Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о...



gRad2003 "изменить Entry Point" - ??? Я по поводу статьи о распаковке Flash Mailer v1.2 (в какой то теме ссылка на неё была)

В конце первото шага есть такая строчка:

Осталось за малым, теперь только надо в нашем распакованом файле изменить Entry Point на тот что мы обнаружили, только из полученного нами OEP для начала отнимем Image Base, то есть Entry Point=OEP - Image Base, у меня получилось BE878.

Как именно "изменить Entry Point".

Bad_guy :: Взять PE редактор [LordPE, ProcDump,...] и изменить. Или вручную с помощью HEX редактора по смещению 128h.

Kerghan :: В LordPE открой PEeditor и в поле Entry Point напиши OEP минус 00400000.
Типа всё.

DiveSlip :: Вижу хоть кто-то удосужился прочесть мою статью (за что искреннее спасибо). Насчет этого вопроса, вижу уже и без меня ответили (не успел).

gRad2003 :: DiveSlip
Классная статья кстати. Мне понравилась. Ещё бы чего-нибудь такого, с распаковкой ASProtect 1.23

DiveSlip :: Вот когда научуся, тогда и напишу. А статья не классная (если бы она была таковой, то у тебя не возникло бы вопроса), но спасибо за добрые слова (люблю когда меня хвалят).

Shaitan :: Помогите бедному автору вернуть законное имя (DiveSlip)!




Гость-9907 НЕ МОГУ ЗАПУСТИТЬ ДАМП!!!! Распаковал я прогу Zoom Player Pro 3.20



Гость-9907 НЕ МОГУ ЗАПУСТИТЬ ДАМП!!!! Распаковал я прогу Zoom Player Pro 3.20 beta 1(взять можно сдесь http://www.inmatrix.com - 950 kb). Нашел OEP=005993C0. Восстановил импорт через Import REConstructor 1.6. Но почемута когда я вписал правильный OEP, он уменя не определил. Тогда я оставил старый OEP и импорт у меня полностью определился. Сделал FixDump, запускаю программу - ОБЛОМ!!!
И такие же проблемы у меня с прогой System Cleaner 4.9.1.143.
Может кто знает в чем тут ДЕЛО!!!

Shaitan :: А ты поменял старый EP (Entry Point) на найденный тобой?

MoonShiner :: А ImageBase в проге учел? Он же не обязательно 00400000. И чем запакована то была шняжка? И чем дампил?

dragon :: На System Cleaner точно аспр стоит, причём ещё и New Strain. Там краденые байты на место ставить надо.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




Inferno[mteam] SI loader Небольшая проблема с SI 4.05. Бряки работают, все



Inferno[mteam] SI loader Небольшая проблема с SI 4.05. Бряки работают, все замечательно, но лоадер не срабатывает на
Entry Point. А в 98 винде эту же программу (IrfanView) я распаковывал с помощью лоадера без
проблем. Софтайс вываливался ровно на EP. Что делать? Может в XP есть какие-либо тонкости?
Только не советуйте ставить другой SI. Ставил, патчил, работает, но глючно.
Остановился на SI 4.05.

.::D.e.M.o.N.i.X::. :: Inferno[mteam] пишет:
цитата:
Небольшая проблема с SI 4.05. Бряки работают, все замечательно, но лоадер не срабатывает на
Entry Point. А в 98 винде эту же программу (IrfanView) я распаковывал с помощью лоадера без
проблем. Софтайс вываливался ровно на EP. Что делать? Может в XP есть какие-либо тонкости?
Только не советуйте ставить другой SI. Ставил, патчил, работает, но глючно.
Остановился на SI 4.05.


Характеристику первой секции выстави на E0000020. Либо используй прогу для загрузки пакованных прог.

freeExec :: .::D.e.M.o.N.i.X::.
Будешь таким типом, бойдешь на все 4 стороны.

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
Будешь таким типом, бойдешь на все 4 стороны.


Это так, прибило меня по пьяне. На самом деле я ласковый и пушистый

MozgC :: Inferno[mteam] есть еще 158 способов остановиться на EP...

freeExec :: .::D.e.M.o.N.i.X::.
Смени надпись или будешь забанин, последннее китайско епредупреждение

.::D.e.M.o.N.i.X::. :: O’key.

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
китайско епредупреждение


Это мне напоминает надпись на одном полотенце:
Полотенце полотняноебанное.
Производитель забыл поставить пробел и вот что получилось

Inferno[mteam] :: To .::D.e.M.o.N.i.X::.
>хактеристику первой секции выстави на E0000020.
делал, не помогает...
To mozgc: давай все 158

.::D.e.M.o.N.i.X::. :: Inferno[mteam] пишет:
цитата:
To .::D.e.M.o.N.i.X::.
>хактеристику первой секции выстави на E0000020.
делал, не помогает...
To mozgc: давай все 158


Используй тогда IceLoad

MozgC :: 158 писать не буду, вот тебе вопрос из FAQ’a:

Q: А как прерваться на EP (что такое EP можно прочитать тут)?
A: Я обычно это делаю одним из двух способов:
1) Запускаю программу. В отладчике пишу "addr NAME", где name - имя исследуемой программы (процесса), после этого пишу "bpm 12345678 x", где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.
2) Запускаю PE Tools. В меню Tools выбираю Break & Enter и выбираю нужную программу. После этого появится сообщение о том, что необходимо поставить брейкпоинт "bpint 3" и после его срабатывания написать "eb 0xYY". Вот тут у PE Tools ошибка =) После срабатывания брейкпоинта в СофтАйсе надо будет написать не "eb 0xYY" а "eb eip YY" (YY - это какой-то байт, который был заменен на вызов третьего прерывания). После этого флаг вам руки, делайте дальше что нужно.




defender Люди помогите новичку с софтайс У меня не получается открыть файл,



defender Люди помогите новичку с софтайс У меня не получается открыть файл, пишет но симболс. Все патчи уже пробовал. 2000+сп3. Может я чего то не догоняю. Пишет именно сама софтайс.
MozgC :: Какой файл у тебя не получается открыть? Чем открыть? Где?

defender :: Ну я не знаю как из софтайс открывать я открываю loader32.exe . Любой ехе файл, пишет но симболс.

MozgC :: Да не надо через лоадер. Ты почитай статьи для новичков как вообще это все делается. Лоадер не нужен.

Если есть вопросы - задавай.

MoonShiner :: Ты не load exports выбирай, а Open Module

defender :: MoonShiner, я выбираю .. MozgC
, как раз в статье написанно через лоадер. Не мог бы ты написать как? Я пробовал писать file и название в софтайс но тоже но симболс пишет.

bi0w0rM :: Мля, а может просто айс не загружен.

Какая ОС?

bi0w0rM :: Ах да, напиши по-англицки название ошибки

bi0w0rM :: А Ctrl-D нажимается??

defender :: Нажимается. An error occupied during symbol translation/load. Execute anyway?

MozgC :: Че за статья то?
Зачем там вообще нужен Loader ?

defender :: Ну так в статье softice - первые шаги написанно что так открыть надо файл. Буду благодарен если кто скажет как без него.

dj :: Для MozgC:
Я кажется нашёл эту статью :http://cracklab.narod.ru/doc/sish.htm

Цитата из статьи:
1. Загрузка отлаживаемой программы.

Запускаем Symbol Loader, выбираем опцию Open module в меню File, идем туда, где у вас лежит Gdidemo.exe, и открываем его, далее в меню Module нажимаем на опцию Load. SL оттранслирует отладочную информацию в .NMS файл, загрузит исходные файлы, запустит отлаживаемую программу (в данном случае Gdidemo) и всплывет в SoftIce, где вы увидите исходный текст программы.

Подсвеченная строка с номером 35 – это точка входа (entry point) в вашу программу. Если SL вывел сообщение типа "An error occured during symbol translation/load", значит в отлаживаемом файле отсутствует отладочная информация, жмите OK и наслаждайтесь [диз]ассемблером

dj :: Для defender:
почитай-ка лучше эту статью: http://mozgc.narod.ru/version097.htm

MozgC :: defender
Не нужно запускать исследуемые программы через loader.

Вообще я статью прочитал и она мне не понравилась. Много лишнего и т.д. Советую начать обучение с другой статьи. Можешь например мои 2 статьи прочитать.

freeExec :: Gdidemo.exe вы поставке с Айсом нет, значит ты ее компилировал, и забыл поставить ключи для отладочной версии, как в таттье и было написано.

defender :: =)) Спасибо за статьи щас прочту.

defender :: Почитал, просто супер статьи нашёл. Только теперь вопрос ещё один. Я ставлю брейк поинт а софт айс на нём не вылетает. писал addr prog_name . Почему ещё может быть такое?

defender :: Статьи прочёл очень хорошие спасибо тем кто их написал. У меня теперь новый вопрос =) Знаю адресс где надо остановится. Пишу addr prog1 затем bpx xxxxxxxx потом врубаю прогу а sotice на том месте хрен вылетает.. =(

z :: народ подскажите с чего начать полному чайнику!!!!!!!!!!
и побольше и если можно какую нибудь рабочую ссылочку про Soft ice
и есть ли он на русском?

dj :: Для z:
Здесь всё написанно : http://mozgc.narod.ru/version097.htm




Maestro Вопрос крякерам Господа, помогите взломать вот эту



Maestro Вопрос крякерам Господа, помогите взломать вот эту http://download.1stbeniso....net/download/arsetup.exe прогу и напишите, плиз, как вы это сделали. Третий месяц бьюсь, ничего не получается. Заранее благодарен.
MC707 :: А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...

MC707 :: А-а, вот. У нее проверка на срсшность...

Maestro :: MC707 пишет:
цитата:
А-а, вот. У нее проверка на срсшность...


И что это такое? И как с этим бороться. Поясните, пожалуйста. Хотелось бы это по-лучше знать. Буду премного благодарен.

Maestro :: MC707 пишет:
цитата:
А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...


И что такое дизмю? Тоже хотелось бы объяснений.
Я не волшебник, я только учусь (С)

XoraX :: Maestro пишет:
цитата:
Третий месяц бьюсь, ничего не получается.


Как же ты бьешься?

XoraX :: Maestro пишет:
цитата:
Поясните, пожалуйста. Хотелось бы это по-лучше знать.


Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.

MC707 :: Для Maestro: Дизмю значит дизассемблирую (есть такая прога. ИДА называется . Можно и Win32dasm).
А проверка на срсшность это значит что прога проверят в себе (в ar.exe) СRС32 (а может и просто CRC, неважно)
и если она не совпадает выдает Что-то типа МессаджБокс, но это не он, иначе SoftIce его поймал бы, я пробовал.

Maestro :: XoraX пишет:
цитата:
Как же ты бьешься?


Обчитался всяких статеек, некоторые с примерами. Накачал полезного софта, такого, как: w32dasm, Soft-ICE, Hiew. И начал по-тихоньку пробовать разные маленькие программульки ломать. Парочку сломать удалось, а вот на этой (см. выше) споткнулся. Ну MC707 сказал что-то там про CRC. Я пока еще с этим не знаком.

И как я писал уже выше - я не волшебник...

Maestro :: XoraX пишет:
цитата:
Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.


Во-первых, «дизмю», как я уже выяснил - слово жаргонное. Т.е., поскольку я новичок, я не мог его слышать раньше. Обычно все, с кем я общался на тему дисассемблирования, так и говорят: «дисассемблирую». Во-вторых, не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками?

MozgC [TSRh] :: http://www.xtin.km.ru/files/faq.html

MC707 :: Maestro пишет:
цитата:
не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками


http://cracklab.narod.ru/

XoraX :: наверное я отстающий, тоже первый раз слово дизмю слышу... только по звучанию догадался....

MC707 :: Ну вы блинваще даете. Это ж так просто : диз(ассе)м(блиру)ю

MozgC [TSRh] :: надо тогда говорить «д» или «дю» так короче, удобнее произносить.
Например: я сейчас дю прогу.

MozgC [TSRh] :: Или «ди», беря пример с DeDe, там же Decompiler = De, а у нас дизассемблер будет «ди».

MC707 :: я п д п. отв з-ра

Diezel :: Эй крякеры да вы вообще от вопроса отошли, тут вас просят помочь взломать прогу, а вы тут такое ему колбасите, а еще крякерами называетесь, даже Мозгс .

Maestro :: Diezel пишет:
цитата:
а еще крякерами называетесь,


Вот такой у нас неотзывчивый народ пошел. Лишь поглумиться и выставить себя крутыми в той или иной области знаний. Ох-хо-хо... Ну хоть спасибо, что без внимания не оставили, как на другом форуме.

-= ALEX =- :: Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»

-= ALEX =- :: Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....

Maestro :: -= ALEX =- пишет:
цитата:
Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»


Если ты внимательно читал мое первое сообщение, то наверное, ты должен был понять, что я прошу помочь сломать эту прогу, и прошу помочь разобраться, как это делается. Т.е., мне нужно, чтоб меня научили ломать такую защиту, которая реализована в этой проге.

Maestro :: -= ALEX =- пишет:
цитата:
Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....


Статей я прочитал довольно много, и уже протые защиты ломать умею. А по поводу дурацких вопросов, мне в частности не было понятно ЖАРГОННОЕ слово «дизмю». А ты вот знаешь, что называют у мотоцикла «Урал» «горшком»? Наверняка не знаешь. Потому что это тоже жаргонное слово, которое употребляют в разговоре рокеры, и не многие простые граждане знают, что оно означает. То же самое и тут... А по поводу статеек, ну если ты такой продвинутый, делись ссылочками, а я посмотрю, что за ссылочки. Можть я их уже читал.

UnKnOwN :: Для Maestro: Та на крак лабе все прочитал, что то не верится...

XoraX :: Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается. Ты сам то посмотри на нее, оцени ситуацию сюда пиши уже конкретный вопрос, если что-то не понятно.

Гость :: Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.

Maestro :: Гость пишет:
цитата:
Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.


Единственный более-менее рациональный ответ. Остальное - такая лажа. Ну народ пошел, никак не хотят помочь ближнему своему. БУРЖУИ, блин!!!

Maestro :: XoraX пишет:
цитата:
Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается.


Так бы и сказал, что лень. Кстати, фраза типа «никому не охота» - это говорит о том, что здесь либо все такие же чайники, как и я (а я не отрицаю, что я чайник, всему приходится учиться, и даже прибегая к помощи других), либо все настолько крутые (шоб они все отсырели ), что прям куда деваться. Короче, хрен с ней с программой, мне уже и так кряк на нее прислали, хоть и галимый, но все же лучше, чем ничего. Просто для общего развития хотелось узнать, принципы построения защиты, которая применена в этой проге, и методы взлома такого рода защиты. Увы, не получилось...

Maestro :: UnKnOwN пишет:
цитата:
Для Maestro: Та на крак лабе все прочитал, что то не верится...


Спасибо, почитаю посиду на досуге.

-= ALEX =- :: Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми

Maestro :: -= ALEX =- пишет:
цитата:
Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми


Слушай, если ты такой умный, можть ты скажешь, на какой форум обраттиться? Я задал вполне нормальный вопрос. Что бестолкового в том, чтоб мне помогли разобраться в принципах защиты, примененной в данной программе? Ну я так понял здесь сидят типа крутые крякеры, можно сказать, старожилы всего крякерского люда. Ну что ж, извиняюсь за беспокойство, господа уважаемые старикашки. Сливки общества крякеров, хакеров и прочих умов. Простите, блин, что потревожил ваше стариковское общество инвалидов крякерства, намозоливших себе пальцы и задницы на этом деле. Больше я вас не потревожу.

ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.

-= ALEX =- :: Ниче парень раскипятился

Maestro :: -= ALEX =- пишет:
цитата:
Ниче парень раскипятился


Раскипятишься тут, когда хочешь по-нормальному, по-людски, а получается как всегда...

freeExec :: Maestro пишет:
цитата:
ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.


Я слишком ленив, ты уж как нибудь сам выкенся

Maestro :: freeExec пишет:
цитата:
Я слишком ленив, ты уж как нибудь сам выкенся


Да ПУУУУУУУУУУУУУК!!! Вам всем в ухо!!!

MC707 :: Не ну че правда на чувака набросились?

MC707 :: Я - то хоть посмотрел че за прога (начал копать, потом описал че нашел и плюнул. Влом копаться)

freeExec :: А мы обычно пропускаем первый пункт

MozgC [TSRh] :: Diezel пишет:
цитата:
а еще крякерами называетесь, даже Мозгс .


А я че крайний чтоли я ее не смотрел, и вообще нигде нет правил чтобы только по теме писать, если никто не против то пишем что прикольно или интересно даже если не по теме. Что насчет помочь, то значит либо не сломали либо не смотрели. Ваше дело маленькое - ждать. А мы уж если посмотрим - отлично, не посмотрим - ну и не обязаны. Еще что насчет цитаты, то я думаю название крэкер не определяется тем что человек пишет на форуме в какой-то конкретной теме.
Чтоб на меня гнали - как освобожусь - посмотрю, я тоже работаю и тоже свои дела есть, уж извините.

MozgC [TSRh] :: Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.

1) Никто не обязан никому помогать.
2) Гнать на того кто задает вопрос тоже не надо, все когда то что-то не знали и спрашивали.

Исходя из этих двух пунктов можно понять что никто не виноват, все хорошие и так и должно быть. Один задает вопрос, другой либо на него отвечает (помогает) либо нет, это его право. Какую-то я лажу написал, но в общем смысл ясен - не надо ругаться.

Прогу седня-завтра скачаю и посмотрю.

Kerghan :: MozgC [TSRh]
че то нехорошие воспоминания нахлынули
Maestro
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м

MozgC [TSRh] :: Kerghan пишет:
цитата:
че то нехорошие воспоминания нахлынули


Не понял, какие?

MozgC [TSRh] :: Скачал я и посмотрел прогу, пропатчил сначала прогу, но там какая-то проверка, может CRC32 и в общем прога не шла, но я это тоже пропатчил и прога пошла... Что рассказывать? Не знаю че вы тут суетились так с ней. И MD5 и SHA я тут не увидел, может не туда смотрел правда, но говорить что там MD5 и SHA основываясь только на PEiD тоже не дело. Во всяком случае мне пофигу, прога пропатчена и работает.

MozgC [TSRh] :: Пока не забыл:

453E4D: setz cl -› xor ecx, ecx
inc ecx

Если проблема была только в проверке контрольной суммы то я написал что менять. Почему? Да просто сначала поставил бряк на createfilea, запустил прогу, и раз 20 жал F5 пока не увидел что функция вызывается с именем нашего пропатченного exe файла в качестве параметра (чтобы это увидеть после срабатываения бряка жмем db *(esp+4) ) после чего пошел тупо трейсить по F10 обращая внимание на условные переходы, нашел какую-то проверку, она была не похожа на CRC но явно что-то проверялось. Я в ней не стал разбираться, подумав что если что потом вернусь и буду уже конкретно смотреть и пофигарил дальше по F10, через какое-то небольшое время увидел странную инструкцию cmp что-то, что-то и потом setz cl, вообще такие редкие инструкции как setz я видел при проверке регистрации или еще чего только раза 3-4 и всегда это оказывалось действительно то что я искал. Поэтому я не задумывась после этой инструкции засунул в cl еденичку, ну типа флаг ZF выставлен значит, потом было видно что скорее всего значение cl использовалось в последующих коллах (это значение сохранялось в esi и дальше уже использовалось для проверки), но я не стал разбираться и побоявшись нажать F5 (не был уверен что это то что нужно) пофигарил дальше по F10 ища проверку на глаз, профигарив экранов 5, я оказался в функции createwindowexa, подумав что это появляется ненавистный messagebox (появляющийся при запуске пропатченного файла) я сначала расстроился, но заветную F10 не отпускал и через несколько секунд увидел что прорисовывается главное окно. Радостно нажал F5 увидел запустившуюся прогу, проверил запись, ограничений не было. Пошел написал предыдущее сообщение на форуме, после чего побоявшись что рано хвастанул на всякий случай пропатчил exe и увидев что прога успешно запускается пошел сюда и написал ЭТО.
Ну в общем вот так, может кому будет интересно почитать как на самом деле патчилась прога, все таки наверно интереснее чем в статьях типа измените этот байт на этот и прога запуститься, конец статьи =)

Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.

MozgC [TSRh] :: Если кому интересно почему я поставил бряк на createfilea то я просто понял что проверяется файл на диске после того как мои бряки bmp на пропатченные участки памяти ни разу не сработали...

Maestro :: MozgC [TSRh] пишет:
цитата:
Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.


Да началось-то все с того, что один крендель (не помню кто, но и неважно) написал, мол, что-то там, типа »...я посмотрел заголовок и подумал: «может тебе еще и шнурки погладить?»». Вот это меня и огорчило, и разозлило. Когда просишь людей помочь в конкретной ситуации, а тебе «вежливо» отказывают подобным образом, это кого хочешь разозлит. Ну а в отстальном все в порядке. И как ты писал, что каждый имеет право задать вопрос, и каждый оставляет за собой право либо ответить, либо нет, это так оно и есть, и я этого не отрицаю, а даже поддерживаю. Но грубости не терплю!!!

Maestro :: Kerghan пишет:
цитата:
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м


Да. В этом смысле я не подумал... Это я тут на работе с 512 кб/с сижу качаю, а многие действительно сидят дома и качают на обычных модемах, на полудохлых АТСках. Ну собссно, на этих ребят я и обижаться не могу. Сам таким был. На стареньком модеме 28800 сидел всю ночь скачивал по тем временам последнюю четвертую версию Интернет Эксплорера.

Maestro :: MozgC [TSRh] пишет:
цитата:
Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.


Буду очень признателен, если ты мне перешлешь и сам патч, и краткое описание, как ты и что пропатчил (какие байты, где и т.д.)

UnKnOwN :: MozgC [TSRh]
а ты свои патчи чем мутиш, патчером каким то или АСМ.?

MozgC [TSRh] :: У Нас есть Reliz Studio прога для быстрого создания крэк-архива. Там буквально за минуту создается архив с понятным названием включающий в себя nfo, file_id.diz и сам патч или кейген, причем патчи тоже создаются этой же прогой. В ней выбираются два файла: исходный и пропатченный и она патч создает. Вещь просто удобнейшая. Можно прикрутить к ней оболочку любого патча, т.е. с любым интерфейсом.

freeExec :: Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал. Там вообще как-то интересно пустая строка сравнивается со 100 строчками какого-то мусора. Только не ясно пустая строка должна остаться, или там как-то из кода появляется текст.

MozgC [TSRh] :: Есть такой раздел программ «геморойные для крэкера проги». Вот она одна из них ее не то что код подобрать, пропатчить то нелегко. Я бы мог конечно месяцок посидеть подумать над кодом, но че-т неохото =)

Maestro :: MozgC [TSRh] пишет:
цитата:
У Нас есть Reliz Studio прога для быстрого создания крэк-архива.


А не могли бы вы поделиться сей прогой? На мыло, плиз: algaranin@cb.rsce.u

MozgC [TSRh] :: Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.

infern0 :: Для freeExec: а это скорее всего из ключа вычисляется MD5 или подобное, и потом сравнивается с той сотней значений, которые автор захардкодил. Это не подбирается - реально только ввести ключ, посмотреть что получается и заменить одну из тех строк на свою. Тогда дальше ничего ломать не надо (скорее всего).

Maestro :: MozgC [TSRh] пишет:
цитата:
Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.


ну ладно тогда... Жаль конечно, но как грится: хозяин - барин.

freeExec :: В том-то и дело что строкас которая наверно долэна содержать мои данные пуста :(

MozgC [TSRh] :: Значит наг убирается так:
В файле:
2569D: 33 С0 -› 40 90
Т.е. заменяем xor eax, eax на inc eax и процедура проверки будет всегда возвращать не 0. Как я нашел процедуру проверки? Я уже писал. Останавливаюсь на EP по F10 иду пока не натыкаюсь на колл, в котором всплывает наг. Запоминаю колл и после перезапуска проги захожу в него и нем иду по F10 пока опять не натыкаюсь на колл, в котором всплывает наг. Опять перезапускаю прогу и уже вхожу в этот колл и так углубляюсь пока не нахожу именно нужный колл, который надо пропустить. В данном случае было что-то типа

call proverka
test eax, eax
jnz no_nag
call nag
nonag:
.................

Вот то что я вверху написал заменить это как раз находится в конце процедуры проверки. Читать до тех пор пока не будет понятно =)

Про проверку целостности я написал, осталось ограничение в 30 секунд. Конечно может прийти вопрос «А на что ставить бряк?» - А ни на что. 30 сек это 30000 мс, это 7530h и в файле нам надо искать последовательно байт 30 75. В файле таких было не много и одно из них было 81 F9 30 75 00 00 что ни что иное как cmp ecx, 7530. Т.е. сравнивается сколько прошло времени, дальше идет плохой переход, который я занопил:

3F8F1: 0F 8F 6E 09 00 00 -› 90 90 90 90 90 90

Готовый патч брать тут:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack-tsr h.zip

Maestro :: MozgC [TSRh] пишет:
цитата:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack- tsr h.zip


Че-то он тут не берется...

MozgC [TSRh] :: freeExec пишет:
цитата:
Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал.


Ну иногда патч единственный реальный способ или способ который позволяет сломать за приемлимое время даже если возможен не только патч. Вспомним AdMuncher и кейген =)

MozgC [TSRh] :: Для Maestro:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.

Maestro :: MozgC [TSRh] пишет:
цитата:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.


СПА-СИ-БО!!! Попробую дома разобраться, что к чему.

Maestro :: Всем откликнувшимся БОЛЬШОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!

Кстати, а как поставить брекпоинт на dll-шку? Ситуация такая: скачал из инета плагин для Soud Forge. При запуске плагина в теле Sound Forge, вылетает окошко с регистрацией. В Soft-Ice я так и не нашел, куда надо воткнуть брекпоинт, чтобы потом как-то предпринимать дальнейшие действия. Есть ли какие-либо методы для взлома подобных плагинов и какими прогами это лучше делать?

MozgC [TSRh] :: А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?

MozgC [TSRh] :: Ну можешь сделать так, посмотреть Entry Point этой dll, потом запускаешь свой sound forge он подгружает эту dll. Ты в любой проге типа PETools, LordPE, ProcDump смотришь по какому адресу загружена эта длл в теле главного процесса. Прибавляешь к этому адресу EP длл, выделяешь адресное пространство нужного процесса и ставишь бряк на полученный адрес, после чего вызываешь плагин. СофтАйс прервется и ты уже дальше иди по телу dll как хочешь и смотри че там происходит. Я так плагин к ФотоШопу ломал.

MozgC [TSRh] :: И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?

Maestro :: MozgC [TSRh] пишет:
цитата:
А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?


Ну, скажем так, в Soft-Ice, когда набираешь команду addr, высвечиваются все процессы, точнее программы, загруженные в данный момент, в том числе и тот ехешник, который я, допустим, собираюсь ломать. Поковыряв в Wdasm32 этот ехешник, я нахожу ту точку, где надо ставить брекпоинт, далее в софтайсе с помощью команды addr активирую свой ехешник и ставлю брекпоинт. И далее уже чисто логически, или по большей части интуитивно ковыряю. Таким макаром, я смог поломать Wave Corrector v.2.1, AKoff Music Composer ver.1.45, и еще пару мелких программулек (щас не вспомню уже). А плагин в софтайсе не виден, как отдельный процесс, вот у меня и возник вопрос. Возможно что и несколько глупый...

Maestro :: MozgC [TSRh] пишет:
цитата:
И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?


Да чайник я, чего уж там. Ну пробовал я проги попроще ломать, ломаются собаки, да еще как. Единственно, я пока еще не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно. Пока... Т.е. особо не разглядываю, как там и чего, а просто при срабатывании брекпоинта, пользуюсь стандартным набором команд софтайса («горячие клавиши», просморт значения всех подряд регистров и т.д.), и, если защита легкая, то нахожу искомое. Но с более сложными защитами сложнее. А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею. В библиотеке вряд ли есть книги по крякерству, хакерству и другим подобным занятиям. А в и-нете тож ене так уж и просто что-либо найти, особенно, когда не знаешь, как правильно поставить вопрос перед посковиком (Яндексом например). Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.

freeExec :: Бряк на ЕР тебе не чего не даст. Там лишь обработчик сообщений, а бряк надо бы на экспортированные функции ставить.

freeExec :: Maestro пишет:
цитата:
не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно


Если сломал то патч написать можно, и от способа взлома это не как не завист.
Maestro пишет:
цитата:
(«горячие клавиши», просморт значения всех подряд регистров и т.д.)


да и мы также, разве что макросы давно написали.

MozgC [TSRh] :: Maestro пишет:
цитата:
А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею.


На начальном и среднем этапе для поднятия уровня нужна просто постоянная практике, и когда что-то не понятно спрашивай где-нить. Все само собой начнет полуаться по мере набора опыта. Сначала ты интуитивно меняешь переходы, потом придет понимание почему так, потом начнешь разбираться уже в самих процедурах и т.д.

Maestro пишет:
цитата:
Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.


Ты на каком форуме находишься? На форуме крэклаба. На этом же сайте есть боле 100 статей, не знаю как ты их мог не заметить. И не надо говорить что статьи не такие или еще что. Да многие статьи не прелесть, но все как-то по ним учились же.

MozgC [TSRh] :: freeExec пишет:
цитата:
Бряк на ЕР тебе не чего не даст


В случае если плагин показывает наг (в моем случае например так и было) то бряк на ЕП даст все что нужно. Останавливаешься на ЕП дллки и попиздил по F10 пока наг не встретишь, там увидишь процедуру проверки, патчишь ее и все.




Che Посре распаковки: XP - yes ; 2000 - no Програ для XP и 2000



Che Посре распаковки: XP - yes ; 2000 - no Програ для XP и 2000
После распаковки программа нормально функциониррует в XP
(проверялось на несольких машинах)
Но один нехороший человек утверждает что проблемы в 2000
«procedure entry point RestoreLastError could not be located in dynamic library kernel32.dll»
Это вобще реально ?
И если реально где ковырять ?
infern0 :: заменить в импорте restorelasterror на setlasterror
(можно например hiewом прямо в exe. лишнее забить нулями.)
это стандартный глюк impreka под XPей

Che :: Матерится что
«Точка входа в setlasterror в библиотеке Kernell32.dll не найдена»

Che :: Блин !!!
Идиот про регистр букв забыл

infern0 :: Для Che: дык. надо иногда думать :)))




MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому



MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому пригодиться =)
Читайте пока на www.xtin.org и оставляйте свои комментарии.

PS. Это не самореклама, это Kerghan посоветовал здесь написать чтобы новички узнали.... =)
Kerghan :: MozgC [TSRh]
то-то же

ЗЫ а про in-line так и не написал...

mnalex :: Kerghan
А про ИнЛайн - рано еще, ты сам то посмотри сколько всего в одну статью впихнул, так и запудриться можно будет... Вот начнет работать над следующей - вот тогда и про Риал настругает ;)) !

MozgC [TSRh] :: Kerghan
Я просто посоветовался с моими «бета-тестерами» =), и они сказали что и так информации больно много для одной статьи и трудно будет еще что-то впитать. Все сказали, что лучше все-таки разделить инфу и про инлайн-патчи написать в отдельной статье. Я в принципе согласен, только вот писать уже ничего неохото =)

mnalex :: MozgC [TSRh]
Нераслабляйся!!!! Что жа нам простым смертным (или если хошь Телу) тогда делать, если Мозг расслабиться?? ;)

YDS :: Нормально, так держать. Предлагаю не застывать на этом, а двигаться к более сложным вещам (завершить можно примером написания кейгена для армадиллы с наномитами )

nice :: MozgC [TSRh]
Толковая статья!
ИМХО для новичков лучше не придумаешь!

MozgC [TSRh] :: Спасибо за отзывы. Надеюсь вы искренни =)

MC707 :: Я тож много нового узнал

nice :: MozgC [TSRh]
А что там за защита в ExeStelth, которая не дает сдампить лордом нормально, ре формат корявый?

nice :: MozgC [TSRh]
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...

Runtime_err0r :: У меня рацпредложение по поводу ExeStealth:
1. OEP прекрасно находит плагин GenOEP для PEiD;
2. Дампить можно плагином Pedump для TRW2000

MozgC [TSRh] :: Runtime_err0r
Не, я не люблю всякие плагины автоматические, а TRW не пользуюсь, да и PETools тут справился...

Runtime_err0r :: MozgC [TSRh]
И тем не менее _http://www.zone.ee/Runtime_err0r/MozgC.rar

Ещё один способ (для прог на Delphi) - в DEDE: Tools -› Dump active process -› Get RVA entry point

P.S. Ты теперь админ ? Почему у меня рейтинг обнулился ? верни взад !!!

MozgC [TSRh] :: Runtime_err0r
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)

MozgC [TSRh] :: А че кстати в архиве?

Runtime_err0r :: MozgC [TSRh]

цитата:
А че кстати в архиве?


Страшный вирус - «Новый_Год_2004.EXE» Шучу - распакованный крякмис моим методом.

цитата:
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)


Ты что, хочешь сказать, что у меня 6 постов ??? Ню-ню Ты же админ - разберись в чём дело, к тому же не я один жалуюсь.

nice :: Runtime_err0r
У еня почему то, деде не дает сдампить :(

-= ALEX =- :: бывает такое, если с ресурсами плохо...

.::D.e.M.o.N.i.X::. :: Runtime_err0r
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))

Runtime_err0r :: nice

цитата:
У еня почему то, деде не дает сдампить :(


Всё правильно не надо им дампить - жмёшь Get RVA Entry point, находишь OEP, потом грузишь в TRW ставишь бряку на 4504D4, после срабатывания вводишь PEDUMP, потом импорт восстанавлиывешь в 2000/XP как описанно в статье.

.::D.e.M.o.N.i.X::.

цитата:
Раньше все было @!#$ ись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Ну что же, придётся 2 года потерпеть

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Харэ бля гнать ок? Это были проблемы у всех форумов борда.ру, когда они че-то там меняли, так что не надо на меня валить.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Ты что, хочешь сказать, что у меня 6 постов ???


Я хочу сказать, что
MozgC [TSRh] пишет:
цитата:
Я его не обнулял тебе


Runtime_err0r :: MozgC [TSRh]

цитата:
Я хочу сказать, что
цитата: Я его не обнулял тебе


А я и не говорил, что это ты обнулил я просил разобраться, почему такая хе$#я происходит.
По-моему твоя обязанность как администратора форума следить за такими вещами, или я не прав ???

XoraX :: а вообще, может переехать на дрйгой движок?
типа Invision Board, его очень хвалят.
Может найдется желающий поднять это дело....

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
я просил разобраться


Такие «просьбы» приказным тоном меня не прикалывают.

MoonShiner :: Да отъебитесь вы от человека! эка невидаль - рейтинг обнулили... Если бы у меня обнулили - заметил бы через месяц в лучшем случае.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сразу бы и сказал... а то впадлу и лень... займись как-нить для народа.

MozgC [TSRh] :: А че так нельзя догадаться что это не я обнулял? Мне че больше делать нефига как обнулять? На крайняк можно сначала меня было нормально спросить а не гнать на меня бочку.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да тебя хуй пойми, сам виноват. Сначала людей подъебываешь, а потом в случае чего все на тебя ведь идет. Так что не подъебывай и мы будем ласковыми:)

Runtime_err0r :: MozgC [TSRh]
OOPS !!! Теперь нормально Спасибо !

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Не знаю, что тебе показалось, но я никого не подъебывал и не собирался даже подъебывать.

Aragon :: MozgC [TSRh]
А ты не мог бы статью где нибудь выложить в chm формате?

UnKnOwN :: Народ хватает гнать на MozgC [TSRh] , ВАМ что больше не @!#$ делать что ли !!!

Для Aragon , а статью я выложу в этом формате, а потом дам ссылку, это конечно если MozgC [TSRh] разрешит ...

Всех с Наступающим Новым Годом !!!

MozgC [TSRh] :: UnKnOwN
Я не против. Только содержимое оставляй байт в байт. Т.е. если у меня написано какое-то слово, то и в .chm он должно быть тоже написано =) Ну ты понял...

mnalex :: РебРята, Я вот тут читаю - читаю чо вы тута малюете, и вот чо понять немогу, а причем при этих разборках статья????
Статья действительно написана очень хорошо, и мне лично очень приятно, что есть люди которые думают нетолько о себе, но и о других, те кто думают о тех, кто только начал заниматься этим интересным занятием, и я сильно надеюсь, что это доброе дело неумрет только начав расцветать!!!!!
Ребята! Давайте нормально общаться!!! Харе гнать гнилой базар!!!!!!
ВСЕХ С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!!! И пусть прибудет с Вам Сила!!!!




MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому...



MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому пригодиться =)
Читайте пока на www.xtin.org и оставляйте свои комментарии.

PS. Это не самореклама, это Kerghan посоветовал здесь написать чтобы новички узнали.... =)
Kerghan :: MozgC [TSRh]
то-то же

ЗЫ а про in-line так и не написал...

mnalex :: Kerghan
А про ИнЛайн - рано еще, ты сам то посмотри сколько всего в одну статью впихнул, так и запудриться можно будет... Вот начнет работать над следующей - вот тогда и про Риал настругает ;)) !

MozgC [TSRh] :: Kerghan
Я просто посоветовался с моими «бета-тестерами» =), и они сказали что и так информации больно много для одной статьи и трудно будет еще что-то впитать. Все сказали, что лучше все-таки разделить инфу и про инлайн-патчи написать в отдельной статье. Я в принципе согласен, только вот писать уже ничего неохото =)

mnalex :: MozgC [TSRh]
Нераслабляйся!!!! Что жа нам простым смертным (или если хошь Телу) тогда делать, если Мозг расслабиться?? ;)

YDS :: Нормально, так держать. Предлагаю не застывать на этом, а двигаться к более сложным вещам (завершить можно примером написания кейгена для армадиллы с наномитами )

nice :: MozgC [TSRh]
Толковая статья!
ИМХО для новичков лучше не придумаешь!

MozgC [TSRh] :: Спасибо за отзывы. Надеюсь вы искренни =)

MC707 :: Я тож много нового узнал

nice :: MozgC [TSRh]
А что там за защита в ExeStelth, которая не дает сдампить лордом нормально, ре формат корявый?

nice :: MozgC [TSRh]
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...

Runtime_err0r :: У меня рацпредложение по поводу ExeStealth:
1. OEP прекрасно находит плагин GenOEP для PEiD;
2. Дампить можно плагином Pedump для TRW2000

MozgC [TSRh] :: Runtime_err0r
Не, я не люблю всякие плагины автоматические, а TRW не пользуюсь, да и PETools тут справился...

Runtime_err0r :: MozgC [TSRh]
И тем не менее _http://www.zone.ee/Runtime_err0r/MozgC.rar

Ещё один способ (для прог на Delphi) - в DEDE: Tools -› Dump active process -› Get RVA entry point

P.S. Ты теперь админ ? Почему у меня рейтинг обнулился ? верни взад !!!

MozgC [TSRh] :: Runtime_err0r
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)

MozgC [TSRh] :: А че кстати в архиве?

Runtime_err0r :: MozgC [TSRh]

цитата:
А че кстати в архиве?


Страшный вирус - «Новый_Год_2004.EXE» Шучу - распакованный крякмис моим методом.

цитата:
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)


Ты что, хочешь сказать, что у меня 6 постов ??? Ню-ню Ты же админ - разберись в чём дело, к тому же не я один жалуюсь.

nice :: Runtime_err0r
У еня почему то, деде не дает сдампить :(

-= ALEX =- :: бывает такое, если с ресурсами плохо...

.::D.e.M.o.N.i.X::. :: Runtime_err0r
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))

Runtime_err0r :: nice

цитата:
У еня почему то, деде не дает сдампить :(


Всё правильно не надо им дампить - жмёшь Get RVA Entry point, находишь OEP, потом грузишь в TRW ставишь бряку на 4504D4, после срабатывания вводишь PEDUMP, потом импорт восстанавлиывешь в 2000/XP как описанно в статье.

.::D.e.M.o.N.i.X::.

цитата:
Раньше все было @!#$ ись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Ну что же, придётся 2 года потерпеть

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Харэ бля гнать ок? Это были проблемы у всех форумов борда.ру, когда они че-то там меняли, так что не надо на меня валить.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Ты что, хочешь сказать, что у меня 6 постов ???


Я хочу сказать, что
MozgC [TSRh] пишет:
цитата:
Я его не обнулял тебе


Runtime_err0r :: MozgC [TSRh]

цитата:
Я хочу сказать, что
цитата: Я его не обнулял тебе


А я и не говорил, что это ты обнулил я просил разобраться, почему такая хе$#я происходит.
По-моему твоя обязанность как администратора форума следить за такими вещами, или я не прав ???

XoraX :: а вообще, может переехать на дрйгой движок?
типа Invision Board, его очень хвалят.
Может найдется желающий поднять это дело....

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
я просил разобраться


Такие «просьбы» приказным тоном меня не прикалывают.

MoonShiner :: Да отъебитесь вы от человека! эка невидаль - рейтинг обнулили... Если бы у меня обнулили - заметил бы через месяц в лучшем случае.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сразу бы и сказал... а то впадлу и лень... займись как-нить для народа.

MozgC [TSRh] :: А че так нельзя догадаться что это не я обнулял? Мне че больше делать нефига как обнулять? На крайняк можно сначала меня было нормально спросить а не гнать на меня бочку.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да тебя хуй пойми, сам виноват. Сначала людей подъебываешь, а потом в случае чего все на тебя ведь идет. Так что не подъебывай и мы будем ласковыми:)

Runtime_err0r :: MozgC [TSRh]
OOPS !!! Теперь нормально Спасибо !

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Не знаю, что тебе показалось, но я никого не подъебывал и не собирался даже подъебывать.

Aragon :: MozgC [TSRh]
А ты не мог бы статью где нибудь выложить в chm формате?

UnKnOwN :: Народ хватает гнать на MozgC [TSRh] , ВАМ что больше не @!#$ делать что ли !!!

Для Aragon , а статью я выложу в этом формате, а потом дам ссылку, это конечно если MozgC [TSRh] разрешит ...

Всех с Наступающим Новым Годом !!!

MozgC [TSRh] :: UnKnOwN
Я не против. Только содержимое оставляй байт в байт. Т.е. если у меня написано какое-то слово, то и в .chm он должно быть тоже написано =) Ну ты понял...

mnalex :: РебРята, Я вот тут читаю - читаю чо вы тута малюете, и вот чо понять немогу, а причем при этих разборках статья????
Статья действительно написана очень хорошо, и мне лично очень приятно, что есть люди которые думают нетолько о себе, но и о других, те кто думают о тех, кто только начал заниматься этим интересным занятием, и я сильно надеюсь, что это доброе дело неумрет только начав расцветать!!!!!
Ребята! Давайте нормально общаться!!! Харе гнать гнилой базар!!!!!!
ВСЕХ С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!!! И пусть прибудет с Вам Сила!!!!

mnalex :: MozgC [TSRh]
nice пишет:
цитата:
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...


А вот это дело - еслибы ты смог описать эти моменты для нас - ла... новичков ;) , не ну естественно не в этой статье, а в следующей (во вишь сколько материала нужного для продолжения) :))




KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на...



KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на asm или Delphi??
MoonShiner :: Читай инфу по PE-заголовку.

KLAUS Re: MoonShiner :: А конечно понимаю, что проще всего дать мутный ответ, чем дать конкретный и тем самым помощь человеку.
Ну а точнее можно!

MozgC [TSRh] :: Мде, ленится народ...

KLAUS :: Народ спрашивает у знающих людей, когда сам не смог найти ответ на свой вопрос!

MoonShiner :: KLAUS пишет:
цитата:
Ну а точнее можно!


Находишь PE-заголовок (например, сигнатурку PE для начала), отсчитываешь от ее начала 28 десятичное, и двойное слово, лежащее по получившемуся адресу и есть EP.

KLAUS :: Угу...Спасибо!!
А получившиеся Dword всегда будет OEP, не зависимо от того, запакован файл или нет...
И как всё таки программно определить тогда PE заголовок (хотя бы примерноо)??

Kerghan :: Bad_guy пишет:

цитата:
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset ‹ VSize) and (VEP - VOffset ›= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.


mnalex :: KLAUS
Слушай а ты часом непутаешь ОЕР и ЕР ? Отличие то знаешь в чем?

DEMON :: KLAUS

Не хочешь париться?? Скачай PE Tools v1.5 Xmas Edition!!!

Bad_guy :: А я кажется понял - Клаусу нужно не EP экзешника, а OEP запакованного экзешника найти. В дампе файла можно искать по сигнатурам - такой будет ответ. Где ты возьмешь дамп и как ты будешь искать - твое дело.

Python_Max :: А какой прогой можно изменить именно OEP запакованного файла?
Чтобы не вручную...
Или нет таких? Вроде в одной из статей проскакивало, что это может ProcDump...

DEMON :: Python_Max пишет:
цитата:
Вроде в одной из статей проскакивало, что это может ProcDump...


Не видел такой статьи, но мне кажеться что ProcDump говно!!!!

-= ALEX =- :: Python_Max я тебе уже ответил насчет OEP в теме -=alex=- patcher

DEMON :: Так че он конкретно хочет???

KLAUS :: Народ смысл такой у проги OEP=****DF92 нужно чтоб стал ****E0AD , но сделать это ПРОГРАММНО ( не HIEW, не ProceDUMP...ни какой либо другой прогой)......я знаю как заменить, но не знаю как определить ПРОГРММНО OEP!!!!

KLAUS :: ПРограммно (.т.е на ASM, Delphi).....ну самый край С++

MozgC [TSRh] :: ПРога упакована ?

KLAUS :: ДА

MozgC [TSRh] :: И разницу между EP и OEP ты понимаешь ?

KLAUS :: Тебе сказать в чём разница? (Понимаю)

Bad_guy :: А чем упакована то ?

KLAUS :: Так в этом то и дело...нужно чтоб автоматом определяло ( не зависимо чем упакованна прога)!!

MozgC [TSRh] :: Никак ты не сделаешь этого, не запуская прогу. А запуская можешь использовать genoep.dll, но ты не сможешь в общем случае изменить OEP.

KLAUS :: Мля, косяк!
Ну а тогда EP как ПРОГРАММНО определить??

Madness :: KLAUS

цитата:
PE Header:
...
28h - DWord Entry point RVA - адрес, относительно Image Base по которому передается управление при запуске программы или адрес инициализации/завершения библиотеки.
...





Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!



nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!
http://www.woodmann.net/b...nload.php?id=xt_fsg20.zip
Mafia32 :: nice

поглядим...

WELL :: FSG пока лучший пакер, из всех мною опробованных для файлов меньше 8кб.
nice
Спасибо за ссылку.

KLAUS :: Проги бы ещё запускались после его паковки, хотя поглядим как в 2.0

DarKSiDE :: KLAUS
У меня все прекрасно запускается, если что. А UPX лучше, один хрен. FSG на его основе вроде бы сделан? Или я ошибаюсь?

KLAUS :: DarKSiDE
Не, у меня бывало что ошибку выдавало....Насчёт UPX согласен ( если только не пакуешь проги небольшого размера, тогда FSG канает.

P.S.
НАсчёт 2.0 .. пакует парядком лучше предыдущей версии + пока не определяется Pe-ID

DarKSiDE :: DANGER!!!

Инсталлер заражен вирусом - Bloodhound.W32.EP !!!!!!!!!!!!!

KLAUS :: DarKSiDE

Эт ты чем таким проверил???

DarKSiDE :: Нортон Антивирус с базой от 13.05.2004 года. Я все что с Инета качаю сперва проверяю антивирем.

KLAUS :: Корка, Drweb и Каспер молчат

nice :: Да точно у меня такая же беда
Просто может тот троян был FSG 2 пакован, а он дурак FSGую сигнатуру взял...

XoraX :: nice
thx, good news :)

DarKSiDE :: nice
Ну и что? Значит ложная тревога?

KLAUS :: DarKSiDE

Хорошо если так...

WELL :: Да нортон лажа полная. Чему вы поверили? Нортон стоит в последнем ряду вместе с каспером, пандой и стопом...

SGA :: Эта Шняга с нортоном потому-что FSG окупирует DOS header.
RTFM - там всё написано. Ж)

DarKSiDE :: WELL
Кстати!
Подобная ситуация у меня была когда я скачал с официального сайта SVKP версию 1.3…
Так она тоже заражена каким-то вирем, сейчас не помню уже. Просто я обнаружил поздно, уже себе на «болванку закатал». Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!). Можно долго и упорно спорить какой антивирусник лучше или хуже, но факт остается фактом. Можете использовать на свой страх и риск! Но просто подумайте о том, что им вы пакуете свои релизы и антивирь сработает еще у кого-то. И вы думаете, что после подобного кто-то еще будет качать ваши релизы? Врятли. Таким способом легко заработать славу не кракера, а «засранца который делает мелкие пакости» в виде распространения вирусов.ИМХО.

Aster!x :: › Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!).

Мля, какая бредятина..

› Эта Шняга с нортоном потому-что FSG окупирует DOS header.

То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?

-= ALEX =- :: у меня тоже антивири матеряться во всю...

Aster!x :: Онлайн проверка у Каспера:

Проверенный файл: fsg.rar
fsg.rar - архив RAR
fsg.rar/fsg.ini - в порядке
fsg.rar/fsg.exe - в порядке
fsg.rar/xt.nfo - в порядке

Статистика проверки:

Известных вирусов:
89631
Дата последнего обновления:
25.05.2004

Размер файла (Kb):
24
Время проверки:
00:00:01

Скорость (Kb/sec):
24
Тел вирусов:
0

Архивов:
1
Упакованных:
0

Каталогов:
0
Файлов:
4

Подозрительных:
0
Предупреждений:
0

WELL :: Сигнатуры у некоторых антивирей кривые. Вот что я думаю...

DarKSiDE :: Aster!x

цитата:
Мля, какая бредятина..


цитата:
То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?


Вред это ты несешь!!!!!! Ты что каждому юзверю эту байду объяснать будешь? Сам то мозги включи! Я это понимаю, ты это понимаешь, но не у всех уровень знаний такой...... В говне измараться - пять минут делов, а оправдываться - целое дело...... Разве не так? Так не лучьше ли использовать старый добрый FSG 1.33 и в ~ не дуть! А?

fuck it :: хули, понятно что ниего пока не распознает, он же новый, через пару месяцев всякие касперские и пеид сразу будут кричать fsg 2.0

SLV :: Антивири могут ругаться из-зи того, что entry point не в начале файла, а ближе к его концу, может это - причина?

Nitrogen :: DarKSiDE
ты тормоз

SLV :: WELL пишет:
цитата:
Сигнатуры у некоторых антивирей кривые. Вот что я думаю...


И у вирей тоже

WELL :: По крайней мере пакует FSG асмовые проги здраво.

SLV :: WELL пишет:
цитата:
По крайней мере пакует FSG асмовые проги здраво.


Дык он и написан на Асме...

Styx :: Ну чё, кто забацает сигнатуру под PeID?

SLV :: Чё-то мне нихера им не сжать. Экран смерти лезет...

XoraX :: Styx пишет:
цитата:
Ну чё, кто забацает сигнатуру под PeID?


[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true

XoraX :: вроде работает на _большинстве_ файлов.. :)

SLV :: Я писал крэк на MASM-е, рашил его сжать (38Kb), в итоге ничего не получилось, зато PECompact сжал это дело до 4KB...

KLAUS :: XoraX пишет:
цитата:

[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true


Куда эт вставить, чтоб определялрось?

Styx :: KLAUS
В файл userdb.txt в папке PeID

KLAUS :: Styx
Thanks
И так можно добавлять прямо в userbd...или нужно будет удалять предыдущую запись?

GPcH :: Может кто под MEW 10 сигнатурку написал?

Для справки: им упакован мой второй крякми

XoraX :: KLAUS можно. там ведь синтаксис простого INI файла..

XoraX :: GPcH пишет:
цитата:
Может кто под MEW 10 сигнатурку написал?


дай сам пакер..

GPcH :: XoraX пишет:
цитата:
дай сам пакер..


http://hcc.kenyer.hu/tools/Mew%205.zip
http://hcc.kenyer.hu/tools/Mew%2010%20v1.1.zip

GPcH :: Вот склепал сигнатурку для PEiD:

[MEW 10 - Northfox]
signature = 33 C0 E9
ep_only = true

Особо не пинать за 3 байта - остальные всегда разные

GPcH :: Вот еще одну сигнатурку, только для MEW 5 замутил:

[MEW 5 - Northfox]
signature = BE ?? ?? ?? ?? Ad 91 AD 93 53 Ad 96 56 5F AC
ep_only = true




ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html



ilya Статья по снятию ASPRA 2.0 http://ilyacr.narod.ru/Aspr20.html
мож кому сгодится
SeDoYHg :: Что-то все слишком просто :))))))))))))). Даже не верится %). Не спертых байт... ничего. Может это был не аспр 2,0 ;). Или ты опции все выключил при запротекторивании (слово то какое %) ;).

ilya :: SeDoYHg пишет:
цитата:
Может это был не аспр 2,0


паковал сам ASProtect v.2.0 Build 06.23 A
SeDoYHg пишет:
цитата:
Не спертых байт.


разве пакуют проги всегда со спёртыми байтами???ясен *уй я эти опции выключил
SeDoYHg пишет:
цитата:
Что-то все слишком просто :


если не считать сколько я с этим аспром про*бался

SeDoYHg :: Какой ты злой Ж)... Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.

ilya :: SeDoYHg
а ты пробывал его распаковывать если так всё просто.Лично я с ним *бался месяц(с перерывами).
Кроме Марио555 и Биоворма здесь никто не обсуждал эту тему,все
тот топик обходили стороной,поэтому я и накотал тутор.
Спорить не хотса.
Ребят кому не нравится не надо кирпичами кидаться,комуто этот тутор пригодится

newborn :: SeDoYHg пишет:
цитата:
Насколько мне известно, когда навешивают протекторы, стараются максимально осложнить жизнь крякеру, поэтому высталяют как можно больше опций. Антиотладочные приемые, спертые байты и тд. А если убрать все опции, как поступил ты, то пользы от аспра не больше чем от упикса, в плане защиты.


Действительно, после прочтения статьи сложилось такое впечатление что роспаковывали УПХ, если б кто написал бы статью про роспаковку со всеми приколами аспра, вот это действительно было бы востребовано...

SeDoYHg :: Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...
Что же, мне тоже «не хотса» спорить... Свое мнение я уже сказал!!!

ilya :: SeDoYHg пишет:
цитата:
Умеют люди не отвечать на поставленные вопросы, не адекватно реагировать на здоровую критику, и гнуть пальцы...


дану хорош,у меня в мыслях нет на тебя пальцы закидывать,могу снять фотку какие там опции я выставил

-= ALEX =- :: ilya молодец, что сказать... щас почитаем...

Mario555 :: ilya
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный пиздец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.

ilya пишет:
цитата:
Лично я с ним *бался месяц


??? там минут 5~10 нужно... когда аспр лагает :)

ilya пишет:
цитата:
разве пакуют проги всегда со спёртыми байтами???


ессно... А какой смысл авторам проги не использовать все опции защиты ?

ilya :: -= ALEX =-
спасибо за тёплые слова
Mario555
щас скачаю(если не много весит),запакую,покапаюсь

Гостю здесь :: Mario555 пишет:
цитата:
со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


Не получится - там куча обращений к каким-то несуществующим адресам, видимо аспр их настраивает до запуска проги в процессе загрузки

Mario555 :: Гостю здесь пишет:
цитата:
видимо аспр их настраивает до запуска проги в процессе загрузки


Дык мне и нужно сдампить dll до запуска проги - когда ещё не сформирована функция выполнения stolen code.
А обращнение к несуществующим адресам это бывшие jmp iat и с ними проблем нет ;)

DFC :: Mario555 , а как насчет статьи, планируешь?

Mario555 :: DFC пишет:
цитата:
а как насчет статьи, планируешь?


1) не распаковал я его! пока только идеи есть и вполне возможно, что эти идеи - полный бред.
2) даже если распакую, то врят ли буду статью писать - слишком это нудное занятие...

DFC :: Mario555 , понял...печально:(
ilya , ты все правильно сделал, что написал статью, не обращай внимания на выпадки...надо же с чего то начинать...а дальше развитие может получиться.

ilya :: щас вот со stolen code хорошенько разберусь и буду ждать когда посыпятся проги с новым аспром,думаю у меня проблем не будет.Жалко только что с импортом долго ковыряться надо.

ilya :: я по поводу PEBrowse Profession:
когда включаешь опцию Protect Original Entry Point-начинается жопа(мой метод отдыхает)
если включить все опции без Protect Original Entry Point - мой метод работает
а почемуж с крякмисом всё было нормально???
щас буду ещё копаться

Mario555 :: Распаковал я этот PEBrowsePro, правда дамп получился хоть и рабочий, но жутко кривой (по кускам собранный). SizeOfImage пришлось увеличить до 00DB4000. В работоспособности этого дампа на других компах я сильно сомневаюсь.

PS таблицу инициализации (или как её там называют) взял из непакованной проги, ибо лень было... ;)

AlexZ¦OutHome :: Разрешите кое-какие факты:
Способ прохождения до ОЕР вроде предложен МС707, ввиде видеотутора.
Пиженые байты - это вроде одна из главных заподлянок нового Аспра.
Mario555
Выкладывать туторы имхо ненадо. Ато Солод борзеет по-чёрному, да новые Аспры клепает. К сожалению, в крэке останутся только спецы анпака, если считать, что дох прог под Аспром.

dMNt :: ну х.з. помоему все будут вынуждены на другой путь переходить
ну там патчить через апи, дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
ну и т.д.

Mario555 :: dMNt пишет:
цитата:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)


я так и сделал ;)

ilya :: чую через года три аспрп всех крякеров выведет(как дихлофос-мух)

WELL :: По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.

Гостю здесь Re: Mario555 ::
цитата:

dMNt пишет:
дампить вместе с виртуальной машиной (чтоб не разбирать что она там делает, а пусть она сама делает что надо нам на пользу)
Mario555 пишет:
я так и сделал ;)


Так получилось все-таки ?!?!?!???? сложно было ?? намекни когда дампить

SLV :: WELL пишет:
цитата:
По крайней мере всегда есть альтернативный, пусть и кривоватый и не красивый способ - лоадеры.


А in-line? Ведь если найти процедуру проверки CRC, подменить там чёго-нибудь =), и сделать тот-же лоэдер, вшитый в exe.

WELL :: Инлайн тоже имеет место. Хотя на 2.0 я еще делать не пробовал... только 1.3-

Mario555 :: Гостю здесь пишет:
цитата:
намекни когда дампить


На выходе из dll защиты.
Кста этот распакованый PEBrowsePro всё-таки нормально запускается на других компах... ;)
Кто-нить проги с 2.0 знает ?

WELL пишет:
цитата:
Хотя на 2.0 я еще делать не пробовал... только 1.3-


и наверно только через апи :)

ilya :: Mario555 пишет:
цитата:
Кто-нить проги с 2.0 знает ?


недельки через две появятся(вместе с выходом Аспр v3.0)

WELL :: Mario555 пишет:
цитата:
и наверно только через апи :)


Ага =)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Есть такой баг в 2.0 и о нём кста уже говорили - даже при всех установленных опциях защиты аспр иногда криво пакует прогу (считает её уже запакованной). Ты вот запакуй PEBrowsePro (он на wasm есть) и его попробуй поковырять... с импортом там не сложно (ну относительно не сложно :)), а вот со stolen code - полный ~ ец :( я сейчас пробую сдампить аспровую dll защиты и заставить её формитовать функцию выполняющую stolen code.


это не баг! когда в проге кода почти нет, то тогда он и запакует криво. я паковал свою прогу, которая писалась на уч0бе - дык ее он как и PEBrowse зажаЛ!!!!!

Mario555 :: bi0w0rM[AHT]
Нет, это именно баг, я паковал ResHack и на него аспр пишет already packed... а вообще-то какая разница баг или не баг ;)

PS дык что прог с 2.0 никто не видел ?

Aster!x :: Mario555
Если хочешь подолбаться то можешь попробовать эту ;-)
http://www.whitetown.com/ru/download.php3
кстати народ на руборде ждет когда кто-нить ее распакует :-)

Mario555 :: Aster!x
и где там 2.0 ???

Aster!x :: Mario555
› и где там 2.0 ???

Т.е. ты уже распаковал?
Я не знаю какая там сейчас версия, но с версией проги CDBFW_1.20 я конкретно долбался..

Mario555 :: Aster!x пишет:
цитата:
Т.е. ты уже распаковал?


Нет, мне это просто не интересно, в СDBF for Windows 1.25 старый RC4. Может быть эту прогу и сложно распаковать (похоже много envelop check’ов), но никакого 2.0 там нету...

Aster!x :: Согласен, приятного в нем мало, хотя как ты говоришь старая версия ;-)
Единственный известный мне распакованный exe был от QICE для версии 1.12






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS