопросу о кряках на LumaPix Photofusion! Помогите убрать эту дрянь что типа по экрану ползет на готовой картинке, а? А то я крэки искала -нидде ничче, а хочется поюзать прогу, она попроще чем Фотожоп. где я ничче не понимаю. Помогите, а?

odIsZaPc :: Ellie пишет:
цитата:
Народ! К вопросу о кряках на LumaPix Photofusion! Помогите убрать эту дрянь что типа по экрану ползет на готовой картинке, а? А то я крэки искала -нидде ничче, а хочется поюзать прогу, она попроще чем Фотожоп. где я ничче не понимаю. Помогите, а?


Среди нас девушка... Ellie, посмотри тут:
http://astalavista.box.sk...h=lumapix+&submit=+search+

Chirurg :: MRAK
Я не поисковик, но нашел в 6 сек. хттп://2d.nordzone.ru

odIsZaPc :: MRAK
Я взломал его. там проверка целостности идет + таймер ставиться. У меня все работает - и на 100 компов тоже. Пиши сюда или на мыло - вложу на ftp...

MozgC [TSRh] :: odIsZaPc
Ты лучше зарелизь в инет, например на cracks.am а то прога вроде востребованная очень будет полезно.

odIsZaPc :: MozgC [TSRh]
Будет сделано!

Solitaire :: просьба посмотеть программу RegSnap v4.0
за эту программу до версии 3.хх брались парни из TSRh
но вот вышла новая версия и поиск ничего не дает :(
хорошая прога для сравнения снимков реестра, кто не знал )

ссылка на страничку загрузки:
http://www.lastbit.com/download.asp

прямая ссылка на закачку:
http://www.lastbit.com/ge...prg.asp?id=regsnap&site=1
http://www.lastbit.com/ge...prg.asp?id=regsnap&site=3 (зеркало)

размер 1.3Мб

MC707 :: Если ты про эту - RegSnap 4.0.0.1220 , то она с 12.01.04 у нас на сайте лежит мною раскуроченная :
http://exchange.bugz.ru/i...4.0.0.1220.crack-bugz.zip

Единственное, что я там не доделал - в Help-›About так и висит надпись unregistered. В лом исправлять было :)

alldemon :: плиз !!!! по адресу http://compebook.ru/pcbook.zip
лежит здравый учебник, но буржуи пароль просят ! help me

Solitaire :: MC707

да, именно про нее. спасибо! все работает!
доделал бы его чуть-чуть (я про анрегистеред),
да и кинул бы на те же cracks.am

cYbErLoRd :: Ну я уже создовал тему по поводу SkyWorker 1.2 Demo, но че-то все так и заглохло, когда разобрались, что это NE, если кто-нить все же сможет обломать ее, то буду очень признателен :)
http://astrologer.ru/soft...re/Skyworker/skywrk12.exe (1797kb) (Это астропроцессор)

odIsZaPc :: MozgC [TSRh] Зарелизил на cracks.am

Олег :: Уважаемые знатоки кряков!Помогите,кто может,вскрыть демо версию проги Офис-Склад-Магазин V4.3,которую можно скачать отсюда:http://www.freesoft.ru/fi...07&dl=0&filename=demo.exe Благодарность моя будет безгранична в пределах разумного,особенно если кто задумает приехать в гости на Украину!!!Пишите на мыло malyatko@inbox.ru

cYbErLoRd :: Олег
Твоя прога, как и моя к сожалению является ТУ файлом, так, что видимо обломс...
Хех.. а хорошоая защита получается с помошью NE файла, вам не кажеться ? :)
Мало кто знает как работать с этим форматом.

MozgC [TSRh] :: Дело не совсем в этом
Там нет принципиальных отличий
Проблема просто в том что с NE форматом многие (я тоже) чувствуют себя как не своей тарелке. А когда такое чувство присутствует, то и крэкми можно не сломать...

PS. Не будем больше обсуждать это и засорять эту тему.

mnalex :: alldemon
Там (в книжке) точно такая же защита, что и в ЕхcеlBook (то что на томже сайте), так что (ее уже здесь обсуждали и кряк делали для ехселя, непомню точно, но возможно, что и кряк тотже подойдет) ... если самому незнамо как - могу скинуть открытую, хотя там и новичек, как я, разобраться сможет...

MRAK :: odIsZaPc
Спасибо работает

odIsZaPc :: MRAK пишет:
цитата:
Спасибо работает


Наконец хоть кто-то мне спасибо сказал... Юзай на здоровье!

Александр :: Привет!!!Хакеры помогите пожалуйста с прогой, генерации чисел...Уж очень нужна, а она требует активацию, говорят что если не найду такую то уволят с работы...Помогите А??? Адрес: http://www.geocities.com/draftumc/prog.zip

Заранее ОГРОМНОЕ СПАСИБО!!!

MoonShiner :: This page is not available

MRAK :: odIsZaPc
Первый раз ктото так быстро и хорошо что то зделал
ClubTimer Administration 2.41с таблеткой работает без глюков в отличии от другими лекарств

odIsZaPc :: MRAK пишет:
цитата:
Первый раз ктото так быстро и хорошо что то зделал


Да ну? Много тут кто чего делал.... И все работало....

цитата:
ClubTimer Administration 2.41с таблеткой работает без глюков в отличии от другими лекарств


А что за глюки у других лекарств?

MC707 :: Александр
Несовсем понятно, что за прога и что она делает. Какое-то окошко и три непонятных кнопки.
Скажешь - посмотрю

odIsZaPc :: MC707 пишет:
цитата:
Несовсем понятно, что за прога и что она делает. Какое-то окошко и три непонятных кнопки.


Че-то с сим картами... Есть прога - надо ломать. Судя по цене, прога не слабая =)... Запакована TeLock 0.71. кто знает как распаковать? Я в этом пока не шарю...

MC707 :: odIsZaPc
Ты не прав, и вот почему: Cracked Draft.
Алгоритм генерации донельзя простой кейген сделать - 30 минут с черной работой .

Александр
Забирай и используй любой сериал из 24 знаков и всё!

Александр Re: MC707 :: MC707 и odIsZaPc

Спасибо ВАМ конечно, за то что помогли, прога начала работать, только она должна генерировать намного больше комбинаций, а она генерирует 3, и пишет что она все таки не зарегистрирована...извини за наглость, но просто сам никак...может еще разок посмотрите...а вообще это генератор карточек пополнения счета...

mmm :: http://host32.ipowerweb.c...sco/download/uiso6_ru.exe
Классная прога для редактирования виртуальных дисков. Все кейгены из Сети не подходят. Помогите сломать. Заранее благодарен.

UnKnOwN :: mmm пишет:
цитата:
http://host32.ipowerweb.c...sco/download/uiso6_ ru.exe
Классная прога для редактирования виртуальных дисков. Все кейгены из Сети не подходят. Помогите сломать. Заранее благодарен.


Вот корче качни может поможет :=)
http://www.unknown-ua.nm.ru/crack/

Это релиз от RORa...

там всё росписано :)

odIsZaPc :: MC707 пишет:
цитата:
Ты не прав


В чем именно не прав?

odIsZaPc :: Александр пишет:
цитата:
Спасибо ВАМ конечно, за то что помогли, прога начала работать, только она должна генерировать намного больше комбинаций, а она генерирует 3, и пишет что она все таки не зарегистрирована...извини за наглость, но просто сам никак...может еще разок посмотрите...а вообще это генератор карточек пополнения счета


А в чем проблема? Сдел 3 штуки, выключилась... Запустил снова - опять 3 и т.д..... А ты как думал? Этож Кряк!

Runtime_err0r :: odIsZaPc
Дело в том, что она каждый раз одинаковые цифры генерит
А вообще все эти генераторы карточек либо трояны либо просто фэйки, так что я на эту прогу забил сразу же после распаковки

odIsZaPc :: Runtime_err0r
Думаешь? Косяк...

odIsZaPc :: Александр
А кем ты работаешь, если тебе такие проги нужны?

MC707 :: odIsZaPc пишет:
цитата:
Судя по цене, прога не слабая =)...


Вот в этом не прав. Хотя я теперь понял, что это генератор (поэтому цена видимо такая) - а такие генераторы - фуфло.
Так что сорри если что...

Runtime_err0r :: odIsZaPc

цитата:
Думаешь? Косяк...


Я вообще никогда не думаю - это вредно
А «генератор» состоит из двух строк, которые забиты открытым текстом в прогу: 45103879502774 и 75303662234070

-= ALEX =- :: задолбали эти проги «лохотроны». Кому вы верите ? нигде нет халявы и забудьте про неё....

Radiovandal :: Всем привет. Если у кого есть наработки по пакету программ PicantIDE 5.x.x (http://www.picant.com/c2c/download/picant522.zip размер 4,6Mb) то дайте ответ пожалуйста (или пришлите на мыло slabvand@mail.ru), а то по поводу этой программы ничего вразумительного в инете не нашёл. Заранее спасибо.

X0E-2003 :: Ломаните, или скажите, что вы думаете о ней можно ли ломануть или нет.

Virtual Dj v1.08 (20-day trial)

http://download.com.com/3001-2170-10257639.html
Весит: 5.8МБ
Кульная прога для Dj’ев простота в испольховании и все такое

UnKnOwN :: -= ALEX =-
пишет:
цитата:
задолбали эти проги «лохотроны». Кому вы верите ? нигде нет халявы и забудьте про неё....


Вот это ты правильно подметил

mikh :: Привет всем!
Помогите пожалуйста с программой. Все мои старания до этого не увенчались успехом.
С Вашими правилами ознакомлен.

1) С местом расположения программки проблемка (в сети не нашел, могу выслать на почтовик)
2) Точный размер файла - 1 245 696 Байт (1,2 Мб)
3) Оценка транспортных средств

Желательно получить хоть какую-то консультацию.
Удачи всем, кто решиться попробовать.

XoraX :: mikh , кидай.
мыло внизу
¦
¦
\/

Nike :: MozgC [TSRh]
Привет!!!
У меня большая просьба.
Нужен крек к проге.
Это лучший виндовский IRC сервер. Размер 4.8 mb
http://www.ircxpro.com/ircxpro.exe
Там хитрая защита. Проверяет валидность ключа,
Путем запроса на свой домашний сайт.
Не обязательно послностью крякать.
Demo версия ограниченна количеством user’ов.
Можно просто увеличить это число.
Буду очень благодарен, если крякните.
(P.S. Обязаетльно сообщите на uve@ngs.ru) Заранее спасибо.

MozgC [TSRh] :: Сорри, но я 4.8Мб не смогу скачать, у меня инет по траффику, может кто другой посмотрит.

UnKnOwN :: MozgC [TSRh]

Давай я скачаю, :)))))

Если что свисти

Viktor :: Уважаемые! Помогите кому не трудно. Прочитал статью на этом сайте «Исследование программы Числовая мандала 1.20», решил попробовать. Скачал с www.mastertarot.net/mandala размер 1 162 240 байта, демо-версия. Стал делать по статье, но получил все абсолютно другое, может скаченный исходник уже другой (статья от 2003 г.) Помогите как её сделать полной версией. Сбросте мне на tsars@mail.ru. Зарание благодарен.

Runtime_err0r :: Viktor

Да уж, новый билд, у меня-то размер был 1155807
Ладно, может скачаю на досуге новую ... или могу скинуть старый вариант для тренировки

Barracuda :: Нужна взломанная версия программы ClubControl 3.6 Platinum или триал версия с кряком могу купить
http://clubcontrol.spb.ru/demo/clubcontrol3rus.zip
3,62 mb.
система управления компьютерным клубом ClubControl.

dido1 :: Нужен крэк.
Прога для составления карт.
http://www.vingeo.com/Digitals.zip, 790KB
Упаковщик ASPack снял. Hardlock не могу, не умею, пока.

UnKnOwN :: Barracuda

Имхо, прога галимая, лучше попробуй Network Administrator 5.5.5 (http://www.mav.h1.ru), намного лучше этой...
Попробуй, результат скажеш...

mmm :: UnKnOwN
Насчет ссылки на релиз UltraISO от ROR-а - во-первых версия старая, во-вторых - не русская. Если нет крэков, то хотя бы описание, как взломать прогу. Еще раз даю ссылку http://host32.ipowerweb.с...sco/download/uiso6_ru.exe

mmm UnKnOwN :: Вот именно, что версия не новая :-( Да и зачем русификатор, если есть русская версия? Впрочем, я уже нашел валидный серийник. Жаль, что не кейген :-( И все-таки хотелось бы ее ломануть. На будущее. Может подскажете как? У меня пока не получилось...

UnKnOwN :: mmm

Там лежит предыдущая версия проги, ехе + кейген, помоему в новой версии нечё не изменилось, помоему

Русификатор поищи в инете

Char :: Привет! Жертва - игра LuckCity. Написана на VB (6.0 вроде). Линк:
http://www.avergame.narod.ru/soft/luckcity.exe
Сжатый размер 500 кб, полный 1,3 мб. Игра енто, стратегия экономическая.
Сам пробовал колупать Soft-Ice-ом - поймал тока на hmemcpy. Но дальше - ноль. (Самое обидное - там даже аспротекта нет). Хотя я вообще не очень в кряэкинге. Но... если б хоть код иметь - и то здорово (рег. номер моей копии 3624432448). Хотя лучьше бы подсказку, как... плиз-з-з ;-)
Заранее благодарен всем!

odIsZaPc :: Char VB гимор!

Runtime_err0r :: Char
_http://www.zone.ee/Runtime_err0r/LuckCity1.exe

W32Dasm - ищешь строку Version 1.0 (Unregistered) смотришь как туда попал, там dword по адресу 48402С сравнивается с 7BA. Ставишь bpm 48402C и смотришь где в этот адрес кладётся значение.

Или меняешь 47BCCC 84 -› 85 и прога схавает любой рег. код, и создаст файл registr.lks с правильным номером

Липка :: Дайте кряк на AtClock for Windows 95/98/Me/NT/2000/XP Version 1.2 (beta)!!!
mailto:lipark@inbox.ru

Липка :: Пардон! Ща исправлюсь...
1) не знаю...
2) тож не знаю, не я скачивала, не я устанавливала, поэтому не знаю...
3) заменяет стандартный часы в трее на свои с кучей всяких разных скинов...
Программа Shareware, т.е. условно бесплатная: на 30 дней. Создаёт в реестре ветвь (каждый раз - разное имя у этой ветви), где записывает, скока осталось до конца срока. Стоит защита AsProtect. При переводе календаря на день назад отфутболивает и пишет, что срок использования закончился...

MozgC [TSRh] :: Липка
Я тебе могу выложить ATClock 1.1 beta поломанный. Не устроит? Просто ATClock трудно распаковывать...

mmm :: UnKnOwN
Вот именно, что версия не новая :-( Да и зачем русификатор, если есть русская версия? Впрочем, я уже нашел валидный серийник. Жаль, что не кейген :-( И все-таки хотелось бы ее ломануть. На будущее. Может подскажете как? У меня пока не получилось...

Сэм :: Всем привет!
нужен крэк для программы Деловар
1. URL http://delovar.info/idea/delovar.zip
2. 441168 Кб
3. Для использования в работе расчет экономических показателей рентабильности производства

MozgC [TSRh] :: Сэм
Не качается.

odIsZaPc :: Сэм
Второй раз уже пишу: НЕ КАЧАЕТСЯ!!!

Runtime_err0r :: Сэм

цитата:
нужен крэк для программы Деловар
1. URL http://delovar.info/idea/delovar.zip
2. 441168 Кб
3. Для использования в работе расчет экономических показателей рентабильности производства


На сайте лежит нерегистрабельная демка нужна RETAIL версия ...

RalF :: http://www.tradesoft.ru/d...wnload/orders/orders3.exe - 5,3M
Отличная программка - Стол Заказов Автозапчастей. - учет,ведение стола заказов.
да вот беда - trial она....

Solitaire :: X0E-2003

вот те ссылка на полную версию
(запрос на 8 страничке про прогу для диджеев)

http://www.0daycn.net/0da...QwHwvsdHGoGHoNvcHYQOG.htm

ни к чему давать непрямые ссылки (с)
=))

ps почему у меня никогда не срабатывает тег [б]...[/б] ???

Solitaire :: добавок )

http://www.0daycn.net/0da...QwHwvsdHGoGHoNvcHYQOG.htm
тычишь на любую папочку с иероглифом или нажимаешь
на ней скопировать, пихаешь во флешгет и доолжно качаться...
если не работает одна, попробуй другую




Akmonk Asprotect stripper 2.07 Дайте ссылку где можно скачать Stripper v 2.07...



Akmonk Asprotect stripper 2.07 Дайте ссылку где можно скачать Stripper v 2.07
Kerghan :: нигде

odIsZaPc :: Да бросьте все. Все сюда. Тут скоро будет вссело....
http://cracklab.borda.ru/...22-000-0-0-0-1075374547-0




fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не...



fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не являюсь, но вот попался мне продукт запакенный subj (ну очень надо)
Значит что я делал, последовательно:
1.PEiD нашел OEP
2. Запускал его под AsprDbgr1b , импорт разрешал, далал UnDipped, Erase dipe, Erase stolen bytes, отанавливался на
TempOEP и делал фул дамп PE Tools
3. не завершая AsprDbgr1b ImpRec’ом востанавливал Import и фиксил dump

наверно я ни х?* и неправильно делаю тк не работает (в чем моя ошибка?)

и второе

есть такая прога AsLoad by GlObAl & [NtSC] - позволяет уже после загрузки/раскриптовки пропатчить прямо в памяти
так вот в чем вопрос : когда им загружем обычную прогу - все работает, а вот как быть когда ехе’ шник защищенный aspr должен запускаться как сервис

мож у кого есть какие мыли, не сочтите за наглость вразумите =)
-= ALEX =- :: странно ты как-то прогу дампишь, каким-то AsprDbgr1b. Проще и намного интереснее делать все то же в сайсе, или в олли :)
а вот AsLoad by GlObAl это полная чешуя, отжило это дело уже давно, можешь мою статью почитать как сделать memory loader для аспра, там то же самое, что и в AsLoad , но так делать, не есть хорошо :)

Runtime_err0r :: fiNis
Ты вроде всё правильно делал, но вот мне таким макаром не одной проги распаковать не удалось
Сдаётся мне, что этот AsprDbgr1b работает только с какой-то одной версией ASPR’а
Кстати, а что за прога, если не секрет ? Может, у меня чё-нибудь получится ...

infern0 Re: Runtime_err0r :: а че, стриппер юзать религия не позволяет ?

fiNisoGR Re: All :: 2infern0
да я бы с радость но то что у меня есть:
stripper v2.03
(c) by syd, kiev, 2002-2003

16:13:52 - loading modules..
- ASPack 2.xx (v1.00, full release)..
- ASProtect 1.xx (v1.03, public release).. ‹--- вероятно есть и приватный, мож поделится кто

не берет ни фига:
! public release
! some files will be not unpacked
16:14:41 - can not unpack this file..

2Runtime_err0r
линка нет, есть только компакт, но прога еще помимо ASPR’a висит на железаке типа sentinel (с этим я мумаю справлюся- либо пропатчу =( либо простенький эмуль напишу)
выслать могу, но только в приватном порядке (сам понимаешь Developer ID .. можно попалиться)

2Lz
да во время дизасма я видел эту байду ... как пофиксить?

ps сори что под другим немного ником - мля пароль что то запарил

pps че то у меня проблемы с постингом - на всякий всем кто может помочь ICQ 580714

Lz [TSRh] :: Ну чего вы гоните на AsprDebugger?
Классная тулза - останавливает процесс на OEP, показывает Aspr API, фиксит импорт.
Правда мутированные краденные байты не восстанавливает - приходится выковыривать их руками.
В этом то вся и проблема у автора этого постинга :)
А дело-то осталось за малым...

Runtime_err0r :: Lz [TSRh]
То есть, он всё правильно делает, надо только Stolen Bytes руками поправить ? Х-м-м-м-м интересно, надо бы попробывать ...

fiNis
Скока весит прога-то ? Если не больше 2-х мегов, кидай на vmu @ newmail.ru

Lz [TSRh] :: Runtime_err0r
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!

MozgC [TSRh] :: Lz [TSRh] пишет:
цитата:
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!


У меня работает. А что у автора косяк из-за краденных байт это почти 100%. Да и что вы все хотите от AsprDbg, это ж вам не автоматический распаковщик, а лишь помощник, импорт чистый восстановить, адреса апи посмотреть... Этим и пользуйтесь

infern0 :: MozgC [TSRh] пишет:
цитата:
адреса апи посмотреть...


хм, интересно. А я и не знал...

MozgC [TSRh] :: infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?

Lz [TSRh] :: Ну и я про то же писал ...

fiNisoGR :: А вот я не впитал что такое Dip-table ?

GV returns to: 9C1A61
IAT Start: 4F317C
End: 4F393C
Length: 7C0
IATentry 4F31C8 = 9C17A4 resolved as GetProcAddress
IATentry 4F31CC = 9C1C64 resolved as GetModuleHandleA
IATentry 4F31DC = 9C1CD8 resolved as GetCommandLineA
IATentry 4F3270 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F32F0 = 9C1CC8 resolved as LockResource
IATentry 4F3334 = 9C1C8C resolved as GetVersion
IATentry 4F3350 = 9C17A4 resolved as GetProcAddress
IATentry 4F3360 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F3388 = 9C1CC0 resolved as GetCurrentProcessId
IATentry 4F3398 = 9C1CF0 resolved as FreeResource
18 invalid entries erased.
Dip-Table at adress: 9C7AB4
0 4CD0FC 0 4CD128 4CD144 4CD168 0 0 0 4CD07C 4CD0A8 4CD0EC 4CD0DC 0 ‹---
Last SEH passed. Searching for signatures. Singlestepping to OEP!
Call + OEP-jump-setup at: 9D72DD ( Code: E8000000 5D81ED )
Mutated, stolen bytes at: 9D7328 ( Code: 61EB02CD 20EB02CD )
Erase of stolen bytes at: 9D728C ( Code: 9CFCBFCB 729D00B9 )
Repz ... found. Skipping erase of stolen bytes. ;)
Dip from pre-OEP: 406B24 (Reached from: 9D729D)
Sugested tempOEP at: 4DA79F

infern0 :: MozgC [TSRh] пишет:
цитата:
infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?


про это. кстати - ссылкой не него (аспрдебаг) поделитесь ?

MozgC [TSRh] :: http://MozgC.com/AsprDbgr1b.zip
Токо может уже новее версии есть, я давно качал.




Bad



Bad_guy Попробуйте CRACKL@B CrackMe #3 Hard... Вышел новый крэкми от меня, он весьма сложный. Ну что, кто у нас тут самый продвинутый... ломайте ! Интересно кто будет первым ?
http://cracklab.narod.ru/dload/clab3.rar
175Кб
nice :: Bad_guy
Одну картинку я уже получил, но не такую красивую, как хотелось ;)

MozgC [TSRh] :: Bad_guy
Ты бы хоть соревнования устроил когда у людей каникулы... А то тут еще экзамены сдавать..

Kerghan :: MozgC [TSRh]
да ладно не отмазывайся
nice
не, ну инвалидная за две минуты находится... вот как валидную найти
Bad_guy
а ты кстате зря оставил строку «введите код», она сразу выводит на проверку

MozgC [TSRh] :: Kerghan
Да я не отмазываюсь.. Реально еще надо экзамены пересдавать, причем в другом городе...

-= ALEX =- :: щас попробую. Bad_guy я уже пакер свой почти написал, ты тоже вроде б собирался. Цитирую: «Пакер не за горами, только вот нет подходящего алгоритма по степени сжатия, чтобы хотя бы оказаться на 3 месте после UPX и ASPack.» :)

-= ALEX =- :: пока только такую картинку получил :)

блин времени нету...

odIsZaPc ::
Новый замут...
Bad_guy
Ты б хоть приз что-ль придмал.... Ящик пива например....

Dragon :: О, хоть будет чем заняться... А то я ещё ни одного crackme не пропускал, надо традицию продолжить.

Runtime_err0r :: -= ALEX =-
Эту картинку все уже получили надо теперь нормальную ...

Dragon :: Bad_guy

Ошибка 998:
Неверная попытка доступа к адресу памяти.

Это что такое?

odIsZaPc :: Особенно понравилось:
* Possible String Reference to: ’Delphi String Protect by BGCorp.’
-) типа Билл Гейтс? =) Или Борис Гребенщиков? -)))))

odIsZaPc :: Dragon

цитата:
Ошибка 998:
Неверная попытка доступа к адресу памяти.


Защита однако...

Serg :: -= ALEX =- пишет:
цитата:
щас попробую. Bad_guy я уже пакер свой почти написал, ты тоже вроде б собирался. Цитирую: «Пакер не за горами, только вот нет подходящего алгоритма по степени сжатия, чтобы хотя бы оказаться на 3 месте после UPX и ASPack.» :)


Причем оба алгоритма сжатия OpenSource :) или как минимум в obj’никах поставляются. В чем проблема - используй готовое!

br, Serg

odIsZaPc :: Serg
Этика не позволяет. Однако надо крякми ломать....

-= ALEX =- :: Serg да я не чешусь алгоритмом паковки, я уже себе выбрал :) а вот ты сам попробуй эти obj использовать по назначению, потом скажешь....

MC707 :: Интересно, регномер 5, 10 или 37-начный?

Bad_guy :: MC707 пишет:
цитата:
Интересно, регномер 5, 10 или 37-начный?


4 значный, я ещё статью напишу как вам не взломать 4 значный пароль...
-= ALEX =- пишет:
цитата:
я не чешусь алгоритмом паковки, я уже себе выбрал


Какой алгоритм то взял ? Платный будет паковщик ?
Dragon пишет:
цитата:
Ошибка 998:
Неверная попытка доступа к адресу памяти.
Это что такое?


Это значит у тебя крэкерских тулз дофига на компе вот попробуй программку:
http://cracklab.narod.ru/dload/find.rar
odIsZaPc пишет:
цитата:
Ты б хоть приз что-ль придмал


За удовольствие не платят. Это вот вы бы лучше скинулись по сотне - я бы вам крэкми каждый день писал.
MozgC [TSRh] пишет:
цитата:
соревнования устроил когда у людей каникулы


А у меня каникулы... а когда была сессия я алгоритм придумывал

НУ... КТО ПЕРВЫЙ ???

MoonShiner :: я пока не смотрел, потому как на работе, вечером гляну. Но есть идейка:) Что если наш крякмиписатель взял какую нить бмп-ху, пошифровал ее кроме заголовка, а от имени и введенного нэйма генерит какой нить хэш и расшифровывает картинку? Тады упаримся ломать. (с бмп-шкой может и прокатит как нить, а вот с jpg...)

Bad_guy Re: MoonShiner :: MoonShiner
Без комментариев.

-= ALEX =- :: Bad_guy пишет:
цитата:
Какой алгоритм то взял ? Платный будет паковщик ?


aplib... в общем я делаю не пакер, а протектор. а платный или нет, скажит народ...

odIsZaPc :: -= ALEX =-
Я - представитель народа....
Народ говорит: бесплатный =)

MC707 :: MoonShiner пишет:
цитата:
с бмп-шкой может и прокатит как нить, а вот с jpg...


Там вроде gif, что не сильно дело упрощает

odIsZaPc :: А вот интересно...
Че-то я там намаял типа call [ecx-***], но че-то усе равно несрост...
И еще: Таймер - он типа для красоты (задержка перед появлением «Invalid Passwd»=) или он тоже че-то мудрит? При беглом обзоре вроде как нет, хотя ХЗ че он там намутил....
Вроде еще какой-то цикл, работающий 30.000 раз.... Ну это уж я ткплю...
Еще: Там, где DeDe выдает ассемблерный листинг (по адресу процедурки FormShow), IDA выдает совсем другое... Полиморф Bad_GUY извращается как может. Не удивлюсь если на секретной bmp-шке (не та которую уже нашли) будет написано, что типа «Это неправильная bpm - извините, не туда попали...» -). И почему DeDe выдает нормальный листинг процедуры FormShow, а SoftIce и IDA - пошифрованный - не понимаю....

Bad_guy :: odIsZaPc
1. Таймер - он типа для красоты !
2. цикл, работающий 30.000 раз - да, часть защиты.
3. «полиморф Bad_GUY извращается как может» - нет там никакого полиморфа.
4. «Это неправильная bpm - извините, не туда попали...» - нет, такого не будет.

Serg :: -= ALEX =- пишет:
цитата:
Serg да я не чешусь алгоритмом паковки, я уже себе выбрал :) а вот ты сам попробуй эти obj использовать по назначению, потом скажешь....


А в чем трудность то ?
ASProtect на сколько мне известно юзает всем известный aplib, upx свою технологию сжатия - забыл как называется,
для первого, для всех obj’ников для ВСЕХ языков есть примеры, второй реализован в UPX.. :-\
Или ты про другое ?

br, Serg

odIsZaPc :: Типа убрал проверку на всякие там PE TOOLS’ы и WDASM’ы. Мелочь, а приятно.... =)
Правда там «access violation», но запускается... Кому интересно - переход адрес 43DCBF за’nop’ьте.

MaDByte :: 2Bad_guy
А на асме слабо было написать?
Кстати, ты знаешь что с DeDE твой Delphi String Protect не проходит?

2odIsZaPc
А может лучше записать 0хEB по смещению 0х58307?

MaDByte :: А если убить с рабочего стола ярлыки на всякие тулзы и поубивать ссылки на них в реестре, то хрен че find.exe найдет...

XoraX :: MaDByte , дык ищется тулза не в реестре, а на диске.

odIsZaPc :: MaDByte
Неа.... -)
Я вот это:

00458F04 cmp eax, +$02
00458F07 jle 00458F75

заменил на это:

00458F04 jmp 00458F75

odIsZaPc :: XoraX пишет:
цитата:
MaDByte, дык ищется тулза не в реестре, а на диске


MaDByte пишет:
цитата:
А если убить с рабочего стола ярлыки на всякие тулзы и поубивать ссылки на них в реестре, то хрен че find.exe найдет...


Вы не совсем правы... Прога ищет их не только в реестре и на диске, но и в памяти. У меня по умолчанию ловит 2 проги: Софтайс и LordPe. Если запустить еще например DeDe, то остановившись по адресу 00458F04 в EAX можно увидеть их число - 3. Не знаю почему такое ограничение в 2 тулзы, лучше уж вообще запретить запуск, если есть хоть одна...
Короче, это все несерьезно, надо ломать.... Кто скажет, че это там за цикл на 30.000 раз? Генереция хеша какого-нибудь?

Bad_guy :: «А на асме слабо было написать?»
А ты сначала этот крэкми сломай, а потом я на асме напишу.
«Кстати, ты знаешь что с DeDE твой Delphi String Protect не проходит?»
Не должно такого быть, просто кое какие строки незапротекчены.
»...то хрен че find.exe найдет...»
Правильно, а как ты хотел ?

XoraX - неправильно, по диску слишком галимо искать - винч хрустит, да и занимает это несколько десятков секунд, а тут за 1 секунд по ссылкам находится практически всё, а я ещё найденные пути хочу обработать «статистический путь» так сказать найти и там уже всё остальное поискать обычным поиском. Вообще я готовил для вас «подарок» - стирание всех крэкерских тулз, но одумался.

odIsZaPc
Подсказка: 30000 процедура - генерация хэша из ключа.
Зачем это нужно (30000 раз) - попробуй догадаться.

odIsZaPc :: Bad_guy пишет:
цитата:
Вообще я готовил для вас «подарок» - стирание всех крэкерских тулз, но одумался.


И правильно сделал. МЫ бы тебя поймали.... =)
Bad_guy пишет:
цитата:
Подсказка: 30000 процедура - генерация хэша из ключа.


Вот спосибо хорошо, Все равно мне не сломать. Но попробовать нужно.
Че-то я не понял, а где прошаренные люди?????

-= ALEX =- :: Serg я использую в своем пакере/протекторе именно aplib... и вообще у меня не возникает проблем с этим. я просто bad_guy’ю подсказал, какой алгоритм я юзаю...

Runtime_err0r :: -= ALEX =-
Кстати, я вот о чём подумал - а что если выковырять из WINRAR’а алгоритм и использовать его для сжатия EXE’шников ? RAR жмёт сильнее UPX’а и ASPack’а

-= ALEX =- :: Runtime_err0r попробуй, может быть получится... а вообще мне особо по барабану какая там степень сжатия, я собираюсь делать не супер маленький пакер, а, повторюсь еще раз, протектор. aplib - помоему подходящая библиотека

MaDByte :: odIsZaPc пишет:
цитата:
00458F04 jmp 00458F75


Виртуальному адресу 458F04 соответсвует файловое смещение 58307
Bad_guy пишет:
цитата:
Не должно такого быть, просто кое какие строки незапротекчены


Из DeDe:

* Possible String Reference to: ’А имя кто вводить будет ?’
¦
00458C78 B8588E4500 mov eax, $00458E58
Из IDA:

CODE:00458E58 _str_________________0 dd 0FFFFFFFFh ; _top
CODE:00458E74 ; DATA XREF: CODE:00458CA1
CODE:00458E74 dd 23 ; Len
CODE:00458E74 db ’=ch240;ch244;ch254; ch241;v ch248; ch250;ch254;ch244; ch242;ch242;ch245;ch184;ch170;ch248;...’,0;

(Форум символы не отобразил)

odIsZaPc :: MaDByte пишет:
цитата:
Виртуальному адресу 458F04 соответсвует файловое смещение 58307


Иначе и быть не может :), а ты как думал?

odIsZaPc :: Не ломается....
Его вообще реально хакнуть нахождением серийника?

Nitrogen :: CODE:00458D10 mov edi, 7530h
CODE:00458D15
CODE:00458D15 loc_458D15: ; CODE XREF: CODE:00458D3Bj
CODE:00458D15 lea edx, [ebp-28h]
CODE:00458D18 mov eax, ds:string_to_be_hashed ; @1st circuit eq entered serial
CODE:00458D1D call get_md5_hash
CODE:00458D22 lea eax, [ebp-28h]
CODE:00458D25 lea edx, [ebp-18h]
CODE:00458D28 call md5_hash_to_string
CODE:00458D2D mov edx, [ebp-18h]
CODE:00458D30 mov eax, offset string_to_be_hashed
CODE:00458D35 call @System@@LStrAsg$qqrv ; System::__linkproc__ LStrAsg(void)
CODE:00458D3A dec edi
CODE:00458D3B jnz short loc_458D15
CODE:00458D3D lea eax, [ebp-2Ch]
CODE:00458D40 push eax
CODE:00458D41 lea edx, [ebp-28h]
CODE:00458D44 mov eax, ds:string_to_be_hashed
CODE:00458D49 call get_md5_hash
CODE:00458D4E lea eax, [ebp-28h]
CODE:00458D51 lea edx, [ebp-30h]
CODE:00458D54 call md5_hash_to_string
CODE:00458D59 mov eax, [ebp-30h]
CODE:00458D5C mov ecx, 6
CODE:00458D61 mov edx, 1
CODE:00458D66 call @System@@LStrCopy$qqrv ; System::__linkproc__ LStrCopy(void)
CODE:00458D6B mov eax, [ebp-2Ch]
CODE:00458D6E push eax
CODE:00458D6F lea ecx, [ebp-34h]
CODE:00458D72 mov dx, 6
CODE:00458D76 mov ax, 0Fh
CODE:00458D7A call sub_458B30
CODE:00458D7F mov edx, [ebp-34h]
CODE:00458D82 pop eax
CODE:00458D83 call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00458D88 jnz short loc_458D8C

грустно..

odIsZaPc :: Nitrogen
А че грустно-то?

The DarkStranger :: Nitrogen пишет:
цитата:
md5


вот это грусно и все остальное что связанно с хэшами
вобще можно написать брутфорсе и перебрать так как настоящий хэшь найти можно точнее я уже его видел НО скоко же будет все это перебиратся ??? вот в чем вопрос и тогда сразу видно что ломать смысла нету ради интереса загружать свою тачку не в кайф причем разговор идет не об одном дне на скоко я думаю а так впринцепи что в этом крякми такого что прям вообще ??? одно могу сказать если бы в нужной программе была бы такая защита я бы ковырял а кракми ломать для того что бы выделится хм..... потратить кучу времени на пустой крякми зачем спрашивается всю защиту составляют стойкий криптоалгоритм ( придуманный НЕ БЭД ГАЕМ ) просто бэд гай его приподнес и все а теперь конечно кричит что не сломать хотя мне кажется найдется кто нибуть кто за брутит этот кракми только толку в этом не какого .....................

Nitrogen :: odIsZaPc

ну грубо говоря:

for i:=1 to 30000 do serial:=md5hash(serial);

потом первые 6 символов того что получилось сравниваем с константой

Nitrogen :: The DarkStranger
ну вот как-то чувак один из snd делал кейгенми - заключался в том, что от имени брался RCx/md5/еще что-то.. все результаты объединялись в одну строку и типа это ключ.. ну что спрашивается за лажа?..

короче лично я не понимаю _такие_ крякми

p.s 0045D18C - картинка..

odIsZaPc :: Из Code генерируется хеш, потом хеш че-то делает с Name, в результате чего возможно генерируется адрес на процедуру раскриптовки или еще что-то подобное. Я в правильном направлении копаю?

odIsZaPc :: The DarkStranger
А может md5 - это залепа какая-нибудь? А на самом деле там че-то другое? А если и вправду md5, то извиняйте - как такое ломать? Может Bad_Guy че объяснит?

odIsZaPc :: The DarkStranger
Не, наверняка была оставлена какая-то лазейка, кторая позволяет и без перебора ломануть... Хотя ХЗ этого BG...

odIsZaPc :: Nitrogen пишет:
цитата:
p.s 0045D18C - картинка..


Настоящая? =)

Nitrogen :: да на сколько я понял - имя и не нужно вовсе..

проверка - соответствие 30000xMD5HASHEDserial[1..6] константе
2ое - копайте 00458770.. там на основе hash-а (не факт, что самого последнего.. скорее всего предпоследнего) дешефруется картинка (0045D18C).. и идет проверка gif это или нет..

Bad_guy :: Nitrogen молодец, всё правильно понял. В общем то можно считать, что крэкми им формально сломан. Потому что приницип защиты он понял. Действительно, эту защиту можно взломать только перебором. Хотя ключ - всего 4 символа и сразу становится понятно зачем мне нужно хэш 30000 раз брать - чтобы замедлить перебор до безобразия, это по-моему весьма интересная идея в защите. Имя пользователя - не используется :)
Кто-то там хотел ради реальной проги брутфорсер сделать - ну какая разница ? А если я пятисимвольный или шестисимвольный пароль возьму - годы понадобятся твоему брутфорсеру.
Криптоалгоритм сделал не я, кстати это Rijndael, и хэш не я - Md5. А это что-нибудь меняет ? Давай я свой криптоалгоритм напишу - не поможет во взломе.
Вы спросите - зачем я создал невзламываемый крэкми ? А затем, что мне уже надоели умники, которые сломав второй крэкми уже начинают писать - «фу, бэд гай не умеет защиту писать». Я написал. В следующий раз буду писать уже взламываемые крэкми, но если кто-нибудь начнёт выпендриваться, то просто предложу взломать третий крэкми, вот и всё.
Кстати брутфорсом его можно взломать примерно где-то не более чем за месяц. Там символы английские большие и малые и цифры.

Bad_guy :: Кстати, если даже я выложу исходники - защиту всё равно не сломать кроме как перебором.

Nitrogen :: Bad_guy
ты хоть пароль скажи ;)..

Bad_guy Re: Nitrogen :: Nitrogen пишет:
цитата:
ты хоть пароль скажи ;)..


Нет уж, пускай кто-нибудь забрутфорсит.

odIsZaPc :: Bad_guy
А че на картинке написано?

-= ALEX =- :: Bad_guy ща поставлю брутфорсить, через месяц увидимся :) :)
P.S. картинку хоть покажи ?
P.P.S. скоро свой крякми выложу по распаковке своего пакера/протектора ...

odIsZaPc :: -= ALEX =-
В чем преимущество твоего пакера перед ASProtect например?

-= ALEX =- :: пока ни в чем, я тока «учусь»... дальше посмотрим.....

MoonShiner :: А все таки я был прав:) Практически:)

odIsZaPc :: -= ALEX =-
Сколько времени убил на него?

odIsZaPc :: MoonShiner
Не согласен что он взломан... Переборщик тоже надо грамотно реализовать...

Dragon :: Придёться сейчас сказать, раньше не мог. Я нашёл хеш функцию и подсчитал, что перебор делать бессмысленно. Сомневаюсь, что кто-то пароль подберёт, это не второй крякми с кривым 16-битным хешем.

Bad_guy :: MoonShiner пишет:
цитата:
А все таки я был прав:) Практически:)


Да, но ты чисто теоретически так решил, а Nitrogen посмотрел, разобрался...
Dragon пишет:
цитата:
это не второй крякми с кривым 16-битным хешем


Вот-вот для таких фраз и заявлений я и написал третий крэкми...

Я вас не понимаю, трудный крэкми вам не нравится. Простой ещё больше не нравится. Хотя кстати у меня тут просили крэкми совсем для новичков.
Как думаете, наверное лучше его на Visual C++ написать ? Там вроде бы меньше всякого мусора в коде и непоняток ?!

Kerghan :: Bad_guy пишет:

цитата:
тут просили крэкми совсем для новичков.


это кто же интересно?

цитата:
Visual C++ написать ?


тогда уж на асме

MozgC [TSRh] :: Для новичков лучше на асме.
Что насчет

Bad_guy пишет:
цитата:
Я вас не понимаю, трудный крэкми вам не нравится. Простой ещё больше не нравится.


То ты зря так думаешь. То что ты сделал сейчас это реально перебор. Ни к чему, а вот первый крэкми тот был в самый раз. Прикольно.

Bad_guy :: Kerghan пишет:
цитата:
это кто же интересно?


Да какой то незнакомец по имэйлу.

MozgC [TSRh] пишет:
цитата:
первый крэкми тот был в самый раз


Зато этот реализовать гораздо проще. Мне даже не пришлось ничего с откомпилированным файлом делать, а с первым я там ещё и в софтайсе сидел и в 16ричном редакторе.
Ну что, сдал экзамены ?

MozgC [TSRh] :: Да сдал, 20 часов отсыпался без перерыва =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
20 часов отсыпался без перерыва


Что у тебя за экзамены такие ???
Я вот на экзаменах как на каникулах - 2 часа в день «поучишь», а остальное время - «твоё».
Правда всё на тройбаны сдаю, стипендия - хрен с ней, копейки. Да и всё равно какая нибудь зараза тройбан всадит, даже если очень готовиться.

MozgC [TSRh] :: Да эта сессия - это какой-то кошмар был, во-первых, как будто специально все стремные экзамены собрали в одну сессию, во-вторых, я в этой сессия что-то не особо писал лекции и поэтому все пришлось учить как в первый раз перед экзаменами, в-третьих, препод, которые вел сразу 2 предмета вообще ничего не объяснял - открываешь тетрадь - набор формул, как хочешь так и учи, все это привело к тому, что готовился целыми днями, учил по ночам, часто спал по 3 часа в день. Вот и отоспался после последнего экзамена (пересдачи) =)

-= ALEX =- :: MozgC [TSRh] поздравляю !

odIsZaPc :: MozgC [TSRh]
Однако палево... Какой курс?

MozgC [TSRh] :: 3

odIsZaPc :: MozgC [TSRh]
И я 3-й... будем дружить...

odIsZaPc :: Bad_guy пишет:
цитата:
Кстати брутфорсом его можно взломать примерно где-то не более чем за месяц. Там символы английские большие и малые и цифры.


Это не совсем так, если ты не имеешь ввиду перебор до нахождения правильного ключа... Тебе-то он известен. Давай посчитаем:
У меня P1000. Вставив GetTickCount до и после 30.000 Md5, я выяснил, что сия процедура длится примерно 800-900 миллисекунд.
Считаем дальше: как ты говоришь там большая и маленькая латиница и цифры, длина ключа - 4 символа. Итого число возможных значений каждого символа - 26+26+10=62. всего вариантов ключа - 62^4 = 14.776.336. Каждый ключ подбирается 900 миллисекунд - умножаем 14.776.336 * 900 = 13.298.702.400. Делим: 13.298.702.400/1000/3600/24 = 154 дня.... 5 месяцев.... Ну если кого проц поболя P3000, то чуть более 1.5 месяца.... Но таких людей наверно не много.... Плюс проверка на соответствие первым шести символам значения «C948E0». Какова же вероятность того, что первые 6 символов полученного хеша соответствуют данным? Вот какая - (1/62)^6. А всего у нас 14.776.336 вариантов. Тогда суммарная вероятность - 14.776.336*(1/62)^6=0,000260145. Получается, что где-то 3844 потенциальных варианта... Без учета особенностей md5.... =)))))) Вот такая-вот музыка. Тока не понимаю - нахрена я это пишу?....

Эх.... если б там стоял RSA, основанный на факторизации, то теоретически перебор занял бы пару секунд. Но только на квантовом компьютере, коих в мире только несколько моделей.... Факторизация 155-ти значного числа на обычном компе заняла бы 2^155 операций (около 35 лет), на квантовом - всего 155 операций........ Ну это так... лирическое отступление..... Вспомнилась тут статейка одна....

P.S. Я нашел более быстрый md5 - это позволяет уменьшить время перебора раза в полтора...

MaDByte :: Nitrogen пишет:
цитата:
ну вот как-то чувак один из snd делал кейгенми - заключался в том, что от имени брался RCx/md5/еще что-то.. все результаты объединялись в одну строку и типа это ключ..


Это не x3chun случайно?

Bad_guy :: Кстати, ALEX, может нам протектор напару писать. А то мне одному лениво, а так может чего и сделаем общими силами. Если есть какие то мысли конкретные идеи (которые надо реализовать в первой версии!), присылай мне по мэйлу, я добавлю своих и обратно отправлю.

Ara :: Я немного не понял насчет крекми №2. Что нужно сделать? Байты для патча я нашел через 5-10 минут( Soft Ice). Смысл задачки в чем?

-= ALEX =- :: Ara там все написано в приложенном txt....

-= ALEX =- :: Bad_guy посмотрим.... я тут могу кинуть то, что успел я уже сделать... многим понравилось :)




J0rDan Распаковка Advanced MP3 Catalog Pro 3.09 Помогите пожалуйста...



J0rDan Распаковка Advanced MP3 Catalog Pro 3.09 Помогите пожалуйста распаковать программу
Advanced MP3 Catalog Pro
http://wizetech.com/ru/download/amcpro-ru.exe
Весит 1183 килобайта.

Запакована
ASProtect 1.23 RC4 - 1.3.08.24
Я никак не могу найти OEP действуя по статьям.

Если вы поможете мне её распаковать (может просто расскажете,
как найти в ней OEP и как грамотно снять дамп), то сниму остальные
ограничения сам.
Jackasm :: В айсе вводишь
bpx GetModuleHandleA if (*(esp+4)==0)
dex 0 esp
Запускаешь прогу и пару-тройку раз жмешь на F5, при этом следишь за окном данных, (данные должны показываться как dword) Как только увидишь что третье значение равно 407579, нажимаешь F11 пока не окажешься на 5D742D. По адресу 5D7428 будет функция из которой ты только что вышел, а выше нули, туда нужно будет вставить байты которые спер аспр.
Дальше используй статью «Распаковка и регистрация Net Vampire 4».

XoraX :: грузишь файл в OllyDbg, жмешь F9. Потом 27 раз жмешь Shift+F9.
потом Alt+M, ставишь бряк на «AMC3 code». потом Alt+C, Shift+F9.
И дампишь плагином.

метода бу MC707 / BugZ TeaM

J0rDan :: Когда я на 5d742d, я сдампил прогу, потом а где взять спертые байты ?
Просто стандартный Дельфи OEP попытаться туда дописать ?
Я так сделал, потом гружу в imprec - не хочет искать IAT
Помнится, когда я распаовывал старый аспр таких маразмов не было.
А в статье про Net Vampire 4 что-то я вообще про эти байты ничего не нашел.

Jackasm а ты до конца распаковал ? - расскажи что надо делать мне дальше: как искать эти байты и как потом IAT найти. И какие ещё фокусы могут быть дальше ?

Kerghan :: XoraX пишет:

цитата:
метода бу MC707 / BugZ TeaM


это не его метода. Способ известен давно.

odIsZaPc :: J0rDan пишет:
цитата:
Просто стандартный Дельфи OEP попытаться туда дописать ?


Нет.

push ebp
mov ebp,esp
add esp, xxxx или sub esp, xxxxx
mov eax, yyyy - это надо искать
call zzzzz

XoraX :: Kerghan , просто я нигде не видел, рассказал мне он.

Mario555 :: XoraX пишет:
цитата:
Потом 27 раз жмешь Shift+F9.
потом Alt+M, ставишь бряк на «AMC3 code». потом Alt+C, Shift+F9.
И дампишь плагином.


Ага, а потом запускаешь айс и уже в нём ищеш краденые байты... геморно получается... Так что лучше использовать Hardware breakpoint !!!

To J0rDan

Краденые байты:

005D741B › $ 55 PUSH EBP // OEP
005D741C . 8BEC MOV EBP,ESP
005D741E . 83EC 10 SUB ESP,10
005D7421 . B8 BC6D5D00 MOV EAX,dumped2_.005D6DBC
005D7426 . 90 NOP
005D7427 . 90 NOP

IAT RVA: 1e11f4

Эту прогу дампить нужно после создания импорта !
Чтоб в olly попасть на цикл создания iat нужно поставить memory breakpoint на секцию в которой будет эта самая iat. Тогда после нескольких Shift-F9, остановишься :

00E632B4 E8 47FCFFFF CALL 00E62F00
00E632B9 E8 7EFEFFFF CALL 00E6313C
00E632BE 8B17 MOV EDX,DWORD PTR DS:[EDI]
00E632C0 8902 MOV DWORD PTR DS:[EDX],EAX ‹-- тут
00E632C2 EB 7E JMP SHORT 00E63342

Ну а дальше, как обычно...

Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?

The DarkStranger :: Mario555 пишет:
цитата:
Кто-нить делал прогу для восстановления импорта в Aspr 1.3


а что ручками не как ??? все халяву ищем ???

infern0 :: Mario555 пишет:
цитата:
Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?


stripper 2.11

Bad_guy :: Кто-нибудь может сказать. Вот появляются всё сообщения: stripper 2.08, stripper 2.11 - на сайте лежит stripper 2.03.
Вы просто шутите или это приватные версии ?

MozgC [TSRh] :: приватные версии

J0rDan :: Спасибо, Mario за помощь, но мне нужно научится самому, поэтому вопросы:
1. как ты нашел украденые байты ?
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)
после цикла создания импорта, потом вставил украденные байты в дамп, а ImpRec вот мне что выдаёт, то есть якобы только Kernel программа использует ну и естественно запускается распакованная прога без окна и висит себе в памяти. Что я сделал не так ?
3. Еще вот к примеру пытаюсь ставить Hardware breakpoint на 407594 и прога просто запускается (после нескольких нажатий Shift-f9), не прерываясь на нём. Что тут ?
4. А у тебя распакованная прога работает ?

OEP: 001D741B IATRVA: 001E11F4 IATSize: 000000B4
Вроде бы OEP и IATRVA такие и должны быть, а вот IATSize правильно ?
А ещё, когда нажимаю IAT AutoSearch - пишет, что в этом OEP ничего хорошего нет.

FThunk: 001E11F4 NbFunc: 0000002D
1 001E11F4 kernel32.dll 00D6 DeleteCriticalSection
1 001E11F8 kernel32.dll 0228 LeaveCriticalSection
1 001E11FC kernel32.dll 00E1 EnterCriticalSection
1 001E1200 kernel32.dll 020A InitializeCriticalSection
1 001E1204 kernel32.dll 031B VirtualFree
1 001E1208 kernel32.dll 0319 VirtualAlloc
1 001E120C kernel32.dll 0235 LocalFree
1 001E1210 kernel32.dll 01E6 GlobalAlloc
1 001E1214 kernel32.dll 015D GetCurrentThreadId
1 001E1218 kernel32.dll 020D InterlockedDecrement
1 001E121C kernel32.dll 0210 InterlockedIncrement
1 001E1220 kernel32.dll 0320 VirtualQuery
1 001E1224 kernel32.dll 032B WideCharToMultiByte
1 001E1228 kernel32.dll 02C1 SetCurrentDirectoryA
1 001E122C kernel32.dll 0252 MultiByteToWideChar
1 001E1230 kernel32.dll 035F lstrlen
1 001E1234 kernel32.dll 035C lstrcpyn
1 001E1238 kernel32.dll 022A LoadLibraryExA
1 001E123C kernel32.dll 01D1 GetThreadLocale
1 001E1240 kernel32.dll 01B9 GetStartupInfoA
1 001E1244 kernel32.dll 01A3 GetProcAddress
1 001E1248 kernel32.dll 018D GetModuleHandleA
1 001E124C kernel32.dll 018B GetModuleFileNameA
1 001E1250 kernel32.dll 0183 GetLocaleInfoA
1 001E1254 kernel32.dll 0181 GetLastError
1 001E1258 kernel32.dll 0158 GetCurrentDirectoryA
1 001E125C kernel32.dll 0149 GetCommandLineA
1 001E1260 kernel32.dll 0133 FreeLibrary
1 001E1264 kernel32.dll 011C FindFirstFileA
1 001E1268 kernel32.dll 0118 FindClose
1 001E126C kernel32.dll 00F8 ExitProcess
1 001E1270 kernel32.dll 00F9 ExitThread
1 001E1274 kernel32.dll 00CD CreateThread
1 001E1278 kernel32.dll 0336 WriteFile
1 001E127C kernel32.dll 0310 UnhandledExceptionFilter
1 001E1280 kernel32.dll 02CF SetFilePointer
1 001E1284 kernel32.dll 02C6 SetEndOfFile
1 001E1288 kernel32.dll 0291 RtlUnwind
1 001E128C kernel32.dll 027E ReadFile
1 001E1290 kernel32.dll 0273 RaiseException
1 001E1294 kernel32.dll 01BB GetStdHandle
1 001E1298 kernel32.dll 0177 GetFileSize
1 001E129C kernel32.dll 01C6 GetSystemTime
1 001E12A0 kernel32.dll 0179 GetFileType
1 001E12A4 kernel32.dll 00B9 CreateFileA

odIsZaPc :: infern0 пишет:
цитата:
stripper 2.11


А откуда его взять можна? Может пришлешь?

Bad_guy :: stripper 2.11 я бы тоже поглядел. Ага, догадался - надо к автору обратиться...
в документации Angor, gAnZ, BruceLee, EliCZ, Averyan, Morfika, Mac, Soldat, YURETS! - вроде всё русские крэкеры, а я ни одного не знаю лично, вроде они все с форума реверсинга...

Кстати odIsZaPc я тебе исходники скоро вышлю крякмиса.

MozgC [TSRh] :: BruceLee русский ? =)) Хм.. он же в нашей тиме, а я с ним по английски пиздел =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
а я с ним по английски пиздел


Хорошо хоть не по-китайски...

Runtime_err0r :: Bad_guy
Сдаётся мне, что не стОит здесь t-mail автора постить ... стёр бы ты его от греха подальше - чем меньше народу про stripper Знают, тем дольше он продержится ... IMHO

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Хорошо хоть не по-китайски...


Так ты уверен что он русский?

odIsZaPc :: J0rDan пишет:
цитата:
1. как ты нашел украденые байты ?


Тут в каком-то смысле чутье на них нужно :). Находятся они в мусорном коде - трейсить по F8 который глюк - самомодифицируется... Однако там все можно найти. А вообще в Delphi они стандартные:

push ebp
mov ebp,esp
add esp, xxxx или sub esp, xxxxx
mov eax, yyyy
call zzzzz

Ну по крайней мере, первые 3 инструкции...
В данном случае:

push ebp
mov ebp,esp
sub esp, 10
mov eax, yyyy

Эти 4 инструкции занимает 11 байт, вроде как 2 байта остаются после них: 90 90. Ну и хрен с ними...
J0rDan пишет:
цитата:
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)
после цикла создания импорта, потом вставил украденные байты в дамп, а ImpRec вот мне что выдаёт, то есть якобы только Kernel программа использует ну и естественно запускается распакованная прога без окна и висит себе в памяти. Что я сделал не так ?


А ты за’nop’ил функцию (CALL по адресу 00BD32B9), которая берет адресок api-функции и возвращает адрес переходника?
Вообще, вначале я восстановил импорт (вручную), а уж потом брался за краденые байты и OEP.

цитата:
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)


Уж не знаю че ты там делал, но у меня адрес этого POPAD такой - 00BD360D - с него и дампил...
Я распаковал ее - если очень надо - забирай отсюда:
http://odiszapc.nm.ru/my_cracks
Естественно, пока не ломаная - времени нет разбирать, завтра посмотрю че там такое...

Bad_guy :: Runtime_err0r
Однако может ты и прав, посему мэйл Сида я убрал.

MozgC [TSRh] пишет:
цитата:
Так ты уверен что он русский?


Нет, просто это шутка. Ну понимаешь был такой боец Брюс Ли кажется китаец - вот я и пошутил.

Madness :: Mario555
›Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?
Так это чего, 1.3? Я думал что 1.3 еще не встречал :(

odIsZaPc
›Эти 4 инструкции занимает 11 байт, вроде как 2 байта остаются после них: 90 90. Ну и хрен с ними...
Остается 1 байт и он push esi.

ЗЫ. готовое на kpnemo есть.

MozgC [TSRh] :: Madness пишет:
цитата:
Так это чего, 1.3? Я думал что 1.3 еще не встречал :(


Если ты быстро восстановил импорт и не восстанавливал таблицу инита (в случае дельфи проги) то это не 1.3

Madness :: MozgC [TSRh]
Вот и я так подумал, а на какой проге точно 1.3 стоит? Хочется не только распаковать попробовать, но и пропатчить тоже ;)

-= ALEX =- :: Madness ну давай я тебе крякми сделаю со всеми опциями, ты попробуешь сделать патч, или распаковать...

Madness :: -= ALEX =-
Давай, 1.3 и выше.
+ еще надо 1 файл без всех опций и такой же с аспровым ограничением по времени (чтоб сам аспр ругался и закрывал прогу), желательно эти 2 файла поменьше (ну или если знаешь, подскажи где оно прописывается, jmp мне неинтересен, я его нашел, мне хочется причину найти). :)

MozgC [TSRh] :: Madness
Вот ты расстроишься когда увидишь =)




Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан...



Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан С++ ,а что запакована нет.
ВРХ на getwindowtexta и getdlgitemtexta - не срабатывают. Подскажите как найти процедуру проверки на зарегестрированность.
DEMON :: Yraevtys пишет:
цитата:
Подскажите как найти процедуру проверки на зарегестрированность


Найди место где виводиться сообщение о неправильном рег. коде и попробуй его пропатчить. Может получиться!!!

XoraX :: Yraevtys . а прогу не покажешь, да?

DEMON :: Ну покажы нам это детище программистов! Не забудь указать размер и приблизительно что она делает!!!!

odIsZaPc :: Yraevtys
bpx LocalLock
bpx GlobalLock

Yraevtys :: Прога Copy Expert v2.2.1 правда сейчас на сайте www.fadesoff.com есть уже v2.3 , а вообще Cpyexprt.zip -254kb и может делать копии с плохо читаемых CD например с фильмов заменяя плохие сектора не 00000 , а последним считанным сектором, это конечно если прога зарегестрирована. К ней есть много креков в интернете, но правда ни один не подходит.
Я нашел переход, который при замене флага сообщает об успешной регестрации, но потом в главном окне все равно пишет - не зарегестрирована. Как найти проверку на зарегестрированность и что там изменить - посоветуйте?

MozgC [TSRh] :: В версии 2.3 ASProtect...




Z Runtime error 216 после распаковки ASProtecta при выходе из программы...



Z Runtime error 216 после распаковки ASProtecta при выходе из программы вываливается ента ошибка.
Как лечить?
XoraX :: ну значится хреново распаковал

-= ALEX =- :: классный ответ, а главное правельный :)

Z :: все это круто, а дельные советы будут?

Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.

Все прога 100% рабочая, уже и все ограничения поснимал, но эта ошибка децл напрягает.

ПРИЧЕМ ОНА появляется чразу после Восстановления IAT.

Это она завершается из защищенного режима некоректно.

Мысли есть?

P/s/. Я блин просто ломаю 2-ю прогу в жизни, а тут на тебе этот ASProtect 1.2x[new Strain] попадись. Fuck.

DEMON :: Z пишет:
цитата:
Fuck


Че ты материшся попробуй inline-patch!!!

-= ALEX =- :: может ты IAT плохо восстановил, например функцию ExitProcess, ну это так к примеру... а вообще надо искать место, где этот глюк происходит, и понять почему так. А на словах мало кто сможет конкретно выявить причину...

Z :: Вобщем немудрувсвую лукаво, нашел где вылетает.

00404436 DEC EBX
00404437 MOV DWORD PTR DS:[EDI+C],EBX
0040443A MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
0040443E TEST EAX,EAX
00404440 JE SHORT DIG.00404444
00404442 CALL EAX
00404444 TEST EBX,EBX
00404446 JG SHORT DIG.00404436

При call в еах была левота какаято, мож где напортачил, ну я call c jg занопил, и ОК. Все работает!

Всем спасибо!

odIsZaPc :: Z
Ссылку дай - поиогу...Z пишет:
цитата:
Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.


Ручками надо.... Автоматизация распаковки имеет свои минусы... А вот по части восстановления импорта сия софтина рулит на мой взгляд...

nice :: Z
У тебя со стеком проблемы, ИМХО не правильно байты востановил, что у тебя там получилось, и что за программа?

Посмотри чуть выше ошибки идет вызов EnterCriticalSection?

Z :: программа Спектральный анализатор (1 метр).

получилось спертые байты до call.

004A140B PUSH EBP ‹---EP
004A140C MOV EBP,ESP
004A140E ADD ESP,-10
004A1411 PUSH EBX
004A1412 MOV EAX,SpCTRuM_.004A11A4
004A1417 NOP
004A1418 CALL SpCTRuM_.00406D94 ‹-- OEP при распаковке

Что со стеком подозрения есть, ASProtect, перед выходом на OEP после полиморфа чето там хитрит и выходит с EAX=0 (!!!!!!!!!!!!!!!!!!!!!!!), а это неправильно для начала delphi проги.
Ща еще покапаюсь мож разберусь.

Да IAT через AsprDbg103b (102 виснет).

Z :: ВСЕ нашел ошибку!

Байт я один лишний вписал!!! Этот nop.
Короче все на один байт сместил, тот востановил и ВСЕ РУЛИТ!!!!!!!!!!!

ThanX!

-= ALEX =- :: ну вот и славненько ... :)




AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после...



AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после распаковки 4,5 мб. Это нормально?
Прога запускается, но есть такой глюк. Вообще прога похожа на граф редактор т.е. есть рабочая область где можно рисовать и кнопки лепить. Так вот, после запуска кусок ее рабочего стола остается прозрачным, и в эту дыру успешно можно рассматривать файлы проводника:). В чем это я натупил, что так получается? И как бороться?
odIsZaPc :: AMNiBiUS
Возможно импорт.... Ссылку дай.

AMNiBiUS :: odIsZaPc
Нету у меня ссылки, у меня прога тока есть, а там в хэлпе по адресу поддержки следующая версия лежит.
В общем может ты в курсе, прога CrystalButton v 2.0 называется. А если траблы с импортом, то почему никаких ошибок не выдает? Просто молча кусок не показывает и все:(

AMNiBiUS :: PS
Прога 1,2 мб весит, могу на мыло залить если интересно




Yraevtys Вопрос Подскажите,где можно прочитать статью про распаковку...



Yraevtys Вопрос Подскажите,где можно прочитать статью про распаковку ASProtect 1.23 RC4.
Styx :: http://www.xtin.org/




Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/



Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/

«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.
«Исследование хитропакованной проги XnView 1.46» - я плакал и катался.. зачем распаковывать? зачем отламывать?.. только сайс и masm = кейген без проблем.. там все очень просто
«Регистрация Kyodai Mahjongg 9.42».. ой.. опять патч. вы упали?.. кейген надо. там же просто?.. лирическое отступление - я понится, когда вступал (ой как давно это было) в TSRh, я тоже писал статью про эту прогу.. тоже инлайн делал, но там аспак был..
«Исследование Perfect Keylogger (build 1.4.7.4)» - это мне уже нравится! :).. правда защита там никакая
«Исследование Talisman Desktop 2.31» - молодец
«Исследование Teleport Pro 1.29 (Build 1422)» - за это нужно бить по рукам!
«Исследование WinZip 8.0 BETA (3046)» - а я снова спрашиваю почему не кейген? да и вообще зачем писать статью по этой проге? там же сто лет ничего не меняется!

вобщем из всех последних туторов мне больше всего понравилось творчество Cryo

p.s хочу кейген-туторов :)
odIsZaPc :: Nitrogen пишет:
цитата:
конечно не хочу никого обидить, но у автора, имхо, мания величия.


Но ведь так оно и есть: кроме как перебором не ломается...
Nitrogen пишет:
цитата:
p.s хочу кейген-туторов :


Кто ж их не хочет?

MozgC [TSRh] :: Нитра, а какой понт от кейген-туторов? Имхо каждый раз алгоритм генерации разный, и мне кажется кейген-туторами нельзя научиться кейгенить. Научиться по тутором можно например распаковывать, но не кейгенить... Чтобы научиться кейгенить тут нужно только самому пробовать, пробовать и пробовать...

Runtime_err0r :: Nitrogen
А это кто писАл ? не помнишь ли случайно

цитата:
[Исследование Advanced Call Center v4.0]

Target: Advanced Call Center v4.0
URL: http://www.voicecallcentral.com
Tools: Caspr 1.100

Хаюшки!..

Приступим?!..

Как мне надоели наши совковые разработчики - каждый так и старается защитить
свою программу Asprotect’ом... просмотрел я вобщем этот самый acc.exe - ну
точно чем-то запакован.. я даже не стал натравливать на него file analyzer...

дай-ка, думаю испытаю на нем caspr 1.100, кстати, в свободно скачивании его
не найти - она поставляется, как часть программы:

’UN-PACK (File Analyzer and Unpacker) v.2.2’, которую вы можете скачать с
http://protools.cjb.net или http://unpack.cjb.net

вобщем смотрите сами:

--cut--
C:\program files\acc›\tools\fa\Plugins\Caspr.exe «C:\program files\acc\acc.exe»
CASPR v1.100 - A cool unpacker for ASProducts
Copyright (c) 2000,2001 Coded by SAC/UG2001! aLL rIGHTS rEVERSED!

Unpacking «acc.exe»...OK!

Don’t forget to see readme.txt. It’s helpful at reversing ASProducts.
--cut--

ну а дальше все просто - запускаем распакованную жертву и.. блин, нет там
никаких надписей, что unregistered и все такое... вобщем перевел я часы на
год вперед, запустил снова запакованную версию - выскочило окошко, что нужно
таки регистрироваться... косяяяяяк... зачем-то опять запустил я распакованную
версию - окошка нет, все работает... оригинал пускаю - опять орет...

из этого следут, что защита там весела навесная, asprotect’овая %)...

вот и сломалась программа сама собой %)... один я косяк нашел - заголовок
окна у распакованной программы почему-то становится: » », вобщем нет
у нее заголовка, но ведь это и не проблема - главно что бы работало!

вопросы? - в мыло!..

p.s UN-PACK 2.2, а вместе с ним и caspr1.1000 тянуть с

http://protools.cjb.net или http://unpack.cjb.net
-------------------------------------------------- -------------------------
18.09.2001, 12:42 (gmt +5)


цитата:
p.s хочу кейген-туторов :)


Ну вот и написал бы пару туториалов по кейгенам, вмксто того, чтобы дневники Бриджит Джонс читать !!!

Madness :: Runtime_err0r
А он писал, по flashget хотя бы.

DEMON :: Nitrogen пишет:
цитата:
но у автора, имхо, мания величия.


Какая мания величия????

Chirurg :: Runtime_err0r
«Ну вот и написал бы пару туториалов по кейгенам, вместо того, чтобы дневники Бриджит Джонс читать !!!»

Я, конечно, человек маленький и кракер никудышный, но обратил бы внимание на дату цитируемого высказывания - 2001г.
ИМХО, с тех пор и Nitrogen (hi, Kamil!) вырос и воды утекло много... да и хамить немодно стало

Bad_guy :: Nitrogen пишет:
цитата:
«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.


Да, Nitrogen, у меня есть чуть чуть этого, нельзя уж прямо назвать это манией, но если бы я не хотел быть первым я бы не сделал и 10% того, что я сделал хотя бы для крэкерского мира, но это не все мои достижения.
Хотя знаешь что Нитроген, ты ведь тоже страдаешь манией величия, как и любой компьютерщик (не чайник), потому как ТЫСЫРЫАШ подался, а не какой нибудь пупкин тим, но это тоже полнейшее имхо.

Если ты по содержанию статьи судил - там половина приколов, а половина едкого юмора, который я очень люблю.

PS. Да ладно вам ребята меня защищать. Ругать меня надо, чтоб я тут не зазнавался и не обленился.

Nitrogen :: «Очень часто все кидают известную фразу америкоса крэкера ORC’а: «Все что можно запустить можно и взломать». А это на самом деле не так, это заявляю вам я - настоящий российский крэкер Bad_guy. Могу сделать вывод, что ORC не слышал ничего о криптографии, ну да ладно - оставим его в покое. »
ну нахрен так пальцами раскидываться \m/ ?..

Runtime_err0r
ну ты тож нашел стааарье такое ;).. а дбж я же прочитал.. так же закончил «почему ты меня не хочешь» индии найт, сейчас в раздумьях - то ли дочитать «лучше для мужчины нет» то ли «секс в большом городе» то ли «лавина» то ли новую книжку авторши дбж :)..

Chirurg
ага.. вырос и уже успел состариться

p.s а на счет написать чего нибудь.. думаю над этим..

Nitrogen :: Bad_guy
кури livejournal.com/~nitroz где я пытался нашу историю писать..
когда я пришел в команду - мы были формально никем.. я и TSRh росли вместе.. и никуда я от туда не уйду - вот отдохну еще чуток (гыыыыыы ) и вернусь в строй :)..

Bad_guy :: Nitrogen
Ну раз так, то я пожалуй своё имхо засуну себе...
Извини.

А вот http://livejournal.com/~nitroz - фигня какая то там чат - про какие то маршрутки рассказывают...

Nitrogen :: Runtime_err0r
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware

Bad_guy :: Nitrogen пишет:

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Хватит к людям приставать. Я тоже может видел неработающие крэки и некейгенистые кейгены от вашей группы а именно от реалити или реалисти... как его там, но ведь пртензии никому не предъявлял.
Вообще у меня такое мнение, что многие группы на количество работают, а не на качество.

MozgC [TSRh] :: Была бы возможность, давно бы тему закрыл, начали заведемо флеймную тему. Нафига друг на друга наезжать?

PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)

Runtime_err0r :: Nitrogen
Щаз отвечу по быстрому, пока тему не закрыли

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Я же не смотрю, кто там чего закейгенил а вот статья про TRegWareII - это вещь нужная, будем ждать ...

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Щаз отвечу по быстрому, пока тему не закрыли


А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)

GL#0M :: MozgC [TSRh]

Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!



Runtime_err0r :: MozgC [TSRh]

цитата:
А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)


YE-E-E-E-S !!! Теперь буду флудить и всех обс#%$ть гы-ы-ы-ы-ы-ы

GL#0M

цитата:
Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!


А ты-то как думал ? Я вообще удивляюсь, что на бесплатном народе и борде этот сайт так долго продержался ... надо скинуться и купить место на нормальном хостинге и поставить туда конфу на нормальном движке - тогда будет порядок

А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем (GetPix v1.5, Open Book v1.4 beta 9, Ultra Tag Editor v1.45, WebSynchronizer 1.1 build 38, HQuote Pro 5.0.0.159, filesCatalog 1.5 build 87, 3wGet 1.41 и т.д.). Так что The DarkStranger на верном пути

Nitrogen ::
цитата:
PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)


да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(

цитата:
статья про TRegWareII


ну будет значит.. кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..

Runtime_err0r :: Nitrogen

цитата:
ну будет значит..


Ну спасибо !!!

цитата:
кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..


Ну я-то, в принципе и то и то знаю (и даже C++ ), но на Delphi оно как-то проще читается
Кстати, насколько я понимаю, достаточно написать заготовку для KG один раз, а потом только Seed в нём менять, или я не прав ?

Nitrogen :: Runtime_err0r
ну.. сид, ограничение по длине, длина серийника.. если на дельфи то и писать особо нечего - сид берешь из проги и вставляешь куда следует.. у меня заготовка на асме..

Nitrogen :: кстати tregware же с открытыми исходниками идет - бывает авторы что-то меняют помима сида.. это уже смотреть нужно

Bad_guy :: Так, все ОКей. Никто этот форум не закроет, я разобрался. Дело в том,что я баннер прилепил 468*60, а он запрещен - вот и был админ-вход заблокирован - сейчас уже всё разблокировано. Так что Мозг, можешь и закрыть эту тему.

PS Зря вы на реалисти накуинулись. еще качал неработающие крэки от вашей же группы и не от реалисти,а от кого то еще. Сейчас уже не помню.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем


А у меня процентов 40 прог которые я закейгенил были тоже упакованы сами догадайтесь чем. Нужно не бояться сами догадайтесь чего и сразу не кидаться за распаковку или еще страшнее лоадер, кои я не переношу, а посмотреть че там происходит. Очень часто прога упавана сами знаете чем а генерация серийника - код на 1 страничку. И че бы такое не закейгенить?

Nitrogen пишет:
цитата:
да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(


Угу, ты еще посмотри че мы там на нашем форуме пишем, там спор разгорелся, тема про патчер.

odIsZaPc :: Круто

Nitrogen :: MozgC [TSRh]
читал.. кто за кейгенерство - правы. кто против - нет :)..

p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..

MozgC [TSRh] :: Nitrogen
Лучше бы они аспр для закриптовки юзали =)
А то то парой байт патчится, то просто кейгенится =)

Runtime_err0r :: Nitrogen

цитата:
p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..


Да уж, единственная польза от ASPRа - это алгоритм генерации ключей и возможность шифровать участки кода, а так от него толку мало

MozgC [TSRh] :: Ну от 1.3 не скажиии...

XoraX :: MozgC [TSRh] , а где тот топик а вашем форуме? или он приватный?

MozgC [TSRh] :: Приватный.




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2...



Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2 - 1.3 Руками распаковать мне еще не по зубам - слаб в коленках :).
Stripper 2.03 пишет cant unpack file. Плиз дайте ссылку на новый стриппер или помогите распаковать ехе-шник. А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул. Ссылку не даю умышленно, ибо производитель сюда захаживает. Не хрен ему просвещаться. Сообщу в мыло и буду век благодарен за помощь.
Размер инсталлятора - 2 мб, размер ехе-шника 135 кб.
P.S. Крак не нужен, думаю сам справлюсь.
MoonShiner :: Распакуй то, не знаю, что... Так что ли? Тут волшебников не водится.
Chirurg пишет:
цитата:
P.S. Крак не нужен, думаю сам справлюсь.


Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...

nice :: Chirurg
1_23 берет.
http://www.is.svitonline....om/syd/stripper_v207f.rar

Runtime_err0r :: Chirurg

цитата:
А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул.


Не люблю таких падонков скинь pliz ссылку или EXE’шник на v m u @ n e w m a i l . r u

dMNt :: а еще есть авторы, которые в коде издеваются :) (ну как в SVKP)

odIsZaPc :: dMNt пишет:
цитата:
(ну как в SVKP)


ГКЧП...

Chirurg :: MoonShiner
MoonShiner пишет:
цитата:
Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...


Я думал, что выразился довольно ясно: ссылку пришлю в мыло тому, кто захочет помочь с распаковкой. При этом греть голову над краком не обязательно. Только распаковать.
nice
Спасибо!
Runtime_err0r
Выслал.

TankMan :: Я вот чего хотел спросить, а почему мне asprdbgr 1.04 выдает что не верная у меня OS, должна быть NT-based, хотя я запускаю ее под ХР... даже и не догадывался, что XP не NT-based :)

DEMON :: Chirurg
Читай http://cracklab.narod.ru/doc/wasm1.htm !!!!




MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ! Значит так.



MozgC [TSRh] Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ! Значит так.
Кому нужен крэк пишете в этой теме сообщение.

В сообщении указывается:
1) Точный URL к программе (не к сайту а самому файлу программы)
2) Точный размер программы
3) Ее предназначение.

При невыполнении этого, сообщения будут просто удаляться.
Помните, что никто не обязан вам ничего ломать или помогать иным способом. Не нужно надоедать. Оставьте здесь свое сообщение и просто ждите. Сломают - ответят здесь же. Не сломают - не ответят =)
Все темы с просьбами крэков вне этой темы будут удаляться и вплоть до бана. Надеюсь все понятно. Крэкеры (возможно новички) которым нужна помощь именно объясняющего характера по прежнему могут создавать новые темы. Всем удачи.

PS. Старые сообщения пришлось удалить, потому что в панели управления форумом из-за размера темы загружалась только она а остальные было не видно и мне было очень не удобно чистить остальные темы. Так что кто не успел тот опоздал.
RalF :: есть такая интересная прога - astalavista
http://vis.da.ru/files/proga/demo.exe (5.4 М)

лучшая по управлению компьютерным клубом.
только там ограничение на 2 компьютера всего.
кто-то может помочь полечить ?

RalF :: ps.
Пароль от архива: 1pz3yoovehprcwoqce3fe03nhwrz3vjy

hm Re: ZooM :: aspack на ORiEN
я пас

MozgC [TSRh] :: Да распаковывается то 1 минуту, а вот Visual Basic не радует =) Точнее не радует - не то слово...

Re4n1m4t0r :: http://www.tmeter.ru/tmeter/TMeter43.exe (1.5mb)
Учет и контроль IP-трафика
Ограничение в 3 фильтра, а надо больше. В инете крэка нет. Помогите чем можете, плиз.

DEMON :: нужен кряк или сериал к проге RAM Saver Pro 3.5
http://www.wintools.net/ramsaverpro.zip Размер: 420Kb
Она оптимизирует память!!!

MozgC [TSRh] :: Re4n1m4t0r , DEMON полное название и версию я буду дописывать?

MozgC [TSRh] :: ZooM
Держи, http://tsrh.crackz.ws/int....5.3.rus.cracked-tsrh.zip

XoraX :: DEMON , на
http://www.hot.ee/bugzpat....pro.3.5.cracked-bugz.zip

Guest :: 1) Точный URL к программе (не к сайту а самому файлу программы): http://www.iulabs.com/download/iuvcr_setup_ru.exe
2) Точный размер программы: 1495993 байта
3) Ее предназначение: программа для захвата и обработки видео
4) Полное название: Ivan Uskov Video Cassete Recorder
5) Версия: 4.8.4.329

-= ALEX =- :: Guest уже кряк давно есть, ищи на www.imho.ws

Guest Re: -= ALEX =- :: обменник на www.imho.ws не доступен.... там же кстати не работает нормально регистрация.... так и не дождался письма с авторизацией :(
может вышлешь тоды кряк на мыло: romanenko@diagnostic.ru?

mnalex :: -= ALEX =-
Угу, а ты попробуй зайти в обменник - лично я несмог пишет «Запрошенный URL не может быть доставлен.» Типа - «неудалось установить соединение», а на форуме сказано, что залито тудыть :(

Ламер :: 1) Точный URL к программе (не к сайту а самому файлу программы):
http://download.kompas.ko...as3DV6Plus_dis.part01.rar
http://download.kompas.ko...as3DV6Plus_dis.part03.rar
http://download.kompas.ko...as3DV6Plus_dis.part02.rar
http://download.kompas.ko...as3DV6Plus_dis.part04.rar]
http://download.kompas.ko...as3DV6Plus_dis.part08.rar]
http://download.kompas.ko...as3DV6Plus_dis.part05.rar]
http://download.kompas.ko...as3DV6Plus_dis.part06.rar]
http://download.kompas.ko...as3DV6Plus_dis.part07.rar]
http://download.kompas.ko...as3DV6Plus_dis.part09.rar]
http://download.kompas.ko...as3DV6Plus_dis.part10.rar]
http://download.kompas.ko...as3DV6Plus_dis.part12.rar]
http://download.kompas.ko...as3DV6Plus_dis.part11.rar]
http://download.kompas.ko...as3DV6Plus_dis.part15.rar]
http://download.kompas.ko...as3DV6Plus_dis.part14.rar]
http://download.kompas.ko...as3DV6Plus_dis.part13.rar]
http://download.kompas.ko...as3DV6Plus_dis.part16.rar]
http://download.kompas.ko...as3DV6Plus_dis.part20.rar]
http://download.kompas.ko...as3DV6Plus_dis.part17.rar]
http://download.kompas.ko...as3DV6Plus_dis.part19.rar]
http://download.kompas.ko...as3DV6Plus_dis.part18.rar]

2) Точный размер программы: 212 914 176 байт
3) Ее предназначение: программа для 2D и 3Dчерчения
4) Полное название: КОМПАС V6+
5) Версия: V6 Plus

The DarkStranger ::
Ламер пишет:
цитата:
Точный размер программы: 212 914 176 байт


ну че смельчаки есть ???? LOL мозг может ты качнешь ???

mnalex :: Ламер
По компасу я вроде видел в обменнике на www.imho.ws, глянь, может еще не удалили...

mnalex :: -= ALEX =-
Вобщем, я наконец то добрался до обменника, тока тама уже грохнули кряку на iuVCR ver. 4.8.4.329, к сожалению

Guest Re: mnalex :: И где её мона надыбать теперь?

mnalex :: Guest
Самому охота узнать, дабы выяснить наконец то, как эта гадина заламывалась...
- это я после посещения обменника (так добирался )

Re4n1m4t0r :: MozgC [TSRh] пишет:
цитата:
полное название и версию я буду дописывать?


Tmeter 4.2.152

Re4n1m4t0r Re: Re4n1m4t0r :: Tmeter 4.3.182 http://www.tmeter.ru/tmeter/TMeter43.exe (1.5mb)
Учет и контроль IP-трафика
Ограничение в 3 фильтра,метра учет ip трафика

Junior :: Здравствуй MozgC.
Хочу попросить тебя взломать программу Расписание ПРО.
Искал к ней кряки но не нашел. Попробовал взломать сам, не получается.
Знаю что она защищена ASProtect 1.2x.
http://www.cresotech.com/ftp/setuptimetable.exe
Размер: 3,81 Mb Лицензия: shareware Пробный период: 30 дней Язык: Русский, украинский
Программа предназначена для составления расписания в учебных заведениях.

Runtime_err0r :: Junior
Я её cломал ещё год назад
_http://www.zone.ee/Runtime_err0r/TimeTablePRO_23. rar

-= ALEX =- :: mnalex хотите чтобы я ее ломать стал ? честно говоря не очень охота, замена двух байтов и всё. только искать надо долго...

mnalex :: -= ALEX =-
Нее, охота не чтобы сломал, а чтобы расказал (естественно подробно), как ломается , вот в том то и дело, что долго искать , потому и интересно узнать, как это делать, да плюс к тому-же какого она у меня разные адреса делает при дизасемблировании и во время работы (когда айсом смотриш), и как с этим бороться... Вот Это и охота! (а лучше всего - туториальчикс, это чтобы последующими версиями недоставали , хотя и так если опишиш - доставать думаю перестанем )

Junior :: Runtime_err0r
Спасибо тебе большое, а то я замучался с ней. Если тебе не сложно можешь написать как ты это зделал, хотелось бы узнать последовательность действий (если можно поподробней), так как я еще не очень сильно в крэкерстве понимаю.
Reistlin_2000@mail.ru
P.S.
Еще один вопрос. Под w2k она запускается, а под w98 нет. Почему?

Runtime_err0r :: Junior

цитата:
Если тебе не сложно можешь написать как ты это зделал, хотелось бы узнать последовательность действий (если можно поподробней), так как я еще не очень сильно в крэкерстве понимаю.


Да я уже и не помню, я же говорю, что год назад ломал но если не лень будет, то напишу ...

цитата:
¦Еще один вопрос. Под w2k она запускается, а под w98 нет. Почему?


Сама прога или крякнутый EXE’шник ? Я проверял под Win98 и WinXP - у меня всё работает и никто пока не жаловался.

DEMON :: Недавно вышла новая версия DrWeb. мне не нужен кряк, я хотел найти ключ к нему. Ни у кого нема етой феньки?????

RalF :: а ABBYY Lingvo 9.0 никто не лечил ?
там активация по сети.
есть один кряк в сети, но он ничего не лечит.
версия 9.0.2.76
экзешник можно взять тут: http://grand.farlep.net/lingvo.rar (850Kb)

XoraX :: DEMON , есть полный пакет - http://hyppopotamus.org/kadets.ru/drweb431.zip

Junior :: Runtime_err0r
Не запускается с крякнутым exe файлом. Выдает ошибку где-то в конце инициализации.
В Soft Ice по этому адресу команда push ss

DEMON :: XoraX пишет:
цитата:
DEMON, есть полный пакет - http://hyppopotamus.org/kadets.ru/drweb431.zip


И че там??? Опять крякнутый setup?? Мне нужен ключ к нему. Да и не буду я качать 4 МБ с копейками мне что делать нечего!!!!

XoraX :: DEMON чего ты нервничаешь...
там сетуп+ключик...

MakcuMyc :: Люди, помогите с crack’ом на прогу Tourney Master 2.0.4. Вот тут можно скачать прогу: http://www.metalexsoft.co...g/files/tourneymaster.zip
Размер проги: Size: 2057 Kb. Буду очень благодарен если кто нибудь пришлёт мне crack на e-mail: MakcuMyc@inbox.lv.
P.S. Я знаю, что MozgC уже ломал эту прогу версии 2.0.2 так что может ещё раз сломаешь новую версию ? :)

MozgC [TSRh] :: MakcuMyc
Напиши мне письмо на MozgC собачка MozgC.com - ченить придумаем.

PS. Ты ксатти не тот Максимус что в старкрафт играл?

CrackHunter :: TradeWizard 2.6 - торгово-складская программа со встроенной бухгалтерией.
Используется как средство для ведения складского учета на торговом предприятии (опт, мелкий опт, розница) Включает в себя расчет прибыли, расчет сальдо и товарных долгов с поставщиками и покупателями в разных валютах, средства для анализа продаж, аналитические отчеты по доходности, ликвидности товара, коэффициенты оборачиваемости.
...
Незарегистрированная версия будет успешно работать, если в открываемой базе данных будет храниться не более двухсот товаров.

офф.сайт: http://tradewizard.ru/
закачка:
Win 95 98
http://tradewizard.ru/cgi-bin/down/bsdcc.pl?15
Win XP
http://tradewizard.ru/cgi-bin/down/bsdcc.pl?16

Тому кто это г..но сломает подарю UIN 610756

Telex :: «Trade Wizard»

цитата:
СКАЧАТЬ ПОЛНУЮ ВЕРСИЮ TRADE WIZARD 2.6 ( 18.5 MB )
(полнофункциональная версия, позволяющая без регистрации создать до 200 документов и включающая в себя MS Access’97 run time version)


CrackHunter
Ну разве что любителям покачать поболее...
Хотя любопытства ради, я как то скачивал сие чудо под Access. Как ни странно, у меня оно даже не запустилось
Исследовать почему, и ковыряться в настройках не хватило терпения и желанния
Хотя, может кто и попробует

Koverun :: Программа Автопрозвонка (Ring) 4.02
http://www.smpsoft.ru/download/ring.exe
800 КБ

Программа Автопрозвонка - это конструктор речевого диалога c абонентом телефонной сети обладающая богатыми функциональными возможностями. Она позволяет не просто передавать голосовые сообщения и интеллектуально отвечать на входящие звонки, но и создавать полноценный речевой диалог c абонентом. То есть, абонент может управлять работой программы используя клавиши тонального набора на своем телефонном аппарате. Сам сценарий диалога создается из отдельных команд, которые можно комбинировать как кубики в конструкторе, создавая нужный процесс голосового взаимодействия с абонентом. Команды сценария позволяют работать с модемом и базой данных одновременно, позволяя создавать своеобразный шлюз между телефонной линией и базой данных. Благодаря этому программа может произносить сообщения, содержащиеся в базе данных в виде обычного текста, а так же произносить даты и цифры в заданном роде, падеже как количественные так и порядковые на нескольких языках. При произнесении цифр можно задавать формат произнесения числа и денежную еденицу - рубли, доллары, гривны. Помимо этого, используя технологию TTS программа может синтезировать голос как по статичному тексту, так и по тексту содержащемуся в базе данных.
Для определения номера телефона вызывающего абонента, программа имеет встроенный программый АОН, работающий на российских телефонных линиях и позволяет использовать возможности аппаратного АОНа, если модем обладает таковым.
В процессе выполнения команд сценария связанных с анализом линии возможна запись сообщений поступающих с линии. Записанное сообщение можно поместить в базу данных и впоследствии легко прослушать или воспроизвести в линию командами сценария.
Программа может работать с несколькими модемами выполняя одновременно несколько сценариев.
В качестве источника данных можно использовать любой ODBC - совместимый источник данных, например текстовые файлы, документы Excel, базы данных Access, Oracle, MS SQL, FoxPro и т.д.

Пробывал ковырнуть сам, но обломался, создалось впечатление что ключ для программы не просто ключ, а еще содержит исполняемый код, который непосредственно нужен программе в ходе работы. Хотя может и ложное впечатление, не знаю. Если не трудно, гляньте.

VolumeXQ :: Все вы знаете такую гамесу как Counter-Strike. Вы скажете «Да что это такое, ты не по адресу!». НЕТ!. Я копался в её Dll’ках (v. 1.0-1.5) и нашел массу полезностей, типа закупка всего в любом количестве и везде. НО! все это работает если сервер имеет мой пропатченный Dll’шник (MP.DLL). Так вот еще там есть Client.dll которая не является библиотекой и не понятно чем и как запакована. Она как раз и отвечает за все что происходит у клиента. если могите то помогите её распаковать, а то я уже с ней 2 месяц долбаюсь. Заранее спасибо.

ST.IN_GERm :: Программа: VideoNet 7.2 SP2 Rus.
Версия: VideoNet 7.2 с интегрированным Service Pack 2, полная русская версия.
Скачать иожно здесь
Размер файла: 54 377 039
Защита: HASP USB-ключ при установке, возможно что-то еще. Существует несколько типов лицензий, ограничивающих разные функции, такие как количество камер, кадров в секунду.
Назначение: Видеонаблюдение, запись с использованием фирменной аппаратуры.

MoonShiner :: ST.IN_GERm пишет:
цитата:
Размер файла: 54 377 039


и за хасп без ключа и без бабок мало кто возьмется... Конверт-не конверт, пох.

MozgC [TSRh] :: ST.IN_GERm
Обратись к Муншайнеру, он должен помочь, там может договоритесь.

Re4n1m4t0r :: Re4n1m4t0r пишет:
цитата:
http://www.tmeter.ru/tmeter/TMeter43.exe (1.5mb)
Учет и контроль IP-трафика
Ограничение в 3 фильтра, а надо больше. В инете крэка нет. Помогите чем можете, плиз.


Гаспада, ну неужели никто мне не поможет?

CrackHunter :: А Воабще кто заказы на crack за WebMoney берет? Пишите moskvi@mail.ru стучите 946486

Alexbl :: Mydic 5.5
http://www.planetsoft.ru/...dic/mydic_setup.exe(5.63M)

Очень удобный словарь- 2 клика на любом слове показывает перевод.

Sem :: 1) http://jigsawfun.com/down/bbsetup.exe
2) Весит 1.7M
3) Довольно симпатичная игра (сам с ней разбираюсь, но результатов мало)

nix :: 1) программа Rail-Тариф
2) расчет перевозок ЖД
3) www.CTM.ru
помогите плиззз




Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку...



Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку (похоже при CreateProcess)
а DZA патчит на ура...
-= ALEX =- :: это ты наверное про memory patcher, да ?

Purple :: Да именно про статью

Purple :: ошибка при инициализации приложения 0хс0000142. (в заголовке имя проги которая должна быть пропатчена)=›
ошибка в createprocess?

Python_Max :: Сдается мне, что там первые два параметра местами перепутаны

Purple :: да ошибок там хватает но по идее патч должен пропатчить прогу но вместо этого ...

Python_Max :: › Сдается мне, что там первые два параметра местами перепутаны

А в принципе и так, и так запускается, как ни странно...

Вопросик в тему:
Если я описанным в статье способом хочу убрать наг, то как мне остановить выполнение программы после того как она распакуется? Дело в том, что сразу после распаковки вываливается наг, а байтики, которые патчер должен заменить, замениться не успевают. А если заменять сразу, то, как и обещалось в статье, - Protection Error 15 :(

Если это сделать нереально, то как мне найти то место, где происходит jump на OEP после распаковки (ASProtect 1.2 / 1.2c), чтобы его изменить? (pushad нашел с помошью Break&Enter, а вот соответствующий popad нет, слабоват еще - никак не могу дотрассировать :/). Может есть какие-то характерные участки кода соответствующие окончанию распаковки? А там же еще после распаковки проверка на целосность идет...

ЗЫ: ситуация аналогичная (как в статье) - просто забить два NOP’a.

-= ALEX =- :: да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

Python_Max :: Уже нашел! :)
bpm esp-4 (как все просто).

Еще вопрос:
в сайсе:
00E9A08C: jmp EAX

Как мне найти смещение этого кода в файле, чтобы его изменить?
Поиком не ищется, видать нету таких строк до запуска :/

Вот еще прикол: при повторении действий адрес jump’a другой!
00E9A2B9: jmp EAX

Че за прикол??? Как его изменить на свой???

mnalex :: Python_Max
Почитай это:
http://www.alex2kx.nm.ru/aspr123rc4unp.html

Python_Max :: В этой статье я не нашел ответа на свой вопрос, хотя почитать, как всегда, было интересно (недавно начался информационный голод, перечитываю все подряд статьи по реверсингу :) ).

Мне _не_ нужно распаковать прогу, необходимо изменить jmp ‹OEP› на jmp ‹MY_CODE›.
Переход на OEP я уже нашел благодаря «bpm esp-4 -› F5 -› F5», но:
1) у него постоянно разный адрес получается;
2) более того, этот адрес оказывается за пределами файла (т.е. Hiew мне не поможет)!

PS: вот прочитал немало статей по распаковке. Спрашивается: зачем распаковывать?
Вы что потом распакованную версию юзать собрались?
Ну понятно, чтобы дизассемблировать. А если, например, мне не нужно этого делать?

Я нашел, что мне нужно изменить два байта и все было бы круто!
Добавил свой код, который это делает. Осталось заменить переход на OEP переходом на этот код...

С помошью лоадера, как выясняется, наг убрать не удастся.
Изменить jump ‹OEP› мне тоже не судьба...
Может есть еще какие-то варианты?

-= ALEX =- :: Python_Max понял я тебя. расскажу по подробнее. короче аспр - это не простой пакер, помимо крутой защиты, там многослойная паковка, т.е. сначало некий распаковщик распаковывает в выделенное виртуальное пространство, распаковщик №2, потом этот распаковывает распаковщик №3, там происходят всякие проверки, апи аспра, короче образно говоря до фига всего, потом уже идет разборка с импортом и распаковка самой проги. но это все очень замудрено, полиморфные распаковщики, мусор, CRC и т.д.... надеюсь сейчас малость понятно стало.

Purple :: ›да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

что появилась на inline-patch? или на что?

-= ALEX =- :: Purple ты прав, щас мода на патчи ну или на cracked exe :)

Madness :: Python_Max
›Как мне найти смещение этого кода в файле, чтобы его изменить?
В чистом виде в файле его нету, он из запакованной dll.

›при повторении действий адрес jump’a другой!
Ну дык dll ведь.

›Может есть еще какие-то варианты?
Не менять OEP, есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду, скажу только что сделать патч для аспра вполне реально (до 1.3 пока не включительно, на 1.3 мне так никто и не дал ссылки).

-= ALEX =-
› щас мода на патчи ну или на cracked exe :)
Точна, лоадеры фигня.




Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан...



Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан С++ ,а что запакована нет.
ВРХ на getwindowtexta и getdlgitemtexta - не срабатывают. Подскажите как найти процедуру проверки на зарегестрированность.
DEMON :: Yraevtys пишет:
цитата:
Подскажите как найти процедуру проверки на зарегестрированность


Найди место где виводиться сообщение о неправильном рег. коде и попробуй его пропатчить. Может получиться!!!

XoraX :: Yraevtys . а прогу не покажешь, да?

DEMON :: Ну покажы нам это детище программистов! Не забудь указать размер и приблизительно что она делает!!!!

odIsZaPc :: Yraevtys
bpx LocalLock
bpx GlobalLock

Yraevtys :: Прога Copy Expert v2.2.1 правда сейчас на сайте www.fadesoff.com есть уже v2.3 , а вообще Cpyexprt.zip -254kb и может делать копии с плохо читаемых CD например с фильмов заменяя плохие сектора не 00000 , а последним считанным сектором, это конечно если прога зарегестрирована. К ней есть много креков в интернете, но правда ни один не подходит.
Я нашел переход, который при замене флага сообщает об успешной регестрации, но потом в главном окне все равно пишет - не зарегестрирована. Как найти проверку на зарегестрированность и что там изменить - посоветуйте?

MozgC [TSRh] :: В версии 2.3 ASProtect...

Bad_guy :: Я ломал какую то версию, у меня остался только ключ, птому как прога мне совсем не понравилась, создай файл.reg ну и запиши туда и попробуй, ну а если и не получится, дизассемблируй ищи в листинге эти пути и так далее и тому подобное.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Fadesoft\Copy Expert]
«SmartAlg»=dword:22df6890
«Optimize»=hex:10,0c,17,c9,e2,2c,3f
«License»=«4054qk07mxcfc3»

odIsZaPc :: Yraevtys
По-моему Bad-Copy Pro лучше...

MozgC [TSRh] :: Ну че кто-нить ченить накопал по поводу версии 2.3? Мы тут с The DarkStranger’ом (блин как долго то ник пишется) покопали и пока глухо...

Runtime_err0r :: MozgC [TSRh]
Ну с распаковкой-то всё просто а вот дальше пока никак
какие там ограничения-то хоть ?

MozgC [TSRh] :: Да не важно какие ограничение, но зарегить никак =) Возможно вообще демка...

Mario555 :: Runtime_err0r пишет:
цитата:
какие там ограничения-то хоть ?


Не сохраняет настройки, некоторые опции недоступны... может ещё чё-нить...

The DarkStranger :: мдя уж MozgC [TSRh] прав я тоже копал ее вместе с ним там такое намученно !!!
короче мы думаем ( я и MozgC [TSRh] ) что это просто demo !!!

Mario555 :: The DarkStranger пишет:
цитата:
это просто demo


Странно... демо и аспр, прям как в анекдоте: презерватив, ещё презерватив... и главное никаких половых контактов...

В Help’е кста вот такая хрень:
1. Launch program. This dialog box will appear:
Click “Purchase”. This will launch your web browser which will open registration’s page. You can to pay via credit card, fax, postal mail, purchase order and phone. Our registrar is Regsoft. Fill in fields in appeared form. Soon you will receive the key.
2. Enter in this dialog box registration key you received by pressing “Key” button.

Yraevtys :: Спасибо за помощь. Прогу Copy Expert 2.2.1 я все-таки запустил.
Раскажите доступно как распаковать проги запакованные ASProtect и UPX.
Распаковщики только Dose работают или как?

MozgC [TSRh] :: Про UPX и другие простые упаковщики читай в моей статье, про ASProtect читай в других статьях это так просто не рассказать..




Z Runtime error 216 после распаковки ASProtecta при выходе из программы...



Z Runtime error 216 после распаковки ASProtecta при выходе из программы вываливается ента ошибка.
Как лечить?
XoraX :: ну значится хреново распаковал

-= ALEX =- :: классный ответ, а главное правельный :)

Z :: все это круто, а дельные советы будут?

Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.

Все прога 100% рабочая, уже и все ограничения поснимал, но эта ошибка децл напрягает.

ПРИЧЕМ ОНА появляется чразу после Восстановления IAT.

Это она завершается из защищенного режима некоректно.

Мысли есть?

P/s/. Я блин просто ломаю 2-ю прогу в жизни, а тут на тебе этот ASProtect 1.2x[new Strain] попадись. Fuck.

DEMON :: Z пишет:
цитата:
Fuck


Че ты материшся попробуй inline-patch!!!

-= ALEX =- :: может ты IAT плохо восстановил, например функцию ExitProcess, ну это так к примеру... а вообще надо искать место, где этот глюк происходит, и понять почему так. А на словах мало кто сможет конкретно выявить причину...

Z :: Вобщем немудрувсвую лукаво, нашел где вылетает.

00404436 DEC EBX
00404437 MOV DWORD PTR DS:[EDI+C],EBX
0040443A MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
0040443E TEST EAX,EAX
00404440 JE SHORT DIG.00404444
00404442 CALL EAX
00404444 TEST EBX,EBX
00404446 JG SHORT DIG.00404436

При call в еах была левота какаято, мож где напортачил, ну я call c jg занопил, и ОК. Все работает!

Всем спасибо!

odIsZaPc :: Z
Ссылку дай - поиогу...Z пишет:
цитата:
Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.


Ручками надо.... Автоматизация распаковки имеет свои минусы... А вот по части восстановления импорта сия софтина рулит на мой взгляд...

nice :: Z
У тебя со стеком проблемы, ИМХО не правильно байты востановил, что у тебя там получилось, и что за программа?

Посмотри чуть выше ошибки идет вызов EnterCriticalSection?

Z :: программа Спектральный анализатор (1 метр).

получилось спертые байты до call.

004A140B PUSH EBP ‹---EP
004A140C MOV EBP,ESP
004A140E ADD ESP,-10
004A1411 PUSH EBX
004A1412 MOV EAX,SpCTRuM_.004A11A4
004A1417 NOP
004A1418 CALL SpCTRuM_.00406D94 ‹-- OEP при распаковке

Что со стеком подозрения есть, ASProtect, перед выходом на OEP после полиморфа чето там хитрит и выходит с EAX=0 (!!!!!!!!!!!!!!!!!!!!!!!), а это неправильно для начала delphi проги.
Ща еще покапаюсь мож разберусь.

Да IAT через AsprDbg103b (102 виснет).

Z :: ВСЕ нашел ошибку!

Байт я один лишний вписал!!! Этот nop.
Короче все на один байт сместил, тот востановил и ВСЕ РУЛИТ!!!!!!!!!!!

ThanX!

-= ALEX =- :: ну вот и славненько ... :)




AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после...



AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после распаковки 4,5 мб. Это нормально?
Прога запускается, но есть такой глюк. Вообще прога похожа на граф редактор т.е. есть рабочая область где можно рисовать и кнопки лепить. Так вот, после запуска кусок ее рабочего стола остается прозрачным, и в эту дыру успешно можно рассматривать файлы проводника:). В чем это я натупил, что так получается? И как бороться?
odIsZaPc :: AMNiBiUS
Возможно импорт.... Ссылку дай.

AMNiBiUS :: odIsZaPc
Нету у меня ссылки, у меня прога тока есть, а там в хэлпе по адресу поддержки следующая версия лежит.
В общем может ты в курсе, прога CrystalButton v 2.0 называется. А если траблы с импортом, то почему никаких ошибок не выдает? Просто молча кусок не показывает и все:(

AMNiBiUS :: PS
Прога 1,2 мб весит, могу на мыло залить если интересно




Yraevtys Вопрос Подскажите,где можно прочитать статью про распаковку...



Yraevtys Вопрос Подскажите,где можно прочитать статью про распаковку ASProtect 1.23 RC4.
Styx :: http://www.xtin.org/




Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/



Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/

«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.
«Исследование хитропакованной проги XnView 1.46» - я плакал и катался.. зачем распаковывать? зачем отламывать?.. только сайс и masm = кейген без проблем.. там все очень просто
«Регистрация Kyodai Mahjongg 9.42».. ой.. опять патч. вы упали?.. кейген надо. там же просто?.. лирическое отступление - я понится, когда вступал (ой как давно это было) в TSRh, я тоже писал статью про эту прогу.. тоже инлайн делал, но там аспак был..
«Исследование Perfect Keylogger (build 1.4.7.4)» - это мне уже нравится! :).. правда защита там никакая
«Исследование Talisman Desktop 2.31» - молодец
«Исследование Teleport Pro 1.29 (Build 1422)» - за это нужно бить по рукам!
«Исследование WinZip 8.0 BETA (3046)» - а я снова спрашиваю почему не кейген? да и вообще зачем писать статью по этой проге? там же сто лет ничего не меняется!

вобщем из всех последних туторов мне больше всего понравилось творчество Cryo

p.s хочу кейген-туторов :)
odIsZaPc :: Nitrogen пишет:
цитата:
конечно не хочу никого обидить, но у автора, имхо, мания величия.


Но ведь так оно и есть: кроме как перебором не ломается...
Nitrogen пишет:
цитата:
p.s хочу кейген-туторов :


Кто ж их не хочет?

MozgC [TSRh] :: Нитра, а какой понт от кейген-туторов? Имхо каждый раз алгоритм генерации разный, и мне кажется кейген-туторами нельзя научиться кейгенить. Научиться по тутором можно например распаковывать, но не кейгенить... Чтобы научиться кейгенить тут нужно только самому пробовать, пробовать и пробовать...

Runtime_err0r :: Nitrogen
А это кто писАл ? не помнишь ли случайно

цитата:
[Исследование Advanced Call Center v4.0]

Target: Advanced Call Center v4.0
URL: http://www.voicecallcentral.com
Tools: Caspr 1.100

Хаюшки!..

Приступим?!..

Как мне надоели наши совковые разработчики - каждый так и старается защитить
свою программу Asprotect’ом... просмотрел я вобщем этот самый acc.exe - ну
точно чем-то запакован.. я даже не стал натравливать на него file analyzer...

дай-ка, думаю испытаю на нем caspr 1.100, кстати, в свободно скачивании его
не найти - она поставляется, как часть программы:

’UN-PACK (File Analyzer and Unpacker) v.2.2’, которую вы можете скачать с
http://protools.cjb.net или http://unpack.cjb.net

вобщем смотрите сами:

--cut--
C:\program files\acc›\tools\fa\Plugins\Caspr.exe «C:\program files\acc\acc.exe»
CASPR v1.100 - A cool unpacker for ASProducts
Copyright (c) 2000,2001 Coded by SAC/UG2001! aLL rIGHTS rEVERSED!

Unpacking «acc.exe»...OK!

Don’t forget to see readme.txt. It’s helpful at reversing ASProducts.
--cut--

ну а дальше все просто - запускаем распакованную жертву и.. блин, нет там
никаких надписей, что unregistered и все такое... вобщем перевел я часы на
год вперед, запустил снова запакованную версию - выскочило окошко, что нужно
таки регистрироваться... косяяяяяк... зачем-то опять запустил я распакованную
версию - окошка нет, все работает... оригинал пускаю - опять орет...

из этого следут, что защита там весела навесная, asprotect’овая %)...

вот и сломалась программа сама собой %)... один я косяк нашел - заголовок
окна у распакованной программы почему-то становится: » », вобщем нет
у нее заголовка, но ведь это и не проблема - главно что бы работало!

вопросы? - в мыло!..

p.s UN-PACK 2.2, а вместе с ним и caspr1.1000 тянуть с

http://protools.cjb.net или http://unpack.cjb.net
-------------------------------------------------- -------------------------
18.09.2001, 12:42 (gmt +5)


цитата:
p.s хочу кейген-туторов :)


Ну вот и написал бы пару туториалов по кейгенам, вмксто того, чтобы дневники Бриджит Джонс читать !!!

Madness :: Runtime_err0r
А он писал, по flashget хотя бы.

DEMON :: Nitrogen пишет:
цитата:
но у автора, имхо, мания величия.


Какая мания величия????

Chirurg :: Runtime_err0r
«Ну вот и написал бы пару туториалов по кейгенам, вместо того, чтобы дневники Бриджит Джонс читать !!!»

Я, конечно, человек маленький и кракер никудышный, но обратил бы внимание на дату цитируемого высказывания - 2001г.
ИМХО, с тех пор и Nitrogen (hi, Kamil!) вырос и воды утекло много... да и хамить немодно стало

Bad_guy :: Nitrogen пишет:
цитата:
«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.


Да, Nitrogen, у меня есть чуть чуть этого, нельзя уж прямо назвать это манией, но если бы я не хотел быть первым я бы не сделал и 10% того, что я сделал хотя бы для крэкерского мира, но это не все мои достижения.
Хотя знаешь что Нитроген, ты ведь тоже страдаешь манией величия, как и любой компьютерщик (не чайник), потому как ТЫСЫРЫАШ подался, а не какой нибудь пупкин тим, но это тоже полнейшее имхо.

Если ты по содержанию статьи судил - там половина приколов, а половина едкого юмора, который я очень люблю.

PS. Да ладно вам ребята меня защищать. Ругать меня надо, чтоб я тут не зазнавался и не обленился.

Nitrogen :: «Очень часто все кидают известную фразу америкоса крэкера ORC’а: «Все что можно запустить можно и взломать». А это на самом деле не так, это заявляю вам я - настоящий российский крэкер Bad_guy. Могу сделать вывод, что ORC не слышал ничего о криптографии, ну да ладно - оставим его в покое. »
ну нахрен так пальцами раскидываться \m/ ?..

Runtime_err0r
ну ты тож нашел стааарье такое ;).. а дбж я же прочитал.. так же закончил «почему ты меня не хочешь» индии найт, сейчас в раздумьях - то ли дочитать «лучше для мужчины нет» то ли «секс в большом городе» то ли «лавина» то ли новую книжку авторши дбж :)..

Chirurg
ага.. вырос и уже успел состариться

p.s а на счет написать чего нибудь.. думаю над этим..

Nitrogen :: Bad_guy
кури livejournal.com/~nitroz где я пытался нашу историю писать..
когда я пришел в команду - мы были формально никем.. я и TSRh росли вместе.. и никуда я от туда не уйду - вот отдохну еще чуток (гыыыыыы ) и вернусь в строй :)..

Bad_guy :: Nitrogen
Ну раз так, то я пожалуй своё имхо засуну себе...
Извини.

А вот http://livejournal.com/~nitroz - фигня какая то там чат - про какие то маршрутки рассказывают...

Nitrogen :: Runtime_err0r
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware

Bad_guy :: Nitrogen пишет:

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Хватит к людям приставать. Я тоже может видел неработающие крэки и некейгенистые кейгены от вашей группы а именно от реалити или реалисти... как его там, но ведь пртензии никому не предъявлял.
Вообще у меня такое мнение, что многие группы на количество работают, а не на качество.

MozgC [TSRh] :: Была бы возможность, давно бы тему закрыл, начали заведемо флеймную тему. Нафига друг на друга наезжать?

PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)

Runtime_err0r :: Nitrogen
Щаз отвечу по быстрому, пока тему не закрыли

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Я же не смотрю, кто там чего закейгенил а вот статья про TRegWareII - это вещь нужная, будем ждать ...

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Щаз отвечу по быстрому, пока тему не закрыли


А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)

GL#0M :: MozgC [TSRh]

Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!



Runtime_err0r :: MozgC [TSRh]

цитата:
А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)


YE-E-E-E-S !!! Теперь буду флудить и всех обс#%$ть гы-ы-ы-ы-ы-ы

GL#0M

цитата:
Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!


А ты-то как думал ? Я вообще удивляюсь, что на бесплатном народе и борде этот сайт так долго продержался ... надо скинуться и купить место на нормальном хостинге и поставить туда конфу на нормальном движке - тогда будет порядок

А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем (GetPix v1.5, Open Book v1.4 beta 9, Ultra Tag Editor v1.45, WebSynchronizer 1.1 build 38, HQuote Pro 5.0.0.159, filesCatalog 1.5 build 87, 3wGet 1.41 и т.д.). Так что The DarkStranger на верном пути

Nitrogen ::
цитата:
PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)


да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(

цитата:
статья про TRegWareII


ну будет значит.. кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..

Runtime_err0r :: Nitrogen

цитата:
ну будет значит..


Ну спасибо !!!

цитата:
кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..


Ну я-то, в принципе и то и то знаю (и даже C++ ), но на Delphi оно как-то проще читается
Кстати, насколько я понимаю, достаточно написать заготовку для KG один раз, а потом только Seed в нём менять, или я не прав ?

Nitrogen :: Runtime_err0r
ну.. сид, ограничение по длине, длина серийника.. если на дельфи то и писать особо нечего - сид берешь из проги и вставляешь куда следует.. у меня заготовка на асме..

Nitrogen :: кстати tregware же с открытыми исходниками идет - бывает авторы что-то меняют помима сида.. это уже смотреть нужно

Bad_guy :: Так, все ОКей. Никто этот форум не закроет, я разобрался. Дело в том,что я баннер прилепил 468*60, а он запрещен - вот и был админ-вход заблокирован - сейчас уже всё разблокировано. Так что Мозг, можешь и закрыть эту тему.

PS Зря вы на реалисти накуинулись. еще качал неработающие крэки от вашей же группы и не от реалисти,а от кого то еще. Сейчас уже не помню.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем


А у меня процентов 40 прог которые я закейгенил были тоже упакованы сами догадайтесь чем. Нужно не бояться сами догадайтесь чего и сразу не кидаться за распаковку или еще страшнее лоадер, кои я не переношу, а посмотреть че там происходит. Очень часто прога упавана сами знаете чем а генерация серийника - код на 1 страничку. И че бы такое не закейгенить?

Nitrogen пишет:
цитата:
да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(


Угу, ты еще посмотри че мы там на нашем форуме пишем, там спор разгорелся, тема про патчер.

odIsZaPc :: Круто

Nitrogen :: MozgC [TSRh]
читал.. кто за кейгенерство - правы. кто против - нет :)..

p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..

MozgC [TSRh] :: Nitrogen
Лучше бы они аспр для закриптовки юзали =)
А то то парой байт патчится, то просто кейгенится =)

Runtime_err0r :: Nitrogen

цитата:
p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..


Да уж, единственная польза от ASPRа - это алгоритм генерации ключей и возможность шифровать участки кода, а так от него толку мало

MozgC [TSRh] :: Ну от 1.3 не скажиии...

XoraX :: MozgC [TSRh] , а где тот топик а вашем форуме? или он приватный?

MozgC [TSRh] :: Приватный.




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2...



Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2 - 1.3 Руками распаковать мне еще не по зубам - слаб в коленках :).
Stripper 2.03 пишет cant unpack file. Плиз дайте ссылку на новый стриппер или помогите распаковать ехе-шник. А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул. Ссылку не даю умышленно, ибо производитель сюда захаживает. Не хрен ему просвещаться. Сообщу в мыло и буду век благодарен за помощь.
Размер инсталлятора - 2 мб, размер ехе-шника 135 кб.
P.S. Крак не нужен, думаю сам справлюсь.
MoonShiner :: Распакуй то, не знаю, что... Так что ли? Тут волшебников не водится.
Chirurg пишет:
цитата:
P.S. Крак не нужен, думаю сам справлюсь.


Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...

nice :: Chirurg
1_23 берет.
http://www.is.svitonline....om/syd/stripper_v207f.rar

Runtime_err0r :: Chirurg

цитата:
А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул.


Не люблю таких падонков скинь pliz ссылку или EXE’шник на v m u @ n e w m a i l . r u

dMNt :: а еще есть авторы, которые в коде издеваются :) (ну как в SVKP)

odIsZaPc :: dMNt пишет:
цитата:
(ну как в SVKP)


ГКЧП...

Chirurg :: MoonShiner
MoonShiner пишет:
цитата:
Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...


Я думал, что выразился довольно ясно: ссылку пришлю в мыло тому, кто захочет помочь с распаковкой. При этом греть голову над краком не обязательно. Только распаковать.
nice
Спасибо!
Runtime_err0r
Выслал.

TankMan :: Я вот чего хотел спросить, а почему мне asprdbgr 1.04 выдает что не верная у меня OS, должна быть NT-based, хотя я запускаю ее под ХР... даже и не догадывался, что XP не NT-based :)

DEMON :: Chirurg
Читай http://cracklab.narod.ru/doc/wasm1.htm !!!!




Python



Python_Max Неважно чем запакована/запротекчена программа! Сдесь будет описан способ патча, который не требует распаковки «исследуемой» программы.
Основная мысль: Подождем пока пакер/протектор сам это сделает!
Основывается на Memory Patcher by -= Alex =- .
Надеюсь автор оригинала оставит сдесь свое мнение ;)

Python_Max :: Как все было.
Моя проблема подробно описана в теме «О patcher’e -=Alexa=-».
В двух словах: Необходимо снять наг. Прога защищена ASProtect’ом, нашел, где забить два NOP’а, чтобы решить проблему, нашел OEP, нашел jmp ‹OEP›, но изменить его на свой jump, как оказалось, невозможно. Тогда решил попробовать Memory Patcher by -= Alex =-, но с помощью него не успевались байты заменяться и наг все-равно появлялся, если записать их сразу после распаковки - Protection Error 15 :(

Решение.
Несмотря на то, что ASProtect - сила, а я, мягко говоря, начинающий (может у меня мало опыта и я ни разу не дотрассировал до конца код аспра, но мозги, слава Богу, работают :) ), вобщем я не остановился! Как оказалось ненапрасно.
Решил очередной раз посмотреть что делает программа сразу после распаковки.
Трассирование начал с OEP. Дошел до места:
mov [0074C4DC],EAX
и задумался... Посмотрел, что в EAX - там наш ImageBase 0040000, а что у нас по адресу 0074C4DC до комманды MOV? Нули! Хе-хе... Вот оно! Т.е. после этого мува у нас по вполне определенному, а главное _постоянному_ адресу [0074C4DE] находится 40h !!!

Вобщем в код мемори патчера добавил еще один ReadProcessMemory и все!
Вот кусок кода (мои комменты в квадратных скобках, комменты автора оставил):

[===============================]
while true do
// Читаем один байт [тот, который нужно изменить, не знаю почему именно этот :) ]
if readprocessmemory(lppi.hProcess,pointer($73F5EC),@ buf[0],1,i)
then
if buf[0]‹›$0 then // Проверяем на распакованность, если не 0 - то распаковалась

// [ Теперь то, о чем я говорил ]
// [ По сути, это проверка на то, закончил ли работу ASProtect ]

if readprocessmemory(lppi.hProcess,pointer($74C4DE),@ buf[0],1,i)
then if buf[0]‹›$0 then
begin
// [Это уже не нужно]
// Подождем, пока ASProtect проверит память,
// иначе будет писать ’Protection Error 15’
// sleep(300);
// [То, что вверху уже не нужно!!!]
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($73F5EC), @buf[1],1,i);
writeprocessmemory(lppi.hProcess,pointer($73F5ED), @buf[1],1,i);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
halt;
end;
[===============================]

Я думаю, что если сделать так, как я написал, то будет САБЖ !!!
Скажите плиз, что думаете по этому поводу.

Да, чуть не забыл, если кто такое уже делал, то почему не отозвались?

ЗЫ: убрав наг, я убрал триал, сам того не ожидав :)))
Thx 2 -= Alex =- 4 Memory Patcher :)

MozgC [TSRh] :: Блин это же убого... лоадеры... Я бы лучше не релизил программу чем релизить лоадер. Хотя не думаю что есть вариант что нельзя сделать cracked.exe, но можно лоадер. Всегда лучше распаковать, чем делать лоадер.

Python_Max :: Я ее релизить не собираюсь.

А cracked.exe распакованный ты бы выложил?

MozgC [TSRh] :: А я все время выкладываю =) И не только я. А лоадеры вообще многие за релиз не считают.

-= ALEX =- :: ну а теперь начнем по теме. вот этот адресок $74C4DE это чисто для тебя только такой. почему - попытаюсь объяснить. как я уже и говорил - многослойная паковка. чтобы что-то куда-то распаковать надо выделяется память. (VirtualAlloc) причем адрес указывающий на выделенную память может быть разным, а на других осях и вовсе другой. код же распаковщиков, или назовем его «тело аспра» оффсетнонезависим (о как назвал), поэтому ему по барабану какой будет адресок.... поэтому можешь радоваться что на твоем компе ну или даже пускай на такой же ОСи работает такой лоадер. Ну а если хочешь сделать лоадер для аспра, который будет точно на OEP останавливаться, придется пару деньков, а может даже и больше просидеть в отладчике и полностью проходить все этапы распаковки проги... можешь взглянуть как это делает asprdebuger (про который все тут речь ведут) благо исходники есть.... наверное после просмотра у тебя желание пропадет. в общем смотри, дело твое. А вообще если сделать такой кряк, т.е. лоадер для себя или для друга - это хорошо. Но если уж захотел релизить, то увы - лоадеры не в моде :(
P.S. статью эту я написал тогда, когда только-только начал учиться этому искусству... тогда я даже и не представлял, что ваще такое АСПР... просто я заметил, что не всегда выскакивает месага, если подряд лупить по файлу быстро... из этого сделал вывод, что нужно время на проверку... поэтому и ставил sleep. кстати, беспонтовый способ и зависит от проца.




DOLTON ASPR Stripper - кудаж без него? Привет всем!



DOLTON ASPR Stripper - кудаж без него? Привет всем!
По обидной случайности не успел выкачать с офф сайта ver 2.07 (final) до его закрытия ...
Если вдруг кто оказался в рядах счастливчиков - большая просьба скинуть на dolton2002mail.ru
Заранее всем big thanks!
MozgC [TSRh] :: http://MozgC.com/stripper207.zip
Я не знаю какой это, final или не final но работает нормально.

DEMON :: MozgC [TSRh]
Дzzzякую тебе!!!

Runtime_err0r :: MozgC [TSRh]
Да ты никак доменом 1-го уровня разжился ? ну ты буржуй, однако

P.S. А Солодовников-то не дремлет, упырь

MozgC [TSRh] :: Runtime_err0r
Давно уже разжился =)

.::D.e.M.o.N.i.X::. :: Давно уже 2.11b есть:) Движок переработан и интерфейс другой.

-= ALEX =- :: .::D.e.M.o.N.i.X::. ][в@статься то зачем ?

Gloomy :: stripper просто уникальная программа! Скачал «Complete CD And DVD Writer 1.1» - довольно интересная штука, но оказалась запакована «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov». Нисколько не надеясь на успех открыл ее в stripper, ничего не настраивая тупо нажал «unpacking»... и Чудо свершилось! - получил распакованный, полностью рабочий файл! При этом триал в 5 дней исчез как страшный сон
Большой респект автору stripperа!

З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.

-= ALEX =- :: самая новая 1.30 build XXX, могу и ошибаться... а вообще я не втречал прог защищенным этим супермега протектором :)

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.


Он для 1.30, правда у меня не распаковал ни одного аспра 1.30 да и не удивительно, он даже таблицу инита не восстанавливал, интересно как прога должна была работать после такой распаковки, думаю что и еще косяки есть.

Runtime_err0r :: Gloomy

цитата:
З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.


То что выдаёт PEiD ещё не является абсолютной истиной кстати, скачай версию 0.92 - там новые сигнатуры добавились.

MozgC [TSRh]

цитата:
.::D.e.M.o.N.i.X::. пишет:
цитата: -------------------------------------------------- ------------------------------
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.
-------------------------------------------------- ------------------------------

Он для 1.30, правда у меня не распаковал ни одного аспра 1.30


А я им кучу прог распаковал он лучше, чем 2.07, т.к. грамотно эмулирует GetTrialDays и ExecuteApplication, поэтому сразу получаем на выходе рабочую прогу и не надо руками ничего эмулировать

цитата:
.::D.e.M.o.N.i.X::. ][в@статься то зачем ?


Точняк !!!

mnalex :: Runtime_err0r
Возможно он грамотнее распаковует 1.23, а ты попробуй 1.3...

mnalex :: Ребята, объясните мне, нафига делаються кряк проги, которые дают только избранным крякерам, т.е. тем кто и без этого спокойно распаковывает?
Для тестирования? Или просто из желания показать, что их уважают, а на остальных нас;%ть? Не, я понимаю, и неспорю, что эти проги делают умные люди, и я их естествено уважаю, но зачем страдать такой фигнёй, я незнаю и не понимаю...

nice :: mnalex
ИМХО всё это денег стоит...

Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe
http://www.apache-gui.com/files/apconf.exe

Andrey :: nice пишет:
цитата:
Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe


Какая же это 1.30, это допотопная 1.23, со стареньким импортом

mnalex :: nice пишет:
цитата:
ИМХО всё это денег стоит...


Хорошо, тогда ты хочешь сказать, что те у кого уже есть эта прога - заплатили автору? Фигня... Единственное, это то что если у него (автора) будут проблемы с чем либо - он может быть уверен, что эти люди постараються ему помочь всеми силами...

цитата:
Да я думаю мало кто здесь может 1_30 руками снять...


Интересно, а ты хочеш сказать, что stripper 2.11b есть у многих? Нет, он у этих «мало» и есть...

ИМХО, как я уже говорил - фигня это...

TriD :: Привет чесной компании!
Если у кого есть ASPR Stripper 2.07, намыльте пожалуйста, а то приведенная вначале ссылка не работает

P.S. Извиняйте за беспокойство, сам нашел на одном из тайваньских серверов.

Runtime_err0r :: mnalex , nice , Andrey

Да ладно вам спорить. По-моему syd прав, Солодовников-то тоже не лох, стоит только выложить версию stripper’а публичного доступа, и через неделю его уже можно будет положить в корзину
А так, насколько мне известно, у всех российских кракерских групп он и так есть, так что присоединяйтесь

mnalex :: Runtime_err0r пишет:
цитата:
так что присоединяйтесь


А как это сделать? Лично я непротив, тока кто меня возьмет?

Runtime_err0r :: mnalex

цитата:
Runtime_err0r пишет:
цитата: -------------------------------------------------- ------------------------------
так что присоединяйтесь
-------------------------------------------------- ------------------------------

А как это сделать?


Учиться, учиться и ещё раз учиться ... © Ленин

MozgC [TSRh] :: Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))

T0zik ::
цитата:
Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))


Скорей всего :) Да и тенденция однако - то что делает стриппер можно сделать вручную, в новом аспре появляются вещи, которые имхо не автоматизировать :( Перенос стрипером точки входа aka OEP эт конечно хорошо, а что он будет делать, если в OEP появятся зависимые от кода аспра фичи, т.е. если код OEP будет зависеть от кода aspr’а :( каюк - придется весь полиморф разбирать :(

mnalex :: Runtime_err0r
Что и делаеться :))

MozgC [TSRh]
Мои мысли высказал - вечно опережаешь, я подумаю - а ты уже скажешь :))




Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку...



Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку (похоже при CreateProcess)
а DZA патчит на ура...
-= ALEX =- :: это ты наверное про memory patcher, да ?

Purple :: Да именно про статью

Purple :: ошибка при инициализации приложения 0хс0000142. (в заголовке имя проги которая должна быть пропатчена)=›
ошибка в createprocess?

Python_Max :: Сдается мне, что там первые два параметра местами перепутаны

Purple :: да ошибок там хватает но по идее патч должен пропатчить прогу но вместо этого ...

Python_Max :: › Сдается мне, что там первые два параметра местами перепутаны

А в принципе и так, и так запускается, как ни странно...

Вопросик в тему:
Если я описанным в статье способом хочу убрать наг, то как мне остановить выполнение программы после того как она распакуется? Дело в том, что сразу после распаковки вываливается наг, а байтики, которые патчер должен заменить, замениться не успевают. А если заменять сразу, то, как и обещалось в статье, - Protection Error 15 :(

Если это сделать нереально, то как мне найти то место, где происходит jump на OEP после распаковки (ASProtect 1.2 / 1.2c), чтобы его изменить? (pushad нашел с помошью Break&Enter, а вот соответствующий popad нет, слабоват еще - никак не могу дотрассировать :/). Может есть какие-то характерные участки кода соответствующие окончанию распаковки? А там же еще после распаковки проверка на целосность идет...

ЗЫ: ситуация аналогичная (как в статье) - просто забить два NOP’a.

-= ALEX =- :: да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

Python_Max :: Уже нашел! :)
bpm esp-4 (как все просто).

Еще вопрос:
в сайсе:
00E9A08C: jmp EAX

Как мне найти смещение этого кода в файле, чтобы его изменить?
Поиком не ищется, видать нету таких строк до запуска :/

Вот еще прикол: при повторении действий адрес jump’a другой!
00E9A2B9: jmp EAX

Че за прикол??? Как его изменить на свой???

mnalex :: Python_Max
Почитай это:
http://www.alex2kx.nm.ru/aspr123rc4unp.html

Python_Max :: В этой статье я не нашел ответа на свой вопрос, хотя почитать, как всегда, было интересно (недавно начался информационный голод, перечитываю все подряд статьи по реверсингу :) ).

Мне _не_ нужно распаковать прогу, необходимо изменить jmp ‹OEP› на jmp ‹MY_CODE›.
Переход на OEP я уже нашел благодаря «bpm esp-4 -› F5 -› F5», но:
1) у него постоянно разный адрес получается;
2) более того, этот адрес оказывается за пределами файла (т.е. Hiew мне не поможет)!

PS: вот прочитал немало статей по распаковке. Спрашивается: зачем распаковывать?
Вы что потом распакованную версию юзать собрались?
Ну понятно, чтобы дизассемблировать. А если, например, мне не нужно этого делать?

Я нашел, что мне нужно изменить два байта и все было бы круто!
Добавил свой код, который это делает. Осталось заменить переход на OEP переходом на этот код...

С помошью лоадера, как выясняется, наг убрать не удастся.
Изменить jump ‹OEP› мне тоже не судьба...
Может есть еще какие-то варианты?

-= ALEX =- :: Python_Max понял я тебя. расскажу по подробнее. короче аспр - это не простой пакер, помимо крутой защиты, там многослойная паковка, т.е. сначало некий распаковщик распаковывает в выделенное виртуальное пространство, распаковщик №2, потом этот распаковывает распаковщик №3, там происходят всякие проверки, апи аспра, короче образно говоря до фига всего, потом уже идет разборка с импортом и распаковка самой проги. но это все очень замудрено, полиморфные распаковщики, мусор, CRC и т.д.... надеюсь сейчас малость понятно стало.

Purple :: ›да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

что появилась на inline-patch? или на что?

-= ALEX =- :: Purple ты прав, щас мода на патчи ну или на cracked exe :)

Madness :: Python_Max
›Как мне найти смещение этого кода в файле, чтобы его изменить?
В чистом виде в файле его нету, он из запакованной dll.

›при повторении действий адрес jump’a другой!
Ну дык dll ведь.

›Может есть еще какие-то варианты?
Не менять OEP, есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду, скажу только что сделать патч для аспра вполне реально (до 1.3 пока не включительно, на 1.3 мне так никто и не дал ссылки).

-= ALEX =-
› щас мода на патчи ну или на cracked exe :)
Точна, лоадеры фигня.

Python_Max :: -= ALEX =-
› надеюсь сейчас малость понятно стало.
Не понял зачем его распаковывать? (Кроме дизассемблирования исходной проги и исследования самого Аспра)

Madness
› есть и другие варианты
Кинь плиз линк на туториал, если таковой есть. Только не на распаковку.

Madness :: Python_Max
›Не понял зачем его распаковывать?
Сам же говоришь, что «кроме ... исследования самого Аспра», а эта запакованная dll и есть сам аспр (нужная нам часть).

›Кинь плиз линк на туториал, если таковой есть.
Тутора нет, есть (или были) обсуждения на этом форуме.

Python_Max :: Madness

Не нашел :(

› есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду
Ну хоть назови какие... Буду копать...

Madness :: ›Ну хоть назови какие...
Мне известно пока 2 возможности пропатчить аспр (не лоадер) - изменение адреса апи аспра и хук winapi. Еще какие варианты есть?

Mario555 :: Madness пишет:
цитата:
на 1.3 мне так никто и не дал ссылки


А чем тебе GetPix не понравился ?

-= ALEX =- :: Madness забыл что ли я тебе еще один способ рассказывал ??

Madness :: -= ALEX =-
15 строк одного только описания :)
Как вариант тоже пойдет, согласен, но геморно очень, хотя мож у них тулза есть ;)

Mario555
›А чем тебе GetPix не понравился ?
О, а я думаю чего оно в очереди на скачку стоит, пасиб за напоминание. :)

GL#0M :: Madness

Слушай, вышли пожалуйста свой патч на GetPix, а то у вас на форуме запара просить... Заранее примного благодарен.

Madness :: GetPix - это аспр 1.3 со всеми наворотами?
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)

GL#0M
Выслал.

-= ALEX =-
Я все жду файлы :)

-= ALEX =- :: Madness какие файлы ???

Madness :: -= ALEX =-
Второй раз напомнить? :-/
Ладно, забей.

Runtime_err0r :: -= ALEX =-

цитата:
Madness какие файлы ???


Блин, ты самый молодой в группе, а уже склероз что дальше-то будет ?

GL#0M :: Madness

Сенкс.

-= ALEX =- :: Runtime_err0r ну блин реально не помню, трудно сказать и напомнить ?

MC707 :: -= ALEX =-
Кстать щас мода уже по моему давно не на патчи с кракед.ехе, а на кейгены

Runtime_err0r :: MC707
А ты ASProtect закейгенил что-ли ???

MC707 :: Runtime_err0r
Не, я не понял. Если есть прога, в которой можно найти код генерации sn, причем не важно, пакована/запротекчена она или нет, причем пакована/запротекчена неважно чем, то почему бы ее не закейгенить?
Или я чего-то не понял?

Andrey ::
цитата:
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)


Ты сказал хоть можно ли это вручную сделать и если можно то куда копать, а то есть прога, а без правильно инита
не пашет :(

Runtime_err0r :: MC707
Щаз 80% прог запакованы ASPR’ом, причём 95% из них используют для регистрации API ASPR’а потому что использовать для регистрации TRegWareII или TmxProtector, а сверху навешивать ASProtect - это маразм. Я думаю, что ты в курсе

MC707 :: Runtime_err0r
Позволь с тобой несогласиться насчет 80%. Качаю не первый день проги и с даунлоас.ком и симтел.нет и тп. Все новые. Так вот моя статистика такова - около 45-50% - аспр (причем мне попадались даже 1.1), 40% - старый добрый упх, 5% - арма.
А с остальным согласен.
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился. Не помню правда какую, давно было. Неправильно мысль я свою наверно высказал .

Runtime_err0r :: MC707

цитата:
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился.


Один раз не ... [считается]

MC707 :: Runtime_err0r
Сам такой

Madness :: Andrey
›Ты сказал хоть можно ли это вручную сделать
Теоретически - да, практически - не пробовал.

-= ALEX =-
Здесь тему уже похоже снесли, напоминание есть на нашем форуме, я спрашивал файл с аспром 1.3 со всеми фишками + 2 файла минимального размера без всех фишек, но 1 с аспровой проверкой на время триала (чтоб сам аспр окно выдавал, а не подсовывал проге адрес TrialExpired-процедуры).

MC707
›Или я чего-то не понял?
Он имел ввиду уж не аспровую ли регистрацию ты закейгенил? :) Очень редкий автор не использует аспровые ключи (фото на документы, например).

-= ALEX =- :: ok сделаю все в свободное время...




ViViseKtor И опять ASProtect. HELP!!! Уважаемые господа!



ViViseKtor И опять ASProtect. HELP!!! Уважаемые господа!
Дано: программа InternetAccessMonitor for WinRoute Pro 2.3 (взять можно на www.internetaccessmonitor.ru) Упакована ASProtect 1.23 RC4.
Проблема: после распаковки некорректно считает трафик (генерит случайные числа).
Перепробовал уже все - пробовал снимать дамп в разных местах (после импорта и на OEP), пробовал воспользоваться Stripper’ом - результат всегда один и тот же. API ASProtect в этом безобразии вроде бы не участвуют (хотя я могу и ошибаться).
У кого есть время помогите разобраться, или присоветуйте что полезное.
MozgC [TSRh] :: Ну мне кажется она банально проверяет что ее распаковали и пропатчили. Это может быть в простейшем случае
1) Проверка размера файла
2) Подсчет контрольной суммы файла на диске - ставишь бряки на createfile и readfile и смотришь че там происходит.
3) Подсчет контрольной суммы программы в памяти - ставишь bpm на адреса в памяти которые ты возможно пропатчил и смотришь когда они сработают, если сработают, и для чего.

Runtime_err0r :: ViViseKtor
Кстати, прога может ещё проверять наличие аспра в памяти, попробуй переупаковать её (хотя бы версией 1.2 если новее ничего нет) - иногда помогает

ViViseKtor :: Ну, блин!!! Спасибо за советы.
К сожалению, они не помогли. Програмулька вроде как нигде не подсчитывает контрольные суммы, и не проверяет размер файла. По крайней мере, я ничего такого не обнаружил.
По поводу второго совета. Наличие аспра в памяти проверяется АПИ Asprotect’а, но мы по-тихому эту проверочку ему обрубаем. К сожалению это ничего нам не дает в плане исправления глючка. И, соответственно, повторная паковка также не дает никакого результата.
Может кто-нибудь попробует распаковать, и скажет мне где я лоханулся.

P.S. Реальные логи могу выслать на мыло.

MoonShiner :: Короче, была у меня однажды трабла подобного типа... Там был какой то, по видимому, заказной аспр. Смысл был в том, что он некоторые функции в импорте запоганил своими переходниками, причем функции были не из ряда kernel32, user32... А каких то внутренних быблиотек. Посмотри на определение специфических импортируемых функций. Может быть Импрек неправильно определяет какие либо из ответственных за подсчет трафика... Типа netapi32.dll или фиг знает еще че.

ViViseKtor Re: MoonShiner :: Да не думаю я, что все так запущено. Скорее я действительно где-то лоханулся. Опыт общения с ASProtect у меня небольшой. Раньше распаковал всего парочку. Но там все прокатило без проблем. А здесь елы-палы не прокатывает.




[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:



[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:
ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
Я через OllyDbg способом из 26 нажатий shift+F9 нашел OEP... *Не зацикливая* программу а просто остановившись, снял Дамп... с помощю ImportREC восстановил таблицу... (почти все ImportREC восстановил сам + помог плагин для к нему для ASProtect v1.22) делаю затем Fix Dump....
Но после запуска дампа: «Инструкция по адресу 0x0048e889 обратилась к памяти по адр 0x00000004 память не может быть read» :(

Может это потому что Дамп снимал на незацикленной проге? Кстати а зачем ее вообще зацикливать? А если просто бряк на OEP ?
По поводу галочки «Add new section» в ImportREC? Нужна ли она? или надо RVA из Дампа брать?
P.S. хотя я и так и так пробовал...
MC707 :: Зацикливается только в айсе, чтоб прога дальше не убегала. Сайс же не параллельно с виндой работает.
[ChG]EliTe пишет:
цитата:
почти все ImportREC восстановил


а надо чтоб все.
Прочитай в доках краклаба статью -=ALEX=--а о распаковке этого аспра.

Если хочешь быстрее и не ручками (но не факт что правильнее) - возьми strripper 2.07f.

MC707 :: Да кстати не забудь еще и ОЕР правильно указать

XoraX :: еррор вылетает из-за спижженых байт, ты их не восстановил

MC707 :: XoraX
мде... че это я про них забыл?


[ChG]EliTe :: Что касаеться Импорта то я его ВЕСЬ восстанавливаю что не востановилось В самом начале то Плагин довостанавливает! Вообщем с этим все ОК! Как я понял.. :)

А вот что касаеться краденых байт, то действительно их не искал.. я думал они только в 1,3 версиях

[ChG]EliTe :: Люди добрые помогите со спертыми байтими разобраться.... точнее вернуть их на место... :)

Подскажите с чего начать, куда копать... Пользуюсь преимущественно Olly...

Помогите кто чем может...

Kerghan :: XoraX
MC707
вы че чуваки, пизженные байты кажись тока с 4ой бэтки начинаются , и уж во всяком случае в первой их ну никак нету

[ChG]EliTe
поробуй посмотреть в чем суть ошибки, отладчик он для того и сделан
может там чето типа mov eax,byte ptr [eax] а eax=0 или проверка целостности кода или еще хз че

MC707 :: XoraX
О, я ж грил

XoraX :: сорри, я честно гря не знал...

nice :: [ChG]EliTe
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит

dMNt :: я конечно извиняюсь , но где этот плагн там искать? я его не нашел

__cr__ :: http://kpteam.com/index.php?show=tools

Поисковики - это сила

[ChG]EliTe :: nice пишет:
цитата:
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит


1000 благодарностей! Офигеть! И правда все ОК!

Вот только как такое может быть ведь и без этого плагинка я все восстанавливал и ImportREC писал что мол все ОК! точнее «YES»!
Типа он восстановил но не правильно?




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не



FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.
Работает ПОКА только с Delphi прогами.

Инструкция: дампите аспровую прогу (в которой есть мутированные спертые байты!). Находите tempOEP (это адрес первого call’a начиная с ЕР - ну в который аспр входит). TempOEP показывает, например, AsprDbg. Импорт можете не восстанавливать и дамп может не запускаться, это не имеет значения.
Жмете Get Stolen Bytes. Получаете спертые байты с адресами и прочим.

Это первая версия, может есть ошибки!
Пробуйте: http://feuerrader.nm.ru/SBRec10.rar
RideX :: FEUERRADER пишет:
цитата:
Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.


Спасибо, нужная штуковина!

Гость :: Ну ты гений!

-= ALEX =- :: FEUERRADER где столько времени берешь на написание тулз ? я вот все свободное время (пару часов в день) трачу на написание протектора а также другой работы...

FEUERRADER :: RideX пишет:
цитата:
Спасибо, нужная штуковина!


Дык, а в действии? :)
-= ALEX =-
Выходные же. Вот и занялся кодингом.

GRADY$ :: Super!!!

infern0 :: извиняюсь за тон, но хули там в аспре для дельфовых прог восстанавливать ? push ebp, mov ebp, esp, mov eax, some_tbl, add esp, some_val ? это за 20 секунд руками делается...

Gloomy :: FEUERRADER
А можно в лист-боксе ширину строк сделать побольше а то вообще не видно что там написано

nice :: FEUERRADER
Спасибо, рулезная утилита, а исходники не дашь глянуть?

infern0
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

nice :: FEUERRADER
Она только с 11 крадеными байтами работает?
А я уже губу раскатал...

infern0 :: nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45


ну тогда любой пример сложнее того что я написал в студию.

Madness :: infern0
›ну тогда любой пример сложнее того что я написал в студию.
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop (или что-то вроде этого), но в ~95% случаев ты прав.

__cr__ :: infern0 пишет:
цитата:
nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

ну тогда любой пример сложнее того что я написал в студию.


Особенно интересно увидеть ту прогу, где 45 байт
(на _ДЕЛЬФИ_ естессно)

2Madness:

цитата:
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop


Такой цикл все равно не потянет на 45 байт.

nice :: infern0
Ну что же смотри (www.tradesoft.ru)
45:
PUSH EBP
MOV EBP,ESP
ADD ESP,-12C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-120],EAX
MOV [EBP][-124],EAX
MOV [EBP][-118],EAX
MOV [EBP][-11C],EAX
MOV [EBP][-14],EAX
MOV EAX,00333333
CALL ...

32:
PUSH EBP
MOV EBP,ESP
ADD ESP,-1C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-1C],EAX
MOV [EBP][-18],EAX
MOV [EBP][-14],EAX
MOV EAX,[00407C14]
MOV B,[EAX],001
MOV EAX,0033333
CALL ...

38 bytes:
0066B131 55 PUSH EBP
0066B132 8BEC MOV EBP,ESP
0066B134 6A FF PUSH -1
0066B136 68 C0716C00 PUSH opera.006C71C0
0066B13B 68 D8B96600 PUSH opera.0066B9D8
0066B140 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0066B146 50 PUSH EAX
0066B147 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0066B14E 83EC 58 SUB ESP,58
0066B151 53 PUSH EBX
0066B152 56 PUSH ESI
0066B153 57 PUSH EDI
0066B154 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

22 bytes:

0057B0F8 ‹Module› $ 55 PUSH EBP
0057B0F9 . 8BEC MOV EBP,ESP
0057B0FB . 83EC 18 SUB ESP,18
0057B0FE . 53 PUSH EBX
0057B0FF . 56 PUSH ESI
0057B100 . 57 PUSH EDI
0057B101 . 33C0 XOR EAX,EAX
0057B103 . 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
0057B106 . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0057B109 . B8 78A95700 MOV EAX,a.0057A978

Для любителей Олли, уже дописываю статью про аспр, где подробно процесс востановления будет описан.

Гость :: nice пишет:
цитата:
Для любителей Олли, уже дописываю статью про аспр


А где эту статью можно будет глянуть?
Дай адрес на свой сайт

nice :: Гость
Посмотри, это только процентов 40 правда, остальное дома:
http://hice.antosha.ru/AsProtect.rar

Гость :: nice - благодарен!
Надеюсь скоро все выложишь!

Гость :: кстати, nice, зайди сюда, может чем поможешь нам? (долбаем одну прогу!)

-= ALEX =- :: nice’у огромный респект ! по поводу проги сей ниче сказать не могу, вернее промолчу, что-то тянет FEUR. проги странные клепать...

FEUERRADER :: Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X , в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(

infern0 :: FEUERRADER пишет:
цитата:
Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X, в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(


идея понравилась. реализация подвела :)
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.

ViViseKtor :: Это точно. Идея отличная. И развивать стоит.

FEUERRADER :: infern0 пишет:
цитата:
идея понравилась. реализация подвела :)


Дык подскажи, как сделать лучше.
infern0 пишет:
цитата:
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.


Можешь кинуть мне на мыло (feuerrader(at)nm(dot)ru) эту секцию с восстановленными стриппером мутированными байтами? А лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером.
Буду благодарен.

infern0 :: FEUERRADER пишет:
цитата:
Дык подскажи, как сделать лучше.


лучше - в теории это писать анализатор кода который выкинет все барахло и оставит только полезную нагрузку. Проблема усугубляется тем что аспр заходит в call поэтому надо выцепить только инструкции до call (те которые он стирает). Как это красиво сделать - я не знаю. Хотя я восстанавливаю байты одним проходом в айсе по мутированному коду. Следишь за балансом стека и выписываешь на листик команды. Минут 10-15 на все уходит.

FEUERRADER пишет:
цитата:
лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером


тогда дай мне ее запакованную, т.к. самого аспра у меня нет.
или в аську - там поговорим.

nice :: FEUERRADER
В статье я всё допишу и про импорт и про востановление спертых байт

Проект мне тоже интересен, но как это сделать я не знаю :(
Может из Деде попытаться выдрать алгоритм дезассемблирования.
Можно делать так выдрать сначала всё, кроме «основных» мусорных команд jmp и т.п.
потом уже создав более компактный список пройтись по нему разок, и так пока не сведем к минимуму,
да в конечном итоге человек 10 команд и сам может под ОЕП подогнать чем такой цикл проходить




[ChG]EliTe Мальенький вопрос про SuperBPM Не запускаеться :(



[ChG]EliTe Мальенький вопрос про SuperBPM Не запускаеться :(
Can’t load \\.\SuperBPM.VXD
Подскажите...
P.S. SuperBPM.VXD лежит в папке с SuperBPM
MC707 :: Дык разве VXD под 2k/xp грузится?

[ChG]EliTe :: MC707 пишет:
цитата:
Дык разве VXD под 2k/xp грузится?


Хм.... :(
Подскажите где SuperBPM for NT взять че то все перерыл не могу найти....

MC707 :: Где-то была тут тема про него, поищи. Сам айсом не пользуюсь уж давно, поэтому этой самой штуки нету.

[ChG]EliTe :: Я знаю что ты вроде как любитель Оли? а ты ей ASProtect 1.23 RC4 распаковывал...?

XoraX :: вполне реально

[ChG]EliTe :: Эх... кто бы мне помог....
Единственное что имеем это http://gl00m.fatal.ru/art/aspr13.html но для 1.23 RC4 по коду только самое начало совпадает...
а дальше темный лес.... если ктонить согласиться помоч могу все в подробностях описать что делаю....

Гость :: [ChG]EliTe пишет:
цитата:
вполне реально


Поможешь в общем деле?

Runtime_err0r :: [ChG]EliTe

цитата:
Подскажите где SuperBPM for NT взять че то все перерыл не могу найти....


_http://www.zone.ee/Runtime_err0r/superbmpfornt.zi p

[ChG]EliTe :: Runtime_err0r
ОК! Спасибо!

MC707 :: [ChG]EliTe пишет:
цитата:
а ты ей ASProtect 1.23 RC4 распаковывал


Распаковывал уже :), недавно научился. Высшие версии со спертыми байтами еще нет, может просто руки не доходили, ну полюбому дождемся статьи nice’а

[ChG]EliTe :: MC707 пишет:
цитата:
ну полюбому дождемся статьи nice’а


Даже с тем что уже написано nice (т.е. начало статьи) у меня уже проблемы.... :( т.к. ручным способом нашел 2 возможноых OEP и незнаю какой из них правельный и есть ли он среди них вообще... а автоматический можно сказать вообще не работает причем именно на этой проге (См. http://cracklab.fastbb.ru...27-000-0-0-0-1078881144-0)




[ChG]EliTe Ковыряние ASPr 1.23 RC4 Reg в Olly Вот ковыряю это прогу уже дней



[ChG]EliTe Ковыряние ASPr 1.23 RC4 Reg в Olly Вот ковыряю это прогу уже дней несколько! Перечитал все статьи что смог найти на это тему!
Вот http://hice.antosha.ru/AsProtect.rar как мне кажеться Абсолютно простая и понятная статья (Кстати СПАСИБО за нее надеюсь скоро ты ее допишешь :), но несмотря на это че то не очень получаеться :О(

Дело в том что и при ручной я вроде добрался до фальшивого OEP, а вот при автоматической распаковке с использованием скриптов прога запускается, а Оля кажет kernell32 :( и скрипт не пишет «Finished!» :( а где обещенный OEP? или SB ?

Причем больше всего меня вводит в ступор именнт спертые быйты
Помогите кто чем может...
Kerghan :: Посмотри в опциях, возможно у тебя стоит крыжик в security/Memory access...

[ChG]EliTe :: Kerghan пишет:
цитата:
крыжик в security/Memory access...


А можно подробнее где именно.... че то не могу найти...

Kerghan :: насчет security я погорячился :-/
Options/Debugging options/Exceptions

AlexZ CRaCker :: Ну, скачал я статейку http://hice.antosha.ru/AsProtect.raк
а тама ХР Винда нужна. Что в ХР НЕНАВИЖУ, так то, что всё красиво настолько что аш неудобно. Чисто с первых 20 минут юзанья впечатленица: от ламков все системные настройки так далеко запрятаны? Ну не врубаюсь я когда ламки, которые текст в Ворде пробелами(!) форматируют ставят ХР(Винду). Это ни на ково не наезд, просто я непонимаю, че хорошего в ХР. Единственное, это есть унпакеры клёвые под ХР.

[ChG]EliTe :: Я тоже ХР не люблю у меня Win2k но как это относиться к сути вопроса?

Подскажите, направте на путь истенный, т.к. сколько перечитал статей не одна толком не помогла :(
Помогите найти OEP и SB...

вот сама прога: _http://nhjqfy.narod.ru/lifetree.rar

Заранее благодарен! А то я уже с ума схожу...

[ChG]EliTe :: Основные недоразумения :):
Основная фишка в 26 нажатиях shift+F9 т.е. за одно нажатия до запуска проги встаем на:
XOR DWORD PTR DS:[EAX],EAX
POP DWORD PTR FS:[0]
POP EAX
В перведущих версиях распаковывал все так оно так но в данном случае у меня:
Прога показывает признаки запуска не после 27 нажатий как обычно бывает а после 32... но и после 32 она не запускаеться полностью... стопиться на сплеш скрине...
Выше написанный код находиться не на 31 нажатии как можно было бы предположить а на 29-том...

вообщем я думаю это из-за SB.. хотя и не уверен.. вообщем я в растеренности :(
Помогите пожалуйста научиться распаковывать аспр со столенами С меня Пиво!

nice :: AlexZ CRaCker
Меня просто бесит, что народ брызжит слюной, обзывает всех ламаками, а сам даже не может допереть, что ХР совсем не обязательна!!!

Парень если ты такой умный напиши статью сам, работать в ворде и форматировать текст много ума не надо, такое форматирование-значит так надо было!

Ты бы по делу чего-нибудь написал, а то начни ещё рошибки в синтаксисе выискивать и про поля чего-нибудь сумничай!

Даже делать ничего не охота после такой лажи!!!!


[ChG]EliTe :: nice
Ты не обращай внимания «Умные» пусть умничают дальше :) А вот для нас LaМеРоV именно такие статьи и нужны! Хотя у меня ничего не получилось (хотя мне кажеться что все дело все таки именно в этой проге ну или в моей hands.dll) статья все равно написано Отлично! и полностью соотведствует названию! Step by Step!

Лично TO nice
Помоги с распаковкой проги плз... А то я уже в отчаянье За мной не заржавеет!
Желательно не просто именно вот этоу прогу распаковать, а научиться.....Ну сам понимаешь..

-= ALEX =- :: nice не расстраивайся брат, статья нормальная, молодец, что написал. я вот тоже подумываю оллю начать изучать :)

MC707 :: [ChG]EliTe
Не мучайся,
1) статей про SB и аспр в частности много
2) дождись окончания статьи nice-a
3) воспользуйся стриппером 2.07ф и посмотри как это все делает он.

nice
Отлично! Так держать.

nice :: [ChG]EliTe
Держи: http://hice.antosha.ru/dumped_.rar

Действительно не стандартный случай...
У меня скрипт тоже не сработал, пришлось по Shift+F9

MC707
Постараюсь сегодня закончить.

Может убрать там про ХР? А то правда чего доброго народ ХР начнет ставить ;)

[ChG]EliTe :: nice пишет:
цитата:
Держи: http://hice.antosha.ru/dumped_.rar

Действительно не стандартный случай...
У меня скрипт тоже не сработал, пришлось по Shift+F9


Спасибо большое! nice расскажи пожалуйста Хотя бы примерно! или я так тупицей и помру...

[ChG]EliTe :: Кстати из моих 4-х OEP самый ближний к верному был 5DE338 (это правильный но без SB ? или просто так совпало?)
Кстати именно его я нашел точно следуя твоим указаниям в статье!

MC707 :: nice пишет:
цитата:
Постараюсь сегодня закончить.


Круто!!!

цитата:
Может убрать там про ХР? А то правда чего доброго народ ХР начнет ставить ;)


Оставляй как есть, кому нужно - тот поймет правильно

з.ы. сообщи когда закончишь

[ChG]EliTe :: Жду не дождусь релиза статьи... Чуть ли не минуты считаю! Nice Кинешь линк в этой теме!
P.S. Если я прочитав статью сам эту прогу распакую, ~ буду с меня Пиво!




Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




ilya распаковщик ASProtect 1.23 RC4-› Alexey Solodovnikov подскажите...



ilya распаковщик ASProtect 1.23 RC4-› Alexey Solodovnikov подскажите распаковщик для этой шняги
KLAUS :: А автоматического нет.
Только руками.....

ilya :: в статье cracklab всё както мудрено по этому поводу

Gloomy :: KLAUS
›› А автоматического нет.
Да ну, так уж и нету? А stripper 2.07f на что?

KLAUS :: Gloomy

Он распаковывает процентов 10%, из всех что я встречал...хотя может я просто такие встречал!

ilya :: а где скачать stripper 2.07f ???

AnteC :: на ftp.exetools.com
пасс на forum’е exetools.com

ilya :: чёто не могу найти

AnteC :: на тузле не можешь найти? или не можешь найти пасс?

ilya :: на тузле

AnteC :: incoming/AsprStripperXP/

ilya :: AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)

AnteC :: ?
у меня все пашет? (WinXp)

ilya :: у меня тоже XP(прога называется All My Movies-может кто нить ломал )

[ChG]EliTe :: Я че то в него не въехал... точнее старые то верси все Куль! А вот тот же 1.23 RC4 ....
Че то либо я недоковырял его либо....Одно из двух...

Gloomy :: KLAUS
›› Он распаковывает процентов 10%
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура

ilya
›› All My Movies-может кто нить ломал
Я хотел с ней поработать, но там оказалась настолько крутая защита что прога даже просто так, без всяких отладчиков не запускалась - показывала кучу ошибок и сдыхала

NoSFeRaTU :: Cкачать stripper 2.07f можно с официального сайта _http://www.is.svitonline.com/syd/

Гость :: KLAUS пишет:
цитата:
А автоматического нет.


Неправда!
Gloomy пишет:
цитата:
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура


Абсолютно согласен!
ilya пишет:
цитата:
AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)


Перед распаковкой проверь в списке процессов свою прогу(если что - руби ее на корню!!!). У меня на XP+SP1 старая и новая версия нормально пахали и пашут.

Гость :: KLAUS пишет:
цитата:
А автоматического нет.


Неправда!
Gloomy пишет:
цитата:
А у меня наоборот 10% НЕ распаковывает, остальное берет на ура


Абсолютно согласен!
ilya пишет:
цитата:
AsprStripperXP-он у меня глючит (загружаю в него прогу и появляется мессага типа в проге обнаружена ошибка-приложение будет закрыто)


Перед распаковкой проверь в списке процессов свою прогу(если что - руби ее на корню!!!). У меня на XP+SP1 старая и новая версия нормально пахали и пашут.

Kerghan :: ilya
AnteC
может вам лучше по мылу общаться

KLAUS
распаковывает он цевильно, хотя последнее время стало до фига прог с дополнительной проверкой целостности(или размера) и поэтому _некоторым_ может показаться что stripper криво распаковывает

MC707 :: Kerghan
Точно!
Еще может проверять наличие аспра (хотя ты это и имел ввиду)
а мне вчера прога попалась - стриппер ее размохратил - распакованная вылетает с GPF. Потрейсил, пару переходников подправил и все заработало.




WELL РАСПАКОВКА DLL, защищенных ASProtect. Хотелось бы узнать о распаковке



WELL РАСПАКОВКА DLL, защищенных ASProtect. Хотелось бы узнать о распаковке dll’ок, защищенных аспром.
Допустим на примере Engine.dll из OutPost 2.1
Kerghan :: чего-то наши аспротекчики притихли
В Olly:
Ставишь крыжик в Events\Break on new module (DLL)
трассируешь по F9 пока не остановишься на нужном модуле
смотришь EP в поле Entry, ставишь на него бряк и жмешь F9
ну а дальше все также как c .exe

Nitrogen :: ну а релоки?

p.s помнится qice/tsrh писал тутор именно по аспру от аутпостовой дллки

MoonShiner :: О релоках статья лежит на xtin-e... И, помнится, где то я видал плагинчик для pe_tools кажись, который их колбасил... Сам не юзал, но видел:)




RavenFH Advanced RAR Password Recovery v.1.5 и ASProtect Запакован если верить



RavenFH Advanced RAR Password Recovery v.1.5 и ASProtect Запакован если верить PEтулзам вот такой штукой: ASProtect v1.2x (New Strain), вручную распаковать не получается, ссылка тута есть у кого варианты, пробовал по разному, там спертые байты и все такое, наставьте на истинный путь у меня уже варианты иссякли, все статьи перечитал - никак...
RavenFH :: Импорт вроде бы восстановил, теперь спертые байты...

RavenFH :: Подскажите где про эту гадость почитать, нифига не получается, как с этим бороться (спертые байты)? кто-то должен же знать мож кто статью писал или ссылочку подкинет?

Perch :: RavenFH.
Ты знаешь, вообщето там нет спертых байт...
Если трудно с ручной распаковкой...воспользуйся stripper’ом by syd
http://www.is.svitonline.com/syd/stripper.html
он распаковывает ее без проблем.

RavenFH :: Perch пишет:
цитата:
Если трудно с ручной распаковкой...воспользуйся stripper’ом by syd


Хотелось бы подобные штуки ручками научиться распаковывать, проблемма с поиском OEP, может подскажешь что?

Suff :: Да почитай ты статьи здесь. Много найдешь.




RavenFH Новый Stripper не берет новый ASProtect Но в принципе помогает



RavenFH Новый Stripper не берет новый ASProtect Но в принципе помогает распаковать, меньше гемора при распаковке, кто желает поучаствовать и помучить ReGet билда 188 лежит тута, а то я смотрю у всех модемы и эта прога понравиться, я думаю всем, при закачке через модем лучше проги нет.
[ChG]EliTe :: 2 nice
Как дела с обещенной статьей? Кинь Линк плз..

XoraX :: RavenFH , для Регета вроде бы был заюзан не совсем обычный аспр, а написанный специально.

RavenFH :: 2 XoraX
- Ну я его распаковал с помощью Strippera пришлось кое что подправить и ReGet заработал при выходе только падает, но в принципе я догадываюсь почему (стек надо подправить) раздизасемблировал теперь пытаюсь бороться с нагом, пока безрезультатно. Заставил его зарегиться, но при перезапуске забывает, ищу способы как ему это «напомнить»

XoraX :: про паданье регета писал хекс на xtin....

Mario555 :: XoraX пишет:
цитата:
про паданье регета писал хекс на xtin....


Как то он там сложно всё описал... в олли найти и восстановить пошифрованный кусок гораздо проще и быстрее.




sataron Самая над



sataron Самая надёжная защита? Я вот тут призадумался, а есть ли «идеальная» защита для программ???
Для Dr.Web я лично кряков не видел - только ключики, это значит что эта защита практически идеальна???
MozgC [TSRh] :: Идеальной думаю нет. Даже если выложена демо или есть покриптованные секции, то такую программу просто скардят (подправят если есть привязка к компу) и распространят по инету.

Но в общем случае как я уже сказал, нормально делать демо-версии или криптовать процедуры, так чтобы для раскриптовки нужен был бы ключ. Ну еще близко к идеалу сейчас работает Xtreme Protector. Хотя у него много минусов, но если смотреть только со стороны ломания, то разве его кто-нибудь сломал сейчас?

-= ALEX =- :: неа, научи меня отучивать его от ребутирования системы, я попробую поковырять :) а так, ни-ни ...

MozgC [TSRh] :: Кто-то высказывал предположение, что можно в управлении виндовс отключить права на перезагрузку компьютера и тогда XtremeProtector не будет перезагружать Windows. Я не проверял правда да и не думаю что поможет...

-= ALEX =- :: да он его не перезагружает, он его обрубает (вот гад :() потом начинается проверка дисков и т.д. не буду рассказывать, все знаю, какого это :)

saatron :: Спасибо ВСЕМ за ответы ;-)))

Пусть ветер дует Вам в спину.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh] пишет:
цитата:
если смотреть только со стороны ломания, то разве его кто-нибудь сломал сейчас?


Я уже говорил - сломали его и не один человек.

WELL :: sataron пишет:
цитата:
Для Dr.Web я лично кряков не видел - только ключики, это значит что эта защита практически идеальна???


Кряки есть, причем универсальные для нескольких версих разом

бара :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Я уже говорил - сломали его и не один человек.


старую версию ломали только и фактов кстати нету - одни слухи...

Гость :: Кряк один скачал, но он не хочет патчить версию под XP(NT) :(

WELL :: Гость пишет:
цитата:
Кряк один скачал, но он не хочет патчить версию под XP(NT) :(


Я крак юзал под 98-й, даже, если под XP что-то не так, то смысла дела это не меняет - все равно ломается

Гость :: Разница !ЕСТЬ!
даже в названии файла проги:
spider.exe - spidernt.exe

WELL :: Гость
То есть ты думаешь, что в лабаратории тов.Данилова версию по NT/XP защитили лучше, чем под 9х ? Что-то я сомневаюсь
Просто кряк видимо чисто под 9х, но это не значит, что XP-версия не ломается
Ведь изначально спрашивалось про защиту Dr.Web вообще

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Я уже говорил - сломали его и не один человек.


Либо версия была старая, либо были выключены многие опции (в аспре 1.3 например можно таких опций навключать что зае****ся распаковывать) либо еще что. В любом случае где эти люди, где факты? Без обид, просто ты единственный человек кто так говорит.

PS. Я не утверждаю, я лишь говорю то что думаю.

sataron :: Привет ВСЕМ!!!
Я конечно тут не частый гость, но приятно видеть что моя тема пользуеться хоть каким-то спросом .
Но вот что хотел у вас узнать то - если я программу защищаю файловым ключиком , сам ключик несёт только смысловую нагрузку (имя фамилия и т.д. ), причём его можно запаковать малоизвестным архиватаром . Процедуру проверки ключа воткнуть по всей программе (причём её можно шифрануть для надёжности и расшифровывать только в памяти ). Как эта защита по надёжности будет???

T0zik :: sataron пишет:
цитата:
Как эта защита по надёжности будет???


Никак.. купи aspr и шифруй секциями, oep/etc получше будет, ну или xprot :) если мазохист

captain cobalt :: sataron
Отлично! Неплохое описание комплексного подхода к защите.

Однако есть еще более мощное средство, наиболее эффективно
останавливающее крякеров. И заключается в намеренное введении
в программу средств, реализующих в программе состояние
(а лучше несколько) «кажется, что крякнута», в которое она должна
переходить при наиболее типичных вмешательствах в ее работу.

WELL :: captain cobalt пишет:
цитата:
И заключается в намеренное введении
в программу средств, реализующих в программе состояние
(а лучше несколько) «кажется, что крякнута», в которое она должна
переходить при наиболее типичных вмешательствах в ее работу


Ну во-первых, это не клиентоориентированный подход (во какое слово замутил )
Т.к. мало ли какой сбой случится в той же системе. И будет косячно, если у зарегеного юзера прога глюкнет.
А потом ведь можно при желании и проверки все эти отловить.

Наверное всё же лучше, чтобы как в аспре и армадиле...

KLAUS :: Незнаю, мне так нравится как проги защищает SVKP и Activemark.
Т.к им плевать на icedump и frogsice, так же они забирают часть кода проги в себя. Т.е. отодрав протектор выходит не полный дамп, пусть даже и с правильным импортом, так же криптуют прогу по извратному. Например в зависимости от регистрационного ключа по разному распаковывает прогу (хотя кажись Asprotect тоже самое делает) . Впридачу эти распаковщики выполняют псевдокод и контролировать их очень сложно.

captain cobalt :: WELL пишет:
цитата:
Т.к. мало ли какой сбой случится в той же системе. И будет косячно, если у зарегеного юзера прога глюкнет. А потом ведь можно при желании и проверки все эти отловить.


Не понятно, о чем здесь речь...
Поэтому я проиллюстрирую примером то, о чем говорю.

Программа тупым способом спрашивает у юзера имя
и регистрационный ключ. Проделывает над именем
простенькие выкладки и сравнивает результат с
введенным ключом...

Вася Пупкин, прочитавший одну статью по крэку,
радостно правит условный переход, и, о счастье,
программа благодарит за регистрацию и вроде бы
начинает работать...

Но, увы, он всего-лишь попался в одну из ловушек
защиты. Ветка программы, по которой он направил
управление при «правильном» ключе никогда
не выполняется, и, помимо всего прочего, ставит
один ма-аленький флажок...

Счастливый юзер, взявший у Васи Пупкина кряк,
радостно начинает работу с «зарегистрированной»
программой. И, в какой-то момент заходит в
диалог «Настройки»... Тут-то и выполнится кусочек
кода, который проверит этот флаг... Через некоторое
время юзер с ужасом обнаруживает, что программа
не хочет сохранять документ...

Идея понятна?
Разумеется, обладая развитым извращенным воображением,
можно сделать гораздо большее количество изощренных
зависимостей (в том числе на основе случайных чисел и
текущей даты). Для полноты картины надо отметить, что
делаются они защищенными от референтного нахождения
способами... Интересно ломать такую защиту?
В сколь-нибудь многофункциональной программе и грамотном
подходе к защите, вручную отломать это все может быть
«весьма проблематичным»... Здесь может помочь только
автоматизированный анализ потоков данных, но, насколько
мне известно, для этого не существует хороших
общедоступных тулз...

captain cobalt :: RavenFH уже, похоже, «на практике знает», о чем я говорю...
Такое чудо можно даже не упаковывать, создавая «иллюзию простоты»...

KLAUS :: captain cobalt

» для этого не существует хороших общедоступных тулз... » - голова самая надежная tools’a!

Просто с такой прогой возни будет больше......
Ну а поидее прога всё равно должна будет как-то регется....ну а если есть REG то и есть реальный crack!

AlexZ CRaCker :: sataron пишет:
цитата:
это значит что эта защита практически идеальна???


САМЫЕ НАДЁЖНЫЕ В МИРЕ:
Написание проги на VB, иль ищо каком Г0BHЕ - чтоб в DLL заблудится при отладке. (пример: ELPOS 3.0)
Ключик в LPT. (Пример: Primavera for Construction)
Файло-ключ, в котором присутствуют описания недоступных функций.
(Правда, для пиратов - это фуфло.)

WELL :: AlexZ CRaCker пишет:
цитата:
Написание проги на VB, иль ищо каком Г0BHЕ - чтоб в DLL заблудится при отладке


Это из серии «Чем проще написать прогу, тем сложнее её взлом»

AlexZ CRaCker пишет:
цитата:
Ключик в LPT


Это конечно хорошо, если юзается как надо. А то есть проги, которые простым if...then решают есть нужный ключ в порте или нет.
Другое дело, если в аппаратной части проги (в том же ключике на порту) находится часть функций...

AlexZ CRaCker :: WELL пишет:
цитата:
Другое дело, если в аппаратной части проги (в том же ключике на порту) находится часть функций...


Так, ключик с микросхепой - просто п.....ц
А есть ищо праги: флопик надо вставить - и юзай, там из комбинации БЭДов вычисляются расшифровка функций криптованых... ЖУТЬ !

WELL :: AlexZ CRaCker пишет:
цитата:
А есть ищо праги: флопик надо вставить - и юзай, там из комбинации БЭДов вычисляются расшифровка функций криптованых


Вот прикол, если дискета сдохнет

KLAUS :: AlexZ CRaCker пишет:
цитата:
Файло-ключ, в котором присутствуют описания недоступных функций.


Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт.
Вообще проги на Delphi легче всего ломать.

WELL :: KLAUS пишет:
цитата:
Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт.


Это интересно как ?
KLAUS пишет:
цитата:
Вообще проги на Delphi легче всего ломать.


Особенно если DeDe юзать

WELL :: KLAUS пишет:
цитата:
Смотря на чём написана прога, если на Delphi , то такую защиту снимаю изменя пару байт


Это если прога втупую if...then спрашиваеть ключ.
А если по уму сделать проверки и в нескольких местах, то сложнее...

KLAUS :: WELL пишет:
цитата:
Особенно если DeDe юзать


Угу, есть такое.

WELL пишет:
цитата:
Это интересно как ?


Delphi сам по себе при компиляции свой код возможным для модернизации, в самой проги или в dll к которой она обращается содержится как «запрещающий» код так и работоспособный.
В итоге если стоит запрет на расширение окна(90CA0000h) то меняя на (90CF000h) всё работает нормально.
На Cи же такой способ проходит крайне редко!

WELL :: KLAUS пишет:
цитата:
В итоге если стоит запрет на расширение окна(90CA0000h) то меняя на (90CF000h) всё работает нормально.


Ну это обычный запрет. А там-то говорится, что функции в отдельном файле, еще и зашифрованы по ходу...

WELL :: KLAUS
Вообще самый лучший способ демо версий, чтобы она была именно демо.
То есть не было бы там рабочего кода и все.
Демо и Фул-версия - две разные программы.
Ладно, пошел я на треню

KLAUS :: «Файло-ключ, в котором присутствуют описания НЕДОСТУПНЫХ функций» не сказано ОТСУТСТВУЮЩИХ, а значит всё реально!

KLAUS :: WELL

ВОт это базара нет, уже более рально...главное чтоб рабочаю версия попала в нужные руки!!

Давай удачи на трене!

AlexZ CRaCker :: WELL пишет:
цитата:
Вообще самый лучший способ демо версий, чтобы она была именно демо.
То есть не было бы там рабочего кода и все.


Ну, без файла функций - дема, с ним(файлом/затычкой LPT/Flop’ом) - полная.
Речь идёт о том, что прога ищет в ключе не хитрожопый SN, а часть своих функций .
KLAUS пишет:
цитата:
НЕДОСТУПНЫХ функций» не сказано ОТСУТСТВУЮЩИХ


Они НЕДОСТУПНЫ, потому, что неправильно восстановлены/расшифрованы (самозащита программы). Вот это .......... попадало мне в руки, ессно не крякнул (хуже криптора Аспра)
____________________
Программеры-копирайтеры - топайте отсюда (А то начитаются... )

KLAUS :: AlexZ CRaCker

Тут спорить бессмыслено, нужно чтоб конкретные примеры смотрело несколько человек, а уж отсюда делать выводы!

[RU].Ban0K! :: Вот что хочиЦа сказать на счёт разности защит в 9x и XP, сейчас занимаюсь созданием протектора, и для 9x защиту уже надумал и реализовал... и как оказалось для XP такую защиту реализовать невозможно...
Всё что сдесь было сказано это уже давно извесные трюки... «илюзию простоты» можно увидеть во флэшгете 1.3.... как я уже говорил она через день перестаёт работаеть...
VB легко отлаживается если писано не сильно по умному... лично отлаживал десяток программ, в том числе и свои...
Привязка к ключу... несколько опасно, один серийник ... а что дальше, лучше использовать хороший хэш... может брутфорсинг времяни много займёт... а может и вовсе выЙдет хорошо...
LPT? ну и что? одну затычку заиметь и всё... поплыло гов** по трубам...

p.s. Что обидно.... каждый раз придумывая новый трюк... через несколько секунд придумываю его обход

AlexZ CRaCker :: [RU].Ban0K!
Русские всегда что-нить придумают, как по защите, так и по взлому этой защиты.[RU].Ban0K! пишет:
цитата:
может брутфорсинг времяни много займёт... а может и вовсе выЙдет хорошо...


Может, да. А здесь в чём проблема? Кто ReGet Deluxe v3.3. билд 188 видел? - ну намутили с кодом активации(да, это защита). Че за защита, которая не для ХР?

[RU].Ban0K! :: AlexZ CRaCker
Да тут... блудни некоторые на пол килобайта в ring0...

sataron :: Привет Всем!!!
Почитал я опять ваши идеи - аж волосы дыбом встають !!!
Че токо народ не напридумывает!!!
А вот идея насчёт скидывания части функций довльно интересная - мож кто из уважаемых Исследователей поподробнее об этом напишет или скинет ссылочку на прогу(и) в которых эта защита реализована.
Я вот тут видел на днях защитку - прога при сетапе смотрит где она на винт легла потом при каждом запуске смотрит на изменение либо положения файликов на винте либо изменение их CRC - прикольно да? Я причём сурьёздно не смотрел но это не комерческая прога, а прототип защиты я его на одном из серваков по программированию качнул.

AlexZ CRaCker :: sataron пишет:
цитата:
мож кто из уважаемых Исследователей поподробнее об этом напишет или скинет ссылочку на прогу(и)


Проги это очнь редкие. Распространяются только по личному запросу. У нас на весь город мож четыре чела такие проги имеют (вряд-ли создатели будут делать гавёную защиту). Я так, исследовать это брал...
_____________________________________________
sataron пишет:
цитата:
Че токо народ не напридумывает!!!


Да даже если я ошибаюсь, что там всё так накручено, всё равно теоретически такая защита возможна, а это - крупная задница, Аспр после неё может дезодарантом показаться(тока представь )

P.S. Это я завёл к тому, что в топике чел спрашивал о надёжной защите - а мы тут варианты накидываем.




eugene



eugene_sh Хотел сломать Active SMART 2.4, как снять защиту??? Хотел сломать Active SMART 2.4, обнаружил, что онпа защищена AsProtect’ом 1.2x. как снять защиту???
CASPR 1.100 НЕ ПОМОГАЕТ!!!
MoonShiner :: Stripper

ViViseKtor :: Или ручками.

T0zik :: eugene_sh пишет:
цитата:
Хотел сломать Active SMART 2.4, обнаружил, что онпа защищена AsProtect’ом 1.2x. как снять защиту???
CASPR 1.100 НЕ ПОМОГАЕТ!!!


Ну ты бы начал исследовать ее вручную - чего непонятно и писАл бы сюда. 100% помогли бы советом.

KLAUS :: В Сайсе ставь бряку
GetModuleHandleA if(*(esp+4)==0) , и запускай прогу.
F12 (столько столько подребуется, пока не увидишь), в ebx 0x00400000, затем
s 0x01200000 lFFFFFFFF 00 00 40 00 ( у тебя могуть быть другие адреса)!
а он нам ответит «Pattern found at 0023:012B4560 (000B4560)»
теперь скажем «s 0x01200000 lFFFFFFFF 60 45 2b 01»
и ответит нам «Pattern found at 0023:012ACE23 (000ACE23)»
и наконец «u 0023:012ACE10»
Теперь поставим бряк на 0023:012ACE18

RavenFH ::
KLAUS пишет:
цитата:
В Сайсе ставь бряку
GetModuleHandleA if(*(esp+4)==0) , и запускай прогу.
F12 (столько столько подребуется, пока не увидишь), в ebx 0x00400000, затем
s 0x01200000 lFFFFFFFF 00 00 40 00 ( у тебя могуть быть другие адреса)!
а он нам ответит «Pattern found at 0023:012B4560 (000B4560)»
теперь скажем «s 0x01200000 lFFFFFFFF 60 45 2b 01»
и ответит нам «Pattern found at 0023:012ACE23 (000ACE23)»
и наконец «u 0023:012ACE10»
Теперь поставим бряк на 0023:012ACE18


Есть где-нибудь статья про подобный метод?




bi0w0rM Инлайн патч для ASProtect помнится, обсуждалось это дело. но я потом



bi0w0rM Инлайн патч для ASProtect помнится, обсуждалось это дело. но я потом ушел... может подскажете, это вообще возможно и как.
WELL :: bi0w0rM
Вот есть статья по упсу. Почитай. Основа есть, дальше сам...
http://uinc.ru/articles/07/index.shtml

-= ALEX =- :: WELL ну ты рассмешил меня ХА ХА, если не знаешь сам, нефиг советывать. bi0w0rM я помниться делал asprotect patcher... если юзаются апи аспра, можно не плохо сделать инлайн патч ручками... можно пошагово сделать, но тогда теряется CRC (так делают например команда ROR), но это дело можно подставить...

WELL :: -= ALEX =-
Да я и не советовал, просто линк дал на статью




nice Статья Olly Vs ASPR Наконец дорвался до инета, всем респект!



nice Статья Olly Vs ASPR Наконец дорвался до инета, всем респект!
http://hice.antosha.ru/asprotect.rar
MC707 :: Круууууууттттта!

Thats great!

[ChG]EliTe :: Я ждал ее как не знаю что :) Спасибо nice!
Если с ее помощю я распакую aspr 1.23 RC4, то как и обещал с меня пЫво

DiveSlip :: Жаль только, что не html формата , придется устанавливать Office . А так прекрасная работа, nice !

Mario555 :: В Lifetree.exe, как и в других прогах с аспр RC4, от last exception до полиморфа легко добраться вручную.
В полиморфе Lifetree.exe байты такие:

00E57074 PUSH EBP
00E57075 PREFIX REPNE: ; Superfluous prefix
00E57076 JMP SHORT 00E5707A
00E57078 INT 20
00E5707A POP DWORD PTR SS:[ESP]
00E5707E MOV EBP,ESP
00E57080 SUB ESP,10

PS Сам тутор мне понравился, больше бы таких... спасибо nice .

[RU].Ban0K! :: Что-то я разочаровался в аспре...
Мне не приходилось его распаковывать..., но полиморф из него точно никакой...,
я думал что это должно было быть раз в 100 по круче...

P.S. В моём протекторе явно круче будет... так как я хотяб не пру ни чего из вирусов та разных...




red у кого softice под winXP пожалуйста откликнитесь установил Compuware...



red у кого softice под winXP пожалуйста откликнитесь установил Compuware SoftICE Driver Suite 3.0 всё вроди работает нормально но softice не прирывается на bpx.Посоветуйте что нужно сделать ,может я не так настраиваю winice.dat
Гость :: советую перейти на OllyDB
тем более что сейчас хорошие статьи про нее можно спокойно найти

UnKnOwN :: Для начала, в Айсе надо выбрать твой процесс с программой которую ты хочеш ломануть это можно сделать так:

нажимаеш CTRL+D , появиться Айс, пишеш addr Дальше жмёш Enter до того момента когда закончиться список процесов, потом пишеш addr .... Там где 3 точки пишеш или PID или Name процеса (например addr WinRar ) и нажимаеш Enter . После этих телодвижений у тебя станет активным процесс с программой, дальше можеш ставить бряки всякие должно сработать.

Ещё проверь правильно ли у тебя настроен winice.dat, имхо иногда помогает

red :: UnKnOwN пишет:
цитата:
Ещё проверь правильно ли у тебя настроен winice.dat, имхо иногда помогает


если не трудно впиши как он у тебя настроен под XP

infern0 :: red пишет:
цитата:
установил Compuware SoftICE Driver Suite 3.0 всё вроди работает нормально но softice не прирывается на bpx


в 3.0 бряки _должны_ ставится в контесте проги. Об этом тебе unknown написал. Если хочешь вернуть все взад (как было в 2.7) то ставь 3.1 и пиши set breakinsharedmods on

Stace :: а где эти статьи под OllyDb найти мона?

WELL :: Stace пишет:
цитата:
а где эти статьи под OllyDb найти мона?


Да хотя бы здесь http://hice.antosha.ru/asprotect.rar

UnKnOwN :: red

NMI=ON
LOWERCASE=OFF
VERBOSE=ON

HST=256
DRAWSIZE=2048
INIT=«color f a 4f 1f e; code on; lines 60; wc 35; wd 8; wr; faults off; ;dex 1 ss:esp;altkey ctrl d;set mouse 3;cls;X;»
SYM=512

EXP=C:\WINDOWS\system32\advapi32.dll
EXP=C:\WINDOWS\system32\hal.dll
EXP=C:\WINDOWS\system32\ntoskrnl.exe
EXP=C:\WINDOWS\system32\ntdll.dll
EXP=C:\WINDOWS\system32\kernel32.dll
EXP=C:\WINDOWS\system32\user32.dll
EXP=C:\WINDOWS\system32\csrsrv.dll
EXP=C:\WINDOWS\system32\basesrv.dll
EXP=C:\WINDOWS\system32\winsrv.dll

AUTOCONNECT=OFF
NETSUPPORT=OFF
HOSTNAME=SERVER
F1=«h;»
F2=»^wr;»
F3=»^src;»
F4=»^rs;»
F5=»^x;»
F6=»^ec;»
F7=»^here;»
F8=»^t;»
F9=»^bpx;»
F10=»^p;»
F11=»^G @SS:ESP;»
F12=»^p ret;»
SF3=»^format;»
AF1=»^wr;»
AF2=»^wd;»
AF3=»^wc;»
AF4=»^ww;»
AF5=«CLS;»
AF11=»^dd dataaddr-›0;»
AF12=»^dd dataaddr-›4;»
CF1=«altscr off; lines 60; wc 32; wd 8;»
CF2=»^wr;^wd;^wc;»
MACROS=32

MOUSE=ON
ECHOKEYS=OFF
NOLEDS=OFF
NOPAGE=OFF
PENTIUM=ON
THREADP=ON
SIWVIDRANGE=ON
MENU=Copy , NMPD_COPY , 0
MENU=Paste , NMPD_PASTE , 0
MENU=Copy&Paste , NMPD_COPYANDPASTE , 0
MENU=Display , NMPD_DISPLAY , 0
MENU=Un-Assemble , NMPD_UNASSEMBLE , 0
MENU=What , NMPD_WHAT , 0
MENU=Prev , NMPD_PREV , 0
MENU=Reip , r eip %cp% , 0
MENU=Add Watch , watch %cp% , 0
MENU=Break On Text , bpx %cp% , 0
; WINICE.DAT
; (SystemRoot\System32\Drivers\WINICE.DAT)
; for use with SoftICE for Windows NT (versions 3.0 and greater)
;
; ***** Examples of export symbols that can be included *****
; Change the path to the appropriate drive and directory

Вот держи





WELL ASProtect 1.23 RC4 и смена даты Вот такой вопрос.



WELL ASProtect 1.23 RC4 и смена даты Вот такой вопрос.
Прога упакована ASProtect 1.23 RC4.
Ограничение по триалу n дней.
Если перевести дату на n+1 день вперед, то прога соответственно не запускается с предложением ввести серийник.
После перевода даты обратно прога тоже не запускается.

Дальше я удаляю из реестра ключ HKCU/Software/ASProtect с подключом SpecData
Перевожу часы в пределы рабочей даты и прога запускается.

Получается данная версия аспра хранит свою инфу в HKCU/Software/ASProtect + где-то еще.
Утилитка Die ASProtect ничего не находит.
Никто не в курсе где инфа о триале хранится.

В общем интересует не распаковка, а чистка реестра после заср##ца ASProtect’a
KLAUS :: WELL

А ты уверен, что это не сама прога свиряет.....

WELL :: KLAUS
Что сверяет ?

MoonShiner :: WELL пишет:
цитата:
Что сверяет ?


Дату. Бывает, что проги полагаются и на себя, а не только на аспр...
А еще бывает, что ключ хранится и в других местах... Точно не помню, но помню, что там похожих хреновин туева хуча:)

KLAUS :: Вот вот

__cr__ :: Есть такая замечательная программа - EVA Cleaner.
У меня после нее все аспровые проги без проблем запускались (т.е. после зачистки реестра с помощью этой проги).

EVA Cleaner v2.1 (Build 002)
http://wasm.ru/tools/6/EVACleaner.zip

Прочитать можно здесь:
http://wasm.ru/toollist.php?list=6

Соответственно можно сделать снимок реестра до чистки и после и посмотреть, что изменилось.

DOLTON :: WELL пишет:

цитата:
В общем интересует не распаковка, а чистка реестра после заср##ца ASProtect’a


Юзай вот эту прогу: Registry Trash Keys Finder
Найдёшь через поисковики.
Как раз то, что тебе нужно...

AlexZ CRaCker :: WELL
Попробуй качнуть чё-нить отсюда:
http://reversing.kulichki...et/files/mon/regmon95.rar
http://cracklab.narod.ru/tools/regshot161.zip
http://fop-new.narod.ru/p...m/InqSoftSign0fMisery.EXE
«InqSoft Sign 0f Misery Великолепная программа для создания крэков к программам с её помощью можно продлить жизнь незарегистрированным программам.» - сам не смотрел(тока скачал), поэтому дал описание.
+Поищи:
trashreg.zip - это тебе DOLTON сказал.

WELL :: RegMon я юзал, вроде при запуске прога ничего хитрого не прописывает и не считывает.
InqSoft Sign 0f Misery - это тулза для тех, кто не очень хорошо умеет кодить (или кому некогда) в принципе вещь хорошая (особенно мастер создания патчей).
Остальные проги не знаю. Скачаю, посмотрю.
Спасибо всем за участие

Bob :: WELL
http://www.mmedia.is/~bladez/temp/tdv13.zip
Хорошая прога. Чистит триалы из реестра после Аспра и Армадилы

WELL :: Bob
Благодарю.




Stace Где найти статьи по OllyDb собстна тема...



Stace Где найти статьи по OllyDb собстна тема...
MC707 :: везде уже есть

или тебе надо мануал?
нда... и глаза нужно иногда разувать

WELL :: Stace
http://hice.antosha.ru/asprotect.rar

Mario555 :: Ftp exetools или ftp ricnar456.no-ip.org (пароли сам ищи).

Гость :: А еще слабо? а то чего-нь новенького хочется почитать...

MC707 :: Гость
Гугль тебе в руки




fuck it ASProtect 1.23 Full version ? где надыбать ASProtect 1.23 RC4 типа



fuck it ASProtect 1.23 Full version ? где надыбать ASProtect 1.23 RC4 типа полную версию и всё такое....

скажите Плиииззззз !!!!!

с меня пиво ! :)
MC707 :: Поставь Солоду много-много пива (я думаю вагон хватит) и будет тебе даже 1.3

Gloomy :: Интересный вопрос кстати - взял 4 проги на взлом - все защищены аспром, причем одной из последних версий - 1.23 RC4. Где его берут разработчики программ? Неужели легально покупают?

MC707 :: Gloomy
А куды им деваться. Все пиво же пить хотят (в смысле зарабатывать на своих прогах). Поэтому и покупают

WELL :: Варез жив
В форумах, в обменниках и т.п. можно всё достать...

Mario555 :: WELL пишет:
цитата:
В форумах, в обменниках и т.п. можно всё достать...


Ты достал ?
Поделись с народом...

Mario555 :: fuck it пишет:
цитата:
где надыбать ASProtect 1.23 RC4 типа полную версию и всё такое....


А зачем именно аспр ? Если тебе просто свою прогу запротектить нужно, то есть зарегеные версии других (даже более серьёзных) протекторов, напр. PeLock или Xprot.

WELL :: Mario555
У меня есть. RC4 только демо.
Где скачал не помню.
Могу выложить куда-нить.

ViViseKtor :: WELL пишет:
цитата:
У меня есть. RC4 только демо.
Где скачал не помню.
Могу выложить куда-нить.


А она как зарегена иль нет? Усли не ругается грязными словами то выложи куда-нить.

XoraX :: fuck it пишет:
цитата:
где надыбать ASProtect 1.23 RC4 типа полную версию


не думаю, что ты ее где то достанешь...

WELL пишет:
цитата:
У меня есть. RC4 только демо.


разве ее не скачать на офпаге?

fuck it :: ё маё... 1.23 ж валаеться в нете полная, крякнутая...

надо взять 99 человек, скинуться по баксу и купить... а потом выложить

P.S сколько тут поситетилей на форуме интересно ?

DOLTON :: Просите MozgC или -=Alex’a=- .
Вроде у них был... чем-то же должен был -=Alex=- свой крякми паковать...

Гость :: fuck it пишет:
цитата:
надо взять 99 человек, скинуться по баксу и купить...


не наш метод!..

Гость :: .. хотя от регеной версии не отказался бы!

-= ALEX =- :: DOLTON какой крякми я паковал аспром ?

-= ALEX =- :: ЗЫ просто так к сведению скажу, что у меня есть лицензионный ключ на все версии аспра... НО никому давать не буду, проще вам сикнуться всем интересующимся и купить...

MC707 :: -= ALEX =-
Я ж грил, что -= ALEX =- и есть Солод Шутка

-= ALEX =- :: MC707 не надо меня сравнивать с этим буржуем...

DOLTON :: -= ALEX =- пишет:

цитата:
какой крякми я паковал аспром ?


Тот, который я ломал

P.S. Коль уж ты выменял ключик у MozgC , дык давай я тоже у тебя его выменяю...
У меня есть ножик, бабочка капустница засушенная, вкладыш с BMW...

Gloomy :: Вообще не очень понятно зачем нужен этот аспротект если распаковать его не может только ленивый? Правильно говорил Mario555 - лучше какую-нибудь другой криптор взять

-= ALEX =- :: DOLTON хм.... от куда такие слухи

-= ALEX =- :: DOLTON ты прям как ребенок, а мож он и есть....

DOLTON :: -= ALEX =- пишет:
цитата:
хм.... от куда такие слухи


Да раньше топик был, где вроде ты хотел обменять свой патчер для Аспра (бывший тогда приватным) на энтот самый ключик.Конец истории неизвестен...
-= ALEX =- пишет:
цитата:
DOLTON ты прям как ребенок, а мож он и есть....


Молодец, угадал

fuck it :: Gloomy мне надо что бы типа начинающий крякер абломался.... или хотя бы выиграть время ....недельку :) вот поэтому подумал что этот аспротект будет в самый раз... или нет ?

Bad_guy :: Блин, да возьмите вы армадиллу с ключом - в сети много где валяется и будет ещё лучше или тот же XtremeProt на exetools тоже порегеный.

Bad_guy :: Кстати русские программеры могут аспр купить по-моему за 20$ во всяком случае такое было... видел на swrus.com

fuck it :: адмирало вроде ж на автомате ломиться ( хотя HZ :) )

и еще у кого нить есть реально работающий пасс на фтп экзетулс ?

XoraX :: есть. на форуме ехетулз.

Kerghan :: fuck it пишет:
цитата:
адмирало вроде ж на автомате ломиться ( хотя HZ :) )


да берешь автомат и идешь к программеру, котрый паковал им свою прогу... и кейген у тебя в кармане.

у нас на форуме кажись не больше пяти человек её распаковывать умеет(а то и того меньше), хотя воины дзена считают что это полная чушь

MC707 :: fuck it пишет:
цитата:
адмирало вроде ж на автомате ломиться ( хотя HZ :)


Твоим бы хлебалом да мед пить

-= ALEX =- :: MC707 :)

fuck it ::

падумаешь обазнался :)




MEW Нужна помощь по Novex Добрый день.



MEW Нужна помощь по Novex Добрый день.
Извините что отвлекаю Вас от серьёзных дел, но я уже в отчаянии и обратиться за помощью не к кому (все к кому обращялся по мылу оказались «крутыми хацкерами» и очень просили, с использованием нецензурной лексики, их по мелочам не беспокоить).
Вкраце моя проблема: я уже 3 месяца не могу поломать программу защищеную Gurdant-ом, сам ключ у меня имеется и программа запускается без проблем, но вся трудность заключается в отсутствии инфы по этому ключу (всё что смог добыть в Inet-e это руководство пользователя с официального сайта с описанием всех API функций). У меня есть опыт ломания Sentinel (в основном основанный на статьях Quantum-a на wasm.ru), но к Novex не знаю как подойти и с чего начать.
Если не трудно, опишите шаги по обходу Gurdant (можете не очень подробно, чтобы мне знать в каком направлении двигаться). В частности я хочу получить ответы на следующие вопросы:
Первое что надо сделать, это, как я понял, распаковать защищённый файл, тут никаких хитростей нет? Она похожа на распаковку, ну скажем, например, UPX (только дать novex32.dll расшифровать файл и поймать ОЕР)? Ловушек и заморочек типа ASProtect-а не наставили, если да то как проще их обойти?
Как найти в распакованном файле API Gurdant? Для Sentinel-a я применяю сигнатуры для IDA скаченные с wasm.ru, но для Novex-a я таких сигнатур не встречал :(. А может быть здесь вообще подругому надо?

infern0 :: давай ссылку на программу, посмотрим.

MC707 :: MEW
Не знаю, поможет тебе или нет, но есть скрипты для IDA по распознаванию его API:

IDC API Finders v0 [IDA Scripts]
This scripts indended for finding and
naming standard API function for some
LPT plugs, following dongle types are
supported:

• Sentinel SuperPro (PE/Static Lib)
• Guardant Stealth (PE/Static Lib)

MoonShiner :: MC707, поделись плз на мыло m_o_o_n_s_h_i_n_e_r@freemail.ru (без »_»:)

MC707 :: MoonShiner
я не жадный... ушло

MoonShiner :: MC707, огромный THX, все получил!

MEW :: MC707 и мне пожайлуста на pronikol@yandex.ru. А ты сам пробовал их в деле? У меня есть куча сигнатур FLIRT для IDA под ключа Sentinel, но определяет функции только одна, та которая лежит на wasm-e, остальное отстой. Для Inferno - прога из разряда САПР и продаётся совместно с КОМПАС-ом (в форуме проскакивала информация по 6-ой версии). У меня всё находится на компакте и занимает порядка 400 мБ. Под КОМПАС есть TimeHASP до 31 марта, тоже хочется поломать, но главное вторая, она мне сейчас нужнее (от неё есть нормальный боевой ключ, но только один :( ). Если хочешь попробывать то мыльни мне, я пришлю тебе записанный CD.

MC707 :: Короче вот, собрал все, что есть: http://www.mc707.nm.ru/dongles.rar
Содержимое:
DongleSpy BETA 1 ‹prog›
DongleSpy v1.0 ‹prog›
Hardlock ‹sig for IDA›
Hasp ‹sig for IDA›
Keylok ‹sigs for IDA›
SafeSoft SSI Dongle Emulator ‹prog›
Sentinel (Killer_3k) ‹sig for IDA›
Sentinel SuperPro ‹sig for IDA›
SenZap ‹prog›
Virtual DOG v1.04 ‹prog›
Wibu ‹sig for IDA›
WKPE Source Code ‹bc++›
WKPE v1.01, v1.2, v1.5, v1.8, v1.81 ‹progs›
Guardant Stealth ‹scripts for IDA›

Размер 512К

MC707 :: Сам с ними не разбирался, времени нет совсем. Может как-нибудь руки дойдут.....

MEW :: Спасибо MC707 побежал разбираться,только меня смущают две экспортируемые функции в exe-щнике со странными именами (причём всего две и они очень короткие по 120 байт): FuckHackers и HackersFuck, это что, они так типо людей пугают или этого стоит опасаться?

MEW :: Опять запарился. Снял дамп с «конверта», пытаюсь исправить таблицу импорта, но в списке отсутствует NOVEX32.DLL :(. Чёрт с ней, предположим она нам больше не нужна (всё равно всё уже распаковано). Остальные функции распознаются отлично, при трассировке в отладчике вроде никаких отличий нет, дохожу до функции CreateWindow и Win-да ругается на ошибку программы. API Guardant-a определились в одной библиотеке, но только две нормально, остальные IDA говорит что они находятся в районе мусора. Я подозревал, что вся прога будет полиморфной, но не до такой же степени. Для справки дамп снимал PETool-ом (в чистом дампе присутствует таблица импорта, только там указана одна библиотека NOVEX32.dll), таблицу импорта востанавливал ImpREC-ом последним, никаких неразобранных функций не было. Давайте помогайте знатоки распаковки, и те кто утверждает что голимая защита у NOVEX-a.

MoonShiner :: Конверт у всех донглов, что я видел, голимый:) (при наличии ключа:). С novex32, конечно, странно, но может оказаться так, что кроме конверта никакой защиты нет, потому и импорт строится без нее. Либо же юзается какая нить другая либа. Ыщи короче...

infern0 :: потому что либа статически прилинкована. А т.к. там jmp-карусель то и кажется что функции в мусоре.

MoonShiner :: Да, кстати, о прилинкованности забыл, каюсь.

MEW :: Значит не всё так просто, убрал конверт ивсё, не тут то всё и было. Тогда другой вопрос: ставлю в ICE bpio 378, трассирую распакованную прогу до функции CreateWindow (ну типа создание окна, до неё нормально загружались ресурсы), жму на неё F10 и срабатывает брэкпоинт :( - нафига стандартной API обращатся к параллелельному порту? Как они увязали создание окна и проверку ключа? Вылазию из драйвера через F8 попадаю в полиморнфную библиотеку, где у меня определились API Guardant, а далее устаю клацать F8 сразу F11 и на тебе - «Программа обратилась к ячейки памяти и ......».

›oSEN :: Cрадостью конвертик поковырял бы - можно взглянуть на программу одним глазком? =)

для связи - osen(at)vot.ru

MoonShiner :: Ребят, кто нарыл какую нить инфу по любому Novex-у, скажите плз:) А то тоже натолкнулся на него, а хочется сделать все качественным эмулем, а не кряком.

›oSEN :: Все что вам надо:

1) руководство по ключам с сайта новекса
›› http://novex.ru/data/manual.zip (2.3 Мб)

2) статья Hex’а «Расчищаем Scrambled код Guardant Api»
›› http://xtin.km.ru/view.shtml?id=119

3) Ida, SoftIce, Hiew

MEW :: В Inete только эта инфа и ходит. С её помощью можно только шаравары ломать, они себя не утруждают защитой, ставят автоматом конверт и всё. Такие программы ломать легко и утверждать, что голимаая защита у Guardant-a. Фирмы посерьёзнее глобально подходят к этому вопросу, я уже столько времени парюсь с ней, а не на шаг не продвинулся к цели. В мануале всё поверхностно, API запутан так, что даже IDA с ним разобраться не может. Жалко, что в России нет своего CyberHeg-а, не делится народ своими знаниями (даже если есть, то из разряда евреев - пытаются денежку слупить, даже за консультацию), увы - новые времена, новые нравы.

infern0 :: MEW пишет:
цитата:
API запутан так, что даже IDA с ним разобраться не может


зачем тебе внутренности АПИ ? есть всего 2 полезные функции - CodeInit для Encode/Decode и Transform. Только они завязаны на ключ. Находишь их вызовы смотришь чтои как. Если там фиксированный набор значений и есть доступ к ключу - снимаешь дамп и пишешь эмуль по табличке. Если ключа нет то надо смотреть и есть большая вероятность обломаться. Тебе уже давно дали всю необходимую информацию. Патчей к hands.sys и brain.sys тут не найдешь...

›oSEN :: MEV

Попробуй найти Nsk_SetMode (зри в мануал, код есть в статье Hex’а), отсортировать функции по адресам и взглянуть на далее идущие функции - ты будешь приятно удивлен.. =))

Так что ты ломаешь?

MEW :: Попробую, тем более эту функцию IDA распознаёт без проблем. Кроме конверта прога каждые 3 минуты обращается к ключу (комп на пару секунд наглухо виснет), так что снятие конверта не помогает, мне кажется это тупиковый путь. Надо эмулировать обращения к ключу, а для этого расчитиь dll-ку, к которой прилинкована вся эта байда. Программа называется ГеММа-3D «Cистема геометрического моделирования и программирования обработки для станков с ЧПУ для персональных компьютеров», информацию можешь посмотреть на www.gemma.ru. Дистриб занимает где-то 18 метров, но в Inete я его не встречал.

MEW :: Пардон oSEN, только что залез на их офсайт, они открыли страничку технической поддержки и там выложили все свои прогаммные продукты. У меня версия 7.1, а там уже есть 8.0 и 9 beta - их размер 24 и 18 метров. Попробуй, если не слабо скачать, на всякий случай ссылка на 8 версию http://www.gemma.ru/materials/gemm80.rar.

MoonShiner :: MEW пишет:
цитата:
Кроме конверта прога каждые 3 минуты обращается к ключу (комп на пару секунд наглухо виснет)


. Есть такая ботва... У меня тож ща в гвардантовской. Просто тормозную функцию не пускай на оригинальный обработчик, а эмуль возвращаемые данные.

MEW :: MoonShiner мы с тобой на одном языке общаемся, я это и хочу сделать - подсмотреть, что возвращяет каждая функция юзая ключ и исправить Guardant API так чтобы они мне сами возвращали нужные значения - долой драйвер, нафик, с коипа. Спасибо ›oSen посмотрел Nsk_SetMode, там далее идёт nskCheck - ну эту функцию без труда исправить, xor-иш аккумулятор и всё ОК, комп перестаёт каждые 3 минуты виснуть, типа ключ всё ещё на месте. Ну с Encode/Decode и Transform пока не разобрался, жду предложений, надеюсь на тебя MoonShiner, мы с тобой сейчас в одинаковом положении.

MoonShiner :: MEW пишет:
цитата:
мы с тобой сейчас в одинаковом положении


Я бы так не сказал:) У меня то прога вызывает просто nskCheck, а даже nskRead вызывается тока при вызове менюшки «инфа о ключе»... Так что у меня все просто:) Программеры - уроды.
1) Либы у тебя прилинкованы?
2) Если есть ключ, то скачай мануал от гварданта, чтобы было легче детектить функции.
3) Возможно, понадобится патч самой проги, потому что некоторые параметры в некоторых функциях генерятся случайно.

MEW :: Первое что я сделал, так это скачал мануал и долго изучал его. Я не думаю что параметры генерятся случайно, ключ-то сам по себе кусок памяти, сколько не пишут разработчики донглов о крутизне Query программисты всё равно идут по пути наименьшего сопротивления (мой личный опыт по Rainbow-у) - максиум, что встречал 4 алгоритма и в каждый по 2 набора данных, хотя чёрт его знает что там наши разработчики напридумывали. Про линковость функций что-то не понятно, обычно присоединение идёт к концу файла, у меня же «псевдо» функции находятся примерно в начале dll-ки =).

MoonShiner :: Сделай так. Грузани символьную инфу в символ лоадере айсовском из nvskey32.dll или че то так. В айсе поставь бряку на nskCheck к примеру. И посмотри, выскочит ли айс при загрузке проги. Если выскочи, значит либы не прилинкованы.

infern0 :: MoonShiner пишет:
цитата:
Сделай так. Грузани символьную инфу в символ лоадере айсовском из nvskey32.dll или че то так. В айсе поставь бряку на nskCheck к примеру. И посмотри, выскочит ли айс при загрузке проги. Если выскочи, значит либы не прилинкованы.


ну и на%уя так извращатся ? А просто посмотреть на список импорта не судьба ? Бл%дь я просто в шоке от таких советов...

MoonShiner :: Бл%дь, а у меня лежит прога гвардантовская, у которой весь импорт из одних bpl-ных функций, а nvskey32.dll через LoadLibrary грузится! я тоже частенько бываю в шоке от чужих постов, но для начала предпочитаю подумать, что может я че то не учел и не догоняю, а не вопить!

infern0 :: MoonShiner пишет:
цитата:
а nvskey32.dll через LoadLibrary грузится!


ну и что ? начал от первого окна где прога вопит что ключ у нее с ~ %или и назад по шагам в той-же иде. За 5 минут выйдешь на nscCheck. И вообще наличие в дистре nsk32.dll (или как там ее) уже о многом говорит. Для проверки ее можно переименовать и тоже многое станет понятно.

MoonShiner :: Прога вопить НЕ ОБЯЗАНА. А насчет 5-ти минут в ИДЕ, дык ИМХО, способ определения прилинкованности (а говорил я именно насчет него), тот что предложил я (не придумал, а предложил!) займет намного меньше 5-ти минут. Лично у меня был 9-меговый бинарник и сам знаешь, сколько бы времени ИДА его проковыряла. Колупать дистрибутив тоже нахрен не нужно. Конечно, если так вперлось, можно и переименовать, тоже вариант. Я лишь предложил более универсальный метод, чем смотреть на импорт (что не всегда, как ты понял сработает)!

ЗЫ Пишу в скобках уточнения, чтобы не возникало необоснованных наездов.

infern0 :: MoonShiner пишет:
цитата:
не придумал, а предложил!)


да я как бы тоже не изобретаю а вспоминаю как я делал в таких случаях.

MoonShiner пишет:
цитата:
необоснованных наездов


имхо тут пора уйти в оффтоп бо тему статьи мы несколько позабыли. Так что может проболдить дискуссию на тему чьи извращения более извращенные в мыле или в аське... :)

MoonShiner :: Есть немного, но, думаю, на вопрос о прилинкованности мы ответили:)

RavenFH :: MEW
Плиз скинь на мыло Novex-сигнатуры для IDA, у меня по-проще чем у Вас с MoonShiner-ом прога не пакованная, но используется АПИ внутри проги, возможно и тебе придется столкнуться с этой бякой. Я не разобрался до конца с АПИ, а просто поотрубал их вызовы, прога работает, но исследовательский инстинкт не дает ее бросить. АПИ влинкована в прогу, а на джамп-каруселях кататься без шлема не хочется. Мыло -
R_a_v_e_n_FH@yandex.ru.

MEW :: Не надо ссорится, ребята, прога ни одну функцию кроме nskCheck не юзает, а распаковокой занимаеся novex32.dll (она кажется и общается с ключом) - её трудно будет пропатчить, придётся избавлятся от неё. Кроме главной программы там есть набор утилит (типа управлением станком и т.д.) у всех у них стоит конверт и снимается он без проблем, меня всётаки смущают две экспортируемые функции про FuckHackers и наоборот, похоже они проверяют контрольную сумму файла. Никто ещё не осмелился скачать прогу, чтобы легче было понимать друг друга?

MoonShiner :: Сигнатуры ни к чему... Можно даже не юзать расчищенный код от Хекса. Достаточно просто посмотреть на передаваемые параметры и читнуть мануал по гварданту.

›oSEN :: Вроде скачал 9-ую версию, посмотрю что к чему..




Ссылку дай на кряк (через поисковик геморно)


Kerghan
Ссылку дай на кряк (через поисковик геморно)

Kerghan :: вроде на аспак не особо похоже
\Outpost Firewall\netstat.ofp :: Microsoft Visual C++ 6.0 DLL [Debug]
\Outpost Firewall\opst_ui.dll :: ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov
\Outpost Firewall\op_ctrls.dll :: Microsoft Visual C++ 6.0 DLL [Debug]

на мыло скину

Гость :: Чем сканил?

Гость :: После кряка все равно показывает, что незарегеная она, 30 дней осталось

Kerghan :: peid 9.2

---
а руки тебе на что? возми да исправь

Гость :: peid v0.9 (где взять новый?)
pe sniffer v3.2b

Гость :: Kerghan пишет:
цитата:
а руки тебе на что? возми да исправь


Значит триал все же снят? просто надпись осталась? что-ли

UnKnOwN :: Гость пишет:
цитата:
peid v0.9 (где взять новый?)


http://peid.has.it/ туточки он...

ZX :: Kerghan пишет:
цитата:
на мыло скину


И мне на мыло Z010X at yandex.ru плиззз!

-= ALEX =- :: я бы может и посомтрел если размер был бы в 10 раз меньше...

ZX :: Kerghan
Спасибо! Хотя не от этой версии, но тоже можно взять на заметку engine.dll, шесть байт патча, хм...

RavenFH :: -= ALEX =- пишет:
цитата:
я бы может и посомтрел если размер был бы в 10 раз меньше...


Возьми не пожалеешь :)

Гость :: RavenFH пишет:
цитата:
Возьми не пожалеешь :)


Действительно, хорошая вещь.

infern0 :: Kerghan пишет:
цитата:
кстати, проверка через dll идет, а она под аспром, так что удачи


по секрету скажу что для отлома сей поделки надо всего лишь распаковать dll стриппером и положить поверх оригинальной. ВСЕ :)))

Гость :: infern0
фишка еще та:
зарегестрирована на: unknown
тип лицензии: пожизненные обновления
как теперь кряк то сделать?

ZX :: Гость пишет:
цитата:
фишка еще та:
зарегестрирована на: unknown
тип лицензии: пожизненные обновления
как теперь кряк то сделать?


Не вздумай лепить кряк пусть народ подзаработает, все ж программеры! Всем есть хочется, тем более прога хорошая!

infern0!

Ну ты монстр!

Гость :: А чем вы секции аспровские вычищаете? а то распакованная dll’ка в два раза почти увеличилась?

Гость :: ZX пишет:
цитата:
Не вздумай лепить кряк пусть народ подзаработает, все ж программеры! Всем есть хочется, тем более прога хорошая!


Я чиста для себя, ну может кто еще сердечно попросит... 8)

ZX :: Гость пишет:
цитата:
А чем вы секции аспровские вычищаете?


Там их уже нет, пакуй UPX-ом и все дела - 350кб.

infern0 :: ZX пишет:
цитата:
infern0!

Ну ты монстр!


собственно говоря это не моя идея :) Я только поделился. по бооольшому секрету. Больше никому !

Гость :: Надо будет что-ли программерам этим написать. продукт то действительно неплохой - обидно будет за ребят

Slavon :: Да, с моим инетом (~5-6 Kb\sec) её хер скачаешь

Гость :: Slavon
это чистотвое дело, т.к. прога то уже сломана!




RiXXXoN Помогите умоляю!!! Я начинающий крэкер и web мастер заодно,мне...



RiXXXoN Помогите умоляю!!! Я начинающий крэкер и web мастер заодно,мне попалась хорошая программка crystal button v 2.5,защита что-то вроде демо но после ввода валидно серийника все ограничения уходят!!!!
После анализа выяснилось что это ASProtect от Солодовникова .
Дамп программы при запуске ругаеться что некорректная crc сумма,чипа вирус чек.
Помогите распаковать программку полностью дальше всё постораюсь сделать сам,просто мне непонятно как избавиться от вирус чека и от Аспра.
Если кому нетрудно пришлите поправленный exe(без аспра) на мой ящик.
В интернете искал крэк,нету нигде всё перерыл,и тогда уже решил копать сам но Аспротект пока непозубам,помогите если вам нетрудно!!!!
MC707 :: Ccылку бы на прогу не мешало бы для начала и размер.

Гость :: Stripper для автоматической распаовки. Какая версия aspra? Не мешало бы прочитать пару статей про распаковку Aspra.

RiXXXoN Re: Гость :: ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
Cсылка на сайт: http://www.crystalbutton.com/
Ccылка на закачку: http://www.web-buttons.net/files/crysb250.exe
Размер 1.3 mb

Гость :: Выбрось программу или плати бабки программерам. Гиблое это дело 8(
На опыте Stop!’а могу сказать максимум, чего можно добиться без ключа - «вечный триал»

dMNt :: hxxp://www.ledex.ru/files...s/crystal_button25%20-%20[%hxxp://www.ledex.ru/files...s/crystal_button25%20-%20].zip

вот, правда сам не качал, но говорят что все inside

MC707 :: Я чего-то не понял, в ней кроме триала есть какие-нибудь ограничения?
Прогу распаковал стриппером. Ни на что не ругается, триал отломал.

2RiXXXon :
Аспр в большинстве случаев сейчас уже не защита имхо. Найди в сети Stripper 2.07f и будет тебе щастье.

ZX :: Гость пишет:
цитата:
Гиблое это дело 8(


Пусть попытается.
RiXXXoN пишет:
цитата:
Если кому нетрудно пришлите поправленный exe(без аспра) на мой ящик.


Stripper 2.07 его распаковывает. Найди стриппер и скачай.

AlexZ CRaCker :: RiXXXoN пишет:
цитата:
но после ввода валидно серийника все ограничения уходят!!!!


Чет я непойму что тебе надо. Так у тебя серийник есть? Тогда зачам тебе дампить. Если патч хочеш делать, то только in-line (я сам не разу не делал :)

MozgC [TSRh] :: Я смотрел пару версий, там функции пошифрованы аспром были, так что как уже сказал Гость - только вечный триал возможен (без ключа если).

Slavon :: Попробуй CASPR-ом

Mario555 :: MC707 пишет:
цитата:
Аспр в большинстве случаев сейчас уже не защита имхо


Гы-Гы... Я GetPix (Aspr 1.3) неделю распаковывал (ну теперь что-нить подобное часа за два распакую), и могу сказать, что это не очень-то просто было... Так что не надо пи*деть про то, что аспр - фигня, он совсем не фигня.

PS А если ещё считать, что как сказал TheDarkStranger, запакован GetPix не со всеми опциями аспра, то...

KLAUS :: Mario555

РАсписал бы как делал.....многим всё таки интерестно!

Runtime_err0r :: Mario555

цитата:
Гы-Гы... Я GetPix (Aspr 1.3) неделю распаковывал (ну теперь что-нить подобное часа за два распакую), и могу сказать, что это не очень-то просто было... Так что не надо пи*деть про то, что аспр - фигня, он совсем не фигня.


А я его stripper’ом за 10 секунд распаковал для меня важен результат, а не процесс, как говорится - зарелизил и забыл
_http://www.zone.ee/Runtime_err0r/KpT-GetPix15_exe .rar

P.S. А расписать действительно было бы неплохо !!!

XoraX :: Mario555 , дайствительно, с тебя туториал. хороший, чтоб не на халяву сделанный

Mario555 :: Runtime_err0r пишет:
цитата:
для меня важен результат, а не процесс, как говорится - зарелизил и забыл


Для меня важно сломал я прогу или нет (ломаю только ради интереса, никаких релизов не делаю), а когда пользуюсь автораспаковщиками, то остается какое-то ощущение «недоломанности»... типа большую часть защиты отламал автор унпакера, а не я.

Runtime_err0r пишет:
цитата:
А расписать действительно было бы неплохо !!!


Да я тут запарюсь это расписывать... Там по идеи надо бы тузлу для импорта написать, чтобы каждый раз свои процедуры в код не пихать. Тузла должна будет патчить dump по адресам взятым из лога, и составлять текстовый файл из «перевёрнутых» адресов апи, которые тоже берутся из лога. Лог будет выглядеть например так:
........
00C67771 COND: ADDRESS = 0040125A
00C67774 COND: API = 77E81664
00C67776 COND: mHandle = 77E60000
00C67771 COND: ADDRESS = 00401262
00C67774 COND: API = 77E7E494
00C67776 COND: mHandle = 77E60000
.........

XoraX пишет:
цитата:
с тебя туториал. хороший


IMHO хороший тутор - это что-то типа туторов от cracklatinos (со скринами и в .doc), но в России я не видел чтобы где нибудь размещались подобные туторы. Так например тутор nice’a про аспр вроде так и не выложен нигде.
На cracklab вообще возможно размещение туторов .doc ?

nice :: Mario555
Многим аспр кажется протым протектор( :) :) ), потому, что он уже разобран вдоль и поперек...
1_30 и правда мерзость, я его со всеми опциями распаковывал, а кромя импорта, руки не дошли пока...

По поводу статьи, она так пока и лежит не доведенная до ума, там нет одной главы, и проблемы с авторством, планирую завтра вечером её добить. Кстати перегнал в html стала на 400Kb меньше! Поэтому это будет HTML вариант...

[ChG]EliTe :: Mario555 пишет:
цитата:
На cracklab вообще возможно размещение туторов .doc ?


А почему именно doc ?
nice пишет:
цитата:
Кстати перегнал в html стала на 400Kb меньше! Поэтому это будет HTML вариант...


И это правильно!

Mario555 :: nice пишет:
цитата:
я его со всеми опциями распаковывал, а кромя импорта, руки не дошли пока...


??? это вообще-то как ??? Без импорта ведь прога даже не запустится... Или у тебя есть Аспр 1.3 и ты им запротектил прогу, со всеми крыжиками, кроме импорта ? Если последнее, то кинь plz в мыло запакованную и не запакованную прогу, со всеми крыжиками.

PS в GetPix самое трудное было как раз с импортом.

nice :: Mario555
У меня нет аспра, я просто просил одного человека запаковать мне 3 способами, а потом над своей прогой извращался, чесно говоря импорт даже не смотрел :(
Могу только выслать пакованые файлы + оригинал ~ 300Кб

Mario555 :: nice пишет:
цитата:
Могу только выслать пакованые файлы + оригинал ~ 300Кб


Высылай,
заранее благодарен :)

gerRing :: Ребята а серийник неподскажете для проги а то ваши ссылки битые,и пришлите на мой мыльник нормальные




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




SGA Нужен совет по Аспру в проге ApacheConf 4.0 - Свежий Конфигер сервера...



SGA Нужен совет по Аспру в проге ApacheConf 4.0 - Свежий Конфигер сервера Apache (Вроде пока никто не релизил) 1,7 Mb
Программа пакована опять же ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov написана на Делфе. Ограничения Всего 3:
1)30 дней триал
2)нельзя изменить и сохранить некот параметры
3)PHP Wizard работает в демо режиме
Стрипер сработал на ура, триал снялся. Но видимо неправильно распознал пару функций
Ни с Таво ни с сего среди кода messagebox нарисовался, причём пустой совершенно. Не передаются ему никакие строки. И при создании Нового проекта начинает кричать что негет прочитать участок памяти. Научите неуча. ЖЕлательно на примере этой проги. Ну или можно в общих чертах.
ViViseKtor :: Если в общих чертах, то скорее всего там есть проверки наличия аспра.
Посмотри API аспра, там наверняка есть какие-нибудь функции, которые пишут в память адреса аспра, ну и прога далее адреса эти где-нить проверяет. Еще может быть проверка переходников WinAPI.
Зайди на сайт HEX’а. Там есть пару статей на эту тему.
А вообще могу посмотреть, но вечером. Счас много работы.

ViViseKtor :: Короче! ВЫдалось время - глянул я ее. Вот первое место:

.text:004F7F14 sub_4F7F14 proc near ; CODE XREF: .text:0057A35Fp
.text:004F7F14 cmp dword_57FCC0, 0FFFFFFFEh
.text:004F7F1B jnz short loc_4F7F2F
.text:004F7F1D cmp dword_57FCC4, 0FFFFFFFEh
.text:004F7F24 jz short loc_4F7F2F
.text:004F7F26 cmp dword_57FCC8, 0FFFFFFFEh
.text:004F7F2D jnz short loc_4F7F42
.text:004F7F2F
.text:004F7F2F loc_4F7F2F: ; CODE XREF: sub_4F7F14+7j
.text:004F7F2F ; sub_4F7F14+10j
.text:004F7F2F xor ecx, ecx
.text:004F7F31 mov dl, 1
.text:004F7F33 mov eax, ds:dword_407FC0
.text:004F7F38 call sub_40E230
.text:004F7F3D call sub_403E70
.text:004F7F42
.text:004F7F42 loc_4F7F42: ; CODE XREF: sub_4F7F14+19j
.text:004F7F42 mov ecx, dword_57FCC4
.text:004F7F48 mov [eax], ecx
.text:004F7F4A mov eax, dword_57FCC8
.text:004F7F4F mov [edx], eax
.text:004F7F51 retn
.text:004F7F51 sub_4F7F14 endp

Сие есть проверка триала. Ставим вначале RET. Исчезает пустая месага.
Дальше хуже. ЕСть два таких места:

.text:004F7FA4 sub_4F7FA4 proc near ; CODE XREF: sub_4F919C+56p
.text:004F7FA4 ; .text:005430E2p ...
.text:004F7FA4 mov eax, offset sub_4F7E60
.text:004F7FA9 cmp eax, dword_57FCB8
.text:004F7FAF jnz short loc_4F7FB6
.text:004F7FB1 call sub_4F7E60
.text:004F7FB6
.text:004F7FB6 loc_4F7FB6: ; CODE XREF: sub_4F7FA4+Bj
.text:004F7FB6 cmp byte_57FCB0, 0
.text:004F7FBD jz short locret_4F7FC9
.text:004F7FBF push 57FCBDh
.text:004F7FC4 call sub_4F7F78
.text:004F7FC9
.text:004F7FC9 locret_4F7FC9: ; CODE XREF: sub_4F7FA4+19j
.text:004F7FC9 retn
.text:004F7FC9 sub_4F7FA4 endp ; sp = -4
.text:004F7FC9
.text:004F7FC9 ;
.text:004F7FCA align 4
.text:004F7FCC
.text:004F7FCC ; S U B R O U T I N E
.text:004F7FCC
.text:004F7FCC
.text:004F7FCC sub_4F7FCC proc near ; CODE XREF: sub_4F919C+74p
.text:004F7FCC ; .text:00543106p ...
.text:004F7FCC mov eax, offset sub_4F7E60
.text:004F7FD1 cmp eax, dword_57FCBC
.text:004F7FD7 jnz short loc_4F7FDE
.text:004F7FD9 call sub_4F7E60
.text:004F7FDE
.text:004F7FDE loc_4F7FDE: ; CODE XREF: sub_4F7FCC+Bj
.text:004F7FDE cmp byte_57FCB0, 0
.text:004F7FE5 jz short locret_4F7FF1
.text:004F7FE7 push 57FCC1h
.text:004F7FEC call sub_4F7F78
.text:004F7FF1
.text:004F7FF1 locret_4F7FF1: ; CODE XREF: sub_4F7FCC+19j
.text:004F7FF1 retn
.text:004F7FF1 sub_4F7FCC endp ; sp = -4

Во-первых здесь проверяется наличие аспра. А во вторых здесь происходит вызов функций раскриптовки и закриптовки кусков кода. Эти функции естественно находятся в самом аспре. Закриптованных кусков в проге до**я.
Скорее всего без оригинального ключа полнностью зарегить не получится.

SGA :: ViViseKtor
Ясно. Спасибо я подозревал по криптоку кода, нужено было ещё одно мнение. Ладно Будем Как в старые времена ручками и блокнотом настраивать апач. Или за самому своять конфигер, позаиствовав все опции из ApachConf.




Chirurg Сам себе не верю! ASProtect 1.2 Подскажите, пожалуйста: может ли...



Chirurg Сам себе не верю! ASProtect 1.2 Подскажите, пожалуйста: может ли такое быть или глюки у меня?
Взялся поломать прожку, так, для разминки. Цена у прожки внушает - от 228$ до 500$.
PEiD показал, что она упакована ASProtect 1.2. Да, забыл, ограничения - 30 дневный триал.
Распаковал stripper-ом и... все! Она работает при переводе времени на 10 лет вперед (распакованная). Упакованная, как и положено, говорит: Sorry! Trial period has expired!
Ну, вытер в хекс редакторе слова о триале, теперь она гордо работает, как настоящая. А я приготовился переходы вычислять...
Такое бывает? Или кака-та подлость задумана авторами за такие деньги?
Чего-то не верится, что бывают такие краки!
RottingCorpse :: Если у проги нету соответствующей функцинальности для такой цены - значит автор просто себя переоценивает :)

RottingCorpse :: Урл дай плз :)

Chirurg :: RottingCorpse
Да, разговор не за функциональность, прога неплохая. Разговор за защиту.
Это прокси сервер InetShaper v1.0.1, валялся у меня на винте, когда-то скачивал с http://www.softpile.com/I...ols/Download_06778_1.html.
До времени, руки до нее не доходили.
За теперешние версии ничего не скажу, не слежу за ними, может уже поумнели...

Chirurg :: Sorry, про цену наврал. Она гораздо больше!!! 2500$!

RottingCorpse :: Да навряд западло будет... :)

RottingCorpse :: Не верю :) !!!!!!!!!

Gloomy :: Бывает иногда такое когда прога стоит больших денег а ломается за пару минут. Пример - Pro Crowl, стоит $695 и патчится 2 байтами.
Вот бы ее разработчики мне за взлом премию прислали, хотя бы 20% от цены

З.Ы. А еще бывает что прога не обращает внимания на дату а подсчитывает сколько времени она наработала от запуска до закрытия.

Chirurg :: Gloomy пишет:
цитата:
З.Ы. А еще бывает что прога не обращает внимания на дату а подсчитывает сколько времени она наработала от запуска до закрытия.


Обращаю ваше внимание на этот абзац:

Chirurg пишет:
цитата:
Она работает при переводе времени на 10 лет вперед (распакованная). Упакованная, как и положено, говорит: Sorry! Trial period has expired!


Gloomy :: Бывает так что прога при запуске запускает внутри себя таймер и считает сколько пройдет секунд до того как она будет закрыта. Число секунд при этом пишется в укромное место. И когда сумма отработанных программой секунд превысит заданную разработчиком границу прога вырубится.
Если в ней применена такая система подсчета времени триала то на системное время и его переводы туда-сюда ей глубоко наплевать - она считает себе секунды и не пикает до поры до времени.

RottingCorpse :: А что было бы интересно, если бы Вместо аспра там была армадила или XProtect?

Mario555 :: Chirurg пишет:
цитата:
Такое бывает?


А что тут странного ? если в проге для проверки времени и т.п. используются только апи аспра, то после распаковки в ячейке, куда аспр записывает количество дней до expire, останется константа, и таким образом триал «отвалится». Хотя IMHO красивее вписать имя юзера, тогда и дополнительно ничего править не надо... в about уже будет registered to.

RottingCorpse пишет:
цитата:
А что было бы интересно, если бы Вместо аспра там была армадила или XProtect?


И в чём смысл вопроса ?

ZX :: Gloomy пишет:
цитата:
то на системное время и его переводы туда-сюда ей глубоко наплевать


Во-во я ломал прогу у которой секунды тикали около двух часов! Таймера не нашел, сэмулировал GS и пропатчил там сям, но так и не разобрался со способом проверки времени. Хотя прога до сих пор исправно пашет.

MozgC [TSRh] :: Че-то вы ни о чем разговариваете... Это вполне нормально, часто бывает навешивают аспр и все. Распаковывешь прогу и все, правда обычно еще надо пару байтиков пропатчить. Но в общем тут обычная ситуация, не вижу повода для каких-то подозрений и беспокойств.

WELL :: Gloomy пишет:
цитата:
Бывает так что прога при запуске запускает внутри себя таймер и считает сколько пройдет секунд до того как она будет закрыта


Chirurg
Короче запускай свою прогу в автозапуск и через n дней (часов) все узнаешь.

SLV :: Chirurg пишет:
цитата:
http://www.softpile.com/I...ols/Download_06778_1.html


Да она 4.1 метра весит Мне такое не скачать

[ChG]EliTe :: Согласен с MozgC чего тут странного то? Или я че то недопонял? Триалов у которых застывает таймер после снятия Аспра полным полно...




SeDoYHg 2 MozgC (воруют по тихоньку :-() Вот, совершенно случайно набрел на...



SeDoYHg 2 MozgC (воруют по тихоньку :-() Вот, совершенно случайно набрел на эту статтейку, и мне её текст показался очень знакомым ;-). Думаю тебе будет интересно узнать кто же ёё «настоящий автор» =). То что у тебя своровали
CReg [TSRh] :: Да, но только хрен, который это украл, был слишком туп, поэтому там можно видеть такое, что его выдает:

цитата:

Q: Читал статьи по распаковке программ, в частности по распаковке AsProtect, и там почему-то пишут, что надо ставить breakpoint на esp-4 или esp-24 для нахождения OEP. Почему?
A: Привожу отрывок из своей статьи ( MozgC ):


MozgC [TSRh] :: Офигеть...
Спасибо за инфу, ченить придумаю, обидно конечно просто когда пишешь фак 5 недель а потом видишь такое...

Noble Ghost :: И что планирует предпринять г-н Мозг?

RottingCorpse :: Вот и устроить плагиатору FuCK на 5 недель... чтобы неповадно было

CReg [TSRh] :: Все очень просто :)
Заходим вот сюда: _http://www.narod.ru/guestbook/?owner=13465229
И пишем, все что думаем об этом ламере.
Там конечно

цитата:
Гостевая книга модерируется: ваше сообщение будет опубликовано только после просмотра владельцем сайта


однако владелец сайта о себе узнает много нового :)))
МОЧИИИ! :))

Drewler :: Да там одни придурки, вы только гостевуху их почитайте

RottingCorpse :: Посильный взнос в рассказ плагиатору о том - кто он есть - внесен :) пускай читает

MozgC [TSRh] :: =)

Noble Ghost :: RottingCorpse пишет:
цитата:
Посильный взнос в рассказ плагиатору о том - кто он есть - внесен :) пускай читает


/me сделал то же самое.

CReg [TSRh] :: Цитата с сайта этих кулхацкеров :)))

цитата:

Tvik3r: Не, я не пидар!!! Это они все зоофилы и пидары. Ты на меня не гони, я к тебе вопросов не имею. Да и ты меня, скорее всего, просто неправильно понял. И я не хуекер!!! Да, викинг (aka Ваня Морев (rusmult.narod.ru)) - пидар. Дюха и я - нет. Мы просто смотрели разок, как Викинг и Саша С. трахались, но помоему он ещё с гудовым трахался. Здесь только два мужика - я (checker) и духа. И мы не зоофилы. И меня не ебёт, почему ты тут так подписываешься, мне просто похеру!!! А хач внатуре урод, мы с ним вчера пиво пили, так он мне рассказывал, как с викингом трахался.
А вот про серъёзные дела - в самое яблочко. Тут никаких серъёзных дел, здесь только языком жопой.



Noble Ghost :: мдааа... Может их лучше не трогать, а то обидятся ещё. Артурика все помнят?

CReg [TSRh] :: Да, лучше не связываться с ними - еще изнасилуют

odIsZaPc :: А может проще: е*ало разбить (два раза :))??? А то я такие поступки не уважаю совсем...

SLV :: http://viking-stdex.narod.ru/softvzlom6.htm
цитата:
Welcome ][akep’s!!!




Styx :: Я бы их всех кастрировал для пущей безопасности, а то вдруг наплодяться и помоему у них там все статьи спёртые

SeDoYHg :: Styx пишет:
цитата:
Я бы их всех кастрировал


У меня есть старый, дедовский ржавый серп. Могу по почте выслать

CReg [TSRh] :: SeDoYHg пишет:
цитата:
У меня есть старый, дедовский ржавый серп. Могу по почте выслать


=)))

MoonShiner :: Прикольно:) Мозгоё... МозгЦ становится популярным:)

SeDoYHg :: MoonShiner

Завидуешь ;-).

MoonShiner :: SeDoYHg , дык да:) Я такой популярности не достиг, как мой ученик:)

MozgC [TSRh] :: MoonShiner пишет:
цитата:
SeDoYHg, дык да:) Я такой популярности не достиг, как мой ученик:)


=) Respect учителям =)

Bad_guy :: MoonShiner пишет:
цитата:
МозгЦ становится популярным


Вот-вот так и надо к этому относится - если у тебя воруют объекты авторского права - значит ты можешь собой гордиться. А да мелочей зачем опускаться ? Вот можно было бы вообще закрыть сайт, где сворованная статья, но зачем ?

Bad_guy :: Когда нибудь я расскажу как можно легко закрыть ЛЮБОЙ сайт на народе.ру, когда окончательно перейду на www.cracklab.ru

MozgC [TSRh] :: Bad_guy
Да обидно. Тебе бы не было обидно?
Я кстати там только 1 сообщение написал, полностью приличное, так что ко мне претензий нет =)

MozgC [TSRh] :: Bad_guy
Ты по почте мне расскажи щас =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
Ты по почте мне расскажи щас =)


Тебе расскажу.

Bad_guy :: MozgC [TSRh]
Держи письмо...

Bad_guy :: Вот кстати по теме: у меня валяется 32 статьи - я не знаю кто их авторы или не могу с ними связаться для того чтобы спросить разрешения о размещение, только знаю сайт откуда они скачаны. Вот могу ли я их разместить или нет - не знаю. Я конечно не собираюсь заявлять, что их писал я, но всё же... Как думаете ?

MozgC [TSRh] :: Я вообще думаю надо ужесточать отбор статей...

Bad_guy :: MozgC [TSRh]
А я как-то спрашивал - надо ли удалить старые статьи, что-нибудь из того что есть. Все сошлись во мнение, что не надо удалять ни одной статьи. Так что я только откровенный бред не пропускаю на сайт и путаницу и слишком простые статьи (продление триала, снятие защиты GetDriveType)...

MozgC [TSRh] :: Я не против того чтобы оставить все старые статьи, я просто на твоем месте бы начиная с новых статей ужесточил контроль.

Bad_guy :: MozgC [TSRh]
Только про кейгены статьи выкладывать ?

RottingCorpse :: Дельно! Выкладывай, народу интересно почитать и с3.14здить будет :) чтобы на народе разместить...

Styx :: Тока давайте без фанатизма, а то так все сайты на народе пофигасить можно

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Только про кейгены статьи выкладывать ?


Нет конечно дело не в этом, просто иногда ощущение что ты вообще не читаешь те статьи, что выкладываешь, или читаешь невнимательно. Потому что имхо если бы читал внимательно, выкладываемых статей было бы меньше.

Chirurg :: Философское...
Мы воруем деньги у разработчиков, у нас воруют авторство, у народа - национальное достояние. Все воруют у всех. Чего уж тут возмущаться.
Давайте делать триальные краки и продавать к ним рег.код за деньги...

MozgC [TSRh] :: Chirurg
Ты не прав. Я же не ворую авторство программы у ее автора. Да и похоже ты не попадал в мою ситуацию. Я не возмущаюсь, но мне неприятно.

Gollum :: Да я вот тоже заметил, что уж очень простые и иной раз даже тупые статейки выкладываются...

AlexZ CRaCker :: MozgC [TSRh] пишет:
цитата:
Я вообще думаю надо ужесточать отбор статей...


Это точно.
ИМХО статьи типа «Как зарегить прогу ХХХХХ» вобще не нужны. Статьи должны содержать объяснения и алгоритмы взлома, а не такое: «Начинаем трэйсить (F10) с 00ХХХХХХ, и на 00YYYYYY пишем d EAX-4. Поздравляю, ты сделал это!» . В итоге новоиспечёный крэкер ничё не понял(ни «трейсить», ни «бряк»), но зарегил прогу. И толк от этого?
Уж если выкладывать «Как зарегить прогу Х», то Прога Х должна быть дествительно с приличной защитой. +Комменты.
Всё лишь IMHO, но может кто тоже и согласен.

Kerghan :: AlexZ CRaCker
не, ну ты не совсем прав. Тем кто первый раз отладчик в руки взял лучше с таких статей начинать, но я думаю их все же по минимуму должно быть, а то просто все, кому не лень хотят тутор написать, ну раз мозгов чегон-ть путевое написать не хватает, то и пишут про то, как вчера патчили винрар(и то криво :-\ )
ЗЫ винрар посто пример

Bad_guy :: MozgC [TSRh] пишет:
цитата:
просто иногда ощущение что ты вообще не читаешь те статьи, что выкладываешь, или читаешь невнимательно.


Это чистая правда. Когда у меня накапливается по 5-10 статей читать их все подряд уже нет никакого желания. А сразу читать как то не получается. Из этих 5-10 статей у меня прочитаны 1-2. Ну а уж если я статью прочитаю - я по полной программе начинаю до автора докапываться, если что-то неправильно.
Теперь я сделал возможность оставлять комментарии к статьям и ставить оценку - со временем, думаю, буду этим пользоваться для удаления «плохих» статей.

MozgC [TSRh] пишет:
цитата:
Я же не ворую авторство программы у ее автора.


А что, можно попробовать - «SoftICE by MozgC» :)

Gollum пишет:
цитата:
Да я вот тоже заметил, что уж очень простые и иной раз даже тупые статейки выкладываются


А вы на меня ругайтесь по мылу - зачем мол такую то статью разместил, это ведь бред.
А то все сидят тихо - я и думаю, что всё ОКей.

Kerghan пишет:
цитата:
пишут про то, как вчера патчили


Да уж, статьи про патч меня уже точно задрали... Пожалуй буду теперь только если патч в крайнем случае был нужен статьи выкладывать. А так пускай уж хотя бы пароль ищут или кейген или лоадер на худой конец делают.

CReg [TSRh] :: Bad_guy пишет:
цитата:
или лоадер на худой конец делают.


ИМХО хуже лоадера ничего не бывает. Это неудобно и вообще криво
А то я как-то видел статью про лоадер для мирки... Это же ужас просто.

WELL :: Вообще самый здравый способ возлома - кейген. Высший пилотаж, так сказать.
А насчет статей про взлом конкретных прог, то для новичков зачастую лучше практика, чем теория. Хотя, наверное, кому как. Но, имхо должны быть статьи и про конкретные проги (с сопутствующими объяснениями, конечно, а не просто какие байты где исправить).

MozgC [TSRh] :: Смерть создателям лоадеров =)

А вообще, Bad_Guy, дело не в том, патчится программа в статье или кейгенится, дело в том как в статье объясняется, что извлечет из нее для себя читатель и т.д. Да и патчи бывают ОЧЕНЬ СЛОЖНЫЕ, но дело не в этом... Можете тебе взять кого-нить на модерирование статей, только у этого «кого-то» должен быть более менее уровень и опыт.

Bad_guy :: CReg [TSRh] пишет:
цитата:
ИМХО хуже лоадера ничего не бывает.


может быть.

MozgC [TSRh] пишет:
цитата:
взять кого-нить на модерирование статей


Я и хочу взять. Но пока я панель авторов с точки зрения модератора не сделал - то есть статьи то на сайт сохраняются, а вот где они и как их оттуда вычепить знаю только я - короче как сделаю панель (скорее всего уже после открытия сайта) так и модератора возьму - так будет гораздо лучше.

MozgC [TSRh] :: Ты не про закачку статей через PHP интерфейс ?

Bad_guy :: MozgC [TSRh] пишет:
цитата:
Ты не про закачку статей через PHP интерфейс ?


Ну как сказать - наверное про неё. Автор сам сабмитит статью, а модератор будет подтверждать ее размещение или удаление - воит и всё.

MozgC [TSRh] :: Используй move_uploaded_file чтобы скопировать статью из темп файла куда надо.

ViNCE [AHT] :: Bad_guy пишет:
цитата:
Вот-вот так и надо к этому относится - если у тебя воруют объекты авторского права - значит ты можешь собой гордиться. А да мелочей зачем опускаться ? Вот можно было бы вообще закрыть сайт, где сворованная статья, но зачем ?


Согласен... В Инете куча таких «чудо»-сайтов, на которых «ХАКИНГ\ФРИКИНГ» и т.п. а толку-то? Они все воруют чужие статьи... даже не указывают автора и тем более его не спрашивают...




fuck i



fuck it ёёё.. зацените новости на aspack.com 07.04.2004
Due to hacker attack and moving to new hosting our site was down and some e-mail were lost. If you haven’t received reply on your e-mail during last two weeks - resent it again please!

RottingCorpse :: А может еще разок устроить... :) ?

KLAUS :: Чётт всех атакуют...

Quest0 ::
цитата:
19.04.2004 New ASProtect Beta version (for registered users only) fuck it пишет:


вот это гораздо интересней - ни у кого списка чего там нового появилось нет?
или может ключика с дистрибутивом

infern0 :: вот блин - это же рекламный трюк :). Типа «какая у меня крутая прога, даже досят меня». Тьфу!




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




Anddrew Вопрос к -=ALEX=- Alex а где взять программу по статье «Распаковка...



Anddrew Вопрос к -=ALEX=- Alex а где взять программу по статье «Распаковка ASProtect 1.23 RC4» по ссылке «crackme - http://www.alex2kx.nm.ru/aspr123crackme.rar» не качается?
Спасибо.
-= ALEX =- :: странно, только что проверил, все качается.

Anddrew :: Алех спасибо за ответ но у меня не качается перенаправляет на http://www7.newmail.ru/me....nm.ru/aspr123crackme.rar и усё!

dMNt :: Anddrew пишет:
цитата:
перенаправляет на http://www7.newmail.ru/me....nm.ru/aspr123crackme.rar


а ты случаем не оперой качать пробуешь? там глюк у ньюмейла, только експлорером можно скачать




ZX ASProtect 1.23 Есть у кого полная версия этого чуда, буду очень благодарен...



ZX ASProtect 1.23 Есть у кого полная версия этого чуда, буду очень благодарен за ссылку.
KLAUS :: Кажись тут : http://www.aspack.com/files/asprotect12.zip

AlexZ CRaCker :: На ексетулзе лежит, вроде с кряком.
http://ftp.exetools.com/files/protectors/win/ -гдето там

ZX :: KLAUS пишет:
цитата:
Кажись тут : http://www.aspack.com/files/asprotect12.zip


Эт не полная версия, она даже и не защищена по-нормальному-ее стриппер снимает.
AlexZ CRaCker
Оттуда сам знаешь как скачивать.
Если у кого есть, мож выложит где, кряк не нужен.




varyag AsProtect 1.23 чем его сломать??? Gjvjubnt!!!Помогите!!! У меня прога...



varyag AsProtect 1.23 чем его сломать??? Gjvjubnt!!!Помогите!!! У меня прога зажата AsProtect 1.32. Casper 1.100 её не берёт. Посоветуёте чем её ещё можно распаковать.
З.Ы os windows98
Anxiety :: ???? Заголовок сообщения: AsProtect 1.23 чем его сломать???

а дальше пишешь прога зажата AsProtect 1.32

если
АСПР 1.2х то Stripper...

Download from site- http://www.is.svitonline.com/syd/stripper.html

версия 2.11 поидее скоро будет ! по обещаниям должна брать аспр 1.3х

[ChG]EliTe :: По версии 1.23 полно туторов по ручной распаковке... про 32??? не слыхал.. :(

WELL :: varyag
Может ты имелл ввиду 1.23?

XoraX :: Anxiety пишет:
цитата:
версия 2.11 поидее скоро будет


не думаю, что Syd скоро пустит ее в паблик...

MC707 :: ... по крайней мере, пока не доделает. А то она кривовата пока маленько.

DZmey :: AsProtect 1.23 чем его сломать???

Руками :)

Распоковать ручками

SeDoYHg :: DZmey пишет:
цитата:
Руками :)


А так же матом, и любыми подручными средствами =)

-= ALEX =- :: от себя добавлю: http://cracklab.narod.ru/doc/arc4.htm

DZmey :: -= ALEX =-

Классная статья :) я по ней и расспоковывал




Mario555 Обработчик исключений Возможно ли добавить к проге свой обработчик...



Mario555 Обработчик исключений Возможно ли добавить к проге свой обработчик SEH ? тоесть нужно, чтобы при возникновении искючений управление передавалось моей процедуре. Если возможно, то как такое сделать ?
Aster!x :: Можно.
Придётся ручками накодить в HiEW’е, пример реализации SEH смотри у Iczelion’а,
но лучше смотри макросы у Four-F, правда у Four-F там есть ошибочка в хэндлере, которая
проявит себя только на 9x виндах.

ZX :: Кажись вот так он включается:
assume fs:nothing
push fs:[0]
pop seh.PrevLink
mov seh.CurrentHandler,offset SEHHandler
mov seh.SafeOffset,offset FinalExit
lea eax,seh
mov fs:[0], eax
mov seh.PrevEsp,esp
mov seh.PrevEbp,ebp
http://www.wasm.ru/article.php?article=1002002

бара :: Mario555
у Dragon’а был в программе одной примерчик через написание своего обработчика событий. В туториале про снятие армы. Ну и на нашем форуме был пример в разделе статей. :)

А вообще если сумел внедриться и получить дамп, то я не вижу смысла делать свой обработчик исключений. Или ты всё насчёт восстановления таблиц аспротекта/армы ?

Метод Астерикса не подходит для пакованных программ с проверкой CRC при старте (как у аспротекта). И вообще - галимо патчить так - придётся вычислять каждый раз параметры секции для разных программ. А это ещё один гемор.

ZX :: бара
ASProtect 1.3 или ты знаешь способ восстановления байт, которые крутятся через SEH-обработчик?

бара :: да я его вручную снимать даже и не пробовал... Я просто спросил зачем нужен и всё.

Mario555 :: Приделал я свой обработчик... а оказалось, что аспр свой обработчик инициализирует уже после OEP и поэтому перекрывает мой. Кста это даже удобно, т.к. получается что свой обработчик делать не надо, аспровый будет передовать управление на CALL 00E065EC, всего таких call’ов 4 штуки, так что если их перенаправить в пространство exe и там вставить аспровую функцию (изменить нужно только константы, ну и decrypt переделать, а то как-то растянуто:) ), то прога будет правильно проходить исключения (потом всё-равно где-то виснет, но это уже не вначале, и явно не из-за Seh).

PS кста таблицы слишком большие, так что для них наверно нужно новую секцию делать... или попробовать сдампить всю
Memory map, item 47
Address=00DF0000
Size=00025000 (151552.)
Owner= 00DF0000 (itself)
Section=
Type=Priv 00021004
Access=RW
Initial access=RW
т.к. в ней и таблицы и функция их обрабатывающая, потом прицепить её к exe и сделать V0ffset = 00DF0000. Может и проканает...

бара :: вот глядишь и скоро сам будешь такие проги для снятия аспротектов писать...

пиши если продвинешься тима микроотчётов для изучения. Будем следить за твоими исследованиями

ZX :: Mario555
Посмотри откуда берется эта таблица, может проще будет сделать инициализацию ее. По-моему надо заставлять сам аспр отдавать назад то что забрал, так будет красивше и надежнее.

Mario555 :: ZX пишет:
цитата:
Посмотри откуда берется эта таблица, может проще будет сделать инициализацию ее


Из секции аспра, она там пошифрованая валяется. Так что наверно можно туда же эту таблицу и подставить.

ZX пишет:
цитата:
По-моему надо заставлять сам аспр отдавать назад то что забрал


По моему тоже :) Но когда я написал процедуру, которая обрабатыват таблицу целиком, то оказалось что кроме возвращения команд на место портилась ещё и часть нормально кода (уже говорил почему).
Так что или анализатор кода (слабо это себе представляю) или seh. Правда для ускорения работы проги можно модифицировать аспровую функцию так, чтобы она не выполняла действие в стеке, а возвращала команду на место и прыгала сразу на неё. Тогда каждое искл. будет только один раз обрабатываться.

По поводу Seh обработчика, так я его брал из exe, который к статье Iczelion’а прилагается.

ZX :: Mario555 пишет:
цитата:
Но когда я написал процедуру, которая обрабатыват таблицу целиком, то оказалось что кроме возвращения команд на место портилась ещё и часть нормально кода


Я не об этом, а о процедуре дешифровки таблицы, т.е. заставить аспр(часть аспра) создать модуль и распаковать эту таблицу туда, чтоб с дампом таблицы не мучится.
Mario555 пишет:
цитата:
а возвращала команду на место


А это мысль интересная, тогда обработчик будет компактным и красивым, супер! :)

Mario555 :: ZX пишет:
цитата:
чтоб с дампом таблицы не мучится.


Там и не надо мучится, binary copy/paste в секцию протектора (только не в начало, там вроде кусок ресурсов)

ZX пишет:
цитата:
А это мысль интересная


А это не только мысль :) я такое уже сделал (когда процедуру для обработки таблиц писал).
Вообщем испытать можно на запакованной:
по адр. 00E0642E (гм... интересно, совпадают ли адреса, а то пишу тут...) делаешь Jmp 00E0EAEE. А с 00E0EAEE binary paste вот этого:

72 11 74 34 FE C8 74 72 90 90 90 00 00 00 00 00 00 00 00 8B 45 10 C6 00 E8 8B 45 F8 8B 40 04 05
00 00 40 00 8B 55 10 2B C2 83 E8 05 83 C2 01 89 02 E9 D6 79 FF FF 00 00 8B 45 10 8B 55 F8 80 7A
02 02 74 1B 90 C6 00 E9 8B 52 04 81 C2 00 00 40 00 2B D0 83 EA 05 40 89 10 E9 AE 79 FF FF 90 C6
00 EB 8B 52 04 81 C2 00 00 40 00 2B D0 83 EA 02 40 88 10 E9 94 79 FF FF 00 00 8B 45 10 8B 55 F8
80 7A 02 02 74 29 90 C6 00 0F 8A 52 01 80 C2 80 88 50 01 8B 55 F8 8B 52 04 81 C2 00 00 40 00 2B
D0 83 EA 06 83 C0 02 89 10 E9 5E 79 FF FF 90 8A 52 01 80 C2 70 88 10 8B 55 F8 8B 52 04 81 C2 00
00 40 00 2B D0 83 EA 02 40 88 10 E9 3C 79 FF FF 90

Потом ещё нужно поменять
00E06508 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
на
00E06508 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]

Все искл. через которые проходит прога будут заменяются на спёртые команды ;)

А вообще в AlfaClock наверно есть проверка на распакованность, т.к. если скопировать таблицы, и эмулировать процедуру обработки, то прога пройдёт через дофига кода, и только потом упадёт.

PS кста прикольно выглядит, когда на месте ошибки появляется команда. Сижу так вот Shift-F9 держу и код «на глазах» меняется...

ZX :: Mario555 пишет:
цитата:
гм... интересно, совпадают ли адреса


Адреса не совпадают, но эт не проблемма :)
Mario555 пишет:
цитата:
Там и не надо мучится


Ты не забыл, чем я занимаюсь? Я про автораспаковку, все равно надо добавлять отдельный модуль, так пусть это сделает аспр, один ... туда бинарник вставлять, так почему бы не позаимствовать эту процедуру у аспра. Кста, прога в альфаклок у тебя импорт восстанавливает?

Mario555 :: ZX пишет:
цитата:
Кста, прога в альфаклок у тебя импорт восстанавливает?


Не пробовал, но думаю, что не восстановит, т.к. используется Ole32.

ZX :: Mario555
А ты попробуй. Сегодня иль, на крайняк, завтра сделаю нормальную загрузку библиотек и с этим проблемм не будет. Я уже проверил все работает :).
А ты, наверно, скриптик сделай, чтоб автоматом бряки(conditional) расставлял, чтоб потом переделать их на логовые. И с импортом на этом покончим.




Halt ASProtect 1.2x [New Strain] Народ помогите!!!



Halt ASProtect 1.2x [New Strain] Народ помогите!!!
Попалась на глаза прога ISO Commander 1.2 build 010 запакована ASProtect (см тему)- peid 0.8, pe editor 1.5 - показыват тоже), не могу распаковать - прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Но фишка в том, что там нет такой конструкции, а есть только
call xxx ‹-выхожу от сюда после bpx getprocaddress
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Как получить нормальную таблицу импорта??
и 2 когда я на это забил, - просто загнал в Imgrec 1.6 - все восстанавливает кроме 1 функции в kernel32.dll - и грохает процесс
как узнать эту функцию (убить ее точно нельзя- процесс не запускается - 0x5), и почему процесс грохается.
Погодите, еще не все:)
Почему то я определяю OEP, но IMGREC на запакованом файле говорит что ничего не нашел по этому адресу. Хотя кострукция вида:
popad
call
где call:
pop edi
inc edi
push edi
ret
Я так полагаю что edi и есть адрес OEP, но PEID определяет совсем другой адрес, и по нему таблица находится. Объясните,плиз, где я облажался. Спасибо.

WELL :: Halt
А стриппер её не берёт?

SouL :: Ищи на cracklabe тутор Dragona - он для распаковки этой прожки все подробно написал.

KLAUS :: Halt

А зачем ты запакованный файл в Импренк суёшь?

SLV :: WELL пишет:
цитата:
А стриппер её не берёт?


А Caspr???

Madness :: Halt
›Но фишка в том, что там нет такой конструкции,
Смотри рядом.

›Я так полагаю что edi и есть адрес OEP
НЕТ. Там число пушится.

XoraX :: Madness пишет:
цитата:
KpTeaM.com


а где оно?

Madness :: XoraX
Переезжает.

Nav :: Распаковывал недавно прогу одну, используя тутор Alex’a.
У Alex’a тоже написано что должно быть два Call’a, но видимо прога была зажата с другими параметрами(сам AsProtect не юзал). Так вот, Alex и писал, что второй Call портит импорт и его надо занопить, в твоем же случае, скорее всего этой процедуры и нету.

И еще лучше дампить уже на OEP, иначе если следовать тутору Alex’a получим нули в импорте в некоторых местах, а если на OEP, то там уже будут сьемулированные функции. Но может это только в моем случае такое было?

Gollum :: Halt пишет:
цитата:
прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz


Ищи эти инструкции немного выше, ставь бряк на первый, F5, потомь нопь второй call, F5, произойдёт ошибка, ничего не делай, а заходи в импрек и весь импорт будет чистый (система Win2k). Останутся тока переходники, о них читай в статье алекса...

WELL :: Импорт можно еще с помощью AsprDbgr’а восстановить




Halt Опять ASProtect 1.2x[NewStrain] Подскажите пожалуйста:



Halt Опять ASProtect 1.2x[NewStrain] Подскажите пожалуйста:
распаковываю по статье Alexa(Распаковка AsP 1.23)
Там в части востановление спертых байтов:

цитата:

Грузим еще раз прогу, на EP проги ставим всем знакомый бряк bpm esp-4. На третий раз бряк сработает в нужном нам месте...



Вопрос такой как попасть на EP - это там где после bpint 3 и eb eip 68(через PE Tools) или нет.
И вопрос 2: у меня esp-4 срабатывает 1 раз( на pushad) после этого прога запускается, а надо ,я так понял, 2 или 3. Как найти этот мусорный код.
Извините, если непонятно написал, но как умею.
Да и еще в догонку, почему меня форум отображает как гость, я вроде зарегался.
KLAUS :: Halt пишет:
цитата:
после этого прога


Тебе нужно прогу зациклить, чтоб она в памяти весела.

цитата:
почему меня форум отображает как гость


Не Гость---Пришелец

Halt :: KLAUS пишет:
цитата:
Тебе нужно прогу зациклить, чтоб она в памяти весела.


Это как, не в смысле как зациклить, а в смысле как тогда на нее ряки ставить? Она ж на одной строке висеть будет.
Или я чего-то не понял.

Perch :: Halt.

цитата:
И вопрос 2: у меня esp-4 срабатывает 1 раз( на pushad) после этого прога запускается, а надо ,я так понял, 2 или 3. Как найти этот мусорный код.
Извините, если непонятно написал, но как умею.


Не надо забывать такую штуку - AsPr уже давно сбрасывает отладочные регистры, поэтому ты после второго F5 и вылетаешь на запуск проги...чтобы этого не происходило юзай SuperBPM.

-= ALEX =- :: угу, юзай SuperBPM я там в статье написал... а вообще бывают случаи что bpm esp-4 не проканывает... приходиться пешком идти.

Perch :: Halt.
И все же не очень ты удачный вариант проги выбрал для разминки...




HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D,...



HANS KEEPER Ultimate Unwrap3D v2.15 Есть такая прога Ultimate Unwrap3D, конвертор 3D моделей из игр.
Есть у кого желание попробовать её сломать ?
Защита: ASProtect 1.23 RC4

Вся трудность в правильной распаковке.

--
Прога тут: http://www.unwrap3d.com/downloads/Unwrap3Dv215.zip 1.6 MB
Gollum :: HANS KEEPER пишет:
цитата:
Вся трудность в правильной распаковке.


Да нет, тут проблема факторизации чисел...

Quest0 :: Gollum пишет:
цитата:
Да нет, тут проблема факторизации чисел...


Эт точно, трудности распаковки только в v1.3+ :(

DITREX :: Quest0 пишет:
цитата:
Эт точно, трудности распаковки только в v1.3+ :(


По мне так там тоже все легко.

А вот Ultimate Unwrap3D убивает Олю .

Quest0 :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Счастливый человек! видимо, ни разу 1.3+ не видел

Gollum :: DITREX пишет:
цитата:
По мне так там тоже все легко.


Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.

HANS KEEPER :: Вобщем ASProtect снял полностью, но подозлительный софт всёравно падает при запуске Ultimate Unwrap3D, причем даже W32dasm.

Пока не понял что вышибает отладчики и всё остальное остатки aspr-а или это в самом коде
Ultimate Unwrap3D...

Gollum :: HANS KEEPER

И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?

HANS KEEPER ::
Gollum пишет:
цитата:
И как же ты снял ограничение на сохранение файла?
Есть ключик что ли?


Ключик нужен ASProtect-у, а не проге. Вся защита в ASProtect, сама прога ломается за 3 минуты.

Mario555 :: Gollum пишет:
цитата:
Хы, если ты о фул версии, то давай рассказывай... интереснее всего - это импорт.


Импорт - халява ;) Поверь, там есть более интересные вещи, чем импорт. Да и вообще в распаковке прог самое сложное - это искать проверки на наличие оболочки (протектора), если эти проверки сделанны грамотно, то с ними может быть ОЧЕНЬ много проблем.

DITREX пишет:
цитата:
По мне так там тоже все легко.


Ну-ну... какую прогу с 1.3 «full» ты распаковал ? Или ты просто болтун ? ;)




Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT (...



Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.
Или закинте на мыло

wraith_cs@list.ru

PS не сочтите за наглость.
Halt :: Спасибо всем кто откликнулся

Perch :: Halt.

цитата:
Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.


Ты знаешь, вообщето для нормального реверсинга программ желательно как минимум иметь две системы...это мое мнение :)...ну смотри сам...
Вот качни от меня - http://toperch.hotbox.ru/superbpmfornt.zip

Perch :: Halt.
Хочу отметить, что ты немного не благодарный человек...
Вот смотри, ты затеял сразу 3 топика про AsPr, и прыгаешь по ним...хотя все можно обговорить и в одном...Возможно ты не внимательно читал статью от =ALEX=’а...но это твои проблемы, насчет неудачности выбора «оперируемого» я тебе написал...я чуть чуть добавлю...ты не смог найти то место, чтоб занопить call xxxxxxxx , чтоб более менее был получен импорт...Смотри, сначала ставишь бряк bpx MapViewOfFile, запускаешь прогу, брякаешся, нажми F12, и посмотри - в теле ты протектора или нет, если в какой нибудь DLL, то жми опять F5, а потом F12, и только когда ты в теле протектора, сбрасывай этот бряк и ставь бряк bpx GetProcAddress, затем токо одно нажатие F5, и после этого после 3-го нажатия F12 будешь в нужном месте, где тебе надо нопить тот самый call...не забудь вернуть его потом обратно, так как AsPr блюдет свою целостность...и т.д...вообще работать с AsPr’ом не благодарное дело, если покриптованы куски кода, то извини без валидного ключика солнца не видать...вот и делай выводы, удачи ;)

Halt :: Perch
Да...., с тремя темами я правда погорячился, признаю.
call’ы я эти уже нашел, понять не могу вроде делал как написано, но похоже их проскакивал. Как - сам удивляюсь.
Опишу как делал, может че не так:
nop’ил процедуру, затем не восстанавливая nop’ы шел по f12 дальше приходил на popad зацикливал прогу снимал дамп и таблицу импорта, начало которой определял после 2-го call (MOV EDX,[EDI] по содержанию edx-, ну это так проверить себя и ImportRec - получалось 71000). Таблицу импорта восстановил, вроде, функции тоже определил по примерам из статьи. Теперь пытаюсь определить OEP и вот сижу. Кстати сразу вопрос - после запуска Test_SuperBPM.exe на 2м нажатии f5(bpm esp-4) - прога грохается, чтоже это такое ?!
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней. (Кстати ASPack вроде распаковывал ручками без проблем)
Да и еще в проге нашел я конструкцию типа:
push epb
mov ebp,esp
add esp,-4c
mov eax, 945a30 - причем именно в таком виде, но по адресам что-то вроде 945b78 - вроде похоже на начало проги, но адреса на OEP явно не тянут, опять я че-то перемудрил? или наоборот?

Halt :: Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?
Я-то - нет, ну не дали мне медаль за окончание школы, а платно - сами понимаете, не каждому по карману.

test :: Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.

DZmey :: test пишет:
цитата:
Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.


Согласен %))) Преподы что надо %)

Perch :: Halt wrote:

цитата:
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней.


Вот, на мой взгляд, интересно тебе будет прога - http://www.elcomsoft.com/ambpr.html
размер около 500кб, кстати на этом сайте все проги упакованы AsPr’ом.
Интересна по двум моментам:
1. PEiD пишет ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov, но не правильно определяет OEP.
2. Stripper ее берет, но не видит спертых байт и соответственно OEP тоже не верный.
Вот если хочешь потренируйся ;)
Подскажу два момента - при выходе на OEP ставь бряк не bpm esp-4, а ставь bpm esp-24, раз 20-ть надо брякнуться по F5, пока не окажешься в протекторе, и затем еще один раз по F5, там и увидишь спертые байты - 38 байт.
Halt wrote:

цитата:
Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?


Я - чисто самоучка.

бара :: Многие учатся в школе ещё только. Алекс вот божится, что только заканчивает школу...

Halt :: Perch

Нихрена себе програмка, 6 часов пялился в softice и ничего не сделал, окромя дампа и вроде определил RVA OEP - 43e0dc, IMPRec - там ничего не находит, то по getimport получает что-то похожее. А со спертыми байтами труба, так ничего найти и не смог, вроде что-то есть похожее по адресам 8833A9 и 880e90 но х.з.
Да и кстати откуда ты взял это esp-24, я так допереть и не смог. Да, ASProtect мне явно не позубам, надеюсь пока.

PS может кинешь на мыло wraith_cs@list.ru помошь поподробнее, жел-но с конкрктными адресами, понимаю что много хочу, но может заодно и статейка организуется для http://www.cracklab.ru




GPcH StarForce 3 в Противостояние 4 Война в заливе Помогите с инфой по...



GPcH StarForce 3 в Противостояние 4 Война в заливе Помогите с инфой по StarForce 3 или может кто знает как отучить EXE шник от CD
с помощью отладчика и дизассемблера? Приму любые советы (кроме использования
эмуляторов типа Alcohol)
Snowbit :: Забудь об этом...

WELL :: GPcH
Пока только образ Alchohol 120%. И то не всегда помогает

GPcH :: WELL пишет:
цитата:
Пока только образ Alchohol 120%. И то не всегда помогает


А в чем проблема со снятием защиты? Я конечно сразу понял, что это покруче Asprotect’а v1.3 будет,
но неужто никто еще не научился ее снимать???

WELL :: GPcH
Насколько мне известно, отламывали версии до 3-й. С 3-й пока глухо...

TOR :: Все новое,это хорошо забытое старое...
Мои наработки:
Отлавливает SI, ICEEXT 0.53 не спасает.Под Olly debuger- ом запускается нормально(может есть свои приколы,не смотрел)
Дизасмится Идой нормально,но небыло времени смотреть.
Может это чем-то тебе поможет :)

бара :: поможет зайти в тупик

TOR :: GPcH пишет:
цитата:
но неужто никто еще не научился ее снимать???


А хочешь быть первым ?
бара пишет:
цитата:
поможет зайти в тупик




RideX :: StarForce вроде опять обновился... Мне рассказали, вышел диск от Руссобит-М, «Власть закона», в нём уже не надо номер с диска вводить и Alcohol 120% v1.4.8.2222 Retail его не берёт :(

бара :: да хрен с ним.

Скоро наступит эра хардварных отладчиков. Всё к этому идёт уже бодрыми шагами.

Styx :: RideX
Этот серийник полная херня и ничего в нём особо страшного нет.
Если его нет значит и ненужен
Например в первом Старе его тоже небыло (А он точно обновился?).

TOR
А толку то от дизасма? Он ведь всё равно распаковывается или ты про protect.dll?

GPcH :: Даже Alcohol 120% v1.4.8.2222 Retail пишет:
Не могу сделать RPM

даже на скорости 1x

Как игру от диска отучить?

Styx :: GPcH
Знакомые с линухом есть? Если да то можно попробовать под ним сделать простую iso-шку, есть шанс что прокатит.

GPcH :: Styx пишет:
цитата:
Знакомые с линухом есть? Если да то можно попробовать под ним сделать простую iso-шку, есть шанс что прокатит.


А чем отличайтся iso файлы, созданные не в винде от созданныйх с помощью ASPI

Dragon :: GPcH
Ничем, это же просто образ диска без дополнительных параметров.
Если Alcohol 120% пишет, что не может что-то там, значит скорее всего или прохой привод, или диск повреждён, ведь RPM не зависит от того, что записано на диск.

TOR :: to Styx,насчет линуха наврятли прокатит,но я попробую. /я говорил о дизасме Protect.dll

.::D.e.M.o.N.i.X::. :: Насчет ключей - там пометка: В случае производства тиража дисков на заводе, который является партнером Protection Technology, используется технология Keyless, которая не требует ввода ключа конечным пользователем.
P.S. Кстати им требуется: Требуется высококвалифицированный программист, знающий языки C/C++/Asm и имеющий опыт разработки компиляторов. По ходу решили написать свой компилятор для защиты:)

Dragon :: .::D.e.M.o.N.i.X::.
Это им надо, чтобы свой байт-код усовервенствовать..

.::D.e.M.o.N.i.X::. :: Dragon
Кстати ты XtremeProtector победил?

Edmos :: Насчет нового StarForce такого нет, а на Власть закона стоит 3.03.033.008
Все виртуалится без проблем.

miller :: А что Вы скажете на это:
Спящий режим позволяет отключить компьютер, но при этом сохраняет его состояние
Аналогичным образом, операционная система Windows XP помогает компьютеру быстрее возвращаться из спящего режима. При переходе в спящий режим содержимое оперативной памяти сохраняется в сжатой форме на жесткий диск. В этом случае питание переносного или настольного компьютера можно полностью отключить. При включении электропитания документы и приложения открываются точно в том же состоянии, в каком они были до перехода в спящий режим. Поэтому пользователь может быстро продолжить прерванную работу.
Возможно войдя в такой режим с запущенной игрой, с сохранением файла HYBERNATE.SYS и при последующей подстановке его для загрузки можно решить проблемы с запруском игры без CD. Сам механизм вытаскивания состояния системы из этого файла мне не известен - тут дело програмистов.

Взято с http://forum.ixbt.com/0025/014611.html

ViNCE [AHT] :: GPcH пишет:
цитата:
WELL пишет:
цитата:
Пока только образ Alchohol 120%. И то не всегда помогает

А в чем проблема со снятием защиты? Я конечно сразу понял, что это покруче Asprotect’а v1.3 будет,
но неужто никто еще не научился ее снимать???


Есть конкретные челы, которые могут игру отучить, но с ними договариваются только в денежном плане... Тут не как с Аспром - взял тутор и отломал... Здесь для каждой отдельной игры свой нужен подход... да и полиморф копать с интерпретатором - полный геммор... ты уж поверь...

ViNCE [AHT] :: бара пишет:
цитата:
да хрен с ним.

Скоро наступит эра хардварных отладчиков. Всё к этому идёт уже бодрыми шагами.


Интересно бы посмотреть на хардварный отладчик...
Это получается что для каждого производителя + каждого вида железа нужен свой отладчик...

бара :: насчёт поста про отладчик я имел ввиду спецоборудование. Думаю оно уже давно есть, только вот вопрос сколько стоит.
Есть же оборудование для восстановления неоднократно отформатированных винчестеров. Когда-то тоже фантастикой некоторым казалось.

Dragon :: .::D.e.M.o.N.i.X::.
Я его не так давно копал, на импорте тогда остановился, помню, нашёл, что там библиотеки с диска подгружаются в динамическую память и функции вызываются оттуда. Дальше там перехват прерываний int1 и 3, т.е. отладчиком не пройти, а IDA не особо поможет, там много динамической расшифровки. Я написал эмулятор x86 для IDA(на wasm.ru есть), вот усовершенствую его, тогда ещё покопаюсь.

miller
Windows XP не поддерживает спящий режим для отдельных программ, архитектура ОС не позволяет(Например хэндлы окон, файлов и др. объектов могут быть заняты). А постоянно игру в памяти держать - неудобно. Всё же Alcohol 120% лучшее решение, главное, чтобы привод был качественный.

ViNCE [AHT] :: бара пишет:
цитата:
насчёт поста про отладчик я имел ввиду спецоборудование. Думаю оно уже давно есть, только вот вопрос сколько стоит.
Есть же оборудование для восстановления неоднократно отформатированных винчестеров. Когда-то тоже фантастикой некоторым казалось.


Терь понял... Я если про отладчики - конечно такие есть, но железный отладчик может отлаживать только один вид техники (ну максимум ещё пару видов)... Например, микроконтроллеры AVR не отладишь на PiC-овских отладчиках...

бара :: а насчёт StarForc’а 3 - пока нигде в инете реального примера или туториала не видел, кроме одного линка на взломанную игру с 3-м старфорсом - предлагалось скачать файлы - образ диска в каком-то формате и кейген для генерации ключа диска при установке.
У меня модем, поэтому я не стал качать естественно. Но люди писали в форуме, что всё устанавливалось и работало. Больше реально ничего не видел - ни туториалов по обходу старфорса ни чего другого. только ещё есть статьи по копированию дисков StarForce 3 пропатченныйм алкоголем (точнее с изменённым ini-файлом и тп) - но предупреждают что работает не на всех приводах такая игра - только на читающем и то не 100%. И про шлейфы там написано было - что иногда приходится IDE шлейф резака вынимать. Сам не пробовал.
Просто вот решил точку поставить.

Ромка :: Эх народ вы как в танке Всё же нашлись люди, кто это умеет и уже скоро будут плоды. Уже сижу в предвкушении
Насчёт эмуляции это с версии старфорца 3.3.33 больше невозможно, потому что на IO уровне во время проверки защитой все HDD в системе блокируются и тормозятся до конца проверки. Таким образом с образа находящегося на винте эмулятор не успевает или же не может подать запрашиваемый сектор и хана эмуляции, блин.
Кстати едмос, разъясни как у тебя эта версия виртуалится и чем, если ещё противоядия не придумали.
PS: ещё реально грузить с настоящего скази привода или же грузить образ с сети, только не с хардов в компе.

DZmey :: Ромка пишет:
цитата:
Всё же нашлись люди, кто это умеет и уже скоро будут плоды


Кто например :) Не имей привычку говорить за других
Извини конечно если это ты и есть те ЛЮДИ

Ромка :: Я же тупой, как полено, куда мне до таких высот
Всему своё время, терпение и труд всё перетрут

DZmey :: Ромка пишет:
цитата:
терпение и труд всё перетрут


Терпение и труд СтарФорс перетрут

бара :: Слепой сказал «посмотрим»

Dragon :: Ромка пишет:
цитата:
Насчёт эмуляции это с версии старфорца 3.3.33 больше невозможно, потому что на IO уровне во время проверки защитой все HDD в системе блокируются и тормозятся до конца проверки. Таким образом с образа находящегося на винте эмулятор не успевает или же не может подать запрашиваемый сектор и хана эмуляции, блин.


А для кого в статьях написано, что образ надо размещать на CD? Т.е. как бы сам файл .mds кидаешь на диск, и с него виртуалишь, Starforce3 только так определит диск. Можно также образ и в сеть кинуть, если есть.

RideX :: Dragon пишет:
цитата:
написано, что образ надо размещать на CD


Так то да, действительно можно :) Только если файл большой, › 800Мб, то не прокатит. У меня такой был где-то или даже чуть больше.

WELL :: А на DVD покатит?

DZmey :: WELL пишет:
цитата:
А на DVD покатит?


По-логике должно :) Там же не СД проверяется а эмулированный образ...

Dragon :: Покатит везде, главное, чтобы не на винте образ лежал. У меня в винта образ не запускался, а с CD спокойно. DVD конечно удобно, туда 5-6 образов можно кинуть, и оттуда виртуалить.

WELL :: Dragon пишет:
цитата:
DVD конечно удобно, туда 5-6 образов можно кинуть, и оттуда виртуалить.


Это точно :) А если двухсторонний и двуслойный, то еще больше :)

Ромка :: Ребята вы чего не догоняете что-ли? У вас все приводы наверняка АТАПИ, а эмулированый выдаёт себя за SCSI, а защита не будет идти при таком расположении дел со скази привода, а следовательно надо физически отключить атапи приводы, защита ведь иде шину сканирует на их присутствие. И отключив свой атапи привод, с чего вы образ считывать будете, если у вас только нет настоящего скази CD привода. А тут старфорцевцы с новой версией дров заподло приготовили эмуляторам, гогда образ находится на винте.
PS: решение уже придумано и можно образ на винте оставить.
Только ребята когда брешете, хоть краснейте хотя бы, ладно

Dragon :: Ромка пишет:
цитата:
Только ребята когда брешете, хоть краснейте хотя бы, ладно


Кто это тут брешет? starforce сканирует ВСЕ приводы в системе, а не только IDE ATAPI. Причём в алфавитном порядке, по буквам. Поэтому не надо ничего отключать, а просто букву виртуального CD поставить перед реальным.

DZmey :: Ромка
Это к тебе отностися когда брещищь и обвиняешь всех в этом... Красней в двойне

RideX :: Ромка пишет:
цитата:
защита не будет идти при таком расположении дел со скази привода


Точно, а я уже было обрадовался...

Ромка пишет:
цитата:
решение уже придумано и можно образ на винте оставить.


Так договаривай, раз начал :)

P.S. Alcohol обновился, правда у меня нет ни одного диска с новым StarForce, проверить его не могу. Кому надо, качать здесь:
http://download.9down.com....1705_retail_Incl_KEY.rar

RideX :: Dragon
Я тоже где-то слышал, что если в системе есть ATAPI и SCSI, то диск можно загрузить только с ATAPI. Сам правда не пробовал, потому утверждать не буду :)

Ромка ::
цитата:
Кто это тут брешет? starforce сканирует ВСЕ приводы в системе, а не только IDE ATAPI.


2 Dragon: Теперь я знаю, откуда у слухов ноги растут. Именно иде шину на прямую в обход виндовским аспи дровам сканирует сф3 на присутствие АТАПИ приводов. Кстати если у тебя на райде сидят винты, а приводы на встроенном контролере, то можно раньше было сразу в системных установках выключить ide bus driver.
Насчёт остального, всё это чушь выдуманная, что поставьте букву первой, это не идиоты защиту делали, там такие новшества введены, что аналогов в мире нет, защита ведёт себя во всех отношениях как вирус, один собственный обработчик ошибок на инт3 с делением чего стоит, чтобы выйти из собственной ловушки. У меня возникает ощущение, что я на допросе я завязываю.

2 RideX: Ты прав совершенно, это так и есть. Правда к сожалению новая версия алкаша не учитывает новые дрова, они вообще решили с этим делом подождать, так как не было на тот момент решения, жди теперь когда алкаш за вторую версию перевалит

Dragon ::
RideX пишет:
цитата:
Я тоже где-то слышал, что если в системе есть ATAPI и SCSI, то диск можно загрузить только с ATAPI. Сам правда не пробовал, потому утверждать не буду :)


В каком смысле загрузить?

Ромка
Какая разница, сканирует он IDE шину или нет, но проверяться все диски. Сначала для проверки используются стандартные функции GetDriveType и FindFirstFile/FindNextFile. Т.е. проверяются имена файлов на диске. Если проверка прошла, то защита и будет дальше мучать этот диск, а остальные и не тронет, поэтому и надо букву виртуального CD ставить первой, т.к. диски в алфавитном порядке проверяются. Если после starforce после проверки IDE дисков не проверяет остальные, то это уже просто баг в защите. Ведь интерфейсов много, например внешние приводы, которые подключаются через USB и firewire.

Styx :: Новый Алкаш 1.9: http://wav.alcohol-softwa...l120_trial_1_9_2_1705.exe
Говорят St3 умирает от этого Алкаша, особенно хорошо на TEAC. Сам не тестил.

Ромка ::
цитата:
Какая разница, сканирует он IDE шину или нет, но проверяться все диски. Сначала для проверки используются стандартные функции GetDriveType и FindFirstFile/FindNextFile. Т.е. проверяются имена файлов на диске. Если проверка прошла, то защита и будет дальше мучать этот диск, а остальные и не тронет, поэтому и надо букву виртуального CD ставить первой, т.к. диски в алфавитном порядке проверяются. Если после starforce после проверки IDE дисков не проверяет остальные, то это уже просто баг в защите. Ведь интерфейсов много, например внешние приводы, которые подключаются через USB и firewire.



Да действительно какая разница куда бабу трахать, у неё ведь столько дырок, главное первую же попавшуюся найти
Ты пойми старфорц свои атапи драйвера устанавливает, ему наплевать на твою последовательность. Нашёл атапи привод или приводы на иде шине, всё, только с одного из них и хочет запускаться и плевать и мазать хотел на остальные найденные, пока ты эти атапи приводы не отключишь. Блин, поговори с разработчиками алкаша, может они тебя образумят. Поверь мне, каким только макаром я не подставлял первым свой эмулированый привод, но защите ровным образом насрать на это
Кстати я недавно бусхоунд просил кряк как раз для этих целей, запусти свой оригинал с настоящего Атапи привода, короче без эмуляции, взгляни что защита делает, и тоже самое повтори с эмулированным
Разница на яйцо, тоесть на лицо.

Ромка :: Кстати у меня неплохая статейка есть для вас на досуге почитать, правда ещё была написана одним человеком при тогдашней версии старфорца 2.0
Тогда ещё не устанавливались драйверы со встроенным атапи определением,

цитата:

Общая характеристика защиты
Защитные механизмы, работающие на компьютере конечного пользователя защищенного диска, можно условно разделить на две части. К первой части отнесем все способы противоджействия исследованию защищенной программы и приведению исполняемых файлов к состоянию, в котором они будут способны работать без оригинального компакт-диска. Во второй части окажется непосредственно механизм проверки подлинности компакт-диска.
Исследование средств защиты исполняемых модулей от отладки и снятия правильно работающего дампа — занятие неблагодарное. Для грамотно защищенной программы, с умом использующей все возможности, предоставляемые защитой, процесс восстановления исполняемого модуля доступен только высококлассным специалистам и практически не поддается автоматизации. То есть для снятия защиты с каждой новой программы потребуется большую часть исследований проводить сначала. Да и полной гарантии стопроцентной работоспособности получить не удастся. Фрагменты защиты могут быть вставлены в труднодостижимые места. Например, какая-нибудь проверка вполне может выполняться только в седьмой миссии многоуровневой игры, до которой невозможно добраться быстрее, чем за трое суток непрерывных сражений! Так что оставим снятие защиты через восстановление исполняемых модулей фанатикам исследований программ и перейдем к рассмотрению части защиты, связанной с проверкой аутентичности компакт-диска.
Как утверждают разработчики StarForce, при изготовлении защищенных дисков не требуется никакое специальное оборудование, позволяющее наносить лазерные метки или какие-либо иные повреждения поверхности компакт-диска. Да и современные программы побитового копирования дисков, такие как CloneCD или BlindRead/BlindWrite, способны настолько точно воссоздавать все ошибки, что защита оказывается неспособна отличить оригинал от копии. Однако практика показывает, что в подавляющем большинстве случаев копия диска, защищенного StarForce, не опознается как оригинальный диск, какой бы программой ни выполнялось копирование.
Так как же 81агРогсе опознает оригинальный диск? Правильный ответ на этот вопрос знают только разработчики, однако в форуме поддержки Daemon Tools можно найти высказывание, что StarForce использует информацию об углах между секторами и метод получения этой информации совместим с 99.9 % приводов СО-КОМ (StarForce uses angle info and the method of retrieving this makes it 99.9% compatible with any CD-ROM).
Попробуем проверить гипотезу об определении аутентичности диска путем измерения его угловых характеристик. Для этого смоделируем процессы, происходящие при чтении диска.

Модель задержек при чтении информации с компакт-диска

В популярных источниках легко найти описание характеристик звукового компакт-диска.

Компакт-диск (КД)
КД имеет диаметр 120мм и центральное посадочное отверстие диаметром 15 мм. Зона записи звука заключена в кольце с внутренним диаметром 50 мм и наружным— 116мм. Вне ее находится зона, содержащая вспомогательную информацию, которая позволяет автоматизировать процесс воспроизведения. Сигнал записан на дорожке, расположенной на КД в виде спирали. Шаг витков спирали 1.6 мкм, т. е. поперечная плотность записи 625 дорожек/мм. Всего дорожка образует на КД 20 000 витков общей протяженностью 5 км и начинается не у наружной границы зоны записи, как на обычных грампластинках, а у внутренней.

Все вышесказанное справедливо и для компакт-дисков, на которых записаны данные. Спираль разбивается на последовательно идущие сектора, длиной 2352 байт каждый (16-байтовый заголовок, 2048-байтовая область данных и 288-байтовая зона коррекции ошибок). Также известно, что линейная плотность информации вдоль спирали является постоянной на всем диске.



Ромка ::
цитата:

Для дальнейших рассуждений примем, что расстояние между дорожками (1.6 мкм) одинаково на любых компакт-дисках, а длина сегмента спирали, принадлежащего одному сектору, является постоянной для конкретного экземпляра диска. Размеры зоны записи (внутренний и внешний радиусы) и полезная емкость носителя могут варьироваться от одного диска к другому. Так современные матрицы для записи КД имеют емкость от 650 до 800 Мбайт.
Положение на диске сектора с любым номером однозначно описывается двумя характеристиками диска:
Dinner — расстояние от центра диска, на котором начинается нулевой сектор спирали;
Lsect — длина сегмента спирали, соответствующая одному сектору.
Выведем формулы, необходимые для определения точного положения сектора на диске по его номеру. Достаточно вспомнить школьный курс математики, потребуются лишь формула вычисления длины окружности и навык** по выполнению простейших арифметических операций.
Число витков спирали N с поперечной плотностью D витков/мм от радиуса RI до радиуса R2 определяется формулой:
N = (R2- R]) * D
Длина спирали L в том же диапазоне радиусов выражается как: L = п * (R2 + RI) * N = п * (R2 + RI) * (R2- R1) * D = п * (R22 - R,2) * D (п = 3,14 )

... (формулы-формулы-формулы)...

Теперь перейдем к физическим характеристикам привода.
В качестве базового тезиса при разработке компакт-дисков использовалась идея о постоянной линейной плотности записанных данных, а значит, и постоянной линейной скорости чтения диска. Но из-за того что длина витка спирали зависит от радиуса, для обеспечения постоянной линейной скорости чтения угловая скорость вращения диска должна быть переменной. И в первых приводах скорость вращения диска изменялась примерно от 500 оборотов в минуту на внутренних витках спирали до 200 оборотов в минуту на внешних, более длинных витках. Однако в настоящее время существуют многоскоростные приводы, у которых угловая скорость вращения диска является постоянной, а линейная скорость чтения растет при переходе к внешним виткам спирали. И, судя по всему, таких приводов большинство, т. к. ограничения на повышение скорости передачи информации, читаемой с компакт-диска, накладываются не столько интерфейсом между приводом и оперативной памятью компьютера, сколько механическими свойствами самого привода, например значительными вибрациями на больших скоростях вращения. И практически нет разумных поводов для снижения скорости вращения при чтении информации с внешних витков спирали. Таким образом, будем исходить из того, что привод, с которым мы имеем дело, имеет постоянную угловую скорость вращения диска и двигатель привода выключается только по истечении некоторого значительного периода времени, на протяжении которого не было ни одного обращения.
Что происходит после того, как пользовательская программа инициировала команду чтения какого-то сектора диска? Грубо последовательность действий может быть описана примерно следующим образом. Сначала запрос на чтение обрабатывается драйверами операционной системы, которые передают этот запрос приводу. Привод осуществляет позиционирование головки, дожидается, пока диск не повернется до начала сектора, читает данные с диска и передает их в память, а потом присылает извещение о том, что операция чтения завершилась. Дальше происходит окончательная обработка запроса драйверами операционной системы, и прочитанный сектор или или несколько последовательных секторов передаются пользовательской программе.



Ромка ::
цитата:

Точно определить, какое время занимает выполнение того или иного шага приведенной выше схемы, не представляется возможным. Однако если предположить, что длительность постобработки драйверами операционной системы не зависит от номера читаемого сектора, а привод извещает о выполнении операции сразу по окончании чтения последнего из требуемых секторов, то временная задержка между двумя любыми операциями чтения должна с незначительными допущениями укладываться в следующую формулу:

Тij = (n + fract (Nj) -fract (N1)) * P, (2)

где:
- i, j — номер сектора, следующего за последним прочитанным во время первого или второго запроса сектором;
- TJJ — задержка между окончаниями выполнения запросов;
- Ni, Nj — положения j-oro и у’-ого сектора на спирали, вычисленные по формуле (1);
- fract (х) — дробная часть х;
- P — период вращения диска (время, за которое происходит один полный оборот);
- n — произвольное целое число.
То есть задержка состоит из времени, необходимого для нескольких полных оборотов диска, и времени на поворот диска от углового положения fract (Ni) до углового положения fract (Nj).

Как StarForce проверяет диск

Проверка подлинности диска состоит из нескольких этапов. Сначала читается информация о диске, установленном в приводе, и проверяется его метка тома. Затем выполняется 8 запросов на чтение случайных одиночных секторов с номерами в диапазоне от 1 до 65 536. Результаты чтения никак не используются, и, скорее всего, эти действия нужны для разгона диска до номинальной скорости вращения. Затем еще раз читается (но уже не проверяется) информация о диске. Все перечисленное выше проходит через драйвер файловой системы CDFS, никак не защищено от анализа и, следовательно, наверняка не влияет на процесс аутентификации.
Все остальные обращения к диску идут на более низком уровне. В той версии StarForce, анализ которой проводится, обращения адресовались драйве-
ру устройства Cdrom и представляли собой SCSI-команды. Последовательность этих команд такова.
1. Чтение содержания диска (Table Of Content, TOC).
2. Чтение одиночных секторов с номерами 16, 17, 17 (дважды читается
17-ый сектор).
3. Чтение одиночных секторов с номерами 173117, 173099, 173081, 173063,
173045, 173027, 173009, 172991, 172973.
4. Чтение случайных 17 блоков по 8 секторов с номерами первого читае
мого сектора в диапазоне примерно от 168100 до 173200.
5. SCSI-команда с кодом ОхВВ, описание которой не удалось найти в доку
ментации, но которая, скорее всего, отвечает за управление скоростью
вращения привода.
6. Чтение одиночного сектора с номером 173117.
Причем если с первой попытки диск не опознан как оригинальный, то шаги 3 и 4 повторяются в цикле. Значит, после выполнения шага 4 вся информация, необходимая для аутентификации диска, уже получена.
Попробуем разобраться, зачем может потребоваться каждый из шагов.
Чтение ТОС, скорее всего, требуется для определения номера сектора, с которого начинается последняя сессия мультисессионного диска. Так как сессия всего одна, то в 16 и 17 секторах как раз и хранятся описания структуры тома (метка тома, количество секторов, адрес директории диска и т. д.). А повторное чтение сектора 17, скорее всего, используется для того, чтобы примерно оценить порядок времени, затрачиваемого на один оборот диска. Разница времени между двумя чтениями одного сектора должна быть кратна длительности оборота диска.



Ромка ::
цитата:

В последовательности номеров секторов 173117, 173099, 173081, 173063, 173045, 173027, 173009, 172991, 172973 легко усматривается закономерность — каждое следующее значение на 18 меньше предыдущего. Число 18 тоже явно не случайное — на том радиусе диска, где размещаются сектора с указанными номерами, на один виток спирали помещается примерно 18 секторов. А чтение секторов в порядке убывания номера с большой вероятностью используется для того, чтобы предотвратить чтение с предупреждением, когда привод считывает во внутренний буфер не только заданные сектора, но и несколько последующих, на случай если данные читаются последовательно.
Получив значения восьми интервалов (между девятью операциями чтения) и зная длительность п периодов обращения диска (полученную повторным чтением сектора), можно с большой точностью определить скорость вращения диска.
А дальше выполняется 17 чтений блоков со случайными номерами с целью измерения 16 интервалов времени. Если все интервалы хорошо (с малыми отклонениями) укладываются в формулу (2), то диск признается подлинным. Если же отклонения от ожидаемых величин превышают некоторое пороговое значение, то проводится повторное вычисление скорости вращения и повторное измерение задержек между чтением блоков по 8 секторов.

Способ обхода защиты

Чтобы заставить StarForce поверить, что в приводе стоит оригинальный диск, надо совсем не много: чтобы задержки между чтениями соответствовали ожидаемым. А для этого необходимо знать точные характеристики диска: радиус, на котором начинается спираль, и размер сектора. Для определения этих величин можно провести те же самые измерения, что проводит StarForce при проверке диска, а затем варьировать начальный радиус и размер сектора, пока не будут найдены оптимальные значения. Критерием оптимальности, например, может служить сумма отклонений разностей углов, вычисленных по формуле (1), и углов, полученных из замеренных интервалов времени по формуле, обратной (2).
Современное оборудование (во всяком случае, оборудование бытового класса) действительно не позволяет создавать копии защищенного диска, но написание эмулятора, способного обмануть StarForce, не представляет сверхсложной задачи. Достаточно перехватывать обращения к драйверу CD-ROM и в случае, если выполняется команда чтения, делать временную задержку, какую мог бы иметь оригинальный диск, и только после этого возвращать управление вызывающей программе.
В качестве практической демонстрации возможности эмуляции был разработан драйвер, функционирующий под операционной системой Windows 2000 и выполняющий описанные выше действия. Когда драйвер загружен, StarForce оказывается не в состоянии отличить подделку от оригинала. Игра стабильно запускается практически с любой копии оригинального диска, с виртуального диска, созданного программой Daemon Tools, и даже с дисков, которые похожи на оригинальный только тем, что имеют правильную метку тома и размер области данных не менее 350 Мбайт, чтобы существовали сектора с запрашиваемыми номерами.

Резюме по защите StarForce

StarForce, несомненно, является неординарной защитой. Ее исключительность заключается хотя бы в том, что до сих пор не существует надежного способа быстро создавать работоспособные копии защищенных дисков.
Однако проведенное исследование показывает, что для эмуляции защищенного диска нужно совсем немного.
Примерно через 3 месяца после выполнения работы, результаты которой были приведены ранее, компания Protection Technology объявила о выпуске следующей версии своей системы защиты — StarForce Professional 3.0. Разработчики утверждают, что одно из многочисленных улучшений заключается как раз в усилении противодействия эмуляции компакт-дисков.
Кстати, вскоре после появления StarForce 3.0 буквально в течение одного месяца авторы как минимум трех эмуляторов компакт-дисков объявили о том, что новые версии их программ способны эмулировать диски, защищенные StarForce версий 1 и 2. С тех пор прошло больше года, но поддержка StarForce 3.0 так и не появилась ни в одном из эмуляторов. Так что по состоянию на сегодняшний день, компакт-диски, защищенные при помощи StarForce, продолжают оставаться устойчивыми к взлому.






SIM ASPR 1.23 - 1.3? Помогите определить какой версией аспра упакована эта...



SIM ASPR 1.23 - 1.3? Помогите определить какой версией аспра упакована эта прога:
_http://srever.narod.ru/filez/MyProxy641.rar (434кб)
Сам в силу неопытности не могу понять. PEid пишет:
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov
Стриппер распаковывает но она потом не запускается (runtime error)
WELL :: SIM пишет:
цитата:
PEid пишет:
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov


PEiD вроде на все версии так пишет.
Надо руками распаковывать.
У nice’a тутор хороший есть http://hice.antosha.ru/Asprotect.rar

Kerghan :: SIM
это спецом ошибка сделана. Найди эту строку и исправь переход перед ней. Вроде так я делал, хотя патчер -=алекс=-’а тоже тянет

WELL :: Kerghan пишет:
цитата:
хотя патчер -=алекс=-’а тоже тянет


Где бы этот патчер взять :)

SIM :: Да пробавал я исправлять эту ошибку, дальше появляются еще и еще..., сомневатся стал что вообще когданибудь запустится...
А про патчер -=алекс=-’а мне тоже интересно

-= ALEX =- :: эх.. я смотрю опять эхо аспра... в свободное время подправлю патчер свой и выложу где-нить...

SIM :: Распаковал, прога падает на этой процедуре:
00403450 POP EDX
00403451 PUSH ESP
00403452 PUSH EBP
00403453 PUSH EDI
00403454 PUSH ESI
00403455 PUSH EBX
00403456 PUSH EAX
00403457 PUSH EDX
00403458 PUSH ESP
00403459 PUSH 7
0040345B PUSH 1
0040345D PUSH 0EEDFADE
00403462 PUSH EDX
00403463 JMP ‹JMP.&kernel32.RaiseException›
00403468 RETN

Я конешно поправил условные переходы на нее и прога заработала, но хотелось бы знать что это за гадость и почему прога может на нее прыгать

Ara :: WELL пишет:
цитата:
У nice’a тутор хороший есть http://hice.antosha.ru/Asprotect.rar


Дайте РАБОЧУЮ ссылку кто-нибудь. давно не был на форуме. кажись пропустил что-то

DOLTON :: Ara пишет:
цитата:
Дайте РАБОЧУЮ ссылку кто-нибудь


Ну не знаю, только что Оперой всё прекрасно скачал...

WELL :: Ara пишет:
цитата:
Дайте РАБОЧУЮ ссылку кто-нибудь


Это и есть рабочая

Ara :: Sorry. юзал Мозиллу, а эксплорером все скачалось.




RideX ASProtect 1.3 в AlfaClock v1.60 Кто-нибудь сталкивался с настоящим...



RideX ASProtect 1.3 в AlfaClock v1.60 Кто-нибудь сталкивался с настоящим ASProtect 1.3?
Если да, то не могли бы показать способ его распаковки на примере Alfa Clock v1.60, брать здесь: http://www.alfasoftweb.com/download/
ZX :: Во, проснулся, ты хоть посты на форуме читаешь?

бара :: а разве были примеры распаковки ?

было всего лишь описание мытарств по распаковке пока...

RideX :: бара пишет:
цитата:
Во, проснулся, ты хоть посты на форуме читаешь?


Наверное, это лучше обсуждать в одном топике с соответствующей темой, а не кусками в разных :)

SeDoYHg :: бара

цитата:
а разве были примеры распаковки ?


Даже тутор Mario555

Mario555 :: бара пишет:
цитата:
было всего лишь описание мытарств по распаковке пока...


Ну дык сразу ничего не бывает :) Чем больше народу будут ковырять этот AlfaClock, тем быстрее его распакуем. А то сейчас только мы с ZX с ним долбаемся. Остальные как-то мимо ходят...
Эх, жалко TheDarkStranger пропал куда-то.

RideX пишет:
цитата:
Наверное, это лучше обсуждать в одном топике с соответствующей темой, а не кусками в разных :)


Ну ладно, начинай :) До чего дошёл ?

SeDoYHg пишет:
цитата:
Даже тутор Mario555


Мой тутор про «lite» версию, там нет проблемы с Seh и нет спертой структуры.

-= ALEX =- :: щас качаю, бум ломать вместе !!!

ZX :: Во, нашего полку прибыло! :)

-= ALEX =- :: хех.. ну мне потребовалось 5 минут чтобы сделать патч для этого супернавороченного аспра. Вот и вопрос, а стоит ли ломать прогу, когда можно легко пропатчить... будущее за патчами :) :)
ЗЫ патч сделал не до конца, есть где-то проверка в проге, но результат на лицо...

бара :: ну так кидай патч. Посмотрим твою работу.
Я тоже сторонник патчей. Только вот сломать у меня не получилось программу пока. Расскажи как ломал по пунктам. И патч крепи с описанием прям тут.

-= ALEX =- :: хех, никогда не юзайти апи аспра ! ЗЫ этим все сказано... пошел спать.

бара :: короче, опять ни черта не сломал.

Одни слухи только сеет. Спи, пусть тебе приснится как ты сломал Альфаклок

ZX :: -= ALEX =-
Речь идет не о взломе проги(она не хер никому не нужна), а о распаковке аспра «full».
Да, хотелось бы посмотреть на этот патч, если он существует ;)

WELL :: -= ALEX =- пишет:
цитата:
хех.. ну мне потребовалось 5 минут чтобы сделать патч для этого супернавороченного аспра. Вот и вопрос, а стоит ли ломать прогу, когда можно легко пропатчить...


Что-то я не понял. Имеется ввиду инлайн-патч? Или что-то другое?

DZmey :: RideX пишет:
цитата:
Кто-нибудь сталкивался с настоящим ASProtect 1.3?


А что бывает не настоящий

Grim Fandango :: так ответьте, блин, есть этот патч на свете или нету его?

ZX :: Grim Fandango пишет:
цитата:
так ответьте, блин, есть этот патч на свете или нету его?


Да откуда ему взятся? Там проверок на целостность кода столько, что их не только за 5 минут...
Патчить их не запатчишь, там полиморф, короче Alex, видимо, прикололся. Будем расценивать это как шутку.

Grim Fandango :: ну тогда lol =)

ZX :: Вообще kpteam говорят все-таки сделал патч к АльфаКлоку, но зайти на их асйт я не могу, либо в дауне. Вообще может и сделали, но только не за 5 минут. Если кто нароет этот патч просьба скинуть Z010X YANDEX RU

Grim Fandango :: не знаю, мож сайт правда в дауне, но я тож не могу зайти, но качаю AlfaClock 1.60 by Dynomite

бара :: да там ни черта не поймёшь. Он (кряк, который ты скачал) упакован UPX-ом. Причём извращенец какой-то паковал - после этого DeDe выплюнет его - надо секцию ресурсов перестраивать спецутилитами. А потом ещё искать будешь иголку в стоге сена.
А патчится технически элементарно, не распаковывая, если знать где патчить. Я вот, к сожалению, тогда, когда пробовал, так и не нашёл ref. addr.

ZX :: бара
Скиньте на мыло это кряк, плиз, если не трудно.

бара :: я говорю - ТЕХНИЧЕСКИ.
Скажи где патчить и я тебе скину кряк Читай посты внимательнее, pls

N.B. Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3.

сам кряк весит пол метра - неохота качать. (У меня мамед)

ZX :: бара пишет:
цитата:
by ASProtect v1.23 RC4


Откуда такие сведения?
бара пишет:
цитата:
сам кряк весит пол метра


Получается это не кряк, а распакованный экзешник?

ZX :: бара пишет:
цитата:
Скажи где патчить и я тебе скину кряк


Это как понимать?

Mario555 :: ZX пишет:
цитата:
Речь идет не о взломе проги(она не хер никому не нужна), а о распаковке аспра «full».


Вот с этим я полностью согласен !

А по поводу inline, так его сделать действительно легко, и -= ALEX =- это уже объяснял. Проблема только с тем, что когда trial expire, то выдаётся месага из протектора (тоесть до OEP не дохотим), такое редко втречается и поэтому я толком не знаю чего делать. Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю, т.к. адреса могут не совпасть. А сам взлом - банальная эмуляция getusername (или как она там называется). Вообщем попробуйте http://mario555.pisem.net/patch.exe если не проканает, то уберите
0040009E C705 0CDEE000 00›MOV DWORD PTR DS:[E0DE0C],0
тогда будет зарегеной в течении 30 дней :) или найдите в своей системе адрес аналогичный моему E0DE0C.

-= ALEX =- пишет:
цитата:
будущее за патчами :) :)


Не думаю... просто авторы протекторов забили/забыли на защиту от inline и делают упор на антираспаковку (вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал). Но когда вспомнят...

ZX :: Mario555 пишет:
цитата:
Но когда вспомнят...


А ведь вспомнят!

RideX :: Тоже скачал распакованный от dynamite, у меня он работает не правильно. Запускаться-то запускается, но в трее ничего нет, у кого-нибудь есть такое?

RideX :: бара пишет:
цитата:
Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3


Может и так, точно не знаю :)
Но всё выглядит как-то необычно, часто встречается такая ерунда:
FF3D ???
FE ???
FFF9 ???
В Ice бряки не даёт ставить, вылазит окно с ошибкой, запатчить его что-то не получается...
Пробую распаковать в Olly. Начало спёртых байт не могу выйти :( В обычных аспрах это примерно так: call dword ptr ds:[eax+....], зашёл в call, пробежался по коду и отфильтровал спёртые байты, а тут же блин... :((

ViNCE [AHT] :: WELL пишет:
цитата:
Что-то я не понял. Имеется ввиду инлайн-патч? Или что-то другое?


Ты же знаешь, что -= ALEX =- любитель inline’ов...

Mario555 :: RideX пишет:
цитата:
FF3D ???
FE ???
FFF9 ???


Вот об этом уже раз 20 говорили...

RideX пишет:
цитата:
Начало спёртых байт не могу выйти


Вроде так:
004E5036 PUSH EBP
004E5037 MOV EBP,ESP
004E5039 ADD ESP,-1C
004E503C MOV EAX,Dump_xxx.004E4AC8
004E5041 CALL Dump_xxx.004064D0
и
004064D0 PUSH EBX
004064D1 MOV EBX,EAX
004064D3 XOR EAX,EAX
004064D5 MOV DWORD PTR DS:[4E60A0],EAX
004064DA PUSH 0
004064DC CALL ‹JMP.&kernel32.GetModuleHandleA›
Хотя я с ними особо не возился, вначале нужно с более сложными вещами разобраться.

PS кста как там работает мой патч или нет ?

Quest0 ::
цитата:
Кстати, эта прога запакована by ASProtect v1.23 RC4, а не 1.3


Это действительно v1.3, только ~ 5-6 месячной давности. Это судя
по тому что у v1.23 нет отчета при выявлении ошибки в коде аспра..

бара :: Работает, но как-то кривовато - так же как у «динамита» - часы херятся вправо и вторым запуском только запускается программа.

Поясни:

Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn

аспротект-программа



шифрованная таблица переходов или прога


........................................
шифрованная таблица переходов или прога
........................................
call Mario555

RideX :: Mario555 пишет:
цитата:
кста как там работает мой патч или нет ?


У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»

-= ALEX =- :: мде... только пришел щас, а тут такую бадень развели аж на 3 страницы. Ну начнем по-порядку... я сделал инлайн патч, как тут уже многие поняли. Сделать инлайн-патч для аспра никакого труда не составляет, существует несколько способов. Фишка в том, что адреса «апи аспра», назовем их так, лежат примерно в конце секции аспра в зашифрованном виде и CRC по этому участку не проверяется, нам никакого труда не составит, заменить эти пошифрованные адреса на свом, в конце файла... вот весь прицнип. Mario555 я так понял уже сделал то же самое, а может и нет. Я седня или завтра уже сделаю готовый патч. ЗЫ я не думаю, что если Солод исправит этот баг, то пропатчить невозможно будет...

-= ALEX =- :: распаковывать программу я еще пока не готов, это геморно очень я так думаю, да и времени в обрез :( Пока существуют такие «дыры», проще пропатчить и не епать мозги... я надеюсь вам удасться распаковать ее. УДАЧИ !

bit-hack :: Alex, а где достать твой in-line патч(сама прога). По возможности кинь на мыло bit-hack@mail.ru. Зранее спасибо.

Mario555 :: RideX пишет:
цитата:
У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»


Ну значит адреса не совпадают... найди байт который отвечает за expire/не expire... у меня он был по адр. [00e0de0c].

бара пишет:
цитата:
Поясни:
Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn


Сначала - это аспровая апи, вместо адреса которой я подставил свой адрес. Вообще обычно её можно и не переписывать, но в данном случае есть какая-то проверка.
[00e0de0c] - уже сказал
[004e72fc] - тут хранится адрес строки с именем user’a (если не зарегены, то первый байт имени - 00). Кладем в эту ячейку свой адрес, а по нему пишем имя.

Madness :: ZX
›Патчить их не запатчишь, там полиморф
Аспровый полиморф патчить не надо :)

-= Alex =-
›будущее за патчами :) :)
Вот сижу и думаю, как к старфорсу подступится, блин.

Mario555
›Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю
Вылетит в лучшем случае. :P

›вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал
Проверки целостности ехе + памяти мало?

ЗЫ. Сорьки за ответы по 3-м страницам.

бара :: я думаю, надо сделать проще было Mario555 - сделать лоадер, который при загрузке в цикле бы патчил при загрузке. Тогда бы кросс-платформенность была. А пока видать тока на XP будет работать и выше.
Мог бы помочь попробовать, да прога не представляет интереса.

Mario555 спасибо за разъяснения. Я уже понял - переборол лень и сунулся в OllyDebugger. Тока я не дампил протектор - покрутил там в памяти.
Вопрос - нафига ты патчишь триал период в 2-х местах по 30-кам, если мы типа зарегены. Там же триал не идёт по счётчику ? Или идёт из-за неполного хака ? Экспериментировать в лом - вот и спрашиваю....

ZX :: -= ALEX =-

Приношу извинения, за некоторые посты.

Mario555 :: Madness пишет:
цитата:
Вылетит в лучшем случае. :P


Ну и фиг с ним, главное что у меня работает :P а кому надо, так пусть сами нужный адресок ищут. Ты лучше скажи, как в таком случае корректно месагу обходить (мне то это так - для общего развития, всё равно релизов не делаю, и проги ломаю только из-за самого процесса взлома, ну и результата конечно).

Madness пишет:
цитата:
Проверки целостности ехе + памяти мало?


А это новое ? Что в RC4 не тоже самое ?! :)

бара пишет:
цитата:
Экспериментировать в лом - вот и спрашиваю...


Отвечать - влом, поэтому эксперементируй ;)

PS а вот с распаковкой хрень полнейшая :( Импорт есть, таблица call eax есть, краденые байты тоже есть, те что заменены на FF XXXXXX восстанавливаются правильно (задолбался я с ними, но всё таки приделал «улучшеную» функцию обработки таблиц и сами таблицы к дампу), а всё равно работать не хочет - там всякие гадости, по типу записи в адреса сис. dll и т.п. причём таких вот гадостей до . Ещё и какую-то функцию аспр спёр, и запускает как то так
004086B0 PUSH 0E73240
004086B5 RETN
её конечно можно перекинуть в адреса exe... но не в этой функции и проблема.

Madness :: Mario555
›Ты лучше скажи, как в таком случае корректно месагу обходить
Поковыряйся в call, который перед мессагой идет. ;)

›А это новое ? Что в RC4 не тоже самое ?! :)
Старое, то же самое. Я и спрашиваю, мало этого?

бара
Культура так и прет.

CReg [TSRh] :: ZX пишет:
цитата:
Слушай, если нихрена не разобрался и не понимаешь вообще о чем речь, то не лезь со своими ... советами.


«Нежнее, Виктор, еще нежнее» (c)

ZX
бара
«Ребята, давайте жить дружно»

ZX :: CReg [TSRh]
Больше не буду, ну не сдержался
Пойду лечить нервы...

бара :: Admins:
куда мои посты делись ?

если выкасываете - то ту блевотину этого гм.. товариЩа в мой адрес тоже уберите...

ZX :: бара пишет:
цитата:
Мудрые слова. Каждый в чём-то достиг (даже если и не в реверсинге защит). В прошлом, настоящем
или будущем. Поэтому надо стараться понять другого. P.S. А все наезды в приват, а не на форуме.



Это твои слова? Я не наезжал. Я не приверженец разных там ругачек. Я погорячился и это признал. И убираю свой пост, который тебя так обидел.

ZX :: И вообще, ребят, давайте по теме. В смысле исследований это mario555 описал. По автоматизации - проблемм много. Сделал тулзу, которая восстанавливает импорт через лог ольки, марио описывал как делать лог. Дальше этого пока автоматизация не пошла. У меня автоматом не вяжется таблица SEH-обработчика, с call EAX(с таблицей тож проблеммы). Восстановление спертых байт, звиняйте, для меня пока туго, но выходные впереди. У кого какие идеи давайте высказывайте.

P.S.
И вообще, приятней иметь у себя на диске распакованную прогу, чем протекченную неизвестно кем :)
Хотя, конечно, известно, но это не меняет сути дела.

Mario555 :: Madness пишет:
цитата:
Поковыряйся в call, который перед мессагой идет. ;)


Ну дык это же всё-равно в адресах протектора. Там скорее нужно искать апи аспра, которая за проверку этого триала отвечает. Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?

Madness пишет:
цитата:
Я и спрашиваю, мало этого?


А я и не говорил про мало-много. Просто против распаковки добавилось, а против inline нет.

ZX пишет:
цитата:
Сделал тулзу, которая восстанавливает импорт через лог ольки


и с догрузкой dll проблему решил ?

ZX пишет:
цитата:
По автоматизации


Вручную бы для начала распаковать, а то ведь так и не получилось :( хотя наверно это из-за того, что там ещё и авторы проги постарались...

ZX :: Mario555 пишет:
цитата:
Вручную бы для начала распаковать


Одно другому не мешает, а очень даже должно помогать, ты пробовал тулзу или нет на альфаклоке? С догрузкой решил все нормально подшлефую слегка и тебе кину :)

ZX :: На счет скрипта как?

Mario555 :: ZX пишет:
цитата:
ты пробовал тулзу или нет на альфаклоке?


А смысл ? Я просто посмотрел, что в alfaclock та же Ole32 где-то в 771A0000, а прога грузит её c 00550000.

ZX пишет:
цитата:
На счет скрипта как?


Дык лог бряков то сейчас нет, зачем скрипт делать ? Когда будут, тогда и сделаем.

-= ALEX =- :: вот патчик, который обещал. _http://www.alex2kx.nm.ru/KpT-AlfaClock160.rar вроде бы все пучком работает...

Madness :: Mario555
›Ну дык это же всё-равно в адресах протектора.
Нет. В том же поксоренном блоке поищи ;) Хорошего по-немногу.

›Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?
Не патч, а тулза, облегчающая изучение вышеупомянутого блока.

›Просто против распаковки добавилось, а против inline нет.
Лёхе достаточно добавить пару проверок и се, будут кракед ехе, да отстойные лоадеры. Оно есть, но есть и возможность обхода. Говорят уже старфорс патчат, а тут какой то аспр ;)

-= ALEX =- :: Madness да все равно можно пропатчить хоть что, главное подход правильный...

Mario555 :: Проги с «full» кроме alfaclock кто-нить знает ? Всё-таки я думаю, что в alfaclock проблема со скрытыми проверками, а не с какой-нить там фичей аспра.

Madness пишет:
цитата:
Говорят уже старфорс патчат


А про старфорс много чего говорят... :)

бара :: 4e5087 110723e9
4e510a e9 90
4c47ad 9090
4e842c 005f5760

Метод Алекса не работает - триал он не убирает
так и я взломал первый раз - тоже лоханулся

кто не верит - переведите часы на 2 месяца вперёд

у Mario555 тоже при переводе часов не работает

а у Динамита кряк работает - он вырубил проверку на триал

у них убирается лиш наг и ставится флаг REGISTERED в самой программе

RideX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


Ага, не убирает...

XoraX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


ну вот, а он уже прогу зарелизил - kpnemo.ru ;)

-= ALEX =- :: мде.... побежал править :)

бара :: я тут пробовал искать правду, но на меня сразу стали наезжать.... А зря - я ведь хотел как раз предупредить...

-= ALEX =- :: я вроде бы не наезжал ;)

-= ALEX =- :: млин, продолжить что-ль работу над своим in-line patcher’ом...

бара :: Alex, продолжай. Лоадеры это сила... Ты туториал напиши плиз... А то интересно...

бара :: инлайн патчи тоже рулез, ты вот усовершенствуй патч Mario555 - там чуток доработать осталось. У тебя сложнее вышло чуток.

-= ALEX =- :: хех, мысля щас одна в бошку стукнула... побежал в отладчик

-= ALEX =- :: вот профиксил.... http://www.alex2kx.nm.ru/KpT-AlfaClock160fix.rar

RideX :: -= ALEX =-
Теперь всё работает :)
Действительно, может снова займёшься своим патчером? В тяжёлых случаях может быть очень и очень полезен :) Ну а в сравнении по размеру с распакованным .ехе, вообще... слов нет ;)

бара ::
mov eax, [esp]
sub eax, 560f
mov [eax] , e990

а в явном виде что за адрес и что там лежит ? туторал написал бы хоть....

напиши как в своих патчерах музыку сделал - на асме или нет проигрываешь .xm и исходник можно где скачать аль нет...

-= ALEX =- :: ну начнем по-порядку. Данный инлайн-патч (кусок кода в аспре :) ) был написан руками, никаких тулз не юзал. Насчет

mov eax, [esp]
sub eax, 560f
mov [eax] , e990

Я бы посоветывал пройтись пешком по всему аспру до самого OEP, много подчерпнуть много интересного. Это я еще делал когда делал тулзу ASProtect In-line Patcher. Дак вот, адреса «апи» вызвает сам аспр, после «апи» которую я заюзал под свою (GetTrial называеться) идем пешком по коду аспра, и находим заветное место, где стоят несколько подряд условных переходов (код приводить не буду, влом в сайс идти), этот код еще с давних времен я помню так же выглядит. правим первый переход на безусловный (90E9h) и месаги больше не будет... ну адреса аспра у нас ведь динамические, поэтому через стэк получаем адрес call’a, который вызывал нашу «апи», вычитаем 560f и получаем адрес того переходника, которого надо исправить на безусловный. Вот впринципе весь фикс...
Насчет простого патча, т.е. exe’шки моей... написал еще давно на асме, xm через minifmod. ниче сложного нет сделать... замечу это не тулза, это простой кряк.

-= ALEX =- :: RideX насчет продолжения написания того моего патчера, я пока не знаю, у меня времени нет совсем, школу заканчиваю :) экзамены и т.д. :(

бара :: понятно
ну ты и запаковал патч свой UPX-ом - все метки удалил - еле распаковался у меня
Действительно на асме. Я музыку также проигрываю - через эту либу. Думал ещё какой способ есть. А то у меня в tASM’е эта библиотека не инклюдится - написана под масм она потому что - приходится извращаться

Насчёт инлайн патчера - тулза что-ли есть у тебя ? линк дай где скачать можно.
PS
что мессаги не будет это я уже понял. Ну ты и наворотил

Интересно, как там Марио - будет исправлять свой патч или не смогёт ?

Mario555 :: бара пишет:
цитата:
Интересно, как там Марио - будет исправлять свой патч или не смогёт ?


Вопрос поставлен малость неправильно :) Смочь-то смогу, только делать не буду... смысла нет... просто в моём патче я использовал адрес из протектора, поэтому работает он только у меня ;) если вместо этого получать адрес по смешению (как сделал -= ALEX =- ) то будет работать везде.

ZX :: Mario555
Ну как, тулза пашет?

Mario555 :: ZX пишет:
цитата:
Ну как, тулза пашет?


Да!
Кста я заметил, что в 1.3 есть два способа создания импорта
1) с созданием Iat
2) без Iat (AlfaClock, GetPix)
Вот если бы научится переключать аспр, на способ1...

ZX :: Mario555 пишет:
цитата:
1) с созданием Iat


Это ты где такое углядел?
Да импорт, как ты говорил, халява и так, в 1.3 других заморочек хватает. :) А это делает его интересным объектом исследований.

Прохожий :: Mario555
Переключить не сложно, только call-ы и джампы на импорт уже похеренные пакуются, так что толку чуть.

Mario555 :: Прохожий
Ну значит таким образом не получится :) Зато есть ещё два способа (может и больше, но я знаю только два).




Guest007 Advanced CATaloguer Господа!



Guest007 Advanced CATaloguer Господа!
Есть две хорошие программы для ведения
каталогов имеющихся дисков: Advanced File Organizer и Advanced CATaloguer
Общарил весь интернет, но так к сожелению и не нашел к ним кряков.

Может быть кто-нибудь в свободное время попробует их сломать попробует их сломать?

---

Advanced CATaloguer:
Advanced CATaloguer (ACAT) - convenient and powerful tool, which is used for cataloguing drives

and files. Using ACAT you can very simply and quickly solve the following tasks:
To define on what disk there is a necessary file.
To find the duplicates of files with their subsequent removal
To find out new, changed and removed files on your disks.
To facilitate performance of the following group operations: copying, moving and removal of

files.
To exchange your collections with the friends.
Сайт: http://www.evgenysoft.com/
Advanced CATaloguer 2.3.43 - http://www.evgenysoft.com/files/acatEnglish.exe (997 kb)
Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)

---

Advanced File Organizer:
Advanced File Organizer is a cataloger for all kinds of media are recognized by your Windows

system as drives. This includes diskettes, hard disks, CDs, DVDs, Memory Stick cards and other

storage devices. Advanced File Organizer can be your DVD organizer or CD organizer, if you want.

It helps to create a catalog of your disk collection. This catalog will help you easily find all

necessary files and folders without the need to insert any disks into the drive.
http://www.softprime.com/index.htm
Advanced File Organizer 2.3 - http://www.softprime.com/download/aforg.exe (1.37 MB)

[ChG]EliTe :: А какая Лучше?
и есть ли к Advanced File Organizer руссификатор?

На обоих прогах:
ASProtect 1.23 RC4 - 1.3.08.24 Если верить PEiD’y
Делаем ставки замерзнет ли триал просле распаковки?

Madness :: Guest007
›Общарил весь интернет
LOL

Advanced File Organizer 2.0 (Cracked EXE) - KpTeaM 13-03-2003
Advanced Cataloguer v.2.3b26 (Cracked EXE) - KpTeaM 10-10-2002
Может и по-новее версии были, не помню.

[ChG]EliTe
›Делаем ставки замерзнет ли триал просле распаковки?
Замерзнет конечно, вся проблема только в ключике волшебном.




GPcH UnpackMe (C++) Кому надоели крякми - вот:



GPcH UnpackMe (C++) Кому надоели крякми - вот:

http://gpch.int3.net/other/UnpackMe.rar
KLAUS :: Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно

Bad_guy :: Да уж, C++ Builder тоже не подарок

ZX :: Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)


Mafia32 :: А в чем прикол? Запаковал аспром и все? Не понял я зачем качал...

XoraX :: Bad_guy пишет:
цитата:
Да уж, C++ Builder тоже не подарок


дык :) это ж почти дельфи :))

KLAUS :: Mafia пишет:
цитата:
Не понял я зачем качал...


Вот таже фигня....

Styx :: А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ

GPcH :: KLAUS пишет:
цитата:
Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно


Неа! Это новый аспр - 1.3.1 Вот и спрашиваю, никто не научился находить OEP в этом чуде,

GPcH :: Mafia32 пишет:
цитата:
А в чем прикол?


Я и не прикалываюсь
Mafia32 пишет:
цитата:
Запаковал аспром и все?


Да, правда распаковать вручную сколько не пытался не получилось, может кто копал новый аспр?Mafia32 пишет:
цитата:
Не понял я зачем качал...


Не знаю - я никого не заставлял, тем более сказал, что это всего лишь UnpackMe

GPcH :: Styx пишет:
цитата:
А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ


Не! Надо было GPcH Protect’ом или Alex Protect’ом

RideX :: XoraX пишет:
цитата:
Bad_guy пишет:
цитата

Да уж, C++ Builder тоже не подарок

дык :) это ж почти дельфи :))


A VC++ MFC - это почти VB :))

ViNCE [AHT] :: ZX пишет:
цитата:
Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)



Слышь, у тебя получилось его ломануть? Именно снять ограничения?

GPcH :: RideX пишет:
цитата:
A VC++ MFC - это почти VB :))


Может еще скажешь, что Asm и QBasic это одно и тоже???

RideX :: GPcH пишет:
цитата:
Может еще скажешь, что Asm и QBasic это одно и тоже???


Я имел ввиду, может быть такое, что из mfcXX.dll, msvcrt.dll, mfcXXXX.dll ты так же не будешь вылазить как это бывает с VB прогами, потому я написал ПОЧТИ :) Продукты от Borland в ЭТОМ случае отлаживать намного проше, т.к. ты находишься в одном модуле, а не скачешь по разным DLL и у тебя перед глазами не call ?AfxMessageBox@@YGHPBDII@Z (или что-нибудь похуже, или в отладчике call по ординалу), а обычный MessageBoxA. Прога MFC VC++ - это, братан, не API C++ ;) Если тебе это не встречалось - это не значит что такого не бывает, не все пишут на Win32 API :) Чем одинаковы Asm и QBasic, я не понял.

В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages, Borland не Microsoft, runtime DLL’ки с Виндой не поставляет :))

GPcH :: RideX пишет:
цитата:
Чем одинаковы Asm и QBasic, я не понял.


это прикол

RideX пишет:
цитата:
В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages


OK

ZX :: ViNCE [AHT] пишет:
цитата:
Слышь, у тебя получилось его ломануть?


Я посмотрел, что его надо вручную ковырять и отложил на суботу-воскресенье, щас времени нет. И инлайн там сложновато сделать - проверка CRC.

WELL :: GPcH пишет:
цитата:
Надо было GPcH Protect’ом


А это что за ботва ?

KLAUS :: Такое воббще существует...
WELL
Что-то не бось на подобии «Checony.........»

GPcH :: WELL пишет:
цитата:
А это что за ботва ?


Это моя первая и единственная защита на VB: http://gpch.int3.net/soft.php

PS: Это VB, так что не обсирай, и так понятно, что все проги им защищенные MSVBVM60.DLL будут требовать

KLAUS :: GPcH
Печально, а не пробывал переписать на Delphi\Cи ??

WELL :: GPcH
Да. переписать было бы неплохо.

ZX :: ViNCE [AHT] пишет:
цитата:
Именно снять ограничения?


Вроде ни на что не ругается.




sanniassin ACProtect Помогите распаковать сабж версии 1.22b



sanniassin ACProtect Помогите распаковать сабж версии 1.22b
sanniassin :: Или версии 1.3C

Perch :: sanniassin пишет:

цитата:
Помогите распаковать сабж версии 1.22b


А, туторы-то, че почитать не хочешь?

DZmey :: Perch пишет:
цитата:
А, туторы-то, че почитать не хочешь?


Те что от Mario555.... реальные туторы ...

sanniassin :: Perch пишет:
цитата:
А, туторы-то, че почитать не хочешь?


А где ж их взять?

DiveSlip :: Ну например здесь

sanniassin :: А можно поконкретнее про ACProtect?

XoraX :: DiveSlip
ну бля, до чего невнимательные пошли:
Беседа идет про ACProtect, not ASProtect!

DiveSlip :: XoraX , а что есть такой? Не знал, извеняюсь.

Mario555 :: На русском я видел только тутор HEX’а там про 1.09g или даже более младшую. Про 1.10 есть тутор Рикардо (на испанском ессно). Про последнии версии туторов не видел, что вполне логично - на то они и есть последнии версии :) Самому ломать надо... ;)
PS а что это за шаровара с последним ACPR ?

sanniassin :: Mario555 пишет:
цитата:
а что это за шаровара с последним ACPR ?


Да мне сам ACPR распаковть охота

DiveSlip :: sanniassin пишет:
цитата:
Да мне сам ACPR


А где ты его взял, если не секрет? А то я слил с китайского сайта, а там все в иероглифах, меню я восстановил, а вот надписи на чекбоксах нет.

sanniassin :: DiveSlip пишет:
цитата:
А где ты его взял, если не секрет?


www.ultraprotect.com

Mario555 :: sanniassin пишет:
цитата:
Да мне сам ACPR распаковть охота


Дык тогда и распаковывай, а не туторы ищи :) Раз уж решил сам протектор распаковать.




RideX ASProtect v1.31 build 05.18 Release Candidate Опять подарок, аспр...



RideX ASProtect v1.31 build 05.18 Release Candidate Опять подарок, аспр обновился :( Взять для опытов можно, как обычно, на инструментах наших братьев.
DZmey :: RideX пишет:
цитата:
Опять подарок, аспр обновился :( Взять для опытов можно, как обычно, на инструментах наших братьев.


Об этом Марио555, давно сказал =) даже ссылку давал

Mario555 :: Да не... это опять что-то новое наверно... Хотя что-то мне его и качать и ковырять влом... вот когда «устаканятся» эти все версии и начнут появлятся проги с какой-нить одной версией, тогда и нужно будет заняться ;)

бара :: Армадилу пока трясите - аспр вряд ли устаканется вообще. А вот Аспак похоже сдох как проект...

ZX :: Mario555
Да когда альфа-клок сломали Солод, наверно, месяц не выползал из-за компа. Теперь остановиться не может :)

бара :: да я думаю он бабки гребёт не хилые чтобы вот так просто их терять... Поэтому он будет сражаться за свой аспротект до конца....
Так как на рынке защит он популярен и приносит доход немалый ему....

Black Neuromancer :: Дамс, АсПак действительно уже устарел, щас уже почти не встречаю, чтобы им было что-то запаковано, в популярности Арма и Аспр. Хотя кроме Алекса, по-моему лучше про распаковку Аспры не писал - если ошибаюсь давайте ссылку. Арму сам еще не пытался распаковывать - вот надыбал три проги которые им или ей запакованы - так что надо посмотреть

DZmey :: Black Neuromancer пишет:
цитата:
Хотя кроме Алекса, по-моему лучше про распаковку Аспры не писал


Очень хорошая статья от того же марио555, и ещё была какае-то ... статьи как кто-то сказал «ЗА которые надо вещать медали»

DZmey :: Mario555 пишет:
цитата:
Да не... это опять что-то новое наверно


ах да сорри это был не ты :)

Rider :: ZX

А кто распаковал AlfaClock ?

DOLTON :: Rider пишет:
цитата:
А кто распаковал AlfaClock ?


Сделали инлайн...

Bad_guy :: бара пишет:
цитата:
да я думаю он бабки гребёт не хилые чтобы вот так просто их терять... Поэтому он будет сражаться за свой аспротект до конца....


Вот-вот, именно поэтому мы всегда будем оставаться на шаг позади. А вообще у солода наверное там уже целый штаб высококлассных программеров сидит над этим аспром и его бэтами и приватными версиями (во всяком случае на его месте...)

бара :: я тоже так думаю.
Если у Касперского целая фирма со спецами, то и у Солодовникова я думаю есть что-то типа этого. Хотя его проект намного слабее... Но всё равно ему помогают, я думаю, спецы... Сам то он вряд ли бы сделал такую защиту - потому что согласитесь - системные знания и знание асма явно имелись при создании защиты. А сам аспр на дельфях...

MozgC [TSRh] :: да нет... думаю и один мог

Mario555 :: DOLTON пишет:
цитата:
А кто распаковал AlfaClock ?


Мне там только Envelope check оставалось обойти... но не получилось :(

А в 1.31 - вообще не врубаюсь как и где stolen bytes заныканы...

ZX :: Mario555
Куда ты спешишь, давай подождем пока проги появятся с этим аспром, а то ты у Солода тестером работаешь, глядя на тебя он будет каждую неделю новый релиз выпускать :)
Bad_guy пишет:
цитата:
Вот-вот, именно поэтому мы всегда будем оставаться на шаг позади


Так по-моему так и должно быть.

бара :: я так думаю надо IP солода вычислить (город то известен) и дружно банить их на всех хак форумах

The DarkStranger :: не у кого часом нету этого аспра ???

Aster!x :: на васм’е последняя версия

The DarkStranger :: угу вот только смысл смотреть UNREGISTERED если там 80 % фич нету
типа ключиком поделитесь ;) ..........

dumbo :: в дельфях стартап код начали «кушать» и со своей блевотиной помешивать... =]
т.е. это теперь не stolen bytes, а скорее stolen functions...

WELL :: The DarkStranger пишет:
цитата:
типа ключиком поделитесь


Да. Ключик заиметь было бы неплохо...

Mario555 :: dumbo пишет:
цитата:
в дельфях стартап код начали «кушать»


Его и в 1.30 «кушали»... в 1.31 просто другой способ их выполнения (*банутый какой-то:)).
Ещё вроде убрали хрень с выполнением команд через SEH (жаль, прикольная штука была... я с ней долго долбался, пока понял как это эмулировать :))

-= ALEX =- :: WELL пишет:
цитата:
Да. Ключик заиметь было бы неплохо...


а кто тебе купить его мешает :) у меня есть уже давно ;) правда раздавать его не собираюсь, обещал людям...

бара :: Да вы что, опомнитесь. Никак Солода кормить собрались Совсем страх потеряли....

RideX :: The DarkStranger пишет:
цитата:
только смысл смотреть UNREGISTERED


Это special build, Registered users only, ключ не нужен. Warez одним словом :)

WELL :: -= ALEX =- пишет:
цитата:
у меня есть уже давно ;)


Ты купил что ли ?

KLAUS :: -= ALEX =- пишет:
цитата:
правда раздавать его не собираюсь, обещал людям...


Давай к тебе дружненько приконектимся и вытяним «НЕЗАМЕТНО» и нам хорошо и слово сдержишь

The DarkStranger :: не если кто то кинет мене ключик то я анпакю 1.31 и раскажу как анпакить его на самом деле у мня был ключик токо вот не задача я его потерял :(
или вот алекс например зажми какуюнить прогу аспром 1.31 и кинь мне в мыло :) токо не забуть все опции выставить а то не интересно будет :)

Killer :: The DarkStranger пишет:
цитата:
не если кто то кинет мене ключик то я анпакю 1.31 и раскажу как анпакить его на самом деле у мня был ключик токо вот не задача я его потерял :(


Авторитетно заявляю - ключик к аспру не нужен - все опции там доступны и без него! Валидный ключ дает всего лишь надпись Registered в самой проге .. накой тебе ключ ?

The DarkStranger :: хе хе вот тут ты ошибаешся опции то есть вот только понтов от них нету !!! так как в не зареганном аспре защита на 80% слабее чем в зареганной я проверял и сравнивал он по разному сжимает и мне нужен именно зареганный аспр ну или прога зажатая со всеми опциями именно за реганным аспром

WELL :: -= ALEX =- Дай ключик The DarkStranger ’y. Он потом тутор напишет про анпак аспр1.31 full.

.::D.e.M.o.N.i.X::. :: Вас почитать - зависть пятилетних пацанов его достижениям. Хочу лишь сказать, что он как работал один над этим проектом, так и работает и никой фирмы у него нет. И он никогда не боялся нас - это факт. Без нас не было бы его продукта и такой известности, что среди нас, что среди производителей софта - это тоже факт.

RideX :: The DarkStranger пишет:
цитата:
нужен именно зареганный аспр ну или прога зажатая со всеми опциями именно за реганным аспром


Попробуй AlfaClock v1.60, http://www.alfasoftweb.com/download/
Там аспр 1.30 full, но сколько с ним здесь ни долбались, так распаковать и не смогли :(

Mario555 :: The DarkStranger
Хотя бы про нахождение stolen code... он есть и в незареганой версии...
Из readme: «this version EntryPoint protection uses a Virtual Machine»... :(

-= ALEX =- :: The DarkStranger, хорошо, выложу крякми... будем ломать, ну или ты будешь :)

-= ALEX =- :: кто-нить, скажите, что такое Virtual Machine. подробненько так... :)

[ChG]EliTe :: -= ALEX =- пишет:
цитата:
кто-нить, скажите, что такое Virtual Machine. подробненько так... :)


Стуки В_асю в подробностях все расскажу... что интересует..

Killer :: [ChG]EliTe пишет:
цитата:
Стуки В_асю в подробностях все расскажу... что интересует..


Ээх вы - всем же наверно интересно, чего же в приват сразу

ps. Подскажите как зарегиться - просто запороленного ника хватит ?

[ChG]EliTe :: Killer пишет:
цитата:
Ээх вы - всем же наверно интересно, чего же в приват сразу


Всем интересно что такое Virtual Machine ???!?!?!!?!?!

Хм.. Нонсанс... НУ да лажно приведу описание виртуальной машины на примере VMWare (Virtual Machine Ware):
››Что такое VMWare? Это эмулятор РС архитектуры на ней же самой. Фактически, вы можете иметь на своем компьютере хоть 10 одновременно загруженных и одновременно работающих операционных систем, при этом практически не теряя в производительности. VMWare эмулирует практически все железо РС, проще сказать что не поддерживается в версии 3.1.1 (уже есть 4.0, в ней основной упор делается на поддержку мультимедиа, а именно просмотр фильмов, прослушивание музыки, игры...).

P.S. это не я писал! Это Цитата с http://linuxshop.ru/linuxbegin/article493.html поэтому по поводу осуждений обращяться туда, по поводу уточнений пишите здесь....

infern0 :: [ChG]EliTe пишет:
цитата:
Всем интересно что такое Virtual Machine ???!?!?!!?!?!

Хм.. Нонсанс... НУ да лажно приведу описание виртуальной машины на примере VMWare (Virtual Machine Ware):


абсолютно не в тему. никаким боком.

WELL :: Вроде писали, что старфорс использует в своей защите виртуальную машину.
Хотя я тоже не знаю что это и как.

nice :: WELL
Батенька вы, что не когда VB Pcode не ковыряли?
Самый наглядный пример ;)

Styx :: WELL
Обыкновенный интерпретотор. К примеру в какуюнить ф-цию пинают 01 а она там какой-нить mov eax, ebx делает .... ( ну эт так для примера, если чё ногами не пинать )

WELL :: nice
Ковырял. Карту города своего. Ты мне помогал её зарегить =)
Ну теперь примерно понял что это за ботва.

nice :: WELL
Хех да это Native был :)
A PCode, по хуже будет...

The DarkStranger :: -= ALEX =-
буду ждать !!!

[ChG]EliTe :: infern0 пишет:
цитата:
абсолютно не в тему. никаким боком.


Упс... Сорри... не прочитал топик Mario

WELL :: nice пишет:
цитата:
Хех да это Native был :)


Ой, ошибся =)

-= ALEX =- :: вот сделал unpackme как и просили ;) www.kpt.fatal.ru/aspr.upm.1.rar

Mario555 :: С импортом всё так же, как и в 1.31 build 04.27... смещения правда немного изменились и last exception по-другому определять надо. Вообщем я скрипт свой минут за 5~10 переделал под этот 05.18 :)

-= ALEX =- :: молодец




DrDrew Crunch/PE v3.0.0.x - 4.0.0.x -› Bit-Arts [Overlay] - чем можно снять ?...



DrDrew Crunch/PE v3.0.0.x - 4.0.0.x -› Bit-Arts [Overlay] - чем можно снять ? PeID говорит что упаковано этим. Не подскажете где взять распаковщик или в чем фишки при распаковке ручками ?
-= ALEX =- :: DrDrew мля. бери руками распаковывай... что за глупые вопросы. Фишка в том, что надо подгрузить brain.dll...

Black Neuromancer :: -= ALEX =- пишет:
цитата:
DrDrew мля. бери руками распаковывай... что за глупые вопросы. Фишка в том, что надо подгрузить brain.dll...


Не забыл? еще надо использовать некоторые функции hands.dll

DrDrew :: brain.dll , hadns.dll ... я спрашивал про особенности снятия. Фишки так сказать. Согласитесь что все таки при снятии AsProtect’а и Armaddilo фишки разные.

SLV :: hands.dll надо пропатчить до прямых

DrDrew :: Да распаковал я уже. Тема закрыта.

-= ALEX =- :: DrDrew ну и вот. следовало ли создавать темУ ???? Тему создаем когда уже ваще прям не в моготу...




fuck i



fuck it ёёё.. зацените новости на aspack.com 07.04.2004
Due to hacker attack and moving to new hosting our site was down and some e-mail were lost. If you haven’t received reply on your e-mail during last two weeks - resent it again please!

RottingCorpse :: А может еще разок устроить... :) ?

KLAUS :: Чётт всех атакуют...

Quest0 ::
цитата:
19.04.2004 New ASProtect Beta version (for registered users only) fuck it пишет:


вот это гораздо интересней - ни у кого списка чего там нового появилось нет?
или может ключика с дистрибутивом

infern0 :: вот блин - это же рекламный трюк :). Типа «какая у меня крутая прога, даже досят меня». Тьфу!




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

-----------------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret
---------------------

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




Anddrew Вопрос к -=ALEX=- Alex а где взять программу по статье «Распаковка...



Anddrew Вопрос к -=ALEX=- Alex а где взять программу по статье «Распаковка ASProtect 1.23 RC4» по ссылке «crackme - http://www.alex2kx.nm.ru/aspr123crackme.rar» не качается?
Спасибо.
-= ALEX =- :: странно, только что проверил, все качается.

Anddrew :: Алех спасибо за ответ но у меня не качается перенаправляет на http://www7.newmail.ru/me....nm.ru/aspr123crackme.rar и усё!

dMNt :: Anddrew пишет:
цитата:
перенаправляет на http://www7.newmail.ru/me....nm.ru/aspr123crackme.rar


а ты случаем не оперой качать пробуешь? там глюк у ньюмейла, только експлорером можно скачать




ZX ASProtect 1.23 Есть у кого полная версия этого чуда, буду очень благодарен...



ZX ASProtect 1.23 Есть у кого полная версия этого чуда, буду очень благодарен за ссылку.
KLAUS :: Кажись тут : http://www.aspack.com/files/asprotect12.zip

AlexZ CRaCker :: На ексетулзе лежит, вроде с кряком.
http://ftp.exetools.com/files/protectors/win/ -гдето там

ZX :: KLAUS пишет:
цитата:
Кажись тут : http://www.aspack.com/files/asprotect12.zip


Эт не полная версия, она даже и не защищена по-нормальному-ее стриппер снимает.
AlexZ CRaCker
Оттуда сам знаешь как скачивать.
Если у кого есть, мож выложит где, кряк не нужен.




varyag AsProtect 1.23 чем его сломать??? Gjvjubnt!!!Помогите!!! У меня прога...



varyag AsProtect 1.23 чем его сломать??? Gjvjubnt!!!Помогите!!! У меня прога зажата AsProtect 1.32. Casper 1.100 её не берёт. Посоветуёте чем её ещё можно распаковать.
З.Ы os windows98
Anxiety :: ???? Заголовок сообщения: AsProtect 1.23 чем его сломать???

а дальше пишешь прога зажата AsProtect 1.32

если
АСПР 1.2х то Stripper...

Download from site- http://www.is.svitonline.com/syd/stripper.html

версия 2.11 поидее скоро будет ! по обещаниям должна брать аспр 1.3х

[ChG]EliTe :: По версии 1.23 полно туторов по ручной распаковке... про 32??? не слыхал.. :(

WELL :: varyag
Может ты имелл ввиду 1.23?

XoraX :: Anxiety пишет:
цитата:
версия 2.11 поидее скоро будет


не думаю, что Syd скоро пустит ее в паблик...

MC707 :: ... по крайней мере, пока не доделает. А то она кривовата пока маленько.

DZmey :: AsProtect 1.23 чем его сломать???

Руками :)

Распоковать ручками

SeDoYHg :: DZmey пишет:
цитата:
Руками :)


А так же матом, и любыми подручными средствами =)

-= ALEX =- :: от себя добавлю: http://cracklab.narod.ru/doc/arc4.htm

DZmey :: -= ALEX =-

Классная статья :) я по ней и расспоковывал




EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал...



EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал дебажить и когда трейсишь по F8 она мне листинг через 3 строки вверх подправляет, это както можно отрубить?
RideX :: Ещё хочу добавить вопрос:
Можно ли в Olly дебажить файл, у которого есть секция отладки (.debug), если да, то как? Пример такого файла, AlfaClock 1.60, можно взять здесь: http://www.alfasoftweb.com/download/

MC707 :: EGOiST[TSRh]
Я тебя недопонял. Как это поравляет? Обычно она так делает, когда ты протектор трейсишь какой-нить. Так это и в айсе так же будет...

EGOiST[TSRh] :: ну она курсор все время поднимает на первею строку(2 прйдешь, на 3ю понимет обратно), и причем не тока в протекторе..а просто в нормальном коде..и при этом иногда ругается что типа на следующей инструкции совсем даже не код

MC707 :: RideX
И тебя я тож недопонял... Как обычно... ОЕР = 40640C

Mario555 Re: MC707 :: EGOiST[TSRh] пишет:
цитата:
строки вверх подправляет, это както можно отрубить?


А никак :( меня эта хрень тоже бесит...

MC707 пишет:
цитата:
Как обычно... ОЕР = 40640C


Не смеши... В AlfaClock 1.60 сидит аспр 1.3 «full», там как такового OEP нету, всё до главного call размазано по протектору. Это твоё 40640C всего лишь вызов апи. Если ты распаковал эту хрень, то расскажи plz, как это сделал. С импортом и таблицей «call eax» я разобрался, спёртый код тоже можно попробовать восстановить, но вот что делать с мусором который по коду инита разбросан (тот что исключения вызывает aka SEH) и с четырьмя call «protector» ?

MC707 :: EGOiST[TSRh]
Хе. Я конечно боюсь предположить, что это цикл... Хотя вряд ли от тебя такого ожидать можно :)
Лучше дай файл или линк, я посмотрю.

EGOiST[TSRh] :: не не цикл... ну смотри.. ставишь бряк гденить..начинаешь трейсить.. жмешь 2 раза F8, на 3й она какбы скролит листинг кода на 3 строки вниз т.е. какбы курсор поднимается.. и это в любой проге

MC707 :: EGOiST[TSRh]
Нда... Я больше ничего не могу предположить кроме скролла или глюка.
Ты когда бряк ставишь рвется она внизу экрана? Если да, то то она автоматом скроллит код вверх.
Иначе глюк имхо.

EGOiST[TSRh] :: нее, рвется какраз вверху..:D гмм а какая последняя версия то..может внатуре глюк

MC707 :: последняя - 1.10 step 3 (c)
хотя я работал на всех 3х a,b,c на WinXP & Win98SE. Все было ок.
Хотя step 3 на ХР еще не успел потестить

MC707 :: А вообще давай так - я те свой ollydbg.ini могу заслать - с ним проверишь. Может в настройках чего-то не то...

MC707 :: Mario555 пишет:
цитата:
А никак :( меня эта хрень тоже бесит...


Чего-то я не понимаю о чем вы... Просто видимо это от того, что айс я не запускал уже месяцев 5

Mario555
Я уж понял, что это 1.3.
Сам пока не распаковывал. Вечером попытаюсь.
А «ОЕР» я написал для того, чтоб показать что дебажится она также как и остальные.
Просто другой вопрос, как ее распаковать.

RideX :: MC707 пишет:
цитата:
чтоб показать что дебажится она также как и остальные


В SIce не даёт бряки ставить, вылетает с ошибкой, вот решил попробовать Olly, непонятно как пройти до OEP. Почитал туторы по Olly, но здесь что-то так не получается. Я подумал что это из-за секции JCLDEBUG (volodya в первой части статьи упоминал, что секция отладки может как-то мешать, но точно не знаю как).

Mario555
Значит это и есть аспр 1.3 и всё из-за него? Я первый раз такое встретил.

P.S. AsprDebugger и Stripper тоже отдыхают...

MC707 :: Надо будет его стриппером 2.11 попытать

WELL :: MC707 пишет:
цитата:
Надо будет его стриппером 2.11 попытать


А он уже есть для скачивания?

RideX :: WELL пишет:
цитата:
А он уже есть для скачивания?


Пока нет, но этот файл тоже не берёт :(

WELL :: Значит будем ждать следующую версию

EGOiST[TSRh] :: короче..поставил старую тоже самое.. НО заметил одну фичу..это проичходит только если юзать бряки... если просто трейсить с самого начала, то все ок..

Mario555 :: WELL пишет:
цитата:
Значит будем ждать следующую версию


Халявщики... :)

Mario555 :: По поводу 1.3.
Мусор разбросаный по интиту - это бывшие jmp’ы. При прохождении этого мусора срабатывает обработчик исключений, который сравнивает адрес где произошло данное исключение с адресами в таблице:
.............
00E79D98 FF 8E 01 00 2C 48 7C 73 яЋ.,H¦s
00E79DA0 52 B9 00 00 2C 48 7C 76 R№..,H¦v
.............
команда была тут - 00418EFF FFBB ??? ; Unknown command
когда адрес найден, то берут соответствующую ему циферку (2C 48 7C 73) и что-то с ней делают - а именно высчитывают определённые байты и записывают их в стек, там и будет выполнен jmp, например так:

0012FAEC -0F84 E2932E00 JE AlfaCloc. 00418ED4
0012FAF2 68 018F4100 PUSH 00418F01
0012FAF7 C3 RETN

А место где произошло исключение выглядит так:

00418ED4 MOV EDX,EBX ; сюда выполнится jmp
00418ED6 MOV EAX,DWORD PTR DS:[4EA860]
00418EDB CALL AlfaCloc.00418ADC
00418EE0 CMP EBX,DWORD PTR DS:[4170F4]
00418EE6 JE SHORT AlfaCloc.00418F01
00418EE8 MOV EAX,EBX
00418EEA CALL AlfaCloc.004033D8
00418EEF MOV EBX,EAX
00418EF1 MOV EDX,EBX
00418EF3 MOV EAX,DWORD PTR DS:[4EA860]
00418EF8 CALL AlfaCloc.00418AF4
00418EFD TEST AL,AL
00418EFF ??? ; Unknown command == тута ошибка :)
00418F01 XOR EAX,EAX ; сюда попадём, если не выполнится jmp

Вообщем надо разобраться что означают цифры типа «2C 48 7C 73», и тогда можно будет попробовать вернуть jmp’ы на место.

PS армадилу никому не поминает ?! :))))))

PPS Упс... оказывается там не только jmp’ы крадутся, но ещё и call’ы... выполняются они так
0012FAEC 68 9A8F4100 PUSH 418F9A ; адрес куда вернёмся после выполнения
0012FAF1 68 388B4100 PUSH 418B38 ; а сюда call
0012FAF6 C3 RETN

ZX :: Mario555
А на счет импорта 1.3 ничего не желаешь сказануть?

Mario555 :: ZX пишет:
цитата:
А на счет импорта 1.3 ничего не желаешь сказануть?


Дык в моём туторе по 1.3 «lite» про импорт всё расписано, а в «full» импорт устроен также, как и в «lite». Кста ссылку я уже давал... и ты вроде этот тутор читал...

Mario555 пишет:
цитата:
Вообщем надо разобраться что означают цифры типа «2C 48 7C 73»


Похоже на то, что «2C 48 7C 73» и т.п. это просто пошифрованные смещения от начала другой таблицы. А вот в этой другой таблице уже более интересные вещи:

............
00E7D31C 02 04 02 59 CA E8 00 00 YКи..
............

02 - тип эмулируемого действия (jmp/call/ещё что-то, похожее на безусловный jmp), соответственно бывает три значения.
04 - тип jmp’a, тоесть 04h+80h=84h - je и т.п. (80h - const)
02 - длина спёртой команды (исп. для расчёта адреса на который перейдёт прога при не выполнении jmp или выходе из call). Бывает ессно 02, 05, 06.
59 - фиг знает...
CA E8 00 00 - адрес (без ImageBase), куда направлен jmp/call

ZX :: Mario555
Я взял ту же прогу, что и в туторе, сейчас только и начал ковырять. Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.

Mario555 :: ZX пишет:
цитата:
Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.


Ага, щас... Ессно нужно не первое срабатывание бряка... Вначале «простым копированием из памяти» идёт запись «заготовок», тоесть так
00406710 FF 15 C1 FA 51 B1 8B C0 FF 15 F7 50 C2 BE 8B C0 яБъQ±‹АячPВѕ‹А
А потом уже туда будут писаться правильные(для аспра) адреса джампов...
00406710 FF 15 F8 03 E2 00 8B C0 FF 15 BC 05 E2 00 8B C0 яшв.‹Аяјв.‹А
Но если ты даже этого не понимаешь, то наверно тебе с 1.3 рановато связываться...

PS кста адреса мест записи всегда будут 00xx7847 00xx7943 и т.д.

ZX :: Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников. Интересный вопрос навязывается - а если ее прикрутить к проге, что получится. Таблицу я тебе по мылу скинул.
Mario555 пишет:

цитата:
Ага, щас...


Эт точно, толь меня проглючило иль я не знаю. Только что таким способом попробовал и тут же на процедуре создания переходников. Хотя я ее уже вдоль и поперек излазил :) , у меня все таки такое чувство когда я на нее смотрю, что тут можно обойтись меньшими переделками в проге, и чем дольше я ее изучаю тем больше хочется ее урезать.

Jonson :: 2RideX or 2MC707

У меня тоже есть программенция (предположительно с ASProtect 1.3) Нельзя к вам напроситься на пробование в распаковке стриппером 2.11 (или на тестирование стриппера версии 2.11 ).
Тока беда в том, что я ее тока мылом могу выслать (размер ~130 кб)...

Жду ответа




LD525 ИНЛАЙН Люди расскажите про инлайн для пакованных прог



LD525 ИНЛАЙН Люди расскажите про инлайн для пакованных прог
хотя бы в общих чертах
очень нужно

-= ALEX =- :: пишется код, который патчит то, что тебе надо, ну или выполняет опред. алгоритм. т.е. допустим у тебя прога запакована, скажем УПХ, так как она запакована, то ты не можешь менять байты в оригинале. поэтому пишешь код свой, который и будет патчить уже программно :) думаю должно быть понятно...

SLV :: Я видел прогу: ASPAck In-line Patcher.

LD525 :: ALEX
В том то и дело что непонятно например в непакованной проге
менняю ОЕР пишу что надо и прыгаю на ориг. ОЕР ,а в пакованой
менять что-либо надо после распаковки и непонятно как после распаковки
перейти на мой код...

LD525 :: SLV
ASPack и распаковать нет проблем , а там меняй что хочешь

RIDER :: LD525
Так так меня такой же вопрос интересует ,в связи с одной программкой пакованной
Aspr 1.3 full а именно Alfaclock v 1.60 ...
Распаковывать ее уже задолбался (однако все равно добью)
Вот до пропажи форума кто-то говорил, что для этой проги сделали инлайн
кажись ZX
так что вопрос в тему

TITBIT :: Ты мою статью читал : http://www.cracklab.ru/art/sapro.php
Там как раз про Aspack.

SLV :: RIDER , попробуй CreatePRocess-››WriteMemory

RIDER :: Что то не въезжаю как нынче форум работает
захожу в топик, а там половины ответов нет
что за х... ?

RIDER :: SLV

цитата:
RIDER, попробуй CreatePRocess-››WriteMemory


Если ты видел мой вопрос, то дело не в том как поменять
а как перейти к моему коду после распаковки

WELL :: LD525
Для простых пакеров на uinc.ru и на int3.net есть статьи про нилайн.

-= ALEX =- :: RIDER млин ты тормоз или нет ? стучишься мне в аську, задаешь вопрос. я тебе отвечаю. ты мне опять, дай ссылку... не задолбало ? вот тебе ссылка на инлайн патч, который сделал я. http://www.kpt.fatal.ru/KpT-AlfaClock160fix.rar

-= ALEX =- :: RIDER и еще, сделать инлайн для аспра не так уж и просто... это возможно благодаря тому, что один человек нашел в нем дыру ;)...

Mario555 :: -= ALEX =- пишет:
цитата:
что один человек нашел в нем дыру ;)...


Это не ты ? Тогда кто же ?

ZX :: RIDER пишет:
цитата:
Вот до пропажи форума кто-то говорил, что для этой проги сделали инлайн
кажись ZX


Патч делал не я, а Alex & Mario555

RIDER :: ALEX

цитата:
RIDER млин ты тормоз или нет ? стучишься мне в аську, задаешь вопрос. я тебе отвечаю. ты мне опять, дай ссылку... не задолбало ? вот тебе ссылка на инлайн патч, который сделал я. http://www.kpt.fatal.ru/KpT-AlfaClock160fix.rar



насчет тормоза не знаю, ты первый сделавший подобное заявление...
И интересует меня не готовый инструмент, а процедура его создания
за патч конечно сенкс (посмотрю что он творит)
а вообще если не желаешь делиться знанием, так скажи сразу
думаю форум все-таки не столько для рекламы собственных достижений
сколько для помощи людям интересующимся данным направлением...

LD525 :: Так и не понял может кто-нибудь ответить конкретно на вопрос или нет ???

Mario555 :: RIDER пишет:
цитата:
а вообще если не желаешь делиться знанием, так скажи сразу
думаю форум все-таки не столько для рекламы собственных достижений


Мля, топик про Alfaclock был давно, и там было сказано всё, что нужно. Специально для тебя переписывать это ещё раз врят ли кто-нить будет.

LD525 пишет:
цитата:
Так и не понял может кто-нибудь ответить конкретно на вопрос или нет ???


На вопрос «инлайн для пакованных прог хотя бы в общих чертах» конкретно ответить ? Are you crazy ???

RIDER :: ZX
Я и сказал » кажись », хотя на память не жалуюсь.
Тогда как как раз обкатывал замемчательный тутор Mario ASProtect 1_3 (lite)
на одной небезвестной проге, и увидел что люди уже сделали инлайн, а когда
забуксовал вспомнил
Кстати кто-нить распаковал эту штуку ?

RIDER :: TO ALL
NOT IS ALWAYS NOT bye.

Madness :: LD525
› может кто-нибудь ответить конкретно на вопрос или нет ???
В общем случае: при старте проги выполняется сначала код паковщика, который распаковывает прогу и передает ей управление, в простых пакерах код, отвечающий за передачу управления программе никак не изменяется во время работы распаковщика, поэтому возможно поменять этот код на переход к своему коду, который выполнится после распаковки программы, после своей отработки этот кусок должен передать управление распакованной программе.
ЗЫ. К аспру это не относится, хотя, говорят, ssg, кажется, примерно это и реализовали, извращенцы.

Alex
Кста, посмотрел, если api не юзается, то действительно проблематично оно.

-= ALEX =- :: Вот он человек, Madness , который и ридумал через API патчить... респект ему, или я ошибаюсь ;) Madness пишет:
цитата:
Кста, посмотрел, если api не юзается, то действительно проблематично оно.


Я это еще давное говорил....

Madness :: -= ALEX =-
Не, придумал не я, а автор универсального патча к astonshell, к сожалению не помню ника. Я только разобрался как оно так получается, ну и так, по мелочи еще...
Кста, по-моему, к прогам с аспром возможно написать универсальный разбаниватель, но делать это у меня никакого желания нету.

›Я это еще давное говорил....
Ты то говорил, а проверить мне не давал :P




Rastler ASProtect 1.22-1.23 в InternetAccessMonitor Hi народ. Тут вот...



Rastler ASProtect 1.22-1.23 в InternetAccessMonitor Hi народ. Тут вот понядобилась эта тулза и решил я ее крекнуть. И наткнулся на ASProtect 1.11-123 beta 21(во всяком случае так пишет PAid). Что дальше делать незнаю, поробовал AspackDie, говорит что не может. Я вообще то системный администратор, и тулза эта для работы нужна, в свое время крекал немного. Подскажите в каком направлени двигаться и есть ли вообще смысл двигаться :))
P.S. Я так понимаю там не все так просто, так как еще ниразу не встречал ломаной InternetAccessMonitor.
Ara :: 1.Попробуй Stripper 2.07 для распаковки.
2. AsPackDie не катит, только для AsPack
3. Тулзу зовут PEiD!!!
4. Не поможет stripper - выложи ссылку на прогу

ZX :: Rastler
мне это название проги ничего не говорит, и у меня нет желания лезть в гугл, чтоб найти эту прогу и мало у кого оно возникнет и ставить прогу на закачку, что б выяснить ее размер. Ты думаешь если если для тебя мир клином сошелся на этой проге то и у других обязательно она должна быть.
PS задолбали идиоты.

AlexZ CRaCker :: Rastler
Тебе сюда

Rastler :: To ZX

А я непрошу для меня ее ломать.... я хочу сам разобраться

Rastler :: To Ara
спасибо за отзыв, если неполучиься то обращусь

-= ALEX =- :: Rastler если хочешь, можешь руками попробывать распаковать. прочитай мою статью хотябы, на сайте www.cracklab.ru... но я думаю для новичка это будет трудно.

nice :: -= ALEX =-
Да её там не просто снять, там больше 20 проверок теле программы на наличие аспра

Madness :: Rastler
Если ключика ко второй версии (любого) нету, то забей. Сохранение логов и еще чего то там покриптовано, максимум ограничение по времени снять можно. Или демка на сайте, че та не помню уже.

ilya :: Rastler
для распаковки asprotect 1.11-123b21 нужен stripper2.07,если он не поможет-пробуй руками,по моей статье http://ilyacr.narod.ru/aspr122-123b21.html или на сайте http://cracklab.ru/ есть тонна статей по распаковке данного пакера

Mario555 :: А там случаем не 1.31 ?

sanniassin :: nice пишет:
цитата:
там больше 20 проверок теле программы на наличие аспра


Можно ведь пропатчить
Mario555 пишет:
цитата:
А там случаем не 1.31 ?


Походу он самый (кстати в этой проге GetRegistrationInformation не юзается?)

-= ALEX =- :: а если пропатчить сам аспр. проблем не будет ?

sanniassin :: -= ALEX =- пишет:
цитата:
а если пропатчить сам аспр. проблем не будет ?


Я это и имел ввиду

Mario555 :: Угу, сейчас посмотрел - там Aspr 1.31 RC 05.18.

ilya :: Mario555 пишет:
цитата:
Угу, сейчас посмотрел - там Aspr 1.31 RC 05.18


боролся с этим чудом при помощи Ольки???

dumbo :: Rastler
не в тему, но для страдающих от поисков кряков к iam,pi,etc полезно - www.webspy.com
и, например, для AnalyzerGiga 2.1.1.3:
00088798: 55 33
00088799: 8B C0
0008879A: EC 40
0008879B: B9 C3

ps. редко нынче в поле встретишь непакованное... =]

WELL :: ilya пишет:
цитата:
боролся с этим чудом при помощи Ольки???


А что тут такого?

MC707 :: dumbo
хм. прикольная прога, thx.
Еще бы в ней online check product update убрать и клево было б...
Ща сяду копать...

dumbo :: MC707

э-э! в настройки зайди! =]

MC707 :: dumbo
хехе. и точно =)

Rastler :: Народ спасибо за отзыв, у меня все получилось .... а версия у меня есть их, до того когда они начали продавать...
там ограничение только по времени :) а с этим я справился.

Rastler :: Да и еще, я пока ломал IAM увлекся так ... хотелось бы вспомнить assembler, мож ресурс или кгижку какую толковую посоветуете, а и еще по Win API че нить.

Роман :: Rastler
а советиком по взлому IAM не поделишся??

а то очень надо

SLV :: Rastler пишет:
цитата:
а и еще по Win API че нить


MSDN =)

Rastler :: Роман
Ну это версия для Squid, под другие кеши там по другому, кроме того у меня версия которую они раздовали, пока она не стала пдатной ... там особой защиты нет. Пиши на мыло расскажу как делал дял squid

SLV
Не ну это понятно :))))




Neo 2002 Защита от распаковки Есть одна программа, запакована ASProtect 1.23...



Neo 2002 Защита от распаковки Есть одна программа, запакована ASProtect 1.23 RC4! После ручной и автоматической распаковки программа не запускается, она вообще не выдает ни каких ошибок, просто место где она должна запускаться (call esi) пробегается и далее идет завершение процесса! Может кто подскажет как с этим бороться?

dMNt :: F7-F7-F7 :)
а если серьезно - в дизассемблер ее и смотреть почему оно определяет что пора делать goto end

Neo 2002 :: мля мля мля F7 помогло!

прикол оказался в том, что адрес процедуры по созданию окна читался из тела программы, а так как файл был распакован то call dword[xxxxxxxx] не работал!

эта фишка оказалась сложней самой зашиты, которая ломается в одну минуту!

програ эта называется HexCmp 2.3.1.27

спасибо за умный совет :)

AlexZ CRaCker :: Neo 2002
Тебе повезло. Я вот копаюсь в проге, она под Olly работает, а напрямую - молча ExitProcess. Самое странное в том, что в Olly исполняется совсем другой код, чем в ТРВ. Придётся в Айсе F8,F8,F8... Но почему всё-же такая разница - непонимаю.

[RU].Ban0K! :: AlexZ CRaCker
Разница в том что в ты походу не установил параметр секции... оля на это плевала...




newborn Advanced Instant Messengers Password Recovery 2.31 Advanced Instant...



newborn Advanced Instant Messengers Password Recovery 2.31 Advanced Instant Messengers Password Recovery 2.31

Кряков в сети нет, последняя версия сломаная была 2.20

http://www.elcomsoft.com/AIMPR/aimpr.zip
розмер : 553 Кб

В некоторых месенджерах не даёт узнать пароль больше 3 символов.

серийный номер в виде: MGPR-8HPY-WP3D-MX6F-AYZWR-YPER-QQRAT

Прога нужна для всоминания паролей к месенджерам, которые забылись :)

З.Ы. Попросили сломать и застрял, но интерсно было б узнать как ?
З.Ы.2 Запаковано Аспром (ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov) легко роспаковывается Стриппером, стриппер пишет есть спёртые байты.
З.Ы.3 Очень хотелось бы узнать как вотановить спёртые байты и дальнейший способ взлома.
MozgC [TSRh] :: В программах от ElcomSoft используется обычно криптование процедур. В этом случае полноценный взлом без хотя бы 1 ключа невозможен.

newborn :: MozgC [TSRh]
Ну дык, можна и без ключа, типа кракед ехе, только помогите мне, направте меня на путь истенный

guest007 :: newborn пишет:
цитата:
Ну дык, можна и без ключа


Как ты будешь без ключа криптованые участки расшифровывать?
MozgC правильно тебе сказал, нужен хотя бы один ключ.

DFC :: newborn .
Похоже либо ты не знаешь что такое «покриптовано AsPr’ом»...либо прикидываешься.

SGA :: DFC пишет:
цитата:
«покриптовано AsPr’ом»


ПРям так и Хочется после этих слов поставить ©
=)

DFC :: SGA .
Да перестань подкалывать :)

sanniassin :: Патчик:
lctm.narod.ru/AIMPRPatch.rar
password: crackl@b

-= ALEX =- :: sanniassin ну сказано же, нужен ключик для раскриптовки процедур... а ты тут патчи раздаешь :)

Mad :: Только он почему то пассы из МСН не даёт.

Mad :: Значит, что бы придумать лекарство для этой проги, надо вначале ключик купить?

DFC :: sanniassin .
Значить гришь 22 байта пропатчил...

CReg [TSRh] :: Mad пишет:
цитата:
Значит, что бы придумать лекарство для этой проги, надо вначале ключик купить?


да, надо

Ara :: Спертых байт примерно 40.
mov al,1
ret
на процедуру проверки и все рулит(в распакованном виде)


P.S.
Только действительно пароль не дает. Что-то значит есть такое...

Mad :: Них... себе защита. Наверно одна из самых лучших

Mad :: Дак , а почему она пасс от МСН не показывает тогда?

sanniassin :: DFC
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло

ЗЫ: а что такое MCH?

dMNt :: там что-то покриптованно
но однако если смотреть под отладчиком - он пароли восстанавливает... но не показывает :)
так что.... :)

newborn :: sanniassin
Спасибо за патч, пропатчилось, но там такая же байда как и в других краках к предыдущим версиям, вот версия 2.20 которую скачал у китайцев, там также, взломано, а пароли не показывает.

dMNt пишет:
цитата:
там что-то покриптованно
но однако если смотреть под отладчиком - он пароли восстанавливает... но не показывает :)
так что.... :)


Угу, ну и замутили они, там стопудово должна быть какаято фича...

sanniassin пишет:
цитата:
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло


Можеш мне росказать, плиз new_born собака bk.ru

DFC :: sanniassin пишет:

цитата:
DFC
Кста, если тебе ещё нужно рассказать про патчинг аспра, то давай мыло


Жду to_dfc@mail15.com

Mad :: МСН=messenger , тоесть что-то наподобие аси , только подругому :)

Ara :: sanniassin

Закинь мне тоже
mailto:ara86@inbox.ru

Ara :: Подправил прогу немного, все выдает, только потом виснет

newborn :: Ara
Можно, было б глянуть, и что ты там поправил, а то я уже запарился искать :(

Ara :: Прогу уже перекроил всю, там было что-то типа
PUSH EBP
PUSH DWORD PTR DS:[43BD20] ‹--- хэндл Edit
CALL SetWindowTextA
Вписал в ИМХО не особо нужную процедуру вывода информации о файле.
Вызывал два раза, когда пароли вычислятся. Где-то накосячил - прога висла, я это дело броcил.
Потом по другому пошел - на «незарегеной» проге, пока только 4 символа вывел.

newborn :: Ara
Если что получиться больше, оставь сообщение плиз, а то, я уже задрался, никак не могу вычислить где эти 3 символа проскакивают.

sanniassin :: Вроде пофиксил:
lctm.narod.ru/AIMPRPatchFix.rar
пароль тот-же

newborn :: sanniassin
Тоже не плохо, но как то оно через раз показывает нормальные пароли, странно, говорят что без ключа нельзя, а ты вот хоть такое и без ключа сделал, или у тя ключ есть ?

Mad :: Млин. Работает. А можешь рассказать как ты крякал? И этот кряк надо разослать по всем сайтам :) Редкая вещь

sanniassin :: newborn пишет:
цитата:
или у тя ключ есть ?


Нету ключа у меня

Mad :: Во мега крякер :)

Ara :: Во блин, а уменя только 3 циферки выдает и все.

Я засунул пароли в мессагу, что прога не зарегена и бросил ее ковырять.




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




Cracker AsProtect 1.23RC4 Э... Народ... никто не знает как ломать данный...



Cracker AsProtect 1.23RC4 Э... Народ... никто не знает как ломать данный протектор???
Я блин дофига уже мучался... но так и не сломал.... Распаковать его - ниче не стоит....
А ВОТ ДАЛЬШЕ... Хрен че зделаеш.....
Я в коде порылся и поменял пару байт и .....обнаружил какое-то странное окно..... с просьбой ввести рег ключ!!!!!
НО САМОЕ СТРАННОЕ ЧТО ЭТО ОКНО, если байты не править НИКАК не ПОЯВЛЯЕТСЯ!!!!!
НУ ХОТЬ ЧЕ ДЕЛАТЬ...... И ТОГДА НАФИГА ОНО???????
Cracker :: Да кстати....
Он еще соединение с серваком запрашивает хрен знает для чего......( ну всмысле в этом окне)....Мож оно для прикола

guest007 :: Cracker пишет:
цитата:
никто не знает как ломать данный протектор???


А что значит сломать данный протектор?

Cracker :: ЗАРЕГИТЬ......

Макс :: ну наверное зарегистрировать...А мож нет

Grim Fandango :: lol

SeDoYHg :: Cracker

А на хрен тебе зарегестророванный :), бери с ВАСМа поломаный :)

RottingCorpse :: Народ... случайно под ником Cracker никто из своих не прикалывается?

SeDoYHg :: RottingCorpse

Чернобля брат :)

RottingCorpse :: Ясненько :)

guest007 :: Какой то очень активный человек,
то он спрашивает как обоити messagebox, то уже ламает AsProtect

AlexZ CRaCker :: Гы... ещё крэкер. Печенька, наверное . Однако, упорный парень... или печенье.

ZX :: Cracker пишет:
цитата:
Распаковать его - ниче не стоит....


Стриппером... :)
guest007 пишет:
цитата:
Какой то очень активный человек,
то он спрашивает как обоити messagebox, то уже ламает AsProtect


ключевое слово - ЛАМАЕТ

Grim Fandango :: Ключевое слово - ЧЕРНОБЫЛЬ!




CReg [TSRh] :: CRACKL@B Requests :: Запросы на крэки ТОЛЬКО здесь! Как я...



CReg [TSRh] :: CRACKL@B Requests :: Запросы на крэки ТОЛЬКО здесь! Как я понял из голосования, которое проводилось в последние дни форума перед ресетом, такой топик здесь нужен :) Так что восстанавливаю его, потому что я смотрю опять стали эти реквесты появляться.

Всем надоели постоянно появляющиеся посты с просьбами сломать прогу XXX v x.xx :) особенно когда указывают только название - нет ни версии, ни прямой ссылки, вообще никакой информации.
Так что теперь, если вы хотите, чтобы вам помогли, то надо запостить сюда реквест по такому шаблону:

---
[Название программы]
Название, версия, если есть - то номер билда

[Результаты поиска лекарств с сети]
где искали, есть ли лекарства к предыдущим версиям, если есть - то какие и т.п. информацию

[Прямая ссылка на файл]
Прямая ссылка на файл, то есть прямо на .exe, .zip или что там еще

[Сайт программы]
Ссылка на сайт

[Размер]
Точный размер (в байтах). Желательно и для архива с программой, и для самого исполняемого файла, .dll или т.п.

[Ограничения]
Тип ограничения, например испытательный срок 15 дней, отсутствие некоторых функций, каких именно функций и т.д.
Чем точнее укажете - тем лучше.

[Способ регистрации]
Серийный номер, кейфайл... и т.п.
Если точно не уверены - напишите, но если ничего не написано и это демо - пост будет удален.

[Описание]
Небольшое описание, для чего программа нужна и т.п.

[ОС]
Под какой операционной системой работает.

[Комментарии]
Любые комментарии, ваши пожелания и пр.
Очень желательно оставлять координаты для связи (e-mail, ICQ) - чтобы не забивать топик, если кто-нибудь вылечит программу, пришлет вам или еще как-нибудь договорится в личном порядке.
---

При этом в случае, если человек не соблюдает форму запроса, то первые две такие попытки будут просто проигнорированы - сообщения будут удалены, на третий раз будет просто БАН

Так же очень прошу не вести здесь дискуссий о программах, типа «отстой», «кому такое надо» и пр. Если попросили - значит надо. Кто не хочет - не ломает. Не надо повторять запросы - сначала посмотрите, нет ли уже такого.
Если кто хочет чтобы ему(ей :)) что-нибудь подсказали, то есть хотят сломать сами, но не могут - как обычно создают новые топики и обсуждают :)

---
дополнение: где искать лекарства?
доктора рекомендуют:

http://astalavista.box.sk
http://www.asta-killer.com
http://anycracks.com
http://keygen.us
http://serials.ws

http://down.ttdown.com/Search_Soft.asp
http://www.0daycn.net/new/0daycn_1.htm

+dupecheck.ru
SerGik :: AVerRC v2.00 build 266
-------------
Лекарства искал на Lomalka.ru, keygen.ru, через поисковик, ничего не нашел.
-------------
Прямая ссылка: http://averrc.narod.ru/averrc.exe
Размер: 1 254 834 kb (1.20 Mb)
Ссылка на сайт: http://averrc.narod.ru/
-------------
Ограничения:
1. Функция «Hibernate Mode» доступна только в зарегистрированной версии.
2. Ограничена функция печати настроек программ для пульта - печатаются настройки только для половины кнопок.
3. При старте программы и при использовании функции Shutdown присутствует всплывающее окошко (которое нельзя закрыть в течении нескольких секунд) с напоминанием о необходимости регистрации программы.
По окончании 30 дней с момента установки программы отключаются функции - Monitor Power On/Off, Alt-Tab Emulation, Run Screen Saver.
------------
Способ регистрации:
Серийный номер,но при попытке ввести серийник прога требует online регистрацию.
------------
Описание:
Программа AVerRC предназначена для управления некоторыми системными функциями ОС Windows
и популярными Аудио-, Видео-, Теле-, Радио- и другими программами с помощью пульта
дистанционного управления от ТВ-тюнера.
------------
Извините что я неправильно к вам обратился, все-таки я в первый раз здесь

Grim Fandango :: Пацаны, спасайте!

1. Traffic Inspector (http://www.smart-soft.ru/) v.Release Candidate 1.1.0.123
http://www.smart-soft.ru/...nload.asp?pid=3&did=20117
2. Result of search: 0. На диске есть кряка к старому билду Traffic Inspector v1.0.0.98
keygen от
CRACKED BY....: Madness OS TYPE....: WinAll -
- SUPPLIED BY...: KpTeaM LANGUAGE...: English -
TESTED BY.....: Madness RLZ TYPE...: Keygen
--- PACKAGED BY...: KpTeaM RLZ DATE...: 15-03-2004 ---
3.Размер дистрибутива 11219566 байт.
4.Без активации программа будет работать как бесплатная версия Lite - для двух пользователей. Сразу
же после
установки Вы можете выписать временный ключ на 30 дней, чтобы оценить все возможности. Для этого в
консоли
программы нажмите «Активация», установите галку Trial и нажмите кнопку Запрос на сайт. На сайте
заполните
недостающие поля и получите ключ.
Если Вы решите приобрести программу, то сможете просто заменить триальный ключ на лицензионный.
Внимание! Процедура получения лицензионного ключа иная. Нужно присылать код продукта и привязку по
электронной
почте. Прочитайте раздел «Активация» в документации.
5. Proxy server.
6. WinAll предполагается под Вин2к АДВСРВ.
7. Надо замена Юзергейту :)

ё-мыл мой тут есть

Styx :: SerGik
Возьми и мой на пробу!
acad.at.tyt.by/AVerRC.rar

Гость :: 1) Easy CD-DA Extractor 7.0.6 (build1)
2) keygen.ru; yandex.ru; keygen.us; serials.ws; lomalka.ru
3)link
4)http://www.poikosoft.com/
5)setup - 4 770 910 b
exe - 2 260 992 b
6) 30days; нагскрин (5сек); ограничение скорости cd-риппинга - других не замечено
6) name & s/n
7) хорошие грабли (скорость&качество)
8) win all
9) exe’шник запакан Armadillo, все dll’ки - UPX’ом, серийные от версий v5 и v6 не подошли

ExeSh :: Может кто ломанет Fraps 2.2.1

Benchmarking Software - See how many Frames Per Second (FPS) you are getting onscreen while running your games. You can even perform custom benchmarks and measure the frame rate between any two points. Save the statistics out to disk and use them for your own applications.

Screen Capture Software - Take a screenshot with the press of a key! There’s no need to paste into a paint program every time you want to capture the screen. Your screen captures are also automatically named and timestamped.

Прога меленькая 0.6MB но очень классная.

Делает чудесные Time Video Capture

Realtime Video Capture Software - Have you ever wanted to record video while playing your favourite game? Forget about using a VCR, throw away the DV cam, game recording has never been this easy! Fraps can capture audio and video up to 1024x768 at 30 frames per second!

Регистрации в проге нет.
Она через сайт идет
_http://www.fraps.com/register220/

Упакована вроде армадило1 1.хх-2.хх версия как пишет PEiD

В незарегистрированной версии делает захват видео в половинном разрешении монитора и красуется надпись адреса сайта.

У китайцев этой версии нет пока.

ExeSh :: Пару новых плагинов для фотошопа
Image Restoration Software(автоматическая реставрация царапин и т.д на изображении.)
Image Combination Software
_http://akvis.com/en/index.php

Функциональность у них не урезана.
Только ограничение по времени 10 дней
Вроде упаковано
ASProtect 1.23 RC4 - 1.3.08.24
но все ресурсы открыты.

CReg [TSRh] :: ^up^

Отредактировано:

Вл@D
первое предупреждение - в самом верху написано, что тут только запросы и ответы, и не надо тут флейм разводить...

Grim Fandango :: Парни, поделитесь ключом к Hiew 6.86. Думаю ен нужно говорить ,что это и зачем оно нужно.=) В интеренет не нашёл выше 6.85.

Алёшка :: Oxygen Phone Manager II v2.3.1 for Nokia
--------------
Лекарства искал практически везде где хватило фантазии
И где доктора рекомендуют, и там где не рекомендуют
список ссылок огромен.
-----------------------
Прямая ссылка http://www.oxygensoftware.com/download/OPM2.zip
Сайт родной http://www.oxygensoftware.ru/ или http://www.oxygensoftware.com/
Размером архив - 8.7М (8 749 173)
На диске после установки около - 15М
---------------------------------
Ограничения Trial - Секция MMS и Галерея только для чтения
(приложения Java и остальное в программе работает нормально)
Чтото там ещё (написано по аглицки в самой проге),
но мне важны именно функции, указанные выше
-------------------------------------------
Для регистрации обращается на - http://www.opm-2.com/order/
Напрямую ввести код или серийник в программе не предусмотрено.
---
Программа для подключения мобильного телефона к компьютеру
(для заливки/скачивания мелодий, картинок, приложений, телефонной книги и др.)
----------------
Работает под All Windows
-------------------------
Хотелось бы конечно полнофункциональную версию.
Контакт diesoft@mail.ru

nice :: Grim Fandango
Тебя под win32 устроит?
под дос сломанного нет.

Grim Fandango :: да, конечно устроит. =)

Grim Fandango :: спасибо, nice, пришло.

CReg [TSRh] :: Алёшка
Это демо. Чтобы ломать - нужна полная версия.

Макс :: nice
О!!!Заделись тоже hiew’ем пжалста.

Runtime_err0r :: Hiew.v6.86-YAG h~~p://www.zone.ee/Runtime_err0r/yaghiew686.zip

TITBIT :: Runtime_err0r пишет:
цитата:
Hiew.v6.86-YAG h~~p://www.zone.ee/Runtime_err0r/yaghiew686.zip[/C ]
Не качается... Runtime_err0r , вышли мне ключ на saniok@xxx.lt

Runtime_err0r :: TITBIT
Попробуй отсюда: хттп://cafs.times.lv/yaghiew686.zip

TITBIT :: Runtime_err0r пишет:
цитата:
Попробуй отсюда:


Все путем. Скачал по первой ссылке. Инет ~ глючил....
Runtime_err0r , благодарю за ссылку, давно искал..

gas1979 :: ---
[Название программы]
Miakro 7.0

[Результаты поиска лекарств с сети]
в сети лекарств нет

[Прямая ссылка на файл]
http://www.rabbit.ru/Disk1.zip
http://www.rabbit.ru/Disk2.zip
http://www.rabbit.ru/Disk3.zip
http://www.rabbit.ru/Disk4.zip
http://www.rabbit.ru/Disk5.zip
http://www.rabbit.ru/Disk6.zip

[Сайт программы]
http://www.exponet.ru/exh...e/farmer99/miakro.ru.html

[Размер]
6,96 МБ

[Ограничения]
При сохранении проекта выдает ограничение, все остальное работает

[Способ регистрации]
Неизвестен

[Описание]
Программа МИАКРО ведёт базу данных по всем активам Ваших кроликоакселерационных ферм – постройкам, поголовью, затратам, реализации готовой продукции и т.д.

[ОС]
Win XP

[Комментарии]

---

Макс :: gas1979
да...вряд ли кто-то 10 метров качать будет,кроликов смотреть

gas1979 :: Можно и не кочать, подскажите как можно это исправить, или попытаться

Там в комплекте БД прикладывается, а сама прога в распакованном виде 1.3 Мб

Алёшка :: Если кому нужен Oxygen Phone Manager II v2.3.1 for Nokia
смотри здесь:
http://forum.gsmhosting.c...php?t=148082&page=1&pp=15

Tolik :: [Название программы]
Macromedia Dreamweaver XM 6.0 (trial)

[Результаты поиска лекарств с сети]
Искал через поисковик, нечего не нашол

[Прямая ссылка на файл]
http://download.macromedi...er/esd/dw_mx_trial_en.exe

[Сайт программы]
www.macromedia.com

[Размер]
49980KB

[Ограничения]
30 дневная версия

[Способ регистрации]
Неизвестен

[Описание]
Лутший HTML редактор

[ОС]
Windows XP

[Комментарии]
Вот моя ася: 325691735, буду очень признателен тому кто мне поможет !

MARcoDEN :: Tolik
Попробуй вот этот серийник: WPD700-58202-88194-29915

Tolik :: MARcoDEN
Так дело в том, что я не знаю как ее зарегить...

newborn :: MARcoDEN
У него наверно ещё та демо версия которая вышла первой, там регистрация вообще не доступна

MARcoDEN :: Tolik пишет:
цитата:
Так дело в том, что я не знаю как ее зарегить...


Выбери меню Help-›Activation-›Activate Product и вводи серийник

Tolik :: MARcoDEN
В меню Help у меня нет подменю Activation-›Activate Product!

Styx :: Tolik
Найди себе другой дистриб.

Tolik :: Styx
Что это значит? Дистриб?

WELL :: Tolik пишет:
цитата:
Что это значит? Дистриб?


Дистрибутив (инсталляшка)

Tolik :: Придется заново качать... Эххх, что же поделаешь..

newborn :: Tolik
Зачем качать ,в каждом городе есть магазин с комп. дисками ,пойди посмотри, там такое должно быть...

dimka Re: ExeSh :: Привет.У меня есть крякнутая версия FRAPS.Пришли мне на майл dimka18@hotbox.ru свой майл, и я тебе её отправлю.

Tolik :: newborn
Да, я знаю! Но я не хочу тратить 70-100 руб.! За эти деньги я лутше себе игру какую-нибудь куплю!

newborn :: Tolik
Ну ... это тебе решать....




Jonson Никто не встречал статей по снятию ASProtect 1.3 ??? Постоянно «роюсь»...



Jonson Никто не встречал статей по снятию ASProtect 1.3 ??? Постоянно «роюсь» по инету. Сам вроде пока не встречал, но все же - вдруг пропустил где... Просьба, если кто-то где-то видел, please, «ткните носом»...
А может кто из «гуру» распаковки возьмется описать процесс?
Noble Ghost :: и не надейся
Да и вообще. Второй же вышел.

Jonson :: Жалко конечно...

Noble Ghost :: Если с английским проблем нет, то советую прошвырнутся по популярным англоязычным форумам. Кое-что интересное по этому аспру там попадалось.

Jonson :: В том то и дело, что и на yahoo.com постоянно ищу.... Если попадается, то по предыдущим версиям....

WELL :: Марио555 писал статью по lite аспру 1.3

Jonson :: 2WELL
А где ее поскать?

Jonson :: 2WELL
А где ее поискать?

nice :: Jonson
А разве Марио555 на про 1_3 тутор делал?

-= ALEX =- :: nice делал :) по lite версию... вот выложил у себя, кому будет интересно. www.alex.webhost.ru/aspr13.rar

Mario555 :: Я и full распаковывал... только вот 1.3 «full» теперь, так сказать, раритет. Забил почему-то Солод на jmp/call через SEH...

WELL :: Mario555
А 2.0 не пробовал?

Mario555 :: Начиная с 1.31 RC 05.18 основной защитой аспра стал новый способ выполнения stolen code. И пока что я не видел ни одной распакованной проги с такой защитой...




User Чем распаковать длл(ASProtect 1.23 RC4 - 1.3.08.24) ? Стриппер не помог....



User Чем распаковать длл(ASProtect 1.23 RC4 - 1.3.08.24) ? Стриппер не помог. PDump дампить отказывается. Ручками распаковывать не умею. Подскажите чего-нибудь.
Noble Ghost :: User пишет:
цитата:
Стриппер не помог.


Попроси когонить с последним стриппером :)
User пишет:
цитата:
Ручками распаковывать не умею. Подскажите чего-нибудь.


Учиться распаковывать ручками.

Ara :: Noble Ghost


WELL :: User
Читай статью nice’a и учись распаковывать руками

sanniassin :: User пишет:
цитата:
Ручками распаковывать не умею


По-моему проще научится патчить аспр

-= ALEX =- :: sanniassin во еще один %)

-= ALEX =- :: щас пытаюсь сделать инлайн патч для самого последнего аспра, задолбался алго реверсить криптовки... ужас.

sanniassin :: -= ALEX =- пишет:
цитата:
во еще один %)


Что ты имеешь ввиду?

-= ALEX =- :: sanniassin нет ничего, молодец что разобрался с патчингом. Ты через апи патчил ?

sanniassin :: -= ALEX =- пишет:
цитата:
щас пытаюсь сделать инлайн патч для самого последнего аспра, задолбался алго реверсить криптовки... ужас.


Что не через апи?
-= ALEX =- пишет:
цитата:
Ты через апи патчил ?


Угу

-= ALEX =- :: sanniassin все уже. лафа закончилась... солод просек эту фишку... щас апи похлеще покриптованны, пока еще алго не реверснули.... я делаю чисто-инлайн. по всему коду который проходится. уже регет отломал, но там просто, байтов нет спертых, я сразу на OEP прыгал... а тут щас делаю, ужас... не могу crc сообразить восстановить %) хотя... пока я тут писал, уже идея появилась :)

sanniassin :: -= ALEX =- пишет:
цитата:
щас апи похлеще покриптованны


А можно прогу, где ето юзается?

sanniassin :: sanniassin пишет:
цитата:
уже регет отломал


А можешь рассказать как (лучше на мыло sanniassin(at)yandex(dot)ru)

-= ALEX =- :: sanniassin cловами не расскажешь, это надо большую статейку писать. в общем код получился размером 167 байт %)

-= ALEX =- :: sanniassin пишет:
цитата:
А можно прогу, где ето юзается?


да пожалуйста, РЕГЕТ %)

Mario555 :: -= ALEX =- пишет:
цитата:
в общем код получился размером 167 байт %)


У... дело плохо...
Надо бы всё-таки найти место, где можно сдампить рабочий код со stolen bytes (и соответственно с функцией интерпритатора), тогда с распаковкой проблема будет решена.

sanniassin :: -= ALEX =- пишет:
цитата:
да пожалуйста, РЕГЕТ


Но ведь там аспр 1.22-1.23 (в аспаке тоже с апи был изврат), в 1.31 (RC во всяком случае точно) всё легко патчится (пробовал на ISO Commander 1.4 (www.turtleblast.com))

sanniassin :: -= ALEX =- что скажешь?

Halt :: sanniassin

цитата:

Но ведь там аспр 1.22-1.23 (в аспаке тоже с апи был изврат), в 1.31 (RC во всяком случае точно) всё легко патчится (пробовал на ISO Commander 1.4 (www.turtleblast.com))



Там имхо от настроек много зависит, я тут поверстрип ковырял, ну помните наверное , тоже вроде 1,23 а seh’ов понапихано, вроде правильно написал, штук 6 , вроде ничего сложного но паковал до этого (другая прога протект тотже), а был всего 1, ну может 2, и с api - небольшой гемор был, такчто помоему как настроишь так и будет. может я неправ..

-= ALEX =- :: в регет под заказ аспр. так апи очень даже хорошо покриптованы, раскриптовать не пытался даже :)

Ромка :: Народ поделитесь пожалуйста взломанным екзешником на ISO Commander 1.4. Буду очень признателен.
Хоть в инете гуляет взломка на билд 1.4.80.3, то что я скачал 1.4.85.3, а более старой версии уже мне не найти.

SLV :: Ромка , cracks.am

Ромка :: ISO Commander v1.1.014
ISO Commander v1.2.010
ISO Commander v1.2.010 by DiGERATi
ISO Commander v1.2 by Coltor
ISO Commander v1.3.077
ISO Commander v1.3 build 077
Вот что там есть, у меня к сожалению нет старых версий, а есть то, что скачал с хомяка, 1.4.85.3.
Помогите пожалуйста.

SLV :: Ромка , этот форум не для того создан, что кряки раздавать...

Ромка :: Раньше можно было запрос сделать, а теперь нельзя? Если больше нет, то извиняюсь, не знал, что произошли такие изменения.

nice :: Ромка
http://astalavista.us/sea...o+commander&Submit=Search

Ромка :: Nice и где тебе там удалось найти кряк на версию 1.4.85.3?? Может я слепой?

ZX :: -= ALEX =- пишет:
цитата:
регет под заказ аспр. так апи очень даже хорошо покриптованы, раскриптовать не пытался даже :)


я в принципе обратил алгоритм шифрования апи, тока руки не доходят сделать тулзину..

ZX :: две ночи ушло на это




ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html



ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html
мож кому сгодится
SeDoYHg :: Что-то все слишком просто :))))))))))))). Даже не верится %). Не спертых байт... ничего. Может это был не аспр 2,0 ;). Или ты опции все выключил при запротекторивании (слово то какое %) ;).

ilya :: SeDoYHg пишет:
цитата:
Может это был не аспр 2,0


паковал сам ASProtect v.2.0 Build 06.23 A
SeDoYHg пишет:
цитата:
Не спертых байт.


разве пакуют проги всегда со спёртыми байтами???ясен *уй я эти опции выключил
SeDoYHg пишет:
цитата:
Что-то все слишком просто :


если не считать сколько я с этим аспром про*бался

SeDoYHg :: Какой ты злой Ж)... Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.

ilya :: SeDoYHg
а ты пробывал его распаковывать если так всё просто.Лично я с ним *бался месяц(с перерывами).
Кроме Марио555 и Биоворма здесь никто не обсуждал эту тему,все
тот топик обходили стороной,поэтому я и накотал тутор.
Спорить не хотса.
Ребят кому не нравится не надо кирпичами кидаться,комуто этот тутор пригодится

newborn :: SeDoYHg пишет:
цитата:
Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.


Действительно, после прочтения статьи сложилось такое впечатление что роспаковывали УПХ, если б кто написал бы статью про роспаковку со всеми приколами аспра, вот это действительно было бы востребовано...

SeDoYHg :: Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...
Что же, мне тоже «не хотса» спорить... Свое мнение я уже сказал!!!

ilya :: SeDoYHg пишет:
цитата:
Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...


дану хорош,у меня в мыслях нет на тебя пальцы закидывать,могу снять фотку какие там опции я выставил

-= ALEX =- :: ilya молодец, что сказать... щас почитаем...

Mario555 :: ilya
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный пиздец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.

ilya пишет:
цитата:
Лично я с ним *бался месяц


??? там минут 5~10 нужно... когда аспр лагает :)

ilya пишет:
цитата:
разве пакуют проги всегда со спёртыми байтами???


ессно... А какой смысл авторам проги не использовать все опции защиты ?

ilya :: -= ALEX =-
спасибо за тёплые слова
Mario555
щас скачаю(если не много весит),запакую,покапаюсь

Гостю здесь :: Mario555 пишет:
цитата:
со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


Не получится - там куча обращений к каким-то несуществующим адресам, видимо аспр их настраивает до запуска проги в процессе загрузки

Mario555 :: Гостю здесь пишет:
цитата:
видимо аспр их настраивает до запуска проги в процессе загрузки


Дык мне и нужно сдампить dll до запуска проги - когда ещё не сформирована функция выполнения stolen code.
А обращнение к несуществующим адресам это бывшие jmp iat и с ними проблем нет ;)

DFC :: Mario555 , а как насчет статьи, планируешь?

Mario555 :: DFC пишет:
цитата:
а как насчет статьи, планируешь?


1) не распаковал я его! пока только идеи есть и вполне возможно, что эти идеи - полный бред.
2) даже если распакую, то врят ли буду статью писать - слишком это нудное занятие...

DFC :: Mario555 , понял...печально:(
ilya , ты все правильно сделал, что написал статью, не обращай внимания на выпадки...надо же с чего то начинать...а дальше развитие может получиться.

ilya :: щас вот со stolen code хорошенько разберусь и буду ждать когда посыпятся проги с новым аспром,думаю у меня проблем не будет.Жалко только что с импортом долго ковыряться надо.

ilya :: я по поводу PEBrowse Profession:
когда включаешь опцию Protect Original Entry Point-начинается жопа(мой метод отдыхает)
если включить все опции без Protect Original Entry Point - мой метод работает
а почемуж с крякмисом всё было нормально???
щас буду ещё копаться

Mario555 :: Распаковал я этот PEBrowsePro, правда дамп получился хоть и рабочий, но жутко кривой (по кускам собранный). SizeOfImage пришлось увеличить до 00DB4000. В работоспособности этого дампа на других компах я сильно сомневаюсь.

PS таблицу инициализации (или как её там называют) взял из непакованной проги, ибо лень было... ;)

AlexZ¦OutHome :: Разрешите кое-какие факты:
Способ прохождения до ОЕР вроде предложен МС707, ввиде видеотутора.
Пиженые байты - это вроде одна из главных заподлянок нового Аспра.
Mario555
Выкладывать туторы имхо ненадо. Ато Солод борзеет по-чёрному, да новые Аспры клепает. К сожалению, в крэке останутся только спецы анпака, если считать, что дох прог под Аспром.

dMNt :: ну х.з. помоему все будут вынуждены на другой путь переходить
ну там патчить через апи, дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
ну и т.д.

Mario555 :: dMNt пишет:
цитата:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)


я так и сделал ;)

ilya :: чую через года три аспрп всех крякеров выведет(как дихлофос-мух)

WELL :: По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.

Гостю здесь Re: Mario555 ::
цитата:

dMNt пишет:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
Mario555 пишет:
я так и сделал ;)


Так получилось все-таки ?!?!?!???? сложно было ?? намекни когда дампить

SLV :: WELL пишет:
цитата:
По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.


А in-line? Ведь если найти процедуру проверки CRC, подменить там чёго-нибудь =), и сделать тот-же лоэдер, вшитый в exe.

WELL :: Инлайн тоже имеет место. Хотя на 2.0 я еще делать не пробовал... только 1.3-

Mario555 :: Гостю здесь пишет:
цитата:
намекни когда дампить


На выходе из dll защиты.
Кста этот распакованый PEBrowsePro всё-таки нормально запускается на других компах... ;)
Кто-нить проги с 2.0 знает ?

WELL пишет:
цитата:
Хотя на 2.0 я еще делать не пробовал... только 1.3-


и наверно только через апи :)

ilya :: Mario555 пишет:
цитата:
Кто-нить проги с 2.0 знает ?


недельки через две появятся(вместе с выходом Аспр v3.0)

WELL :: Mario555 пишет:
цитата:
и наверно только через апи :)


Ага =)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


это не баг! когда в проге кода почти нет, то тогда он и запакует криво. я паковал свою прогу, которая писалась на уч0бе - дык ее он как и PEBrowse зажаЛ!!!!!

Mario555 :: bi0w0rM[AHT]
Нет, это именно баг, я паковал ResHack и на него аспр пишет already packed... а вообще-то какая разница баг или не баг ;)

PS дык что прог с 2.0 никто не видел ?

Aster!x :: Mario555
Если хочешь подолбаться то можешь попробовать эту ;-)
http://www.whitetown.com/ru/download.php3
кстати народ на руборде ждет когда кто-нить ее распакует :-)

Mario555 :: Aster!x
и где там 2.0 ???

Aster!x :: Mario555
› и где там 2.0 ???

Т.е. ты уже распаковал?
Я не знаю какая там сейчас версия, но с версией проги CDBFW_1.20 я конкретно долбался..

Mario555 :: Aster!x пишет:
цитата:
Т.е. ты уже распаковал?


Нет, мне это просто не интересно, в СDBF for Windows 1.25 старый RC4. Может быть эту прогу и сложно распаковать (похоже много envelop check’ов), но никакого 2.0 там нету...

Aster!x :: Согласен, приятного в нем мало, хотя как ты говоришь старая версия ;-)
Единственный известный мне распакованный exe был от QICE для версии 1.12




VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9....



VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет).
Изучил достаточно много туториалов на Cracklab , Bioworm и WASM ,Но после BPINT3 на bpm esp-4 OEP не ловится, а превание по BPR айс не хочет ставить! F5 два раза а на третий прога запускается...
WELL :: VLOM
1) Ссылку надо давать на прогу
2) Юзай ольку

DFC :: VLOM , а ты SuperBPM то запустил?

Ara :: В ХР такое бывает

VLOM :: ссылка на сайт http://www.abroaddesign.com/search/search.zip
На bpm esp-4 бряки срабатывют , 2 раза, но в точке прыжка на OEP бряк не срабатывает.
Дайте ссылку на SuperBPM под 2000 плиззз.Пробовал ставить Superbpmfornt с DeMoNiX, но 2000 пишет что служба
неправильная ,хотя в системе сервис прописывается ,но глюкаво.

SLV :: VLOM пишет:
цитата:
Дайте ссылку на SuperBPM под 2000 плиззз


У Биоворма я брал (www.bioworm.narod.ru)...

VLOM :: На старом компе на AthlonXP2500 в принципе всё ставилось и запускалось.
А сейчас Athlon64-2800 ,может иза этого неправильно и работают службы и SoftIce?

VLOM :: SLV
Скачал.Верия SuperBMP таже самая.

SLV :: VLOM , значит винда глючная у тебя.

Runtime_err0r :: VLOM

цитата:
Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет)


У тебя PEiD старый ! На самом деле ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ...
Попробуй stripper’ом ...

DFC :: Runtime_err0r .
У него похоже просто версия проги старая...А та, что щас лежит, ты указал какой AsPr...stripper спокойно ее берет.

VLOM :: SLV

Винда у меня как раз не глюкавая , Первая копия с ОРИГИНАЛА MS, хоть support требуй.
А распаковать всётаки в ручную хочу.Stripper-ом то она распаковывается,
но в ручника желательнее.

SLV :: VLOM пишет:
цитата:
А распаковать всётаки в ручную хочу


Запусакешь прогу в олю. Жмёшь No. F9. Проходишь все исключения по Shift+F9, далее Alt+F1 -› tc eip‹400000 -› enter и ждёшь. Потом окажешься на какой-то бредятине и жми ctrl+A и сразу пробел. Затем пару раз F8 и ты на OEP

DFC :: VLOM , ну если вылетаешь по bpm esp-4, тогда попробуй поcтавить bpm esp-24, раз ...цать клацаешься по F5 и смотришь когда окажешься в протекторе, потом еще 1 раз и должен увидеть то что хочешь.




FEUERRADER ASProtect 2.0 has been released...



FEUERRADER ASProtect 2.0 has been released http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)
DFC :: FEUERRADER пишет:

цитата:
Штампует как арму уже :)


Блин, запарил AS...

newborn :: FEUERRADER пишет:
цитата:
ASProtect 2.0 has been released


А как бы это добро скачать, мож кто поможет ? и выложит где небудь

FEUERRADER :: newborn
К вечеру, думаю, будет уже на васме - жди.

ilya :: когда же эта сука солод перестанет

Mario555 :: ilya пишет:
цитата:
когда же эта сука солод перестанет


А он не перестанет, он этим деньги зарабатывает...

-= ALEX =- :: весело. надо будет занятся им....

deep lamer :: -= ALEX =- пишет:
цитата:
весело. надо будет занятся им....


Сначала бы 1.31 осилил кто .. чего ж перепрыгивать то ?

GPcH :: FEUERRADER пишет:
цитата:
http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)


Солод мастер! Крут как всегда

-= ALEX =- :: deep lamer я лично уже его осилил без распаковки... так что смело перехожу на следующий уровень :)

AlexZ CRaCker :: -= ALEX =-
Когда справишся с v2, в about, в гритсах впиши солода! (Чтоб его инфаркт миокарда скосил)
---
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.

DFC :: AlexZ CRaCker пишет:

цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


Однозначно реагирует, и не токо на этом форуме. Еще в 2002-ом на реверсинг.нет я с этим столкнулся.

WELL :: Ну на васме уже можно скачать...

-= ALEX =- :: гы. солод-то молодец. но это тока с виду. код остался прежним %) итог - снова я пропатчил... нет чтоб ему заново весь код начальный переписать, именно код протектора и код распаковки... дак нет, какие-то извращенные ключики придумывает :) ну и флаг ему в руки...

Halt ::
-= ALEX =-

цитата:

так что смело перехожу на следующий уровень


Это не следующий уровень, а следующая серия в бееееесконечном бразильском сериале.
пошел смотреть

Danger :: Офтоп: Чувствую форум затихнет на время...

-= ALEX =- :: да я уже понял, что уровень тот же.... обидно :(

FEUERRADER :: Я что-то пропустил?
Где можно почитать/обучится патчиньем аспра нового?

DFC :: FEUERRADER .
Наврядли дождешься как и я...:(

ilya :: AlexZ CRaCker пишет:
цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз

Grim Fandango :: ilya пишет:
цитата:
мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз


Если бы и другие разработчики так делали, то жизнь бы малиной не казалась.

Aster!x :: -= ALEX =-
› дак нет, какие-то извращенные ключики придумывает :)

Твой патч устраняет возможную шифрацию кода?

Не нужно считать Солодовникова дураком.
Нормально заАСПротекченая прога ломается только с валидным ключём, так что только кардить ключики ;-)

Grim Fandango :: Aster!x пишет:
цитата:
› дак нет, какие-то извращенные ключики придумывает :)


Ну для него это наверное легче.

Halt :: Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили

Grim Fandango :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили


Го на protools.cjb.net. Смотри в новостях.

Halt :: Grim Fandango
спасибо

volodya :: ›Го на protools.cjb.net. Смотри в новостях.

Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.

Runtime_err0r :: На сайте автора (h**p://stenri.pisem.net/) оно как-то надёжнее
А вообще интересно, syd сумеет победить эту бяку или проект загнулся ???

Grim Fandango :: volodya пишет:
цитата:
Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.


иии? от того, что он с тобой работает на протулз его не будет? он там есть. вот и всё. =)

DFC :: Halt .
Вообщето со Sten’ом точно надо на прямую общаться :)

Grim Fandango :: DFC, так никто и не разъяснил про патчинг?

ilya :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает


олька хорошо прячется

DFC :: Grim Fandango .

цитата:
DFC, так никто и не разъяснил про патчинг?


Grim, ты видишь ни кто, мало того удалили мой последний пост...:(

DFC :: Grim Fandango .
Ты знаешь, может не в тему...каюсь...честное слово...
Когда ты задавал вопрос по патчмейкерам...для коллекции, я не стал отвечать, негодяй я такой :)
Вобщем сходи на www.hanmen.com
Там есть такая фича - как PatchWise Free, мне этот патчмейкер нравится, я давно в нем работаю, двойной интерфейс, поддержка многих языков, ну и т.д. сам почитаешь :)
Плюс - абсолютно бесплатный :)

Grim Fandango :: Едрить тебя в перец. Чего молчал? =)))
Пасиб.

правда 2.5 метра имхо многовато.

Mario555 :: Гм... странный какой-то этот «новый» аспр.

MozgC [TSRh] :: DFC
Что у тебя удалили? Пост или тему? Какое было содержание?

DFC :: MozgC [TSRh] .
Да ладно, фиг с ним, в данном случае я не в обиде...если товарисчи зохотят ответить, то ответ дадут.

-= ALEX =- :: где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31... очень надо. да и вообще любые проги с аспром....

MC707 :: -= ALEX =-
а самому запаковать?

-= ALEX =- :: MC707 паковал, патчил... не интересно. охота дело сделать, т.е. прогу сломать :)

SIM :: -= ALEX =-
http://desofto.com/myproxy.exe 850kb

Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит

ZX :: SIM пишет:
цитата:
Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит


она уже пропатчена и поломана недели три назад :)

SIM :: ZX пишет:
цитата:
она уже пропатчена и поломана недели три назад :)


Как раз 3 недели назад ее AsLoad патчил и Striper распаковывал, а щас ни тот ни другой и размер проги изменился (версия та же осталась)

GRADY$ :: Можеть кто знает как AntiDebugger ( ASProtector ) снять,
ато IsDebuggerPresent не берют...

SLV :: GRADY$ , www.xtin.org

GRADY$ :: SLV
Там только для старого ASProtector - а.

Ну всё же спасибо!

Halt :: Народ уменя IceExt 0.64 - непомогает от aspra последней версии, че делать-то
Debugger detected

sanniassin :: -= ALEX =- пишет:
цитата:
где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31


ISO Commander 1.4 смотрел (ASPR 1.31)?

-= ALEX =- :: нет. не смотрел. гляну.

CReg [TSRh] :: Halt
цитата из version history:

цитата:
- I decided to turn off most of the antidebugging protection by default.
Use !PROTECT ON command to turn it on when you need it.


Halt :: CReg [TSRh]
Санкс конечно, но I speek deutch
немецкий тоесть.
где бы перевод взять?

-= ALEX =- :: перевод «Я решил вырубить нах все антидебагерские фичи по дефолту. Юзай !PROTECT ON , чтобы включить эту фичу, когда тебе это понадобиться...»

Halt :: Санкс учу англицкий язык

bi0w0rM[AHT] :: Распаковать аспр 2.0 вполне реально, распаковка ничем не отличается от других версий. OEP найти точно так же. Правда при юзании опции Emulate standart functions возникнут проблемы. дофига же функций аспр поспирал себе! Просто весь код из kernel32.dll выудил :) так что надо как-то новый плугин делать! в конце концов там все шаблонно! :)) // все делал в Olly
2-=ALEX=-: а ты опять через API запатчил или как в патчере - с добавлением новой секции и другими извращениями? :)

ilya :: а я вот с олькой запарился уже!аспр там где должен быть переход на оепв сегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
OEP найти точно так же


Там OEP то в принципе нет, оно по аспру размазано...

bi0w0rM[AHT] пишет:
цитата:
так что надо как-то новый плугин делать!


Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?


стоп, не шуми! :) лучше вышли мне свою пакованную прогу.

ilya :: Mario555 пишет:
цитата:
Там OEP то в принципе нет, оно по аспру размазано


так и я про тоже.
ilya пишет:
цитата:
а я вот с олькой запарился уже!аспр там где должен быть переход на оеп всегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.


я с этим аспром *аебался уже!

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
лучше вышли мне свою пакованную прогу.


А зачем ?
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...
Потом уже запаковал другую прогу (PEBrowsePro), так вот её аспр уже по полной программе поимел :)
Этот PEBrowsePro на wasm’е есть, так что можешь оттуда скачать и сам запаковать. И наверно уж PEBrowsePro не единственная такая прога, которую аспр паковать умеет ;)

bi0w0rM[AHT] :: ааа!! я то паковал кракми, а ты сам аспр копал. Там-то мало че поделаешь, раз все обфускано. ты это имел ввиду?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...


вот!! и че ты делал с импортом?

ilya :: извеняюсь что не удержался
вот как я распаковывал crackme

Загружаем программу в OLLYDBG,
Нажимаем Shift+F9 29 раз и оказываемся здесь:

00926807 C700 7F0677B9 MOV DWORD PTR DS:[EAX],B977067F ‹--здесь стоим мы
0092680D FB STI
0092680E 2D F8868BEF SUB EAX,EF8B86F8

Снимаемся с Access violation.Ставим брейкпоинт(F2) на адрес 00926815
и нажимаем Shift+F9.Теперь идём по коду программы по F8

00926878 2945 F8 SUB DWORD PTR SS:[EBP-8],EAX
0092687B E8 18CFFFFF CALL 00923798

.
Нажимаем F7 несколько раз и оказываемся здесь

00B50000 BB 9A35A007 MOV EBX,7A0359A ‹--здесь стоим мы
00B50005 E8 10000000 CALL 00B5001A

Если сейчас нажать F8 то программа запустится а нам это
не надо.Поэтому нажимаем F7 на адресе 00B50005.И долго
идём по F7 пока не окажемся здесь

00B501A1 83E8 60 SUB EAX,60 ‹--здесь стоим мы
00B501A4 F2: PREFIX REPNE:
00B501A5 EB 01 JMP SHORT 00B501A8
00B501A7 F2: PREFIX REPNE:
00B501A8 2BC3 SUB EAX,EBX
00B501AA 5C POP ESP
00B501AB FFE0 JMP EAX ‹--переход на ОЕП
00B501AD 72 23 JB SHORT 00B501D2
00B501AF 37 AAA
00B501B0 0000 ADD BYTE PTR DS:[EAX],AL
00B501B2 0000 ADD BYTE PTR DS:[EAX],AL
00B501B4 0000 ADD BYTE PTR DS:[EAX],AL
00B501B6 0000 ADD BYTE PTR DS:[EAX],AL

по адресу 00B501AB переход на бешенный оеп и он всегда РАЗНЫЙ!!!

bi0w0rM[AHT] :: кстати, в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata... тоже самое было в альфаклок и в нем тоже все обфускано было.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata


В самом аспре ASPack ;)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
В самом аспре ASPack ;)


да что ты говоришь! :))

deep lamer :: Насколько я понял, aspr защищает импорт .exe по разному, в зависимости от какого-то условия (не опции). И если условие не выполнилось, то в aspr’е можно указать кажись «force adv. import protection».
Так вот если кому-то удалось распаковать его за 5 минут, то это от того, что юзался старый импорт (не advanced) + OEP
не был защищен. Есть догадка, что OEP при старом импорте вообще не защищается

bi0w0rM[AHT] :: deep lamer
старо защищенный импорт, говоришь? то есть импорт, который можно восстановить плугином и трейсером? неее. в моем кракмисе OEP тоже не защитился, мне это подозрительно было - вроде врубал опцию спертых байтов! так импорт там не старый. там почти все функции kernel32 сперты из него самого, полная эмуляция их короче! и тут плагин конечно же не помог, ну и трейсер соответственно. а в случае с полным obfuscation’ом(как в PEBrowse) лучше как -=алекс=- найти способ запатчить.

я такой obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны. Но адреса первых процедур(как там в делфе - Application.Initialize, Run и пр.) там были такие же, а в аспре вроде нет! надо бы еще смотреть.

Mario555 :: deep lamer пишет:
цитата:
юзался старый импорт (не advanced) + OEP не был защищен


Дык я об этом и говорю, только вот почему аспр так странно пакует - это не понятно...
Прога, которую аспр хреново защитил была обычная дельфи, а аспр выдал «File is probably already packed/protected!», и при этом запаковал со старым импортом (ну там конечно были переходники, но это правилось парой nop в цикле формирования iat), OEP было незащищено и даже размер файла неизменился.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
я такой obfuscation видел в ACProtect


Ну в ACProtect краденые байты выполняются в секции протектора, так что там это не проблема.
В аспре 1.30 тоже была obfuscation, но там краденые байты выполнялись хоть и вне exe, но обычным образом, а с версии 1.31 RC 05.18 они стали выполнятся через функцию интерпритатора - тоесть псевдокод :(

deep lamer :: Mario555 пишет:
цитата:
аспр выдал «File is probably already packed/protected!


Аа.. ну это то логично - уже запакован, значит импорт и OEP не пакуется и не защищается. Наверно aspr неправильно определил

цитата:
obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны


Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет

цитата:
через функцию интерпритатора - тоесть псевдокод :(


Да, какая-то мутная функция :( Хотя, в принципе, должно быть возможно ее всю (вместе с dll аспра) вырезать и вставить в последнюю/нокую секцию, поменяв у dll адрес загрузки на правильное значение

-= ALEX =- :: bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.

Mario555 :: deep lamer пишет:
цитата:
Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет


В аспре тоже можно... там в папке Examples лежит много всяких гадостей включая callmark UserBuffer, а про него в readme:

цитата:
The code fragment from this mark to the end of this function will be erased and replaced on the polymorphic analogue. ASProtect will change its content throw emulation (like for the EntryPoint Protection), so it will be impossible to restore or even to understand the work principles of the original code.


ну и про саму EntryPoint protection:

цитата:
this version EntryPoint protection uses a Virtual Machine, which makes the removal or recovering of original code practically impossible


bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.


извращения там по-любому есть. :)

bi0w0rM[AHT] :: 2-=ALEX=-: к примеру об извращениях - скажи, сколько раз твой патч перенаправлялся из аспра в твой код? :))

-= ALEX =- :: bi0w0rM[AHT] пожалуйста 4 раза.

bi0w0rM[AHT] :: охх :) 4 раза еще нормально. а ты там что ли checksum подтасовал или что? уж немного то поделись плззз!

-= ALEX =- :: bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...

-= ALEX =- :: :) мне кстати идейка восстановления CRC пришла чуть ли не во сне, прям как менделееву :)

Mario555 :: Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.
А вот с долбаным интерпритатором все гораздо сложнее... основа его функции находится в dll аспра, но оттуда идут обращения ещё к одной странице памяти...

bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...


и ваще, куда ты вогнал 233 байта? Везде, где много нулей, аспр проверяет, причем он шарит не по памяти процесса, а по самому файлу.

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.


это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?


Нет, это в случае где изначально нет iat, тоесть с максимальной защитой импорта.

-= ALEX =- :: bi0w0rM[AHT] вообще-то не все проверяет аспр... границы секций не проверяет, бери туда и пиши... а вообще пиши хоть куда, CRC ж потом восстановишь :)

rok :: Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.

bi0w0rM[AHT] :: rok пишет:
цитата:
Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.


wasm.ru.....

bi0w0rM[AHT] :: var nick=new Array(’DarKSiDE’,’Danger’,’бара’,’EGOiST[TSRh]’,’M ozgC [TSRh]’,’SerGik’,’Ри’,’Mafia32’,’Styx’,’specz’,’[C hG]EliTe’,’bUg.’,’Grim Fandango’,’MC707’,’odIsZaPc’,’Kerghan’,’-= ALEX =-’,’Mario555’,’dMNt’,’KLAUS’,’Runtime_err0r’,’ily a’,’GL#0M’,’[RU].Ban0K!’,’ViViseKtor’,’AlexZ CRaCker’,’DillerXX’,’XoraX’,’WELL’,’CReg [TSRh]’,’FEUERRADER’,’RottingCorpse’,’SLV’,’CHEST’ ,’Halt’,’GPcH’,’TITBIT’,’sanek’,’Bad_guy’);

AlexZ CRaCker :: Прикольно

Grim Fandango :: ээээ, это что такое?

SGA :: люди на форуме, у которых есть аватары.

bi0w0rM[AHT] :: дада :))) пароль я знаю.

The DarkStranger :: мдя темку то закрыли похоже ы мдя так и не разобравшись с protect oep алЯ вирт машина
в опревых oep не размазанно и вся главная ветка легко востанавливается во вторых а че сехи отубили в этом аспре ??? ну нету чтоли seh хиадер или чето там ???
странно я с этим больше всего в 1.3 долбался даже прогу писал ....

Mario555 :: The DarkStranger пишет:
цитата:
вся главная ветка легко востанавливается


Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ? :)) Хотя вот написать аналог этой функции и подсовывать ей только специфичные для каждой проги данные было бы наилучшим вариантом...

The DarkStranger пишет:
цитата:
а че сехи отубили


Угу, они видать работу проги сильно тормозили.

The DarkStranger пишет:
цитата:
долбался даже прогу писал ....


Гм... я функцию обработки и таблицы из аспра рипнул и обработчики на них перенаправил.
А как там вообще можно прогу написать ? ведь в таблицах есть «левые» адреса... или ты анализатор кода написал ?

The DarkStranger :: Mario555 пишет:
цитата:
или ты анализатор кода написал ?


угу
Mario555 пишет:
цитата:
Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ?


востановить все байты
Mario555 пишет:
цитата:
Угу, они видать работу проги сильно тормозили


хз хз .....
в общем мое имхо надо делать так чтобы после распаковки файл стал как до упаковки !!!

Mario555 :: The DarkStranger пишет:
цитата:
востановить все байты


Ну не знаю, у меня на прикрепление секций уйдёт 10~20 минут, а байты восстанавливать явно дольше, хотя конечно это красивее и правильнее.
Функция вообще мутная какая-то... вот например за что в ней цикл отвечает ?






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS