Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



XoraX вопрос про аспротект привет усем!



XoraX вопрос про аспротект привет усем!
объясните пожалуйста принципиальную разницу между аспр 1.2 и аспр 1.2 [new strain].
почему 1.2 распаковывают унпакеры, типа каспр и stripper, а нью стрейн не могут распаковать?
Guest :: Вообще у ASProtect много модификаций , которые различаются по способу криптования.

MozgC :: [new strain] это начиная с версии 1.23 по-моему.
А 1.2 он всегда просто 1.2

1.2х не распаковывается автоматическими распаковщиками потому что там добавлены дополнительные приемы, усложняющие распаковку и делающие автоматический анализ очень сложным.

Вот отличия, которые первым делом приходят в голову:

1) Улучшенная защита от отладчика
2) Кража байт с OEP
3) Эмуляция Windows API функций, а не простая замена адресов функций адресами переходников
4) Случайная распаковка тела аспра (разные адреса) (более новые версии)
5) Разное замусоривание краденных байт в зависимости от компилятора (более новые версии)

Это наиболее яркие отличия. Еще версией отличаются =)

Может кто дополнит...

MoonShiner :: А еще, правда глубоко не копал, в некоторых аспрах - юзание в своих целях отладочных регистров, а не просто их сбрасывание.

test :: stripper 2.03 - Распаковщик аспр аспр1.2 [new strain] - в том числе.

MozgC :: новые версии нифига не распаковывает

Guest :: MozgC, красивая надпись! А новые версии точно не распаковывает!

MozgC :: Не хочу никого обидеть, но по-моему это как-то стренмо использовать автоматические распаковщики. Неужели самим не интересно распаковать? Это пойдет только на пользу, прибавит опыта.

vins :: Для MozgC: Мы и сами бы распаковывали если где нибудь, можно было бы прочитать как это делать

MozgC :: Ну например смотри статьи у Хекса на сайте, еще вроде на крэклабе ну и жди моей мегастатьи =)

vins :: Для MozgC: а долго?

MozgC :: я уже начал писать, попытаюсь разжевать просто абсолютно все, но все равно распаковка там нелегкая... А готово будет примерно через неделю или позже.

XoraX :: я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.
может ты сможешь объяснить с более понятными вещами....

MozgC :: если без апимона, то
1) остановись на EP
2) поставь бряк "bpm esp-4"
3) жми 2 раза F5
4) Там будет вроде jmp xxxxxx, вот xxxxxx - это и есть OEP. Цикли на этом jmp программу, снимай дамп и дальше по статье...

freeExec :: XoraX

цитата:
я прочитал статью freexec’a про распаковку new straina но нифика сделать не смог, т.к. там нужна тулза apimon. ну я ее скачал, но там вообще не такая была =(.


Незнаю откуда ты ее качал, но то что я выкладывал, один в один чем пользовался я.

XoraX :: 2 MozgC: отсюда вопросы:
1. Как словить EP ?
2. Я нашел OEP у проги с помощью PeInform 1.0 by FEUERRADER. Она показала 008D4C9C. почему не 004xxxxx и верна ли такая информация? Спс заранее.

XoraX :: И еще:
3. Как зациклить на OEP?

MoonShiner :: Стал на точке, в которой хочешь забабахать цикл. пишешь в айсе "a eip", затем "jmp eip". При необходимости затертые байты можешь потом вернуть на место.

MozgC :: 2XoraX
Ладно, почти все твои вопросы уже есть в FAQ’e - жди =)

XoraX :: только побыстрее, побыстрее бы.....

MoonShiner :: Скоро только кошки родятся:)




MozgC Новичкам - ЧИТАТЬ ! Всем привет!



MozgC Новичкам - ЧИТАТЬ ! Всем привет!
Вообщем мы тут с feuerrader’ом решили написать большой FAQ для начинающих.
Вот лично мне кажется что самая проблема - это где взять вопросы.
В голову особо много не лезет. Мне тут по почте наприсылали около 50 вопросов. Но у меня случилось несчастье =) с диском С: и все вопросы похерились.. Надо набирать заново.
Поэтому если вы хотите сделать сразу 2 дела - помочь мне с вопросами и получить ответ на свой вопрос - шлите мне свои вопросы на MozgCnoSpam@avtograd.ru !
Постараемся ответить на все* вопросы! И все вопросы с ответами включим в будущий FAQ !

PS. * - только плиз не надо вопросов типа "помоги сломать такую-то программу". "Посоветуй как сломать такую-то защиту" - можно.

Жду ваших вопросов!
Bad_guy :: Шо такое дампить ?

Bad_guy :: А вообще я бы к написанию фака присоединился... так что если я нужен - пиши.

MozgC :: 2Bad_guy:
Я не против, присылай пачками по 10 вопросов+ответов мне на мыло.

Perch(он же) :: MozgC привет.
Ты знаешь, хочу у тебя спросить, FAQ - это здорово...я вот тут подумал...у меня к тебе есть предложение...где-то полгода назад я реверсил одну прогу...ну вобщем есть к тебе предложение...у меня совсем нет времени на статьи...а ты хорошо пишешь...могу поделиться полным реверсингом...и соответственно сырцом кейгенана на C++, так как ты на Дельфи пишешь, я правильно понял?...хочу заметить это кейген сразу для 13-ти прог этой компании...скажем так - Универсальный кейген...если ты согласен, все остальные подробности по мылу.

MozgC :: Perch(он же)
Я че-то не понял =) Ты поподробнее расскажи.

MozgC :: Ты типа хочешь предоставить мне полную инфу, чтобы я статью написал на эту тему?

MozgC :: Как думаете, сколько вопросов нужно для FAQ’а ?
Уже более 50 готовых вопросов и ответов.

Guest :: Для начала пойдет, потом можно будет добавить.

MozgC :: Нет, надо без добавок =)
Надо делать раз и навсегда, всмысле на совесть, а не чтоб потом добавлять...
Так что я подумал.. буду писать пока больше уже не смогу придумать вопросов..

Кстати на почту не пришло ни одного письма. Походу никому не надо. И закрадывается такая мысль: "А для кого мы это тогда пишем?"....

Guest :: Я не помню твоей почты MozgC, если кинешь пришлю с пару тройку десятков вопросов с ответами, мне часто задают. Но я не мастер писать, подкаректируешь?

Dred :: 2 MozgC
50 - это мало для ламера(т.е. меня) надо всё подробно.
Ведь ламер он на то и ламер что нихрена не шарит.
В честь твоего дня рождения я щелкал респект тебе изо всех сил.

MozgC :: Dred , придется тебя огорчить, респект у меня уже вроде на максимуме, так что ты зря щелкал =))) Но все равно спасибо =)

Что насчет FAQ’а то я пишу по максимуму, меня прет, вспоминаю все вопросы которые сам когда-то задавал. Надеюсь получиться хорошо. А т.к. ты хочешь МНОГО то посылай мне свои вопросы пачками на мыло.

Араб :: Может кто возьмется написать "Формат РЕ-файлов для ламеров :)". Для фака это расширенный вопрос, а допустим все, что я встречал в сети написано слишком заумно. Может быть даже обозреть не все полностью от и до, а только ту часть, что чаще всего используется при взломе и вызывает вопросы.

MozgC :: Я хотел это написать. Ты подтвердил мое мнение, что надо. Постараюсь какнить вкратце изложить только то что нужно. А то эти полсотни страниц описания формата действительно напрягают...

freeExec :: MozgC Колись своей бетта версией FAQ’а, я почитаю, поприкалываюсь, глядишь ченить рожу

MozgC :: Уже 80+ вопросов-ответов.

Думаю будет самый большой FAQ в России =)

MoonShiner :: И мне тож! Я может поумнею...

FEUERRADER :: Кому лень писать письма для FAQ’a, могут зайти на hxxp://feuerrader.fatal.ru/doafaq.htm и там написать свой вопрос! FAQ будет расчитан на "маленьких" и "средних". Может и из "продвинутых" кому-то понравится :)

Ждите......

Dred :: 2 MozgC
А в ФАК войдёт что нибудь по работе с программами по кряку.
Ну типа не все же знают возможности( или кнопки допустим) в IDA например или в ProcDump’e.
И вообще вопросы начинают возникать при работе с чем нибудь когдо заходишь в тупиковую ситуацию.
Тогда остаётся одно решение - форум!

MozgC :: Нет, про IDA я (может FEURRADER?) ничего писать не буду. Про ProcDump, LordPE, ImpREC вкратце уже написано.

Если есть какие-то конкретные вопросы. То лучше задавай сейчас пока FAQ еще не выпущен.

Dred :: 2 MozgC
Немогу я так сразу задавать вопросы.
Лучше подожду выход ФАКа, а там глядишь и второй не за горами.



"У меня вот в ассемблере них..ра не получается, лажа какая-то
объектный файл не хочет превращаться в исполнимый.
Уже 3 разных версии поставил один хрен ничего."

freeExec :: Кокой компилятор юзаешь?

Dred :: 2 freeExec
link.exe TLINK.EXE TLINK32.EXE

MozgC :: Ассемблер для дос или для windows ?

freeExec :: Dred ну ты мастер :)
link - MASM - Microsoft
Tlink - TASM - Borland
Они не совместимы (их обектные фалы). поэтому чем компилировал прогу тем же и линкуй (из тогоже пакета)

MozgC :: 13, 14 ЧИСЛА - ПОСЛЕДНИЕ ДНИ ПРИЕМА ВОПРОСОВ ДЛЯ FAQ’A
ЕСЛИ У ВАС ЕСТЬ ВОПРОСЫ - ЛУЧШЕ ЗАДАЙТЕ ИХ СЕЙЧАС.
ЗАВТРА МЫ УЖЕ БУДЕМ ЧИСТО РЕДАКТИРОВАТЬ FAQ - ИСПРАВЛЯТЬ ГРАММАТИЧЕСКИЕ И ВООБЩЕ
ОШИБКИ, ОФОРМЛЯТЬ ВСЕ И ПОТОМ ВЫПУСК =)
На данный момент уже 100+ вопросов.
Интересно есть ли в России FAQ больше по объему?
Если кто найдет - будем писать вопросы и ответы, пока не напишем больше чем в найденном
FAQ’e =)

Dred :: 2 freeExec
Я так и делаю(чем компилировал прогу тем же и линкую).
Если у тебя есть мелкая прожка для видосаХР на ассемблере которая точно работает, то ПЛИЗ зашвырни в мыльницу файл.asm

MozgC :: .386
.model flat, stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib
includelib \masm32\lib\kernel32.lib

.data
MsgCaption db "ETO MESSAGEBOX =)",0
MsgBoxText db "A ETO TEXT V MESSAGEBOXE =)",0
.code
start:
invoke MessageBox, NULL,addr MsgBoxText, addr MsgCaption, MB_OK
invoke ExitProcess,NULL
end start

MozgC :: Пути только к библиотекам подправь.

<=]Dred[=> :: 2 MozgC
Что-то не работает. Весь текст сохранил в файл .asm и проводил эксперементы.
Пишет в файле листинга - Fatal: Bad object file record in c:\tasm\bin\1.obj near module file offset 0x00000000
Или я дурак или что-то не так.

Какие пути? ( я действую так - записал в блокноте текст -> сохраняю с расширением .asm -> дальше открыть с помощью выбираю программу и .....)

<=]Dred[=> :: А мне можно картинку рядом с именем?

HANDLE :: Вопрос для FAQ’а. Создание патчей для пакованых exe’шников (например ASPack’ом).

dragon :: <=]Dred[=> , как можно пример для MASM’а TASM’ом компилировать. Его типа так надо:

ml /c /coff asm.asm
link /SUBSYSTEM:WINDOWS asm.obj

MozgC :: 2Handle Про лоадеры уже написал.

<=]Dred[=> :: 2dragon (я пробовал и тем и другим)
Где это писать?
ml /c /coff asm.asm
link /SUBSYSTEM:WINDOWS asm.obj
Из под DOSa чтоли?

dragon :: В bat файле это писать. Если не получается, скажи, какие ошибки компилятор выдаёт.

freeExec :: Ктому же инклуды, тоже должны быть из масм32

<=]Dred[=> :: 2 dragon COOL, полный руль всё работает
Ещё вопрос без .bat можно обойтись?

BSL//ZcS :: 2 <=]Dred[=> : make?

dragon :: У make такой синтаксис, что лучше bat файлами пользоваться. Если не хочешь, то скачай IDE, например RadAsm(на wasm.ru лежит).

<=]Dred[=> :: 2 freeExec что такое инклуды?

freeExec :: От слова INCLUDE

[ v o i c e ] :: Мужики, ну чё, когда выходит этот ФАК... Или он уже вышел...

MozgC :: Некоторое время с FAQ’ом было затишье - я был занят. Щас появилось немного свободного времени и мы опять продолжаем писать. Все вопросы и ответы к ним уже написаны (114 вопросов я насчитал).
Осталось исправить всякие мелочи, разделить по группам, оформить, проверить грмм. ошибки. Думаю на это уйдет дней 5...




FEUERRADER Неизвестная инструкция в TRW2000 Есть листинг из TRW2000:



FEUERRADER Неизвестная инструкция в TRW2000 Есть листинг из TRW2000:

016F:00403FF0 MOV EAX,"DOSMGR_BackFill_Allowed" // ОЕР проги
016F:00403FF6 PUSH EBP
016F:00403FF7 MOV EBP,ESP
...
016F:00404006 MOV "DOSMGR_BackFill_Allowed",ESP
016F:0040400D SUB ESP,BYTE +60

Я никогда не обращал внимания на "DOSMGR_BackFill_Allowed". Однако, что же это за инструкция? В softice такого нет.
freeExec :: А в НЕХе они как выглядят? А может это показывается с использованием отладочной инфы

FEUERRADER :: В НЕХе:

016F:00403FF0 64A100000000 MOV EAX,’DOSMGR_BackFill_Allowed’
016F:00404006 64892500000000 MOV ’DOSMGR_BackFill_Allowed’,ESP

Нiew говорит :

016F:00403FF0 64A100000000 MOV EAX, fs:[000000000]

Кто-нибудь может толково сказать, что это значит?

freeExec :: Это комбинация создание нового фрейма обработчика исключений. Нечего полезного для тебя.

BSL//ZcS :: Вероятно, у тебя trw цепляет какие-то левые символы. Посмотри, может у тебя константы для VXDCall-ов криво прописаны. Самое забавное, что код у этой константы совсем другой...
В общем, набери sym и посмотри, что он тебе покажет. Или vxdsym, не знаю. Я с таким не сталкивался. :)
Если там будет фигурировать эта строчка, смотри откуда ты её грузишь. Как найдёшь - вытри, потому как полная лажа. :) Вообще, trw в том месте должен писать [fs:00].




FEUERRADER PEiD 0.9 Ну, как Вам PEiD 0.9?



FEUERRADER PEiD 0.9 Ну, как Вам PEiD 0.9?
У меня он определят Borland Delphi только через Hardcore метод. Хотя 0.8 все нормально делал.

Свежий PEiD 0.9 тут - http://www.mesa-sys.com/~snaker/peid
MozgC :: у меня тоже. Но в остальном поточнее чем 0.8

Bad_guy :: А у меня и 0.8 не определял делфю - только через хардкор. Так что 0.9 почти ничем не отличается от 0.8, но во всяком случае уж получше чем PE Sniffer из PE Tools, а то тот только по фиксированным байтам из EP всё пытает определить, а заменишь 1 байтик и он уже не просекает вообще ничего.




FEUERRADER Наисвежайшие сигнатуры для PESniffer. ТУТ!!! Берите свежие...



FEUERRADER Наисвежайшие сигнатуры для PESniffer. ТУТ!!! Берите свежие сигнатуры для PESniffer от еще не выпущенной свежей версии PETools, на моей "неофициальной страничке PETools"!
hxxp://feuerrader.fatal.ru/petools.htm
FEUERRADER :: XoraX, я думаю, проблем со скачиванием не должно быть.

dragon :: Всё, уже официальная версия вышла.

dragon :: Всё, уже официальная версия вышла.




FEUERRADER Нужен хостинг! Fatal.Ru - не дает использовать mail() из PHP Сразу



FEUERRADER Нужен хостинг! Fatal.Ru - не дает использовать mail() из PHP Сразу извинюсь, что эта тема не по адресу, но все-таки...

Хочу сделать простенькую рассылочку новостей своего сайта. Благо скрипт удобный нашел на РНР. Но дело в том, что на fatal.ru хоть РНР и поддерживается, но не работает функция mail() (кто нибудь знает почему?). При использовании ее, ошибок он не говорит, но письмо не приходит :( А PERL не работает почти вообще - постоянно Error 500 при запуске любого .pl (у меня один скрипт только работает). Так вот, где взять хостинг, на котором сейчас можно
зарегистрироваться (а то на wallst.ru, например, до 15-20 сентября никого не регистрируют)? Главное, чтоб РНР был......остальное не так важно, мне на нем "не жить", а только скрипт поместить по рассылке.
.::D.e.M.o.N.i.X::. :: Перемещайся на www.kulichki.com:))
SSI, PHP4, MySql4, Perl и размер сайта 200Мб (ну админы добрые, если попросить побольше пространства:))

Runtime_err0r :: www.webzdarma.cz - 50 Мег, PHP, CGI, mySQL
но регистрация только для граждан Чехии так что ищи прокси подходящий

[RU].Ban0K! :: Для .::D.e.M.o.N.i.X::.:
А он виртуальные сервера поддерживает... типа можно купить домен, и оставить хостинг старый как я на фатале сделал...?




FEUERRADER Программа для создания сигнатур для PE Sniffer. ТУТ!!! УАУ! Теперь



FEUERRADER Программа для создания сигнатур для PE Sniffer. ТУТ!!! УАУ! Теперь каждый сможет добавить сигнатуры к PE Sniffer’y!!!

С помощью этой тулзы можно быстро создать сигнатуры новых пакеров/криптеров/...
Забирайте тут: http://feuerrader.fatal.ru/petools.htm

Свои замечания можете высказать тут: http://feuerrader.fatal.ru/gb/gb.php




MozgC Тестируйте beta-версию FAQ’a !!! beta-версия FAQ’a выпущена!



MozgC Тестируйте beta-версию FAQ’a !!! beta-версия FAQ’a выпущена!
Еще будут некоторые изменения. Но уже сейчас нам нужно знать ваши мнения, советы и т.д.
Так что читайте и высказывайтесь! Учтем все советы и мнения! Еще не поздно добавить пару вопросов!
FAQ включает в себя 120 вопросов и является самым крупным тематическим FAQ’ом на русском языке.
Надеюсь вам понравится! Читайте!

На всякий случай дам ссылку =)))))))))
http://MozgC.narod.ru/version096.htm
Runtime_err0r :: Q: А где скачать все эти нужные инструменты?
A: На момент написания этого FAQ самым крупным сайтом, где можно скачать большинство (не все правда) нужных программ, является http://protools.cjb.net

На protools давно уже ничего хорошего нет, к тому же там нет вареза только freeware и demo
Тулзы лучше искать на ftp.exetools.com и на anticrack.de

MoonShiner :: А где, мля, мне благодарности? :)

MozgC :: ftp.exetools.com уже год не обновляется...
На www.anticrack.de все тоже старое, нету многих нужных вещей...
Но я че-нить может добавлю...

HamMer :: MozgC, елы палы, никак ты наконец выстрадал свой FAQ!?

freeExec :: Надобы версию для печати, а то все утро тебя проклинал, блин узкое что пол страницы пустые, и всего их 29 штук! После оптимизачии оказалось 18

HamMer :: 2freeExec А ты где там все утро кликал? Там же особенно кликать негде - все на одной страничке написано! Или может я чего не увидел... А вообще, молодцы MozgC и FEUERRADER! Жалко, что такого не было, когда я разбирался со взломами. Теперь новичкам вообще халва! Остается только Wizard’ы написать для совсем тупых!

Bad_guy :: MoonShiner
Киданули тебя, мунш !
И наверняка они еще Фесса с Валкором фак использовали и тоже не написано ничего про это.
А вообще от фака я уже ... в смысле классный фак, ща читать начну

.::D.e.M.o.N.i.X::. :: Прочитал такое :

цитата:

Q: Какую операционную систему лучше использовать для занятия реверсингом?
A: Лучше всего установить 2 ОС. Windows 98 и Windows 2000 или Windows XP. Этому есть причины:
1) некоторый софт для ревёрсинга не предназначен для для использования на Win9x/ME.
2) проверка работоспособности программы (после ее модификации) на других ОС.


Интересно, а почему FEUERRADER до сих пор сидит на WinMe? (вы видели кого-нибудь из реверсов, сидящих на этой системе, я лично только его)
To FEUERRADER
Может подскажещь мне?
P.S. И очепяток много!!! Вы чему народ учите?

Араб :: Нормально. По крайней мере на один затруднительный вопрос я нашел ответ.

MozgC :: Bad_guy
Вот только не надо про кидание ок? Ты не знаешь что там и к чему.

И насчет Фесса и Валкора тоже.
Что вообще за глупости? Что за отношение? Настроение охото попортить? Фесс и Валкор тут вообще не причем.
Это я к тому что если не знаешь, то не надо клеветать и кричать об этом.

MozgC :: И вообще 90% вопросов брались из своей головы, остальные 10% - кто-то просил включить в ФАК. Вопросы есть?

FEUERRADER :: 2 .::D.e.M.o.N.i.X::.: у меня аллергия на win2k/xp :) И не один я: bi0w0rm тоже на winme работает.

Runtime_err0r :: MozgC
> ftp.exetools.com уже год не обновляется...
Ну да, только вот недавно там SI Driver Studio 3.0.1 выложили, но это фигня

Bad_guy :: Ладно, Мозг, это все шутки. А если серьезно, то получай рецензию по электронной почте.
Фесса с Валкором я вспомнил только потому, что ты когда то говорил, что у вас будет фак, круче чем у них, то есть подразумевалось, что вы ознакомились с их факом и базируетесь на нем.

HamMer :: FEUERRADER
Интересно, а почему у тебя на 2000/ХР такая неприязнь? Я особой неприязни не испытываю к каким то ОСям. На большинстве моих компов как раз ХР стоит, на одном еще для частных случаев 98, как вторая для крайней необходимости. От МЕ сам отказался в связи с большим количеством глюков, которые приходится глотать при разработке программ. На счет отладки не берусь говорить - тебе виднее. Просто дело не дошло до установки Айса на МЕ. Но мне просто интересно с чем связано то, что ты как раз на МЕ сидишь? Быть может я для себя какую то полезную инфу почерпну!

MozgC :: Bad_guy Я читал их фак, но на нем абсолютно не базировался. Да и базироваться на нем нельзя - он более чем в 5 раз меньше... Очень много вопросов - это вопросы которые я сам когда-то задавал. Вот сидел и вспоминал =))

MozgC :: Runtime_err0r

цитата:
MozgC
> ftp.exetools.com уже год не обновляется...
Ну да, только вот недавно там SI Driver Studio 3.0.1 выложили, но это фигня


По одной вещи не судят. Судят по большинству. А большинство там очень не радует.

.::D.e.M.o.N.i.X::.
Что вы прицепились к FEUER’у с WinME ? Это его дело. Он же не советует его ставить. А сам пусть что хочет использует. Так что этому мы не учим.
Опечатки? В студию! Будем исправлять. Хотя мне кажется что для интернет документа грамматически уровень абсолютно соотвествует. Если нашел опечатки, то лучше не кричать о них, а указать где они.

HamMer :: А я и не цеплялся. Просто мне интересно мнение! Если ты не заметил, вмоих словах никапли наезда или презрения к этой ОСи не было. Если не в лом, то пускай напишет.

FEUERRADER :: 2 HamMer: ничего особенного в winme нету. Просто нравится и все. Правильно сказал MozgC, что я никого не заставляю и не принуждаю юзать winme.

P.S. Вообще-то тут тема про FAQ, а не про ОС. Больше темы ОСей я затрагивать не буду.

Volkov :: Неплохо, но стоит добавить для совсем начинающих, вопросы типа: распаковал, - что дальше; раздизасмил - что дальше; исправил, а как собрать? или как поменять байтики там-то? как добавить свою функцию? И ссылки по асму для непонятливых... и т.д. Тогда еще круче будет.

MozgC :: распаковал, - что дальше;
Дальше дизасмить.

раздизасмил - что дальше;
Тут уже ФАК бессилен. Самому надо думать за тебя никто ломать не будет.

исправил, а как собрать?
Всмысле?

или как поменять байтики там-то?
Такой вопрос есть.

как добавить свою функцию?
Такой вопрос есть.

И ссылки по асму для непонятливых
Такой вопрос есть.

и т.д.
Такой тоже есть.

Тогда еще круче будет.
Круче будет если внимательнее ФАК читать. Вдумчиво и пробовать, осмысливать что прочитал. А не на одном дыхании все 120 вопросов.

Volkov :: Я то знаю что дальше и как, ты просто меня не понял. А вот на счет собрать меня иногда спрашивают типа: раздисасмил, исправил работает, сохраняю выхожу неработает????? IDA создает какието файлы? На много больше по размеру чем сама прога, я так понимаю что разбирает по свойму както, а чем собрать всю эту конетель? Ведь у меня с IDA-то работает, почему после выхода нет? Или в IDA работает, а скомпилить обратно немогу и т.д. и т.п. глупые вопросы? А я считаю что нет. Нужно просто выложить еще инструкции по использованию IDA, айса, DeDe и т.д.
А на счет других вопросов просто пролетел глазами скорее всего не отложилось в памяти.
А вообще фак очень даже неплохой.

MozgC ::
цитата:
А вот на счет собрать меня иногда спрашивают типа: раздисасмил, исправил работает, сохраняю выхожу неработает????? IDA создает какието файлы? На много больше по размеру чем сама прога, я так понимаю что разбирает по свойму както, а чем собрать всю эту конетель? Ведь у меня с IDA-то работает, почему после выхода нет? Или в IDA работает, а скомпилить обратно немогу и т.д. и т.п.


Я че-то вообще не понял. Объясни поподробнее.

Volkov :: Я говорю что много глупых вопросов задают про IDA и айс - надо инструкции по пременению выложить.
Дай ссылку на крякми который был по этому адресу http://mozgc.nm.ru/files/...rcracking/hardcrackme.zip , хочу подобрать код, а потом разобраться что к чему.

MozgC :: http://MozgC.narod.ru/hardcrackme.exe

RideX :: Скомпилировал FAQ в *.chm, по моему так удобнее, и отправил FEUERRADER’у. Теперь дело только за ним с MozgC’ом, если решатся выложить :)

MozgC :: Да рано еще в *.chm переделывать =) Еще много изменений будет.

.::D.e.M.o.N.i.X::. :: FEUERRADER пишет:
цитата:
2 .::D.e.M.o.N.i.X::.: у меня аллергия на win2k/xp :) И не один я: bi0w0rm тоже на winme работает.


У меня только на XP, но мона ведь и в 98 посидеть:))

.::D.e.M.o.N.i.X::. :: MozgC
Тебе нужны ошибки и опечатки? Лови:
"Очепятка" "Что должно быть"
написаня написания,
Охото Охота,
едениц единиц,
рагистр регистр
буффера буфера
лежашие лежащие
Совокупоность Совокупность
зарегестрированной зарегистрированной
получания получения
найдейтся найдется
структурированая структурированная
возникновений возникновении
Догнлы Донглы
эдектронными электронными
аттрибутами атрибутами (или я не прав?)
Соотвественно Соответственно
соотвествующих соответствующих (чтобы две очепятки было, это уже слишком)
зарегестрирована зарегистрирована
соотвествующий соответствующий
противоложное противопожное
соотвествующий соответствующий (далее это слово я пропускаю)
команаду команду
нажимате нажимаете
поулярные популярные
использовнии использовании
зарегестрированной зарегистрированной (далее это слово я пропускаю)
вслывающем в сплывающем
непосредтвенным непосредственным
для для для (наверное как в сайсе зациклило )

Вот такие очепятки у Вас, особенно мне понравилось команаду и нажимате (а это случайно не украинский?)
Где я пометил "далее это слово я пропускаю", значит оно по всему тексту и нет ни одного правильного варианта.
Так что исправляйте свои ошиПки и оЧеПятки.

.::D.e.M.o.N.i.X::. :: Сволочь, скрипт пробелы обрезал

RideX :: MozgC пишет:
цитата:
Да рано еще в *.chm переделывать =) Еще много изменений будет.


Согласен, а эти изменения можно спокойно добавлять к уже существующей базе, как Updates и перелопачивать заново ничего не нужно ;-), а если одно и то же переделываь по сто раз, задолбаетесь, наверное. Раз в месяц выпустили апдейт, добавили, дополнили или исправили если что не так, делов то :)

MozgC :: .::D.e.M.o.N.i.X::. спасибо за проверку. Не пробовал редактором устроиться? =)

Вот только где ты пометил "далее это слово я пропускаю" и говоришь что нет ни одного правильного варианта, ты не прав. Правильные варианты есть в обоих случаях и их много. Так что не надо так говорить.
И еще, нет слова "сплывающем", есть слово "всплывающем" =)
Вот я всю жизнь думал что надо писать "мне охото что-то сделать". Но щас закралось сомнение что все-таки "мне охотА что-то сделать". Кто что думает по этому поводу?

В любом случае спасибо, буду исправлять щас сидеть.

Кстати практически все ошибки во второй половине текста. Это я первую половину внимательно смотрел, а потом уже голова распухла от проверки и понеслось... Как ты выдержал все - я не знаю =)

.::D.e.M.o.N.i.X::. :: MozgC пишет:
цитата:
И еще, нет слова "сплывающем", есть слово "всплывающем" =)


Мож словарь возьмешь и проверишь? Именно "в сплывающем", хотя и "всплывающем" тоже есть, но в данной фразе нужно употреблять "в сплывающем" (хотя я не лингвист).
Насчет охота - охото, спроси у преподователя по русскому языку (спорить не буду, но остаюсь на своем варианте).

MozgC :: В данной фразе нужно употреблять именно "во всплывающем". Говорят "всплывать", а не "сплывать". Так что лучше ты все-таки с словаре то посмотри. Только словарь не знает в каком случае что писать, а вот у преподавателя спроси. Вот если не веришь тебе выдержка из словаря:

Всплывать:
1. Подняться из глубины воды на поверхность. Всплыла затонувшая лодка.
2. (1 и 2 л. не употр.), перен. (обычно со словами «наружу», «на поверхность»). Обнаружиться, неожиданно появиться, стать явным (о чём–н. отрицательном). Всплыли ошибки. Всплыли неожиданные подробности.

Сплывать:
СПЛЫТЬ (–в?у, –вёшь, 1 и 2 л. не употр.), –вывёт; –?ыл, –ыл?а, –?ыло; сов. (разг.).
1. Оторвавшись, уплыть (по течению). Мостки сплыли в половодье.
2. Стечь, перелившись через край.
Ё Было да сплыло — погов. о том, что исчезло безвозвратно.

Все еще думаешь что тут надо "сплывать"? =)
Насчет редактора я погорячился =)

.::D.e.M.o.N.i.X::. :: MozgC пишет:
цитата:
Насчет редактора я погорячился =)


Не остроумничай, тебе ошибки предоставил, а все остальное твоя забота, как хочешь так и правь
P.S. Со словом Сплывать прокосился (ты меня переубедил), тогда надо "в всплывающем окне"

MozgC :: Я не "остроумничаю", я лишь говорю что думаю, если ты ошибся и в то же время меня подеъбнул с моими ошибками, то я тебе просто указал на твои ошибки.
Что насчет "во всплывающем" то предлог "в" меняется на "во" если после него идет слово на "в" и второй буквой идет согласная:

"ВО 1, предлог. Употр. вместо «в» перед нек-рыми сочетаниями согласных, напр. во двор, во сне, во рту, перед словами начинающимися с буквы «в» и следующей за ней согласной, напр. во всем, во власти, во внимание, в отдельных выражениях, напр. во весь рост, во имя, во исполнение."
Лучше согласись и все =)

Давай не будем спорить. Я тебе благодарен за помощь. Ты действительно много опечаток нашел. Но я просто не согласился с парой твоих исправлений и комментариев, которые были как усмешка в мою сторону. В любом случае давай закроем тему ок?

Bad_guy :: Что вы тут спор раздуваете из-за мелочей. А вообще, Мозг, нужно посдержанее быть - не всё требуется комментиррвать: тебе указывают на ошибки - просто исправь и скажи спасибо, что потрудились тебе помочь их найти, а комментировать каждую ошибку не обязательно.
А вот на тему ошибок в твоем документе: я считаю, что их просто ничтожно мало для такого вида литературной документации, как крэкерский фак.

.::D.e.M.o.N.i.X::. :: MozgC пишет:
цитата:
Я не "остроумничаю", я лишь говорю что думаю, если ты ошибся и в то же время меня подеъбнул с моими ошибками, то я тебе просто указал на твои ошибки.
Что насчет "во всплывающем" то предлог "в" меняется на "во" если после него идет слово на "в" и второй буквой идет согласная:


Если только строго придерживаться правил русского языка. На самом деле я много встречал и мой вариант в умных книжках. Насчет усмешок: Я тебя не @!#$ ывал, просто мне действительно слова понравились - "команаду" и "нажимате" - ведь действительно прикольно получилось
P.S. Хотя однажды в книжке вместо "пространство" было "просранство" - нехилая опечатка
Посмеялись и хватит, ты попросил, я указал, забыли короче, проехали на паровозе, взлетели

HamMer :: 2.::D.e.M.o.N.i.X::.
Ты чего к ошибкам прицепился. Он же не экзамен сдает! А кому не нравится, может не читать. ФАК, вроде, не для демонстрации красоты русского языка писался! Еще спасибо надо сказать, что вообще его написали.

MozgC :: HamMer да я его просил ошибки показать, а потом просто возникли спорные места. В любом случае тема уже закрыта...




Dred ФАК Где скачать ФАК?



Dred ФАК Где скачать ФАК?
MozgC :: http://www.fuck.com =)))

А вообще щас пойду доделывать.... Так и быть =)

nice :: MozgC
Супер!!!! :)

HamMer :: Mozg, блин, хорошь детей развращать!

Dred :: MozgC
А там ФАК не по теме КРЭКА.
Другой плиз.

MozgC :: Другой будет через недельку.
ФАК уже готов на 95%. Щас делается оформление в хтмл. Останется проверить грамматические ошибки и исправить последние оставшиеся косяки.
114 вопросов.

dj :: MozgC!
Я думаю будет интересно посмотеть!!
P.S.
Я имею введу не первую ссылку!!!

MoonShiner :: Дааа... Мозг теперь будет самым крутым факером:)

Guest :: Самое главное - это нужно всем, а MozgC и кто ему помогает, молодцы!
Когда я учился крэку, небыло ни ФАКов, не "Пшел на..."

FEUERRADER :: FAQ почти доделан! Я его уже сделал в HTML! Осталось дело за MozgC - грамматические ошибки и косяки небольшие поправить. Скоро уже, скоро.......
Планирую этот FAQ после опубликования в HTML сделать еще HLP версию. Как думаете, надо или HTML хватит?

XoraX :: Лучше бы сделать в chm. Разбить по категориям и все.

[RU].Ban0K! :: XoraX пишет:
цитата:
Лучше бы сделать в chm. Разбить по категориям и все.


Ага... это былоб куда лучше HTML... :)

Gerix :: Да пусть хотябы в html выйдет , а потом уже будем пожелания писать.
З.Ы Несомненно в chm было бы удобнее.

MozgC :: Мне больше нравится в html, но FEUERRADER говорил что потом оформит и в виде хелпа.

XoraX :: Вот и чудесно! Поскорей бы зачитать сию книженцию...

Dred :: MozgC

ну ужо не терпится - откуда качать-то

ЗЫ я конечно не тороплю но хотелось бы взглянуть на фак

MozgC :: Фактически осталось добавить 1 вопрос и подправить один вопрос. Ну еще грамм. ошибки исправить. Постараюсь все это сделать седня и сегодня-завтра выложим бета-версию я думаю =)

.::D.e.M.o.N.i.X::. :: MozgC
А ты в курсе, что твой сайт удалили? Мож у тебя новый появился, так ссылку измени.

HamMer :: .::D.e.M.o.N.i.X::., ты имеешь в виду www.fuck.com?

MozgC :: .::D.e.M.o.N.i.X::. да я в курсе, в начале августа вроде удалили. Ссылку менять влом =)

Dred :: Ну что там с факом-то
откуда качать?

Kerghan :: тут где-то тема открыта, тока как называется не помню




FEUERRADER Вышел Feuer’s NFO File Maker 2.0 Сегодня, 23 сентября, релиз новой



FEUERRADER Вышел Feuer’s NFO File Maker 2.0 Сегодня, 23 сентября, релиз новой версии моей тулзы для создания NFO/DIZ файлов - Feuer’s NFO File Maker 2.0. Для ознакомления с новой версией добро пожаловать на мой сайт в соответствующий раздел.

Вы можете высказать свое мнение об этой версии в этом топике или напишите мне на мыло.
Kerghan :: нехорошо драть по десять баксов с крякеров,

а с другой стороны нехорошо ломать их программы

Bad_guy :: Kerghan
Покажи мне крэкера который пусть хотя бы и NFoMaker купил !

MoonShiner :: Хмм... Но существуют крякеры, которые и ДС и ИДУ купили. Чисто из уважения к производителю.

Bad_guy :: MoonShiner
Вот и купи из уважения к Фейерайдеру его NFO Maker ! («Bad_guy рекомендует ! »)

MozgC :: Кстати, если бы он стоил рублей 10, я бы купил =)
Вот и думай, может стоить намного цену уменьшить и взять количеством, чем по 10$?

MoonShiner :: Bad_guy, а куда он мне сдался? :)

FEUERRADER :: Само собой ясно, что не всем FNFM нужен и не все хотят платить (да никто не любит!). Но я предлагаю купить FNFM только тем, кто действительно хочет релизить кряки (например, «начинающим» группам) и снабжать их «крутыми» NFO. Немного «настроив» FNFM 2.0 можно делать NFO для кряк-команд (есть даже реальные примеры!).
Так что спектр применения FNFM в создании NFO разнообразен.

И еще, я считаю, что неправда то, что каждый крякер пользуется только сломанным ПО. Есть крякеры, кто, действительно, из-за уважения к разработчику или самому программному продукту, покупает программу.

P.S. Коллеги, давайте не будем категоричны в отношениях к FNFM или лично ко мне!

FEUERRADER :: Забыл сказать, что я могу сделать Вам лично дизайн (ну, или для команды). Не логотип, а дизайн (работает только в зарегистрированной версии).

Не сочтите за рекламу, но это за небольшую плату только....

P.S. Такой дизайн уже сделан для моей команды ALIEN HACK.

LT :: ALIEN HACK - Иностранец рубит (перевод промта) :) А так Чужие хакеры?

Сомневаюсь я, что крякер купит Драйвер Студию, ох как сомневаюсь :) Если только богатей какой-нибудь.

Runtime_err0r :: LT

цитата:
Сомневаюсь я, что крякер купит Драйвер Студию, ох как сомневаюсь :)


А ты зайди на REVERSING.NET там половина народа на лицензионной IDA и SI сидят

FEUERRADER
Может купить FNFM и выложить для всех ?

MozgC :: Ребят, че вы до него доебались ? Харэ. Давайте закроем тему.

LT :: Давайте :)

MoonShiner :: Хмм... А как нить можно твой продукт ломануть, а, FEUERRADER? ;)

MozgC :: А ты попробуй. Feuerrader говорит что версии 1.6 - 2 защищены неплохо. Только не надо потом кряк распространять. Хотя можно потом feuerrader’a шантажировать =) Типа 100р или кряк разошлем по всему инету =)

RideX :: Ломануть нельзя

Kerghan :: взломано

FEUERRADER :: В тут про кряк к 1.6 и 2.0 говорите... хочу вмешаться....

Чтобы сломать FNFM 1.6 -2.0, нужно сделать доступным не только предпросмотр NFO и активировать скрытые функции, а еще, чтоб NFO Type 2 и минимум 5 дизайнов (ну хоть бы 2 кто смог «подобрать»:)) были РИСУЕМЫ в NFO, а не пустые выдавались NFO. Я сам знаю, что заменив только 1 байт можно сделать доступными скрытые функции FNFM 1.6. Но, радость «исследователей» омрачается, когда видят «пустой» (без ASCII графики) выходной NFO...... в этом и есть защита FNFM - вся ASCII - графика скрыта в ключах, а не проге. Поэтому, «как ломануть, когда нечего ломать»?

LT :: По ходу можно сделать все скрытые функции открытыми Универсальным кряком (сканит hwnd), если конечно демка не урезанная версия.

.::D.e.M.o.N.i.X::. :: LT пишет:
цитата:
По ходу можно сделать все скрытые функции открытыми Универсальным кряком (сканит hwnd), если конечно демка не урезанная версия.


Нельзя:)))
А вообще FEUERRADER я тебе тоже стоветую сбросить цену до 100 рубликов для Российских ламер... э-э-э пользователей и 9.95$ для буржуев (ой как они любят эти цифры - 9.95). Даже прикол был, продавал одну прогу за 20$ - мало кто брал, снизил до 19.95$, как с ума посходили (по сравнению с предыдущими продажами). Этим беднягам денег некуда девать, могут даже прогу купить из-за красивого дизайна, т.е. в жизне она может им и нафиг не нужна, но зато красиво. Так что думай, тебе решать...

MozgC :: .::D.e.M.o.N.i.X::.
А что за прога если не секрет?

- Взламыватель инета =))))))))

.::D.e.M.o.N.i.X::. :: MozgC пишет:
цитата:
А что за прога если не секрет?


Секрет. Системная утилита, только она покриптована наподобие аспровского алгоритма, т. @!#$ ез ключика никак некоторые функции не активировать. Даже один крякер - буржуй написал мне, что типа клевая у тебя защита, хотя я сам ничего клевого в ней не вижу.
MozgC пишет:
цитата:
Взламыватель инета =))))))))


Из меня хакер как из тебя балерина

MozgC :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Из меня хакер как из тебя балерина


Ну я 12 лет занимаюсь балетом.. =)

.::D.e.M.o.N.i.X::. :: MozgC пишет:
цитата:
Ну я 12 лет занимаюсь балетом.. =)


Да хвотит тебе @!#$ ывать:)))




FEUERRADER Поиск байт в памяти процесса Возникла проблема по поиску



FEUERRADER Поиск байт в памяти процесса Возникла проблема по поиску последовательности байт в памяти процесса.
Код на Дельфи:

for i:=$420000 to $445000 do begin
ReadProcessMemory(pi.hprocess,Pointer(i),@olddata, 6,bytesread);
if (olddata[0] = $AD) and
(olddata[1] = $54) and
(olddata[2] = $56) and
(olddata[3] = $35) then
begin
WriteProcessMemory(pi.hProcess, Pointer(i), @newdata[0],1, i1);
END;
end;

Ищется последовательность байт AD545635 в диапазоне [420000; 445000] и если находится, то удачно патчится. Т.е. Всё ОК.
Но поиск очень медленно идет. В указанном диапазоне может занимать до минуты и более.
Может кто-нибудь подскажет другой способ? Только на Дельфи.
MozgC [TSRh] :: Намного увеличь в буфер, считывай все в буфер такими большими кусками и уже ищи в массиве вместо того чтобы каждый раз ReadProcessMemory...

-= ALEX =- :: Короче берешь и считываешь все байты в некий буфер (buf: Pbytearray), затем делаешь так getmem(buf,size), size - размер, и читаешь последовательность байтов по адресу $420000 и размером ($450000 - $445000), а потом уже перебираешь байты в буфере. Это очень быстро.... если что могу сделать реальный пример...

freeExec :: PS. И старвнивай не по байтам а сразу 32 битным числом

-= ALEX =- :: FEUERRADER Тебе обязательно на Delphi ? на асм не пробывал

FEUERRADER :: -= ALEX =-
Если можешь, скинь на мыло примерчик.
Надо на Дельфи, т.к. масм/тасм не знаю (толком не разбираюсь) :(
А?

-= ALEX =- :: OK ! буду писать...

-= ALEX =- :: var buf:PByteArray;
size,i:Integer;
FirstOffset,SecondOffset:longint;
begin
; Заполняем инфу
FirstOffset:=$420000;
SecondOffset:=$445000;
size:=SecondOffset-FirstOffset;
;
getmem(buf,size);
ReadProcessMemory(pi.hprocess,Pointer(FirstOffset) ,@buf,size,bytesread);
for i:=0 to size-1 do
begin
if (buf^=$AD) and
(buf^[i+1]=$54) and
(buf^[i+2]=$56) and
(buf^[i+2]=$35) then WriteProcessMemory(pi.hProcess, Pointer(i+FirstOffset), @newdata[0],1, i1);
end;
freemem(buf);
end;

Сразу скажу, что я не тестировал, но принцип таков, и должно по идеи работать...




FEUERRADER UPX -› SVKP Посмотрите, как можно легко из UPX 1.24 сделать SVKP...



FEUERRADER UPX -› SVKP Посмотрите, как можно легко из UPX 1.24 сделать SVKP 1.3.
Побочное действие - PEiD 0.91 только при hardcore scan говорит про SVKP.
Смотрите: http://feuerrader.ahteam....bin/load.cgi?Analyze2.rar [3 Кб]

Вывод: анализаторам верить нельзя.... :((
-= ALEX =- :: Ты мой исходник смотрел ? работает ? а то молчишь, хоть бы поблагодарил ;)

FEUERRADER :: -= ALEX =-
Твои сырцы смотрел, конечно... но, к моему сожалению, у меня они не работают :((
Падает с недопустимой операцией в непонятном месте. Если не в ломы - мыльни мне, у меня есть вопросы по коду (а то я мылил - ты не ответил). Например «pbytearray» - вообще такого компилятор не воспринимает. Может «array of pByte»?

-= ALEX =- :: OK, напишу как-нить на мыло....




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




FEUERRADER Armadillo v3.5x Нужна сигнатура Armadillo, желательно последней...



FEUERRADER Armadillo v3.5x Нужна сигнатура Armadillo, желательно последней версии. Кто может, киньте в этой теме.
Благодарю за внимание.
Bad_guy :: А чё самому не выковырить ?
P.S. Что-то ты раненько уже в сети 1 января то. Хоть отмечал ?

FEUERRADER :: Bad_guy пишет:
цитата:
А чё самому не выковырить ?


Нету на руках прог с последним Армадилло, а качаит из-за сигнатуры в ломы.
Ну что, поможет кто али нет? Наверняка у кого-то проги армадиловые есть...
Bad_guy пишет:
цитата:
P.S. Что-то ты раненько уже в сети 1 января то. Хоть отмечал ?


Еще как! :)

Bad_guy :: FEUERRADER пишет:
цитата:
Нету на руках прог с последним Армадилло, а качаит из-за сигнатуры в ломы.
Ну что, поможет кто али нет? Наверняка у кого-то проги армадиловые есть...


А чтоб сигнатуру выковырить одной упакованой проги мало - надо хотя бы две, ну или в отладчике сидеть и разбираться что там константа, а что переменная. А мне тоже влом качать, хотя если б была с ключом, я бы скачал.




Telex 2 MozgC [TSRh]



Telex 2 MozgC [TSRh]
цитата:
app [ Ukr Blank 3.0.3.1 ]
url [ http://www.ukrblank.com ]
by [ MozgC ]
type [ Crack ]
date [ 30-12-2004


Если не смотреть в дате на год (2004), то кто же быстрее, MozgC или разработчик, у которого менее чем за день (с 30-го по 30-е) новая версия и новое решение против патча? Или оба молодцы и вместе улыбаетесь? ;)
XoraX :: Наверняка просто обычная ошибка крэкеров - сломал прогу, перевел дату, чтоб убедиться что прога работает, а потом обратно забыл перевести - она в релиз и подставилась... или я не прав?

MozgC [TSRh] :: Да блин косячок вышел =) Конечно дату переводил чтобы проверить. Ладно, править не буду - влом =)

UnKnOwN :: Для MozgC [TSRh]

Не надо менять :), и так прикольно...

Кстати спасибо....

MozgC [TSRh] :: Пожалуйста =)

MozgC [TSRh] :: Telex кстати а как ты умудрился этот мой кряк достать уже 30-го числа, т.е. в тот же день когда я его зарелизил? Там же скачка только с зеркал, а обычно проходит несколько дней пока крэк расходится по зеркалам...

XoraX :: а в МИРКе мрожно через пару часов достать

FEUERRADER :: XoraX
А у друзей TSRh кряки еще раньше появляются, наверное :)

-= ALEX =- :: MozgC [TSRh] прикольная у тебя картинка :)

MozgC [TSRh] :: Да вот решил для разнообразия сменить...

Bad_guy :: -= ALEX =- пишет:
цитата:
MozgC [TSRh] прикольная у тебя картинка :)


А вот у XoraX’a что-то не очень...

Runtime_err0r :: _http://www.zone.ee/Runtime_err0r/KpT-UkrBlanks303 2_exe.rar
Сам не проверял но должно работать

Telex :: Всех с Новым Годом!!!
MozgC [TSRh]

цитата:
Telex кстати а как ты умудрился этот мой кряк достать уже 30-го числа?


Хорошие новости быстро распространяются :)
Runtime_err0r

цитата:
_http://www.zone.ee/Runtime_err0r/KpT-UkrBlanks 303 2_exe.rar
Сам не проверял но должно работать


У меня при запуске exe симофорит красным:

цитата:
Повiдомлення:
Не icнуе файлу звiту: Програма не буде працювати з звiтом - Рахунок-фактура
Програма не буде працювати з звiтом - Видаткова накладна
Програма не буде працювати з звiтом - Податкова накладна
Програма не буде працювати з звiтом - Акт виконаних робiт
и т.д. много другого


а во всём другом вроде как работает :)

MozgC [TSRh] :: Runtime_err0r
Ты походу пропатчил процедуру которая используется для проверки патчей. Ее нельзя патчить, иначе будут проблемы с остальными файлами как и говорит Telex. Нужно либо менять переходы в нужных местах либо переписывать эту процедуру чтобы она только на нужных файлах возвращала что нужно.

MozgC [TSRh] :: Эээ. Ну или кто у вас там крэк делал.

Runtime_err0r :: MozgC [TSRh]
Я просёк эту фишку и правил только переходы в нужных местах после патчинга всё проверял и у меня работало нормально - не ругалось. Посмотрим, что другие пользователи скажут ...

P.S. Хотя сами понимаете - 1 января зарелизить кривой кряк простительно

P.P.S. Telex
Я перезалил - глянь ещё раз plz

Telex :: Runtime_err0r
1-го января и не такое простительно...
Я с похмелья даже антивирь не включал
Ок, проверю :)

Telex :: Runtime_err0r
После замены exe - ПОЛЁТ НОРМАЛЬНЫЙ!!!
Возвращаюсь для теста к перво-январьскому, опять симофоры.
Судя по свойствам файла - он и не менялся. Время, размер и пр. одинаковы.
Значит во всём виноват «инет»...
Твёрдая пятёрка!!!

MozgC [TSRh] :: Скорее всего содержимое поменялось =)




FEUERRADER новая секция Может кто-нибудь подкинуть дельфи-код по добавлению...



FEUERRADER новая секция Может кто-нибудь подкинуть дельфи-код по добавлению новой секции (и чтобы заголовок правился и RV, RS, ImageSize правились) в ЕХЕ и записи нескольких байт в эту секцию?

Мож у кого есть или кто сам писал такое?
MaDByte :: На wasm.ru есть в исходниках (на асме ;))

vins :: у меня исходники какого то криптора morphine есть, на delphi. могу скинуть, может там че найдешь.

XoraX :: vins , выложи куда-нить плиз.
тоже интересно посмотреть.

vins :: XoraX
давай тебе скину, а ты уж...

-= ALEX =- :: FEUERRADER переходил бы уже давно на асм...

XoraX :: vins , кидай

vins :: XoraX
отправил

bi0w0rM :: FEUERRADER пишет:
цитата:
Может кто-нибудь подкинуть дельфи-код по добавлению новой секции (и чтобы заголовок правился и RV, RS, ImageSize правились) в ЕХЕ и записи нескольких байт в эту секцию?
Мож у кого есть или кто сам писал такое?


Первый раз вижу вирмейкера, который на делфи свои аццкие штуки пишет

bi0w0rM :: Мне кое-кто из врагов сказал, что на меня есть компромат:

Оказываецца мои враги такие уроды ;)
КОМПРОМАТ

MC707 Re: bi0w0rM :: Ужжас! Беее-эээ

FEUERRADER :: Ладно, написал сам что хотел. Ща пишу «обманыватель PEiD». Думаю, как и мои последние RE проги, она будет приватная, т.е. только для друзей.

Всё равно, спасибо.

FEUERRADER :: Ладно, написал сам что хотел. Ща пишу «обманыватель PEiD». Думаю, как и мои последние RE проги, она будет приватная, т.е. только для друзей.

Всё равно, спасибо.

-= ALEX =- :: FEUERRADER а смысл такого «обманывателя», по-моему на этом сайте ламаков нету, все умеют на глаз определять пакер и тем более его распаковывать...

Kerghan :: FEUERRADER
ты бы обманыватель для армадиллы написал, прикольно бы было

XoraX :: действительно, зачем крэкерам обменывать Peid?
ты лучше напиши, потом укрась, сделай конфетку и продавай шароварщикам...
главное им впарить, что без Peid крэкер как без рук

FEUERRADER :: 2 -=ALEX=-: я не понимаю, ты чего кипишь поднимаешь? Я никого не называл ламерами... принимаешь всё на себя?

Да большинство крякеров всё-таки пользуется PEiD, это только профи не пользуются, а новички верят. Не думайте, что обманывать peid - это защита. Это просто можно считать одним из методов анти-отладки, что-то типа анти-сайсовых методов. Для реальной защиты этим пользоваться не стоит.

bi0w0rM :: MC707 пишет:
цитата:
Ужжас! Беее-эээ


Это ты про ёга???

Уроды, да??

MozgC [TSRh] :: Не ну чисто ради прикола можно из UPX сделать Xtreme Protector =)

FEUERRADER :: 2 MozgC: я о том же! А все так серьезно восприняли тему...

nice :: FEUERRADER
Да согласен с тобой, защита должна быть многоступенчетой.
А на счет Delphi, опять же DeDe он много чего может, если бы его на асме писали, времени бы раза в 3 больше ушло.

MozgC [TSRh] :: DeDe обломался в новом аспре....

nice :: MozgC [TSRh]
Не знаю, попробовал, у меня переживал,
Утилиты-›Дампить активный процесс и т.д.

MC707 Re: bi0w0rM :: Ага

-= ALEX =- :: FEUERRADER обманыватель peid только для «легких» пакеров, таких как upx и т.д. , т.е. где нету никаких проверок crc и т.д.... ладно, делай.... мож действительно буржуям впаришь...

MozgC [TSRh] :: nice
Когда ставится галочка «Protect Delphi-forms against decompilation» то DeDe в обломе. В твоем случае значит эта галочка не стояла.

-= ALEX =- :: MozgC [TSRh] не у всех пока такой последний аспр :)

Bad_guy :: Вот видишь FEUER какая реакция на антиpeid, теперь ты меня понимаешь ???

-= ALEX =- :: =)

Aragon ::

UnKnOwN :: Для -= ALEX =-

Прикольный аватар, честно ...

bi0w0rM :: 2All: сорри за оффтоп, но что такое NSK ??

Kerghan :: bi0w0rM
Новосибирск, что ж еще
хотя я не оттуда

-= ALEX =- :: =)

UnKnOwN :: Для -= ALEX =-

А так похож...

-= ALEX =- :: UnKnOwN пишет:
цитата:
А так похож...


Я то-ли похож ? ты меня видил ? :) :) 8)

UnKnOwN :: Да нет представил !!!!!

Kerghan :: UnKnOwN
только он еще в очках :)))))))))
...наверно

-= ALEX =- :: нет я не в очках,впринципе мне многе говорят, что похож, так что вы верно подметили




odIsZaPc Исследование ASCII Art Studio Есть такая прога. Служит для рисования...



odIsZaPc Исследование ASCII Art Studio Есть такая прога. Служит для рисования ASCII графики. Но вот трабл: незарегистрированная версия не может сохранять и работает 30 дней -). При вводе серийника говорит, что нужно перезапустить ее, а сама при этом серийник записыает в файл aasreg.txt. Ну ладно, перед запуском ставлю bpx ReadFileA, прерываюсь, чуть смотрю в EAX смотрю адрес буфера, вижу сериал. Ставлю bpm на него. По BPM’у прерываюсь пару раз. Второй раз идет его копирование в другой участок памяти, а вот дальше.... Дальше несрост... Там все несложно, это я затупляю... Поможет кто? Интересен даже не кряк, а сама защита, если таковая иммется, потому и вынес в отдельню тему. И еще - она запакована UPX, но вручную без проблем распаковывается... Если кто захочет, то качать тут:
http://www.torchsoft.com/download/aas_en.exe
Размер: 332 Kb
FEUERRADER :: Я прямо «готовенькую» с форума EXETOOLS.com качал. Cracked by Dyn!o. Там версия 1.0. Если интересно поищи там.

Runtime_err0r :: odIsZaPc

Differences between AsciiArtStudio.exe & AsciiArtStudio-.exe
AsciiArtStudio.exe
0003DB67: 39 C6
0003DB6D: 5E 01
0003DB6E: 5B 5E
0003DB6F: 75 5B
0003DB70: 6A 90
0003DB77: 74 EB

P.S. Где ты там UPX увидел ???

P.P.S. _http://www.zone.ee/Runtime_err0r/KpT-AsciiArtStud io200_exe.rar

odIsZaPc :: Runtime_err0r пишет:
цитата:
P.S. Где ты там UPX увидел ???


Меня уже глючит. Проги путаю. Нет там никакого UPX... Я уже туплю...
А качать кряки я не буду - я должен сам взломать. ОК?
FEUERRADER пишет:
цитата:
Я прямо «готовенькую» с форума EXETOOLS.com качал. Cracked by Dyn!o. Там версия 1.0. Если интересно поищи там.


Старовата будет... Но все равно спасибо!

odIsZaPc :: Все, всем спасибо!
cracked by odIsZaPc, кряк выложил на фтп, если кому надо пусть забирает:
http://odiszapc.nm.ru/my_...io_v2.0.0_by_odIsZaPc.zip




FEUERRADER Опять SI и WinXP Поставил WinXP PRO. Теперь вот устанавливать сайс...



FEUERRADER Опять SI и WinXP Поставил WinXP PRO. Теперь вот устанавливать сайс пытаюсь. У меня SI from DS27_b562_forNT. Ripнутый DeMoNiX’ом. После установки, даже если выбираю Automatic boot или Manual boot SI, все равно сайс не грузится. При «net start ntice» пишет «Системная ошибка 1058. ...указанная служба отключена или....». Есть патч для ХР, но он не помог. Чего делать?
nice :: FEUERRADER
Hi! Hi! Big brother ;)
Такая ошибка возникает из-за не возможно прописать в реестре ключик:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DBGV
Перед запуском инсталятора установить на указанную ветку права на полный доступ,
после инсталяции права можно вернуть.

odIsZaPc :: Установить параллельно Win2000. Или 98... Или как nice говорит

FEUERRADER :: nice
Сделал - ключ есть. Права стоят полные для всех. Но айс всё опять эта же ошибка 1058.
Есть еще способы?
odIsZaPc
У меня параллельно winme и winxp.

nice :: FEUERRADER
Попроси у DeMoNix’a оследний билд, он его корректно выдрал, там все без проблем ставится, или если он разрешит, я на фтп выброшу.

FEUERRADER :: ...действительно помогло изменение в реестре.
Ставлю сайс этот, затем net start ntice и всё ок - бряки и т.д.
Перезагружаюсь, теперь окна айса нет. Патч для ХР не помогает. Настройки в Config тоже. Что делать, ума не приложу?

Потом iceext пишет тоже «Ошибка. Не хватает ресурсов для инициализации службы»... :///

nice :: FEUERRADER
А XP с SP или без?
Это без с.п.
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
Это с с.п
ftp://ftp.compuware.com/p...g/OsInfo/osinfo_XPSP1.dat

Если не поможет, то ставь 4_05, а поверх 4_27.
Удачи!

DEMON :: nice пишет:
цитата:
Если не поможет, то ставь 4_05, а поверх 4_27.
Удачи!


Нужно 4.05 пропатчить, а потом ставить поверх DS 4.27

odIsZaPc :: Так я и делал вроде. И вроде пахало...

nice :: DEMON
Я 4_05 не патчил




Denis SoftIce 4.2.7 build 562 + XP. Помогите. SoftIce 4.2.7 build 562 + XP...



Denis SoftIce 4.2.7 build 562 + XP. Помогите. SoftIce 4.2.7 build 562 + XP SP1.
После установки текущего процесса и брейкпоинтов закрываю SoftIce CTRL+D или F5, брейкпоинт не срабатывает, захожу в SoftIce CTRL+D и текущий процесс уже другой. Что делать-то, прочитал много статей с CRACKL@B и других сайтов везде руководство по SoftIce древнее.
MozgC [TSRh] :: То что текущий процесс уже другой это закономерно. В тот момент когда ты жмешь CTRL+D выбирается тот процесс, который в данный момент выполняется процессором. Обычно это Idle =) А насчет того что не срабатывает брейкпоинт, то ты уверен что он должен сработать? Т.е. что команда по адресу на который ты его ставишь потом будет выполнена? Попробуй поставить брейкпоинт на стандартные функции, типа GetModuleHandleA и запустить какую-нибудь программу.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сам с этим мучался:)

mnalex :: Denis
После установки текущего процесса (энто нужно если бряка по адресу, если по функции, то это можно и неделать) и установки бряков выходить нужно только по F5, для продолжения слежения, но уже за указанным тобой процессом, хотя для бряка на функцию это значения неимеет.
К сожалению эти моменты часто упускаються написателями статей, т.к. они считают это само сабой разумеющимся :( ...

Denis :: Всем спасибо буду разбираться.

froz :: А если бряк на стандартную функцию не срабатывает?

MozgC [TSRh] :: значит дело плохо =)

froz :: Так может кто подскажет, что делать если в ХР ни один бряк не ставится (на стандартные ф-ии)?

XoraX :: заводить для реверсинга другую систему. 2000 например, и все работает без гемерроя...

froz :: Ну а если другая система - не выход?...
Суть проблемы вот в чем:
Система - WinXP без SP
Driver Suite 3.0
-бряки не ставятся на стандартные функции
- addr pid не помогает
- исследуемая прога бряки не снимает (100%)

Stealth :: У меня SoftIce той же версии, у меня в нем следующая проблема:
После того как я ее ставлю на XP у меня он работает нормально, но после того как я перезагружаю комп. Запускаю SoftIce нажимаю Ctrl+D, SoftIce активизируется (система останавливается), НО окошка НЕ ПОЯВЛЯЕТСЯ. Повторное нажатие CTRL+D снова запускает систему.
Я снова переустанавливаю SoftIce и снова такая же фигня. Первый раз работает нормально, после перезагрузки глючит...
Ковырялся в настройках, но бесполезно, не знаю что можно сделать...

гость :: Слил последний айс с reversing’а и патч для XP Sp1 при первом загрузке все ОК при последующих при нажатии Ctrl+D курсор двигаться перестает (загрузился айс?) но окна айса нет... что это????

froz :: Именно по этой причине я качал Driver Suite ;)

Cigan :: Народ на скоко я помню эта трабола в драйверах на видюху особонно если ето GeForce. Я один раз решил эту праблему с помощью detonatora и все за роботало. Вот тока версию его не помню!!!

nice :: Пробуем патч, GeForce тут ни при чем, на ATI такая же картинка
http://reversing.kulichki...es/debug/nticexppatch.rar

froz :: Как видюха может повлиять на бряки? %)

гость :: У меня тут появилось интересное наблюдение на счет того что после первого запуска айс не грузится
если при загрузке Norton Commander’а юзануть Ctrl+D то окошко айса появится :)
2 FEUERRADER у тебя случайно не Radeon?
У кого нить с Радеонами под Xp Soft-Ice работает???




odIsZaPc Исследование ASCII Art Studio Есть такая прога. Служит для рисования...



odIsZaPc Исследование ASCII Art Studio Есть такая прога. Служит для рисования ASCII графики. Но вот трабл: незарегистрированная версия не может сохранять и работает 30 дней -). При вводе серийника говорит, что нужно перезапустить ее, а сама при этом серийник записыает в файл aasreg.txt. Ну ладно, перед запуском ставлю bpx ReadFileA, прерываюсь, чуть смотрю в EAX смотрю адрес буфера, вижу сериал. Ставлю bpm на него. По BPM’у прерываюсь пару раз. Второй раз идет его копирование в другой участок памяти, а вот дальше.... Дальше несрост... Там все несложно, это я затупляю... Поможет кто? Интересен даже не кряк, а сама защита, если таковая иммется, потому и вынес в отдельню тему. И еще - она запакована UPX, но вручную без проблем распаковывается... Если кто захочет, то качать тут:
http://www.torchsoft.com/download/aas_en.exe
Размер: 332 Kb
FEUERRADER :: Я прямо «готовенькую» с форума EXETOOLS.com качал. Cracked by Dyn!o. Там версия 1.0. Если интересно поищи там.

Runtime_err0r :: odIsZaPc

Differences between AsciiArtStudio.exe & AsciiArtStudio-.exe
AsciiArtStudio.exe
0003DB67: 39 C6
0003DB6D: 5E 01
0003DB6E: 5B 5E
0003DB6F: 75 5B
0003DB70: 6A 90
0003DB77: 74 EB

P.S. Где ты там UPX увидел ???

P.P.S. _http://www.zone.ee/Runtime_err0r/KpT-AsciiArtStud io200_exe.rar

odIsZaPc :: Runtime_err0r пишет:
цитата:
P.S. Где ты там UPX увидел ???


Меня уже глючит. Проги путаю. Нет там никакого UPX... Я уже туплю...
А качать кряки я не буду - я должен сам взломать. ОК?
FEUERRADER пишет:
цитата:
Я прямо «готовенькую» с форума EXETOOLS.com качал. Cracked by Dyn!o. Там версия 1.0. Если интересно поищи там.


Старовата будет... Но все равно спасибо!

odIsZaPc :: Все, всем спасибо!
cracked by odIsZaPc, кряк выложил на фтп, если кому надо пусть забирает:
http://odiszapc.nm.ru/my_...io_v2.0.0_by_odIsZaPc.zip




FEUERRADER Опять SI и WinXP Поставил WinXP PRO. Теперь вот устанавливать сайс...



FEUERRADER Опять SI и WinXP Поставил WinXP PRO. Теперь вот устанавливать сайс пытаюсь. У меня SI from DS27_b562_forNT. Ripнутый DeMoNiX’ом. После установки, даже если выбираю Automatic boot или Manual boot SI, все равно сайс не грузится. При «net start ntice» пишет «Системная ошибка 1058. ...указанная служба отключена или....». Есть патч для ХР, но он не помог. Чего делать?
nice :: FEUERRADER
Hi! Hi! Big brother ;)
Такая ошибка возникает из-за не возможно прописать в реестре ключик:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DBGV
Перед запуском инсталятора установить на указанную ветку права на полный доступ,
после инсталяции права можно вернуть.

odIsZaPc :: Установить параллельно Win2000. Или 98... Или как nice говорит

FEUERRADER :: nice
Сделал - ключ есть. Права стоят полные для всех. Но айс всё опять эта же ошибка 1058.
Есть еще способы?
odIsZaPc
У меня параллельно winme и winxp.

nice :: FEUERRADER
Попроси у DeMoNix’a оследний билд, он его корректно выдрал, там все без проблем ставится, или если он разрешит, я на фтп выброшу.

FEUERRADER :: ...действительно помогло изменение в реестре.
Ставлю сайс этот, затем net start ntice и всё ок - бряки и т.д.
Перезагружаюсь, теперь окна айса нет. Патч для ХР не помогает. Настройки в Config тоже. Что делать, ума не приложу?

Потом iceext пишет тоже «Ошибка. Не хватает ресурсов для инициализации службы»... :///

nice :: FEUERRADER
А XP с SP или без?
Это без с.п.
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
Это с с.п
ftp://ftp.compuware.com/p...g/OsInfo/osinfo_XPSP1.dat

Если не поможет, то ставь 4_05, а поверх 4_27.
Удачи!

DEMON :: nice пишет:
цитата:
Если не поможет, то ставь 4_05, а поверх 4_27.
Удачи!


Нужно 4.05 пропатчить, а потом ставить поверх DS 4.27

odIsZaPc :: Так я и делал вроде. И вроде пахало...

nice :: DEMON
Я 4_05 не патчил




Denis SoftIce 4.2.7 build 562 + XP. Помогите. SoftIce 4.2.7 build 562 + XP...



Denis SoftIce 4.2.7 build 562 + XP. Помогите. SoftIce 4.2.7 build 562 + XP SP1.
После установки текущего процесса и брейкпоинтов закрываю SoftIce CTRL+D или F5, брейкпоинт не срабатывает, захожу в SoftIce CTRL+D и текущий процесс уже другой. Что делать-то, прочитал много статей с CRACKL@B и других сайтов везде руководство по SoftIce древнее.
MozgC [TSRh] :: То что текущий процесс уже другой это закономерно. В тот момент когда ты жмешь CTRL+D выбирается тот процесс, который в данный момент выполняется процессором. Обычно это Idle =) А насчет того что не срабатывает брейкпоинт, то ты уверен что он должен сработать? Т.е. что команда по адресу на который ты его ставишь потом будет выполнена? Попробуй поставить брейкпоинт на стандартные функции, типа GetModuleHandleA и запустить какую-нибудь программу.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сам с этим мучался:)

mnalex :: Denis
После установки текущего процесса (энто нужно если бряка по адресу, если по функции, то это можно и неделать) и установки бряков выходить нужно только по F5, для продолжения слежения, но уже за указанным тобой процессом, хотя для бряка на функцию это значения неимеет.
К сожалению эти моменты часто упускаються написателями статей, т.к. они считают это само сабой разумеющимся :( ...

Denis :: Всем спасибо буду разбираться.

froz :: А если бряк на стандартную функцию не срабатывает?

MozgC [TSRh] :: значит дело плохо =)

froz :: Так может кто подскажет, что делать если в ХР ни один бряк не ставится (на стандартные ф-ии)?

XoraX :: заводить для реверсинга другую систему. 2000 например, и все работает без гемерроя...

froz :: Ну а если другая система - не выход?...
Суть проблемы вот в чем:
Система - WinXP без SP
Driver Suite 3.0
-бряки не ставятся на стандартные функции
- addr pid не помогает
- исследуемая прога бряки не снимает (100%)

Stealth :: У меня SoftIce той же версии, у меня в нем следующая проблема:
После того как я ее ставлю на XP у меня он работает нормально, но после того как я перезагружаю комп. Запускаю SoftIce нажимаю Ctrl+D, SoftIce активизируется (система останавливается), НО окошка НЕ ПОЯВЛЯЕТСЯ. Повторное нажатие CTRL+D снова запускает систему.
Я снова переустанавливаю SoftIce и снова такая же фигня. Первый раз работает нормально, после перезагрузки глючит...
Ковырялся в настройках, но бесполезно, не знаю что можно сделать...

гость :: Слил последний айс с reversing’а и патч для XP Sp1 при первом загрузке все ОК при последующих при нажатии Ctrl+D курсор двигаться перестает (загрузился айс?) но окна айса нет... что это????

froz :: Именно по этой причине я качал Driver Suite ;)

Cigan :: Народ на скоко я помню эта трабола в драйверах на видюху особонно если ето GeForce. Я один раз решил эту праблему с помощью detonatora и все за роботало. Вот тока версию его не помню!!!

nice :: Пробуем патч, GeForce тут ни при чем, на ATI такая же картинка
http://reversing.kulichki...es/debug/nticexppatch.rar

froz :: Как видюха может повлиять на бряки? %)

гость :: У меня тут появилось интересное наблюдение на счет того что после первого запуска айс не грузится
если при загрузке Norton Commander’а юзануть Ctrl+D то окошко айса появится :)
2 FEUERRADER у тебя случайно не Radeon?
У кого нить с Радеонами под Xp Soft-Ice работает???




Noble Ghost Кто в немецком шарит? Попросил знакомого перевести FNFM на...



Noble Ghost Кто в немецком шарит? Попросил знакомого перевести FNFM на немецкий. Он перевёл и кинул мне на проверку. Трабла в том, что некоторые слова просто не влазят... Напрягать чувака с уменьшением размера выражений как-то не хочется -- у него сейчас напряженка со временем. А я немецком ни му-му. Может кто поможет?
-= ALEX =- :: Noble Ghost а че в школе не учил :) ? респект тебе земляк ;)

odIsZaPc :: А переводчиком?

Noble Ghost :: В том то и прикол, что словарь не поможет. Переведено всё грамотно, нужно именно знание разговорного немецкого. До меня дощло только, что Das programs можно заменить на das progs и всё.

odIsZaPc :: Ну тогда я тебе ничем помочь не могу....

Ромка :: «Das programs можно заменить на das progs и всё.»
Das Programm, а нe programs. На das progs или prog поменять нельзя!!!
В лучшем случае das Proggi, это ещё можно было бы.
Но если тебе не хватает места, то можно артикли убирать, они в данном случае не обязательны. просто Programm.

odIsZaPc :: Что значит «слова не влазят»?

Ромка :: Наверное «не влезают» влезать, а скорее всего имел ввиду, что не помещаются или не вмещаются слова в предопределённый диапазон. Да русский язык - тяжёлый язык.

Noble Ghost :: Ромка Может возьмёшься?

Ромка :: Давай на мыло

odIsZaPc :: Noble Ghost
Пива ему поставишь?

и мне... втишь... :)

FEUERRADER :: Да, перевод на немецком получил. Благодарю за добровольную помощь, Noble Ghost (и тех кто тебе помог перевести ).
На данный момент у меня есть файлы следующих языков для FNFM: бразильский, чешский, французский, немецкий, итальянский, украинский, венгерский, русский, английский. На моем сайте пока нет некоторых, но скоро выложу.

-= ALEX =- :: FEUERRADER мож дашь посмотреть на свою программу полную, оценю хоть. Честно сказать, я не могу найти применения твоей проге :(




FEUERRADER Проблемы со Stripper’ом и с аспром 1.23rc4 Почему-то ни одна из...



FEUERRADER Проблемы со Stripper’ом и с аспром 1.23rc4 Почему-то ни одна из версий стриппера (вплоть до 2.07) у меня не работает как положено. Стриппер запускается нормально. При выборе аспровой проги (я проверял и на старых и на новых аспрах), стриппер пишет, чтоб я подождал. Жду...жду...ждал около часа - эффекта нет. Просто висит окно, система не виснет и т.д. как будто просто стриппер распаковывает. Но больно долго что-то он это делает. Я проверял и со включеным/выключенным SI, IceExt - нет результатов. С кнопкой reversing та же ситуация.

Система: WinXP Pro, SI 4.2.7.562 ripped from DS 2.7, IceExt 0.57.
Проверял cо Stripper’ами v2.07, 2.05, 2.03, 1.35, 1.33.

Может где-то в реестре стриппер что-то пишет, а там не стоит разрешения на полный доступ???

Также почему-то аспр свежий не прерывается на bpm esp-4, а стирает
бряки все и не прерывается на спертых байтах. Т.е. после второго бряка
на 3 раз не прерывается, прога просто запускается.
SuperBPM for NT не помогает (хотя MozgC говорил, что даже и не нужен мол - и так прервается, ан нет). Хотя может у меня другой он?? Я качал с ссылки Runtime-Err0r’a - китайский SuperBPM_NT - http://ddcrack.myetang.co.../attach/superbpmfornt.zip
Может есть другой?

Может кто имел подобные проблемы?
infern0 :: у меня под XP без SP пашут все версии стриппера начиная с 1-с-чемто до 2.07 включительно. Что я делаю не так ?

MozgC [TSRh] :: FEUERRADER
Используй стриппер до запуска SI.

Runtime_err0r :: infern0

цитата:
у меня под XP без SP пашут все версии стриппера начиная с 1-с-чемто до 2.07 включительно. Что я делаю не так ?


Аналогично только у меня до 2.11 включительно

Mario555 :: 2.07,2.11 ... И где же это взять ???

RideX :: Runtime_err0r пишет:
цитата:
Аналогично только у меня до 2.11 включительно


А что там нового в 2.11 по сравнению с 2.7? Не добавляет секцию .pseudo, а сам «вправляет» на место спёртые байты?

Runtime_err0r :: RideX
Гы-ы-ы-ы-ы а я смотрел на крякнутый 3wGet от infern0/TSRh и думал, что это за секция .pseudo ?
Теперь он добывляет целую кучу новых секций aspr_00, aspr_01, aspr_02, ...




k.Nemo TRW 2000 Может у кого есть инструкция или полное описание команд для...



k.Nemo TRW 2000 Может у кого есть инструкция или полное описание команд для TRW 2000 v1.23?
UnKnOwN :: k.Nemo
Попробуй поюзать поиск, иногда помогает...

k.Nemo :: Поискал, поискал. Ничего не нашел.

FEUERRADER :: .
display current instruction, same as ’U cs:eip’
?
This is the expression evaluation command. Try your expression in decimal
first. If that fails, try it in hex.
? 123+34
? 4d2h+9
? esi/4
? (3+2)‹‹1
A [address]
Assemble code. Only available in register version.
ADD STACK¦DATA¦DASM
create a new stack/data/disassemble window
ADD STACK
ADD DATA
ADD DASM
ADDR
Display context list.
ADDW [pos] L¦R¦T¦B REG¦DATA¦DASM
Add a reg/data/disassembler window in the current CPU window.
Position is of the form Left¦Right¦Top¦Bottom
ex:
ADDW 2 L DATA
ADDW 2 2 T REG
ADDW R DASM
BC list¦*
Break point clear
BD list¦*
Break point disable
BE list¦*
Break point enable
BL list¦*
Break point list
BPINT3 address
Set a break point by inserting an int 3(0xcc) into user code.
BPIO port
Set a debug register breakpoint on port I/O.
See also: BreakPoint Overview
BMSG hwnd [msg]
BPMSG hwnd [msg]
Set a breakpoint on a window message.
See also:
WMSG
BreakPoint Overview
Ex:
BMSG 12c wm_destroy
BPM address R
BPM address W
BPM address X
Sets a hardware breakpoint with DRx.
See also: BreakPoint Overview
BPMX address
Sets an executive breakpoint with DRx.
This is the same as ’BPM address X’
BP [[seg:]address] [if (conditions)]
BPX [[seg:]address] [if (conditions)]
Set a breakpoint on execute
TRW will try Debug register first. If that fails, it will insert a
int3(0xcc) into the user code.

As a special case, if omit address, with only conditions,
g if (conditions)
TRW2000 will run the program step by step, check the condition for
each step.
g if ((byte)*eip==c3&&eip‹402000)
See also:
BreakPoint Overview BPMX
BPINT3
D [address]
D range ›filename
Perform a memory dump to the data window, or save a memory dump to file.
d 401000
d cs:402000
d 401000,402000 ›myfile
d 401000 L 100 ›myfile
E [address [partern]]
Edit memory
E ds:edi ’nothing’,0
EC
focus to code window or command window. Usually define as hotkey F6 .
EXP !
Exp module-name!
Exp partial_export_name
Display all matching exported API calls.
Searches all of the exported API function names in all referenced modules.
EXP !
Exp kernel32!
Exp *
Exp Get*
Exp *window*
FILE [source-filename]
Select/Display source file
FKEY [function-key strings]
Display/Set Function keys
ex:
FKEY
FKEY f10 «d 2;U 3;»
FONT 1¦2
select TRW2000 graphics display font.
G
Run.
G address ;run to address, same as ’gox address’
G if conditions ;run with conditions
H [command]
HELP [command]
Display help for all commands, or the referenced command in detail.
HOTKEY
Display current hot keys, and allow you press a new key to display.
See also:
Hot Keys
HWND [HWND]
Display window handle information.
PageIn ‹address›
Load the not present page to memory.
PageIn cs:401000
LINES [25 ¦ 43 ¦ 50 ¦ 60]
Set/Display screen lines
ex: lines 43
See also:
Ini file
MOD16 [hmod¦mod_name]
Display 16bit module list,
or display detail info for specified module.
Usage:
MOD16
MOD16 1cf
MOD16 KERNEL
MOD16 . ;for current module
PDLL32
Run until 32bit DLL entrypoint.
Usage:
PDLL32 mydll32.dll
PEDUMP
Dump PE image memory direct to file ’DUMP1.EXE’.
You can use G_Rom’s MakePE to rebuild a valid PE.
BP if condition
Set a breakpoint on a condition
bp if (eax›=3456787)
bp if (dx‹543)
bp if (ch==23)
go if (ah!=34)
PNEWSEC
Go until entering a new section in PE image
PMODULE
’pret’ until CS:EIP in the module.
PRET
Run until RET,RETF,IRET.
shortcut key: F12
RS
View User Screen. (F4).
S
Search in memory
S 0 L -1 ’window’
S 100,200 ’bug12’,34
SRC
Toggle source mode, can be Source¦Mixed¦Code
SUSPEND
Suspend current thread, and leave TRW2000. Hot keys to back.
SYM
List all debug symbols
TABLE [table name]
Select/Display a symbol table
TRNEWDOS
Catch next DOS program.
TRNEWTCB
Catch next new thread at the first opcode.
Supports 32-bit and 16-bit apps.
Note: Do not run a Windows app from a DOS command prompt, or TRW2000 will
catch START.EXE.
TRTCB ‹thread_handle›
Trace a existing thread
U [address]
U range ›filename
Disassemble in Code Window, or save disassembly output to a file.
u 401000
u cs:402000
u 401000,402000 ›myfile
u 401000 L 100 ›myfile
VCALL
Usage:
Vcall * -display all VxD calls
Vcall num -if num‹10000h, diaplay all VxDid calls
-if num›10000h, diaplay the VxD call
Vcall partial-name
Ex:
Vcall 0d
Vcall 100001
Vcall *sys*
W range filename
Write memory to file
w ds:401000,402000 myfile
w 401000 L 100 c:\myfile.bin
WC [codewindow_lines]
Set the length, in lines, of the code window. No parameter will turn it on/off.
ex:
wc 25
wc
WD [datawindow_lines]
Set the length, in lines, of the data window. No parameter will turn it on/off.
ex:
wd 25
wd
WMSG - Display windows messages
usage:
WMSG [partial-name] [WMSG-number]
Ex:
WMSG 12
WMSG wm_destroy

Взято из хэлпа к TRW2k 1.23.

k.Nemo :: Ой спасибо.




Shkval Пароль на макрос в MS Office Всем привет.



Shkval Пароль на макрос в MS Office Всем привет.

Подскажите, пожалуйста, как можно узнать пароль на проект VBA в MS Word или Excel (там в свойствах проекта есть такая команда - «Назначить пароль» - я так понимаю, это делается для того, чтобы пользователи макросов не могли посмотреть их исходники - а мне очень нужно). Возможно существуют какие-нибудь специальные проги?

Заранее спасибо.
Nitrogen :: кури howto.deface.password.pro...cts.eng.tutorial-tsrh.zip

Shkval Re: Nitrogen :: Я не могу зайти по этой ссылке

-= ALEX =- :: Shkval рассмешил, Nitrogen дай реальную ссылку человеку, если она конечно есть :)

Nitrogen ::
цитата:
;============================================== ===
var

Program : Handmark MobileDB-Excel 1.5;
Program URL : http://www.handmark.com;

;=================================================

Crack Subject : Short tutorial how to deface
Password-Protected VBA-Projects;

;=================================================

Using Tools : SoftIce, MS Office XP;

;=================================================

begin

1st of all you must download and install mobiledbexcelwin.exe..
then istallation done - open ms excel and goto MobileDB\registration
enter any shit in regdialog and press ok btn.. DAMN IT! failed to register :(
press alt+f11 to open vb-editor and try to open MobiledbProject (MOBILEDB.XLA)
fuck! this shit is password protected.. now we must deface this protection.
pun breakpoint to GetDlgItemTextA, enter any password and press ok

in sice press f12 and u’ll see:

push eax
push esi
push edi
call getdlgitemtexta
lea eax,[ebp-20] ‹= we here!
› after this command you can do ’d eax’ and see entered password
push eax
push 0EBh
push edi
call getwindowlonga
push eax
call xxxxxx
test eax,eax
jnz @rightpassword

‹ some crap which show invalid password message and we must skip this shit ›

@rightpassword:

‹ next pice of good code :) ›

so we must change jnz to jz or jmps and now we can open project w/o password :)

let’s continue our cracking.. open MobiledbProject\modules\module1

-cut-
Const MobileDBVersion = «1.5» ’Last Update: 03-25-2002
Const MobileDBRelease = «0.0»
Public Const gRegistrationString = «177556» ’30i
Public Const retailVersion = False
..‹skipped›..
-cut-
hmz... gRegistrationString is something very interesting ;)..
open forms\userform3 - wow this is our regdialog.. dblclick on OK and...

-cut-
Private Sub Ok_Click()
If RTrim(UserForm2.RegistrationString) = »» Then
MsgBox («A Registration String is Required»)
Else
’MsgBox «Registration String:» & gRegistrationString
If UCase(RTrim(UserForm2.RegistrationString)) = gRegistrationString Then
UserForm2.Hide
gUserPref.bRegistered = True
WritePref
MenuBars(xlWorksheet).Menus(»&MobileDB») _
.MenuItems(«Registration»).Enabled = False
Else
MsgBox «This is an Invalid Registration String»
End If
End If
End Sub
-cut-
this code just comparing entered serial with gRegistrationString..
gRegistrationString = «177556» =› serial = «177556»

DONE!

end.
-------------------------------------------------- ----------------------------
Nitrogen TSRh TeaM
21:26 (GMT +5) SEP-02-2003


FEUERRADER :: Вообще когда-то на reversing.net была неплохая статья «Исследование алгоритма нахождения пароля для VBA проекта в M$ Office 97». Но она не для новичков.

GL#0M :: FEUERRADER пишет:
цитата:
Вообще когда-то на reversing.net была неплохая статья «Исследование алгоритма нахождения пароля для VBA проекта в M$ Office 97». Но она не для новичков.


Кому нужно, могу кинуть...

Shkval Re: GL#0M :: Пришли, пожалуйста, на Alexey@aze.sp.ru

GL#0M :: Shkval

Ушло...




Bad



Bad_guy Вирусыыыы Я очень удивился когда ко мне в ящик сегодня пришло письмо с адреса maria@xtin.org, а ещё больше я удивился когда обнаружил в нём вирус. ((( Девушка Хекса рассылает крякерам вирусы подумал я)))
FEUERRADER :: Меня за последние 3 дня трижды атаковал вирус I-Worm.Novarg (Mydoom). У-у-ухххх. Вот он http://www.viruslist.com/...ruslist.html?id=144488783 какой страшный.

Bad_guy :: Да я уже задолбался вычищать этот вирус, мне уж раз 20 в разные ящики он пришёл. Что-то я не понимаю каким раком работают эти фильтры на яндексах, что вирусню пропускают легко и просто.

DEMON :: Я тоже получил уже 3 вируса, а один все таки до меня не дошел:

Уважаемый пользователь,

Сообщение, посланное Вам, не может быть доставлено.
В сообщении содержался объект, инфицированный вирусом Win32.HLLM.MyDoom.32768.
Сообщение было удалено.

DEMON :: Интерестно кто и какого x@# мне его прислал???

Chirurg :: DEMON
DEMON пишет:
цитата:
Интерестно кто и какого x@# мне его прислал???


А какая разница? Я такие письма, не открывая, отправляю назад «returned to sender»
Пусть сами »»«тся

UnKnOwN :: У меня вообще Мыло.РУ, я чё то не чё не получил, может они чё там фильтруют...

Telex :: Парни, работающего ключа для AVP не найдётся ни у кого?
Саму прогу только начал качать с ftp Касперского
Так что, если поможете, предпочтительнее не забаненый :)

MozgC [TSRh] :: http://MozgC.com/2007.key

Telex :: MozgC [TSRh]
Большущее спасибо!!!

-= ALEX =- :: UnKnOwN у меня тоже на mail.ru, тока что-то приходит каждый раз MAILER-DAEMON. Это вирь ?

UnKnOwN :: -= ALEX =-

Ага самый натуральный. но вот беда мне даже пересылали этот вирь и мыло.ру чё то его не пропустило

Telex :: Парни, такой вопрос.
Есть предпосылка на вирь, но ещё не проверял, сейчас запущу...
В Explorer, да и в форуме при вводе текста, у меня вместо русских букв
пишутся либо цифры, либо значки.
Вместо ряда: фывапролджэ =› DK20?@›;46M
Хотя в других программах (Notepad, Word) - всё отражается как и положено.
Может где настройки сбил?
Данный текст тоже набираю в Notepad (дабы не заразить ни кого) :)

DEMON :: Chirurg пишет:
цитата:
А какая разница? Я такие письма, не открывая, отправляю назад «returned to sender»
Пусть сами »»«тся


Ага пытался так зделать, так дядя ВЕБ мне такого намутил!!!! Думал с ума спрыгну!!!!

.::D.e.M.o.N.i.X::. :: DEMON пишет:
цитата:
Интерестно кто и какого x@# мне его прислал???


Вирь сам себя шлет, причем по адресам и с адресов, которые найдет на зараженной махине. Автор судя по всему имеет ящик на .edu, т.к. адреса, которые оканчиваются на .edu он игнорирует. Наверное тот же чел писал, что и несколько месяцев назад. www.sco.com и microsoft.com придется попотеть 1 февраля:)
P.S. А мне каждый день в обратку приходят по 5 писем, типа я послал куда-то вирус. Интересно, как я мог послать вчера вирус, если у меня дома нета не было? :)
DEMON ну так как? успоколся уже или еще в обиде?

The DarkStranger :: .::D.e.M.o.N.i.X::.
за иду сенкс ;)
я кстате о нем узнал только из логов NAV его сразу рубанул и как потом я выяснил 2 раза он ко мне приходил

DEMON :: .::D.e.M.o.N.i.X::. пишет:
цитата:
DEMON ну так как? успоколся уже или еще в обиде?


Я успокоился, спасибо что обьяснил!!!! Да и че мне на тебя обижаться?? ;-))
Просто эти вирусы за@#$ли. То трояны, то еще какаето хрень

MaDByte :: За голову создателя вируса дают $250 000
Только что по ящику говорили...

-= ALEX =- :: ага :)

-= ALEX =- :: ну че давайте искать ... :)

MoonShiner :: Нафиг:) Я готов расковырять этот вирус и за 250000 докажу, что сам его склепал. Бабки поделим. Мне 90%, а вам остальное, за то, что вы меня типа поймали:)

-= ALEX =- :: MoonShiner слухай, заманчиво звучит. наверное так и сделаем...

MoonShiner :: Эй, чуваки, я ж тока пошутил:)

MozgC [TSRh] :: Кстати, я официально заявляю что вирус создал MoonShiner. У меня есть логи разговора с ним, доказывающие что это он. И это не шутки

цитата:

[18:50] MozgC: Слышь, про вирус слыхал? Типа MyDooM или Novarg называется
[18:50] MoonShiner: LOL, конечно слыхал, это мое детище, помнишь я тебе говорил почему на время ушел из крэкинга?
[18:50] MoonShiner: Так вот вирусом занимался, прошлые мои вирусы не особо распространились, зато я тогда прсоёк фишку, как сделать чтобы началась эпидемия.
[18:50] MozgC: Да ладно, 3.14здишь наверно?
[18:51] MoonShiner: Отвечаю, ты ж меня знаешь, я тебе ни разу не врал.
[18:51] MozgC: Хм... Там строки пошифрованные.. Давай я тебе щас дам пошифрованную строку и ты мне сразу же скажешь максимум через минуту ее вид расшифрованный?
[18:51] MozgC: Если вирус твой, то ты сразу посмотришь в исходнике и скажешь мне, или так вспомнишь, а если нет, то тебе понадобится минуты 3 чтобы расшифровать. Согласен?
[18:51] MoonShiner: Ок, говори строку, я тут же отвечу.
[18:52] MozgC: QyQve0 - у тебя есть минута!
[18:52] MoonShiner: DlDir0
[18:53] MozgC: Хм... правильно.. Я офигеваю...
[18:53] MoonShiner: Я ж говорю, какой понт мне тебе врать. Я вообще еще с ДОСа вирусы писал, многие из них получали большое распространение. Но этот... я не ожидал...
[18:53] MozgC: Мда уж...



Ну вот такие дела. Буду ждать 250.000$... Шучу, я своих не сдаю =) Как думаю и любой на этом форуме.

DEMON :: MozgC [TSRh] пишет:
цитата:
Шучу, я своих не сдаю =) Как думаю и любой на этом форуме.


Ты прав, но 250,000$ на дороге не валяються!!! Я бы хотел что-бы уменя было хоть пару штук, шаровых. Быстро придумал бы че с ними делать.

Telex ::
цитата:
Парни, такой вопрос.
Есть предпосылка на вирь, но ещё не проверял, сейчас запущу...
В Explorer, да и в форуме при вводе текста, у меня вместо русских букв
пишутся либо цифры, либо значки.
Вместо ряда: фывапролджэ =› DK20?@›;46M


Нашел откуда: сыпется постоянно по почте вот такая Хр.тень:
‹‹‹ КАРТИНКА ››› пЫсьмо, или почтовый «приход»...
Не читайте (получив её по почте), и не запускайте эту ересь... Антивирь не берёт, а ОНО постоянно ломится
Отсюда и проблемы со шрифтами
А по почте у меня эт Х...ня идёт чуть ли не постоянно. Не знаю, как у вас ...
P.S. Картинку в реальности вставить не смог, так как ранг меньше 50-ти... Почему так, не понимаю.
Да, и если картинка станет быстро недоступной, размещал её у канадских друзей. По неПонятиям могут и удалить

-= ALEX =- :: MozgC [TSRh] щас сюда люди из ФБР глянут...

MC707 :: Из ФСБ точнее...

-= ALEX =- :: :) я уже направил кого надо, щас они обрабатывают данный материал. так что MoonShiner жди гостей седня вечерком... а я бабками поделюсь со всеми... :)

Telex :: -= ALEX =-

цитата:
а я бабками поделюсь со всеми... :)


Предъявите список!!! :)

MoonShiner :: Эй, бля, вы так не шутите:) А вдруг они реально за чистую монету примут? :)

MC707 :: А кто тут кричал - «я его написал», «деньги поделим»?
Доигрался

MoonShiner
Да ладно, расслабься, он же шутит.

Bad_guy :: В продолжении темы статьи: мне ещё от группы cydem пришёл этот же вирус. Похоже какой то глупый крэкер, который и со мной и хексом и кудемом общался вирус у себя на компе запустил.

Kerghan :: 2 MoonShiner

MC707 пишет:
цитата:
MoonShiner
Да ладно, расслабься, он же шутит.


ага, шутит... знаю я какие у него шутки


ЗЫ должен всех обрадовать, цена за голову Мунша возросла в два раза

odIsZaPc :: Прикиньте, FBI, долгими горячими ночями брутефорсит инет и находит эту тему. «Наверно какой-то ламака» - подумают... Дай-ка посмотрим про него....

Свет потух, дверь, омон....
MoonShiner’a показывают по ящику, он шлет всем приветы... А потом БАЦ! и электрический стул... Вот так бывает...

P.S. Шутка

MoonShiner :: Вы запарили меня пугать!!!!! Я ж пошутил, а вы как маньяки:) Так не терпится, чтоб меня посадили, да? :) Злые вы все и плохие

odIsZaPc :: MoonShiner
Никто тебя не посадит... Мы тут такую суету нагоним если че...

DEMON :: MoonShiner пишет:
цитата:
Злые вы все и плохие


Мы не плохие, просто денег охота!!!! Не знаеш где на шару 250.000$ можно достать?????

MoonShiner :: Лана, мартышки, я вас сам всех посажу и мне дадут медаль и премию, что столько крякеров отловил...

DEMON :: MoonShiner пишет:
цитата:
Лана, мартышки, я вас сам всех посажу и мне дадут медаль и премию, что столько крякеров отловил...


Ну че ты сразу обзываться??? А кстати нас же больше!!!

-= ALEX =- :: пора уже тему закрыть...




FEUERRADER Математическое преобразование Преположим, есть инструкция:



FEUERRADER Математическое преобразование Преположим, есть инструкция:
2485B (или rva=46245B) E930CFFEFF JMP 44F390
где 2485B - offset в файле, остальное понятно.
Так вот, из байт 30CFFEFF нужно получить адрес 44F390, зная только offset (или rva). Я предполагаю, что эти байты каким-то образом образуют число (если положительное - jmp идет ниже, отрицательное - выше), которые прибавляется/отнимается от offset (или rva оффсета?).
Хотелось бы формулу, если у кого есть или просто мысли.

Благодарю.
Dragon :: Это число равно адрес назначения - текущий адрес(EIP) - 5, 5 это длина команды, для короткого jmp это 2, для длинного условного перехода это 6.

nice :: FEUERRADER
Если я тебя правильно понял 44f390=FFFECF30+46245B

odIsZaPc :: FEUERRADER
Ты дизассемблер что-ли хочешь написать? Так на то есть специальные таблицы (спецификации что-ли) опкодов...

FEUERRADER :: nice
Действительно, всё оказалось элементарно. Меня смутили «FFFFF» в этом числе, а они просто указывали на отрицательный знак числа.
odIsZaPc
Нет, хочу написать автоанпакер для UPX. Просто для своего развития :)) Уже написал dll, которая не запуская файл (только по байтам файла) определяет OEP у UPX, сделаю еще ASPack. Эту длл сделаю публичной, скоро наверно, выпущу в свет.

-= ALEX =- :: FEUERRADER странно, nice вроде бы то же самое хотел писать...

XoraX :: я уже видел в сети такую длл.... ;)

mnalex :: nice
Чото я не по, FFFECF30+46245B = 44F38B ,
но 44F38B не равно 44F390 , так как это? или чо это? вернее как это вы пришли к тому, что результат равен?

Dragon :: mnalex
FFFECF30+46245B+5 = 44F390, я же писал выше.

Asterix :: FEUERRADER

Интересно.. интересно, для АСПака я тоже пишу тулзень, тестовый
вариант уже готов, но перерабатываю движок в сторону универсальности,
ну что померяемся шварцами.. у кого в итоге окажется лучше

-= ALEX =- :: у меня, гы... шутка :)




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:



FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:
BOOL RebuildImport(DWORD pid, DWORD oep_rva, DWORD iat_rva, DWORD nb_recursion, LPTSTR dump_filename)
Не нашел расшифровки параметров. Не понятны iat_rva и nb_recursion.
iat_rva видимо rva таблицы импорта. Откуда берется, если пакер проги неизвестен???
И что за nb_recursion???

Очень надеюсь на помощь. Спасибо.
MozgC [TSRh] :: IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска.

MozgC [TSRh] :: Подозреваю так же что nb_recursion это количество рекурсий, т.е. сколько раз импрек будет входить в процедуры чтобы распознать функцию.

FEUERRADER :: MozgC [TSRh]

цитата:
IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска


Смотри, процесс останавливается на ОЕР проги, пакованной UPX. Теперь делаю
RebuildImport(lppi.dwProcessId, 0x44F390, 0, 1, «dump.exe»);
Всё делаю на msvС++.
Выходит сообщение Could not find anything good at this OEP. Пробовал rva_oep вводить без imagebase, но резульатат такой же.
В чем ошибка-то???

MozgC [TSRh] :: А че ты 0 то суешь вместо IAT_RVA?

FEUERRADER :: MozgC пишет:
цитата:
А че ты 0 то суешь вместо IAT_RVA?


Дык я и спрашиваю, мож кто знает, как программно на с++ просто найти iat_rva у прог UPX??

MozgC [TSRh] :: Ты сначала посмотри будет ли работать если туда сувать не 0, а потом будешь думать как iat_rva автоматом найти =)




dido Вход только крэкерам! Где попрятались крутые крякеры? На всех форумах...



dido Вход только крэкерам! Где попрятались крутые крякеры? На всех форумах спрашиваю
как отключить (или обойти) проверку на наличие Hardlock
а также как отключить проверку CRC, никто не ответил.
Или «не замечают», или не умеют. Все почему то заняты упаковщиками.
Bad_guy :: На такие вопросы устно не отвечают - надо смотреть. Хочешь устный ответ: надо пропатчить программу в определенном месте вот и всё. Какой хардлок тоже надо знать - делаем эмулятор или пользуемся старым эмулятором.

dido Re: Bad_guy :: Наконец-то появилась хоть какая-то зацепка!
Bad_guy
Я в основном на твоих и MozgC[TSRh] статьях учился крэку, но таких вопросов
не встречал. Если устно нельзя ответить то, наверное, нужна сама программа.
Вот она - http://www.vingeo.com/Digitals.zip, 790KB.
Рабочий файл ged.exe упакован ASPack 2.11. Распаковал без проблем.
Что такое эмулятор - пока не знаю.

FEUERRADER :: dido пишет:
цитата:
крутые крякеры


Крутые крякеры это зазнавшиеся ламаки, ИМХО. Существуют опытные, а не крутые.
dido пишет:
цитата:
Или «не замечают», или не умеют


Советую самосовершенствоваться, а не делать такие глупые посты. Если бы ты спросил «где почитать про снятие CRC?» - это другое дело.
Без обид.

dido Re: FEUERRADER :: FEUERRADER
Мои извинения. Но тогда посоветуй «где почитать про снятие CRC?»

MozgC [TSRh] :: Я сам не встречал, но слышал что HardLock не самый простая защита и если ты спрашиваешь такие вопросы, то наврятли...

odIsZaPc :: MozgC [TSRh]
А в чем принцип сей защиты? Типа HASP?

MozgC [TSRh] :: НАверно типа того, я в ключах не шарю =)

MoonShiner :: Что именно интересует? Конверт отковыривается с пол-пинка, хоть при ключе, хоть без оного (насчет отсутствия ключа узнал от одного умного чела, имени которого без его согласия не упоминаю и которому мой огромный респект). Оставшиеся функции эмулятся несложно, в случае неэкзотических вариантов... Конкретные вопросы бы надо...

dido Re: MoonShiner :: MoonShiner
Вот конкретно - http://www.vingeo.com/Digitals.zip, 790KB.
Без ключа - демка, не сохраняет созданный документ.
Кроме ключа еще нужен номер лицензии, но это я попробую сам.

MozgC [TSRh] :: MoonShiner
Одно дело не сложно когда научился, другое дело когда ни разу не делал... Разные вещи. Первый раз уши могут повянуть.

dido Re: MozgC [TSRh] :: MozgC [TSRh]
Во всяком деле есть первая попытка. А ушей не жаль, был бы результат.

MoonShiner :: MoonShiner пишет:
цитата:
Конверт отковыривается с пол-пинка, хоть при ключе, хоть без оного


Сорри, это я по-пьяни с Гуардантом попутал:). Но при наличии ключа конверт отдирается за минуту. Раз там демка рабочая =› скорее всего конверта нет.

dido Re: MoonShiner :: MoonShiner
Так ключика то как раз и нету! В этом и гвоздь!

SavagE :: Ломаю тут один скринсейвер,3D-шный,использует Direct3D
после некоторого времени вылезает наг
на всякие функции типа getsystemtime и прочую х.. не ловится
нашел в листинге IDA основную процедуру рендера, но там можно свободно ковырятся неделю и ничего толкового не найти
может кто подскажет какие-нибудь D3d-шные функции типа прорисовки rectangl’а или типа того,на что можно поймать эту пакость
а то неохота хелп по д3д искать,потом ковырятся в нем
и вообще что в такой ситуации лучше делать ?
з.ы. только не пишите чтобы ломал регистрацию - пробовал уже, там какой-то криптографический отстой типа RSA,мне это пока не по зубам :(

MoonShiner :: Посмотрел я прогу несколько минут... Какой то бред. «Хардлок» есть в коде, ломится в nvkeynt, короче ниче не понял. Гляну в выходные, как дома буду.




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




anonymous si 4.2.7 winxp - софтайс не показывает окно (видеодрайвер?)...



anonymous si 4.2.7 winxp - софтайс не показывает окно (видеодрайвер?) проблема.
Качал по ссылке, с куличек. Устанавливается нормально, потом работает до
второй перезагрузки. Потом по CTRL+D машина подвисает, а окна
софтайсовского нету. По F5 подвисание прекращается. Я так понимаю,
SI срабатывает, но, почему-то не отображается окно.
Кто сталкивался - хелп! Как лечится?
10Х заранее...

FEUERRADER :: У меня точно такая же фигня была.
Лечил так: удали айс. Скачай si 4.05 for NT. Поставь его. Теперь в другую папку ставь 4.2.7.
Мне помогло.

DEMON :: FEUERRADER пишет:
цитата:
У меня точно такая же фигня была.
Лечил так: удали айс. Скачай si 4.05 for NT. Поставь его. Теперь в другую папку ставь 4.2.7.
Мне помогло.


Я ёще пропатчил ёе patshXP, есть на сайте http://reversing.kulichki.com/

anonymous :: Тэ-экс! Спасибо, пробую!

Z Re: anonymous :: Я лечился так

В строке инициализации в файле winice.dat вписал вместо X:

INIT=«SET FONT 3;SET ORIGIN -10 25;WR;WD 4;WL;WC 12;X;»

Параметры по вкусу.
В новых версиях можно через настройки в лодыре.

Sem :: Да блин, было же уже, все дело из-за косяка в реестре:
берешь regedit открываешь LEGACY_SIWVID (или LEGACY_SIWSYM) и исправляешь название на правильное. (Так же можешь исправить в Services\Siwsym и Services\Siwvid пути типа ХЗХЗХЗ\\ХЗХЗ на ХЗХЗХЗ\ХЗХЗХЗ).




odIsZaPc Второе рождение http://cracklab.narod.ru - http://cracklab.ru. Все...



odIsZaPc Второе рождение http://cracklab.narod.ru - http://cracklab.ru. Все ЗА и ПРОТИВ в эту тему. Значит так, пока неофициально...
Так дело не пойдет. Закрывать тут чего-то собрались... В какие-то черные списки внесли... Это не дело. Я вообще очень не люблю, когда кто-то сверху влияет на инет-проекты. И мне кажется, пора переходить на новый уровень. Уже давно пора.
Этот форум должен стать в каком-то смысле независимым. Независимым в смысле объеденить http://cracklab.narod.ru и эту борду + чат сделать и еще много чего. Знания в администрировании unix и apache у меня кое-какие имеются, благо специальность к этому располагает. Поставить доменное имя вроде http://cracklab.ru и все будет ровно. Но это будет уже другой кряклаб, объединенный так сказать. И никто нах не посмеет тут че-то прикрыть...

БЕЗ ШУТОК. Мне стипендию повысили, да и работу предложили. Так что обеспечить смогу. Сервак я себе уже давно хотел забабахать, даже присмотрел где и почем, а тут как я вижу и повод появился... У меня там свои проекты были, но добавить еще один домен 2-го уровня это не проблема. 200 метровый кряклаб это по-моему неплохо. +дохренища скриптов. +отсутсвие какого-то влияния хостеров-бордеров и прочих бекорасов. То, что сервак появится где-то через месяц, это 100%. Вопрос в другом:
ХОТИТЕ ЛИ ВЫ ПЕРЕЙТИ НА НОВЫЙ АДРЕС??? НУЖНО ЛИ ЭТО??? Считаете, что это лажа? Все мнения сюда.
Если думаете, что идея левая, ногами не пинать :))
P.S. Это, в частности и BG касается... :)
Kerghan :: да я с МозгС’ом уже говорил на эту тему... гемороя дофига... ну раз ты сам предлагаешь всем этим заняться

тока в таком случае два обратных предложения:
админ сайта BG(не Bill Gates как подумали некотоык :) )
админ форума МозгС

ЗЫ и чат нафиг не нужен, толку от него никакого

odIsZaPc :: Kerghan пишет:
цитата:
админ сайта BG(не Bill Gates как подумали некотоые :) )


А иначе и быть не может :) Он создатель cracklab - ему и админить...
Kerghan пишет:
цитата:
админ форума МозгС


Да без вопросов, впринципе....
Kerghan пишет:
цитата:
ЗЫ и чат нафиг не нужен, толку от него никакого


Чат не нужен. Согласен. Под чатом я имел в виду IRC-канал.

Kerghan :: ну тогда по всем пунктам я за

Telex :: Что требуется от других?
Пожалуйста списком

MozgC [TSRh] :: Ну ты не первый кто это предлагает... Тут будет много проблем. В организации, в спорах, в деньгах, в геморое и т.д.
Естественно было бы хорошо. Но я например сразу отлетаю по деньгам, мне щас не до складываний =( А так можете замутить если сил, средств, организации хватит.

Kerghan :: насколько я понял на правах спонсора выступает odIsZaPc

UnKnOwN :: Я «ЗА», только свистните, если нужна помощь, в этом не лёгком деле стучитесь в Асю 343344171

odIsZaPc
Молодец !!!

XoraX :: Второе рождение... это было бы конечно замечательно и очень кстати, потому что (не в обиду BG) теперешний дизайн и движок (которого нет) мягко говоря уже не очень рулят....

MozgC [TSRh] :: Имхо самое главное это не движок сайта а его содержимое.

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Ну ты не первый кто это предлагает... Тут будет много проблем. В организации, в спорах, в деньгах, в геморое и т.д.


Гемороя дофига? Ну не то чтоб так уж дофига, но это ессно не 2 байта переслать. Вообще я привык к геморою.... А по части денег (см ниже).
MozgC [TSRh] пишет:
цитата:
Имхо самое главное это не движок сайта а его содержимое.


Благо сожержимое уже имеется, так что дело за движком.

Я думаю Bad_Guy не будет против если я опубликую его письмо мне:

«Вот ты предложил объединить форум и сайт на платный хостинг залить. Ты
можешь этот хостинг обеспечить или хотя бы вскладчину долю внести. Я
до сих пор собираюсь открывать. Где-то за 58$ в год хостинг на
eserver.ru - 100 мегабайт и вроде скрипты, вроде всё культурно. Хочу
взять на полгода сначала - выйдет где-то 30$ надо платить. Самому в
принципе жалко такую сумму, ну а если мне 1-3 человека поровну + я
сбросились - я бы был доволен и открыл бы, но нужно чтобы те кто
сбросятся не просто мной понукали типа мы бабки платили, а ты тут не
чешишсь всё быстро делать, а либо вообще меня не тревожили с этим,
либо помогали - раздел взяли бы, к примеру, разделы: скачать, статьи,
ассемблер, дельфи...
Мы это летом обсуждали на форуме, двое согласились скинуться, но
получалась такая ситуация, что они дали бы мне бабки и начали мной
командовать.»

Довольно неплохой, а главное дешевый хостинг ты нашел. Уж получше будет чем мой.
Этот вариант мне даже больше нравитья.
Готов помочь. Вдвоем сбрасываться? В принципе можно. Хотя парочка человек не помешала бы.
И с радостью возьмусь вести раздел какой-нить, например по дельфи...
Ну что скажешь, лады? Никем командовать я не собираюсь.

P.S. Тут как я вижу это уже не раз обсуждали, кажется пора довести дело до конца. Не без BG конечно.

Bad_guy :: Короче так, есть предложение. Нужен еще один человек, который готов внести 300 рублей в наш проект. odIsZaPc и я тоже вносим равные доли. Можно в принципе и два человека.
Помнится Муншайнер был готов летом. Короче пишите тут или на мыло.

odIsZaPc :: Да, пишите, люди добрые :)
Я тут уже начинаю готовиться: установил Апач, Перл. Наверно придется *nix поставить опять. Давно этим не занимался...
Bad_guy
Если хочешь самый лучший форум, а он ИМХО, Invision Power Board, то придется подбашлять за My_SQL. Иначе довольствоваться чем-то иным. Я еще один движок нашел, посмотрю намедни...
P.S. Набрел на vBulletin. Говорят лучший...

odIsZaPc :: А сайт, если вс пойдет ровно, возможно будет на PHP-Nuke...

MozgC [TSRh] :: odIsZaPc пишет:
цитата:
Мы это летом обсуждали на форуме, двое согласились скинуться, но
получалась такая ситуация, что они дали бы мне бабки и начали мной
командовать.


Никто не собирался командовать, спор был чисто из-за адреса.

PS. Я попробую узнать насчет хостинга, может подешевле получится.
PPS. Могу попробовать помочь скардить домен если не боитесь (мой скарженный вот уже 2 месяца и без проблем)
PPPS. А может с другой стороны и не надо вам это? Деньги, суета... все-таки на сайт будет уходить много времени, а оно вам надо? Все-таки если так подумать, то главное тут это статьи, а статьи неплохо и щас пишутся и выкладываются на крэклабе. Я ниче не хочу сказать против. Просто не торопитесь, обдумайте.

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
PPPS. А может с другой стороны и не надо вам это? Деньги, суета... все-таки на сайт будет уходить много времени, а оно вам надо? Все-таки если так подумать, то главное тут это статьи, а статьи неплохо и щас пишутся и выкладываются на крэклабе. Я ниче не хочу сказать против. Просто не торопитесь, обдумайте.


Это будет уже не тот крякрлаб - это будет некое подобие портала. Статьи будут, но будет и еще много нового. Я все сказал. Я доведу дело до конца.
А подешевле это как. Надо чтоб скрипты были и my_sql

Bad_guy :: Telex, я получил твое предложение, отвечу по емэйл. Ну кто еще хочет скинуться - уже меньше будет - 225 рублей.

Mozg давай не начинать эту фигню вообще - так мы 100 лет ничего не сделаем. Я считаю, что 300 рублей - за полгода хостинга - для меня это смешная сумма и со всяким кардином и прочей ерундой для этого связываться не хочу. CRACKL@B должен работать ! Почему каждый маза фака разработчик аспротекчик покупает ком домен и сайт делает, а мы не можем ?

PS А летом просто один козлина всё испортил, который там хотел весь сайт оплатить...

FEUERRADER :: MozgC [TSRh] пишет:
цитата:
А может с другой стороны и не надо вам это? Деньги, суета...


Если кому-то хочется этим заняться, так почему бы и нет. Дерзайте, ребята!

Bad_guy :: odIsZaPc пишет:
цитата:
Bad_guy
Если хочешь самый лучший форум, а он ИМХО, Invision Power Board, то придется подбашлять за My_SQL. Иначе довольствоваться чем-то иным. Я еще один движок нашел, посмотрю намедни...
P.S. Набрел на vBulletin. Говорят лучший...


Не торопись, разберемся. Решать пока надо только кто поучаствует материально.
А вообще мне одна знакомая хакерша говорила, что типа MySQL на сайте - простой способ его ломануть.

odIsZaPc :: Bad_guy
Короче, я связался с хостером, сказал, что кроме тарифа «минимум» дополнительно требуется база MySQL. Он мне ответил, что дешевле было бы приобрести тариф «медиум» (дешевле на 1$). Сразу говорю - без базы данных SQL я как без рук. Все лучшие движки ее требуют. Ладно, усе молчу....

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Mozg давай не начинать эту фигню вообще


Ну про хостинг подешевле я не имел ввиду скардить...

Bad_guy пишет:
цитата:
Почему каждый маза фака разработчик аспротекчик покупает ком домен и сайт делает, а мы не можем ?


Потому что каждый маза фака разработчик от этого будет деньги получать, а мы (вы) только отдавать.

Насчет Invision Power Board, у нас на сайте такой. Да там большие возможности, даже я бы сказал очень большие (но не идеальные), но, блин, он такой тормозной, и есть свои неудобства. Трафика жрет примерно в 2,5 раза больше чем ЭТОТ форум, а для таких как я, кто сидит по трафику с ограничением это важно и очень напрягает. Что насчет неудобств, то их трудно описать, но попробуйте долго попользоваться таким форумом и вы их найдете. В общем я не знаю чего больше плюсов или минусов. В плане настроек, контроля, управления IPB лучше, в плане быстроты, простоты и удобства, лучше этот форум на борда.ру.

Kerghan :: ладно МозгС не гони волну. Люди берутся все устроить, а ты еще и не доволен 8-(.
Ты сравни васм с краклабом (хотя сейчас это проблематично :( )... Имхо разница очевидна. Как говориться пора выйти из тени

XoraX :: Kerghan пишет:
цитата:
пора выйти из тени


может еще налоги платить будем

MozgC [TSRh] :: Kerghan
Да не я не гоню волну, просто говорю что думаю. т.е. честно свои мысли.

Inferno[mteam] :: ›А вообще мне одна знакомая хакерша говорила, что типа MySQL на сайте - простой способ его ломануть.
Так не будет, если принять определенные меры. Так как я этим занимаюсь, могу помочь любимому сайту.

Char :: Перцы, я не крякер ваще «я еще только учусь» ;), но если вам не помешает помощь, то я готов также «вложиться»:
* финансово - без претензий на какое-нить «wanna be admin», просто для поддержки НУЖНОГО))) дела
* еще хтмл’ю, клипаю Flash 5
* если нада экономическая сторона (коммерциализировать чего, не обязательно cracklab), то тут я проф )
* организационный моменты какие
* социальный инженеринг
* могу помогать вести разделы типа «уязвимости windows систем», ибо изучал много аспектов в этом направлении, работал админом, имею опыт...
*ну и про хак-темы «есть такая буква...» )))

мейл: xchar@mail.ru, ICQ 279264288 (Тока сижу в Сети поздно ночью - см. время написания, потому Аська 8-(((

З.Ы. Я всегда ЗА развитие новых интересных проектов.
З.Ы.Ы. Тока если нет- чур не посылать...

Mario555 :: odIsZaPc пишет:
цитата:
и еще много нового.


Чего именно ? Думаю раздел «скачать» не нужен.

odIsZaPc пишет:
цитата:
Набрел на vBulletin.


IMHO в правильном направление бредешь , переделать этот форум на подобие exetools или woodmann.net было бы cool.

odIsZaPc :: Char
Очень хорошо. Твоя помощь будет как нельзя кстати.
Срочно напиши Бэдгаю или Бэдгай напишет тебе...
Inferno[mteam]
Оставил бы ты свои координаты. У меня вопрос к тебе есть.
Mario555 пишет:
цитата:
Чего именно ? Думаю раздел «скачать» не нужен


Там видно будет.
Mario555 пишет:
цитата:
переделать этот форум на подобие exetools


Неплохой форум. Однако vBulletin вроде как платный. Тут и не покрякаешь...

Мне очень нравиться этот форум, в котором мы щас сидим - все просто и со вкусом. На каком движке он сделан? Invision Power Board?
Mozgc , а как ты собрался подешевле с хостингом?

MozgC [TSRh] :: odIsZaPc пишет:
цитата:
Мне очень нравиться этот форум, в котором мы щас сидим - все просто и со вкусом. На каком движке он сделан?


FastBB

odIsZaPc пишет:
цитата:
Mozgc, а как ты собрался подешевле с хостингом?


Да есть кое-какие мысли, вы пока не обращайте внимания, если получится, то я сообщу.

odIsZaPc :: MozgC [TSRh]
Окей.

Inferno[mteam] :: to odIsZaPc: inferno2002@mail.nnov.ru

odIsZaPc :: Inferno[mteam]
Да я уже и сам разобрался....

MsFUCK :: О боже... собрались....
Единственная просЬДЬба... ну что вы как все ... ещё нюк поставьте... извините меня но это попса... Что программистов чтоль нет?
Если платный хостинг, делайте движок сами... а то толку то... не интелегенто, совсем как маленькие...
Сколько ваШ хостинг на месяц будет (без домена)?
Я сейчас на свой качаю проги... потом ещё 100 мегов возьму и откроюсь ... наконецто...
p.s. вот так вот взял и потерял пароль...
p.p.s [RU].Ban0K!

Telex :: [RU].Ban0K!
Мда... пароли здесь не восстанавливаются...

Bad_guy :: [RU].Ban0K!
Ты хоть сделай чего-нибудь сам, а потом понтуй

odIsZaPc :: MsFUCK
Умный чтоли? И поставим мы нюк. и пох на попсу. Сайт будет работать, а это главное. А потом ессно, движок будет сменен...
Ты думаешь движок написать это как два пальца. Это не каждому программеру под силу...
MsFUCK пишет:
цитата:
не интелегенто, совсем как маленькие


Как раз и должно быть неинтеллегентно. :)
PHPNuke это очень мощный и гибкий движок. При желании можно переделать его до неузнаваемости.

666 :: Короче киньте клич народу, по поддержке сайта финансово.
Как обычно кто дельное что либо прочел или т.п. и преисполнился благодарности
пусть высылает уе по курсу сколько не жалко только укажите куда

Я например готов, среди нормальных людей как известно жлобья не водится

MsFUCK :: Bad_guy пишет:
цитата:
Ты хоть сделай чего-нибудь сам, а потом понтуй


Я сам сделал... и понтую... ты мой движок видел...? не открываюсб по многим причинам...
(Скачать на хост 200 метров с моей линеей не пустяк, открывать сайт с нежостатком статей не интересно)
p.s. Задел за живое....

odIsZaPc пишет:
цитата:
Умный чтоли? И поставим мы нюк. и пох на попсу. Сайт будет работать, а это главное.


Я выразил своё личное IMHO. Про мои мозги говорить моим тесторам... Толку от нюка теперь уже никакого, у него даже скины не полноценные.

odIsZaPc пишет:
цитата:
Ты думаешь движок написать это как два пальца.


Не два пальца, а два месяца...

odIsZaPc пишет:
цитата:
Это не каждому программеру под силу...


Значит есть куда стремиЦа...

odIsZaPc пишет:
цитата:
При желании можно переделать его до неузнаваемости.


Ну ты заявил...

MozgC [TSRh] :: Давайте без грязи в этой теме.




FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже?...



FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже? Говорят, в инете есть ролик 12 мб, где реально жириновский сидит со «свомим» ребятами и материт Буша (маты не закрыты!) Вырезки еще по центральным каналам ТВ показывали год назад вроде. Скандал был...
Может кто знает, где ролик есть в инете?

Кто вообще об этом ничего не слышал, вот тут я положил яркие вырезки из этого ролика, можете ознакомится
http://feuerrader.nm.ru/zhirinovskii-compromat.rar [~200Кб]
DEMON :: Классно!! Жырик клевый черт!!!! Интерестно сколько он зарабатывает????

Bob :: FEUERRADER
Вот когда он выступал, мы скачали. Там на самом деле мат на мате. Только откуда непомню, а остался на винте или нет надо будет посмотреть.

Z :: Здесь

Смеялся долго

Kerghan :: я полную версию видел
смешно

MoonShiner :: Я тож... Там минут на 10. Прикольно:)

XoraX :: похоже на полную версию. сам не качал...

[http://filez.mazafaka.ru/lol/mp3/bagdad.zip]

mnalex :: Ребят, а вы его внимательно послушайте... он там что то про российских ученых заикается... что то про гравитацию... я тут недавно статейку встречал, так там на это интервью ссылаються, и делаю предположения, что есть разработки в плане управления гравитацией, и мол по этому в России начали закруглять космические программы, мол на новом движке ничо этого ненужно будет... Вобщем конкретно непомню, чото статью найти немогу... С одной стороны это конечно же выдумки, а с другой - былобы прикольно...

Char :: Не только крэкеры смотрят фильмы про Жириновского сматом )))
Журналюги тоже. .
Линк умер, а фильм на винте (((




FEUERRADER Математическое преобразование Преположим, есть инструкция:



FEUERRADER Математическое преобразование Преположим, есть инструкция:
2485B (или rva=46245B) E930CFFEFF JMP 44F390
где 2485B - offset в файле, остальное понятно.
Так вот, из байт 30CFFEFF нужно получить адрес 44F390, зная только offset (или rva). Я предполагаю, что эти байты каким-то образом образуют число (если положительное - jmp идет ниже, отрицательное - выше), которые прибавляется/отнимается от offset (или rva оффсета?).
Хотелось бы формулу, если у кого есть или просто мысли.

Благодарю.
Dragon :: Это число равно адрес назначения - текущий адрес(EIP) - 5, 5 это длина команды, для короткого jmp это 2, для длинного условного перехода это 6.

nice :: FEUERRADER
Если я тебя правильно понял 44f390=FFFECF30+46245B

odIsZaPc :: FEUERRADER
Ты дизассемблер что-ли хочешь написать? Так на то есть специальные таблицы (спецификации что-ли) опкодов...

FEUERRADER :: nice
Действительно, всё оказалось элементарно. Меня смутили «FFFFF» в этом числе, а они просто указывали на отрицательный знак числа.
odIsZaPc
Нет, хочу написать автоанпакер для UPX. Просто для своего развития :)) Уже написал dll, которая не запуская файл (только по байтам файла) определяет OEP у UPX, сделаю еще ASPack. Эту длл сделаю публичной, скоро наверно, выпущу в свет.

-= ALEX =- :: FEUERRADER странно, nice вроде бы то же самое хотел писать...

XoraX :: я уже видел в сети такую длл.... ;)

mnalex :: nice
Чото я не по, FFFECF30+46245B = 44F38B ,
но 44F38B не равно 44F390 , так как это? или чо это? вернее как это вы пришли к тому, что результат равен?

Dragon :: mnalex
FFFECF30+46245B+5 = 44F390, я же писал выше.

Asterix :: FEUERRADER

Интересно.. интересно, для АСПака я тоже пишу тулзень, тестовый
вариант уже готов, но перерабатываю движок в сторону универсальности,
ну что померяемся шварцами.. у кого в итоге окажется лучше

-= ALEX =- :: у меня, гы... шутка :)




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:



FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:
BOOL RebuildImport(DWORD pid, DWORD oep_rva, DWORD iat_rva, DWORD nb_recursion, LPTSTR dump_filename)
Не нашел расшифровки параметров. Не понятны iat_rva и nb_recursion.
iat_rva видимо rva таблицы импорта. Откуда берется, если пакер проги неизвестен???
И что за nb_recursion???

Очень надеюсь на помощь. Спасибо.
MozgC [TSRh] :: IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска.

MozgC [TSRh] :: Подозреваю так же что nb_recursion это количество рекурсий, т.е. сколько раз импрек будет входить в процедуры чтобы распознать функцию.

FEUERRADER :: MozgC [TSRh]

цитата:
IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска


Смотри, процесс останавливается на ОЕР проги, пакованной UPX. Теперь делаю
RebuildImport(lppi.dwProcessId, 0x44F390, 0, 1, «dump.exe»);
Всё делаю на msvС++.
Выходит сообщение Could not find anything good at this OEP. Пробовал rva_oep вводить без imagebase, но резульатат такой же.
В чем ошибка-то???

MozgC [TSRh] :: А че ты 0 то суешь вместо IAT_RVA?

FEUERRADER :: MozgC пишет:
цитата:
А че ты 0 то суешь вместо IAT_RVA?


Дык я и спрашиваю, мож кто знает, как программно на с++ просто найти iat_rva у прог UPX??

MozgC [TSRh] :: Ты сначала посмотри будет ли работать если туда сувать не 0, а потом будешь думать как iat_rva автоматом найти =)




dido Вход только крэкерам! Где попрятались крутые крякеры? На всех форумах...



dido Вход только крэкерам! Где попрятались крутые крякеры? На всех форумах спрашиваю
как отключить (или обойти) проверку на наличие Hardlock
а также как отключить проверку CRC, никто не ответил.
Или «не замечают», или не умеют. Все почему то заняты упаковщиками.
Bad_guy :: На такие вопросы устно не отвечают - надо смотреть. Хочешь устный ответ: надо пропатчить программу в определенном месте вот и всё. Какой хардлок тоже надо знать - делаем эмулятор или пользуемся старым эмулятором.

dido Re: Bad_guy :: Наконец-то появилась хоть какая-то зацепка!
Bad_guy
Я в основном на твоих и MozgC[TSRh] статьях учился крэку, но таких вопросов
не встречал. Если устно нельзя ответить то, наверное, нужна сама программа.
Вот она - http://www.vingeo.com/Digitals.zip, 790KB.
Рабочий файл ged.exe упакован ASPack 2.11. Распаковал без проблем.
Что такое эмулятор - пока не знаю.

FEUERRADER :: dido пишет:
цитата:
крутые крякеры


Крутые крякеры это зазнавшиеся ламаки, ИМХО. Существуют опытные, а не крутые.
dido пишет:
цитата:
Или «не замечают», или не умеют


Советую самосовершенствоваться, а не делать такие глупые посты. Если бы ты спросил «где почитать про снятие CRC?» - это другое дело.
Без обид.

dido Re: FEUERRADER :: FEUERRADER
Мои извинения. Но тогда посоветуй «где почитать про снятие CRC?»

MozgC [TSRh] :: Я сам не встречал, но слышал что HardLock не самый простая защита и если ты спрашиваешь такие вопросы, то наврятли...

odIsZaPc :: MozgC [TSRh]
А в чем принцип сей защиты? Типа HASP?

MozgC [TSRh] :: НАверно типа того, я в ключах не шарю =)

MoonShiner :: Что именно интересует? Конверт отковыривается с пол-пинка, хоть при ключе, хоть без оного (насчет отсутствия ключа узнал от одного умного чела, имени которого без его согласия не упоминаю и которому мой огромный респект). Оставшиеся функции эмулятся несложно, в случае неэкзотических вариантов... Конкретные вопросы бы надо...

dido Re: MoonShiner :: MoonShiner
Вот конкретно - http://www.vingeo.com/Digitals.zip, 790KB.
Без ключа - демка, не сохраняет созданный документ.
Кроме ключа еще нужен номер лицензии, но это я попробую сам.

MozgC [TSRh] :: MoonShiner
Одно дело не сложно когда научился, другое дело когда ни разу не делал... Разные вещи. Первый раз уши могут повянуть.

dido Re: MozgC [TSRh] :: MozgC [TSRh]
Во всяком деле есть первая попытка. А ушей не жаль, был бы результат.

MoonShiner :: MoonShiner пишет:
цитата:
Конверт отковыривается с пол-пинка, хоть при ключе, хоть без оного


Сорри, это я по-пьяни с Гуардантом попутал:). Но при наличии ключа конверт отдирается за минуту. Раз там демка рабочая =› скорее всего конверта нет.

dido Re: MoonShiner :: MoonShiner
Так ключика то как раз и нету! В этом и гвоздь!

SavagE :: Ломаю тут один скринсейвер,3D-шный,использует Direct3D
после некоторого времени вылезает наг
на всякие функции типа getsystemtime и прочую х.. не ловится
нашел в листинге IDA основную процедуру рендера, но там можно свободно ковырятся неделю и ничего толкового не найти
может кто подскажет какие-нибудь D3d-шные функции типа прорисовки rectangl’а или типа того,на что можно поймать эту пакость
а то неохота хелп по д3д искать,потом ковырятся в нем
и вообще что в такой ситуации лучше делать ?
з.ы. только не пишите чтобы ломал регистрацию - пробовал уже, там какой-то криптографический отстой типа RSA,мне это пока не по зубам :(

MoonShiner :: Посмотрел я прогу несколько минут... Какой то бред. «Хардлок» есть в коде, ломится в nvkeynt, короче ниче не понял. Гляну в выходные, как дома буду.




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




anonymous si 4.2.7 winxp - софтайс не показывает окно (видеодрайвер?)...



anonymous si 4.2.7 winxp - софтайс не показывает окно (видеодрайвер?) проблема.
Качал по ссылке, с куличек. Устанавливается нормально, потом работает до
второй перезагрузки. Потом по CTRL+D машина подвисает, а окна
софтайсовского нету. По F5 подвисание прекращается. Я так понимаю,
SI срабатывает, но, почему-то не отображается окно.
Кто сталкивался - хелп! Как лечится?
10Х заранее...

FEUERRADER :: У меня точно такая же фигня была.
Лечил так: удали айс. Скачай si 4.05 for NT. Поставь его. Теперь в другую папку ставь 4.2.7.
Мне помогло.

DEMON :: FEUERRADER пишет:
цитата:
У меня точно такая же фигня была.
Лечил так: удали айс. Скачай si 4.05 for NT. Поставь его. Теперь в другую папку ставь 4.2.7.
Мне помогло.


Я ёще пропатчил ёе patshXP, есть на сайте http://reversing.kulichki.com/

anonymous :: Тэ-экс! Спасибо, пробую!

Z Re: anonymous :: Я лечился так

В строке инициализации в файле winice.dat вписал вместо X:

INIT=«SET FONT 3;SET ORIGIN -10 25;WR;WD 4;WL;WC 12;X;»

Параметры по вкусу.
В новых версиях можно через настройки в лодыре.

Sem :: Да блин, было же уже, все дело из-за косяка в реестре:
берешь regedit открываешь LEGACY_SIWVID (или LEGACY_SIWSYM) и исправляешь название на правильное. (Так же можешь исправить в Services\Siwsym и Services\Siwvid пути типа ХЗХЗХЗ\\ХЗХЗ на ХЗХЗХЗ\ХЗХЗХЗ).




odIsZaPc Второе рождение http://cracklab.narod.ru - http://cracklab.ru. Все...



odIsZaPc Второе рождение http://cracklab.narod.ru - http://cracklab.ru. Все ЗА и ПРОТИВ в эту тему. Значит так, пока неофициально...
Так дело не пойдет. Закрывать тут чего-то собрались... В какие-то черные списки внесли... Это не дело. Я вообще очень не люблю, когда кто-то сверху влияет на инет-проекты. И мне кажется, пора переходить на новый уровень. Уже давно пора.
Этот форум должен стать в каком-то смысле независимым. Независимым в смысле объеденить http://cracklab.narod.ru и эту борду + чат сделать и еще много чего. Знания в администрировании unix и apache у меня кое-какие имеются, благо специальность к этому располагает. Поставить доменное имя вроде http://cracklab.ru и все будет ровно. Но это будет уже другой кряклаб, объединенный так сказать. И никто нах не посмеет тут че-то прикрыть...

БЕЗ ШУТОК. Мне стипендию повысили, да и работу предложили. Так что обеспечить смогу. Сервак я себе уже давно хотел забабахать, даже присмотрел где и почем, а тут как я вижу и повод появился... У меня там свои проекты были, но добавить еще один домен 2-го уровня это не проблема. 200 метровый кряклаб это по-моему неплохо. +дохренища скриптов. +отсутсвие какого-то влияния хостеров-бордеров и прочих бекорасов. То, что сервак появится где-то через месяц, это 100%. Вопрос в другом:
ХОТИТЕ ЛИ ВЫ ПЕРЕЙТИ НА НОВЫЙ АДРЕС??? НУЖНО ЛИ ЭТО??? Считаете, что это лажа? Все мнения сюда.
Если думаете, что идея левая, ногами не пинать :))
P.S. Это, в частности и BG касается... :)
Kerghan :: да я с МозгС’ом уже говорил на эту тему... гемороя дофига... ну раз ты сам предлагаешь всем этим заняться

тока в таком случае два обратных предложения:
админ сайта BG(не Bill Gates как подумали некотоык :) )
админ форума МозгС

ЗЫ и чат нафиг не нужен, толку от него никакого

odIsZaPc :: Kerghan пишет:
цитата:
админ сайта BG(не Bill Gates как подумали некотоые :) )


А иначе и быть не может :) Он создатель cracklab - ему и админить...
Kerghan пишет:
цитата:
админ форума МозгС


Да без вопросов, впринципе....
Kerghan пишет:
цитата:
ЗЫ и чат нафиг не нужен, толку от него никакого


Чат не нужен. Согласен. Под чатом я имел в виду IRC-канал.

Kerghan :: ну тогда по всем пунктам я за

Telex :: Что требуется от других?
Пожалуйста списком

MozgC [TSRh] :: Ну ты не первый кто это предлагает... Тут будет много проблем. В организации, в спорах, в деньгах, в геморое и т.д.
Естественно было бы хорошо. Но я например сразу отлетаю по деньгам, мне щас не до складываний =( А так можете замутить если сил, средств, организации хватит.

Kerghan :: насколько я понял на правах спонсора выступает odIsZaPc

UnKnOwN :: Я «ЗА», только свистните, если нужна помощь, в этом не лёгком деле стучитесь в Асю 343344171

odIsZaPc
Молодец !!!

XoraX :: Второе рождение... это было бы конечно замечательно и очень кстати, потому что (не в обиду BG) теперешний дизайн и движок (которого нет) мягко говоря уже не очень рулят....

MozgC [TSRh] :: Имхо самое главное это не движок сайта а его содержимое.

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Ну ты не первый кто это предлагает... Тут будет много проблем. В организации, в спорах, в деньгах, в геморое и т.д.


Гемороя дофига? Ну не то чтоб так уж дофига, но это ессно не 2 байта переслать. Вообще я привык к геморою.... А по части денег (см ниже).
MozgC [TSRh] пишет:
цитата:
Имхо самое главное это не движок сайта а его содержимое.


Благо сожержимое уже имеется, так что дело за движком.

Я думаю Bad_Guy не будет против если я опубликую его письмо мне:

«Вот ты предложил объединить форум и сайт на платный хостинг залить. Ты
можешь этот хостинг обеспечить или хотя бы вскладчину долю внести. Я
до сих пор собираюсь открывать. Где-то за 58$ в год хостинг на
eserver.ru - 100 мегабайт и вроде скрипты, вроде всё культурно. Хочу
взять на полгода сначала - выйдет где-то 30$ надо платить. Самому в
принципе жалко такую сумму, ну а если мне 1-3 человека поровну + я
сбросились - я бы был доволен и открыл бы, но нужно чтобы те кто
сбросятся не просто мной понукали типа мы бабки платили, а ты тут не
чешишсь всё быстро делать, а либо вообще меня не тревожили с этим,
либо помогали - раздел взяли бы, к примеру, разделы: скачать, статьи,
ассемблер, дельфи...
Мы это летом обсуждали на форуме, двое согласились скинуться, но
получалась такая ситуация, что они дали бы мне бабки и начали мной
командовать.»

Довольно неплохой, а главное дешевый хостинг ты нашел. Уж получше будет чем мой.
Этот вариант мне даже больше нравитья.
Готов помочь. Вдвоем сбрасываться? В принципе можно. Хотя парочка человек не помешала бы.
И с радостью возьмусь вести раздел какой-нить, например по дельфи...
Ну что скажешь, лады? Никем командовать я не собираюсь.

P.S. Тут как я вижу это уже не раз обсуждали, кажется пора довести дело до конца. Не без BG конечно.

Bad_guy :: Короче так, есть предложение. Нужен еще один человек, который готов внести 300 рублей в наш проект. odIsZaPc и я тоже вносим равные доли. Можно в принципе и два человека.
Помнится Муншайнер был готов летом. Короче пишите тут или на мыло.

odIsZaPc :: Да, пишите, люди добрые :)
Я тут уже начинаю готовиться: установил Апач, Перл. Наверно придется *nix поставить опять. Давно этим не занимался...
Bad_guy
Если хочешь самый лучший форум, а он ИМХО, Invision Power Board, то придется подбашлять за My_SQL. Иначе довольствоваться чем-то иным. Я еще один движок нашел, посмотрю намедни...
P.S. Набрел на vBulletin. Говорят лучший...

odIsZaPc :: А сайт, если вс пойдет ровно, возможно будет на PHP-Nuke...

MozgC [TSRh] :: odIsZaPc пишет:
цитата:
Мы это летом обсуждали на форуме, двое согласились скинуться, но
получалась такая ситуация, что они дали бы мне бабки и начали мной
командовать.


Никто не собирался командовать, спор был чисто из-за адреса.

PS. Я попробую узнать насчет хостинга, может подешевле получится.
PPS. Могу попробовать помочь скардить домен если не боитесь (мой скарженный вот уже 2 месяца и без проблем)
PPPS. А может с другой стороны и не надо вам это? Деньги, суета... все-таки на сайт будет уходить много времени, а оно вам надо? Все-таки если так подумать, то главное тут это статьи, а статьи неплохо и щас пишутся и выкладываются на крэклабе. Я ниче не хочу сказать против. Просто не торопитесь, обдумайте.

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
PPPS. А может с другой стороны и не надо вам это? Деньги, суета... все-таки на сайт будет уходить много времени, а оно вам надо? Все-таки если так подумать, то главное тут это статьи, а статьи неплохо и щас пишутся и выкладываются на крэклабе. Я ниче не хочу сказать против. Просто не торопитесь, обдумайте.


Это будет уже не тот крякрлаб - это будет некое подобие портала. Статьи будут, но будет и еще много нового. Я все сказал. Я доведу дело до конца.
А подешевле это как. Надо чтоб скрипты были и my_sql

Bad_guy :: Telex, я получил твое предложение, отвечу по емэйл. Ну кто еще хочет скинуться - уже меньше будет - 225 рублей.

Mozg давай не начинать эту фигню вообще - так мы 100 лет ничего не сделаем. Я считаю, что 300 рублей - за полгода хостинга - для меня это смешная сумма и со всяким кардином и прочей ерундой для этого связываться не хочу. CRACKL@B должен работать ! Почему каждый маза фака разработчик аспротекчик покупает ком домен и сайт делает, а мы не можем ?

PS А летом просто один козлина всё испортил, который там хотел весь сайт оплатить...

FEUERRADER :: MozgC [TSRh] пишет:
цитата:
А может с другой стороны и не надо вам это? Деньги, суета...


Если кому-то хочется этим заняться, так почему бы и нет. Дерзайте, ребята!

Bad_guy :: odIsZaPc пишет:
цитата:
Bad_guy
Если хочешь самый лучший форум, а он ИМХО, Invision Power Board, то придется подбашлять за My_SQL. Иначе довольствоваться чем-то иным. Я еще один движок нашел, посмотрю намедни...
P.S. Набрел на vBulletin. Говорят лучший...


Не торопись, разберемся. Решать пока надо только кто поучаствует материально.
А вообще мне одна знакомая хакерша говорила, что типа MySQL на сайте - простой способ его ломануть.

odIsZaPc :: Bad_guy
Короче, я связался с хостером, сказал, что кроме тарифа «минимум» дополнительно требуется база MySQL. Он мне ответил, что дешевле было бы приобрести тариф «медиум» (дешевле на 1$). Сразу говорю - без базы данных SQL я как без рук. Все лучшие движки ее требуют. Ладно, усе молчу....

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Mozg давай не начинать эту фигню вообще


Ну про хостинг подешевле я не имел ввиду скардить...

Bad_guy пишет:
цитата:
Почему каждый маза фака разработчик аспротекчик покупает ком домен и сайт делает, а мы не можем ?


Потому что каждый маза фака разработчик от этого будет деньги получать, а мы (вы) только отдавать.

Насчет Invision Power Board, у нас на сайте такой. Да там большие возможности, даже я бы сказал очень большие (но не идеальные), но, блин, он такой тормозной, и есть свои неудобства. Трафика жрет примерно в 2,5 раза больше чем ЭТОТ форум, а для таких как я, кто сидит по трафику с ограничением это важно и очень напрягает. Что насчет неудобств, то их трудно описать, но попробуйте долго попользоваться таким форумом и вы их найдете. В общем я не знаю чего больше плюсов или минусов. В плане настроек, контроля, управления IPB лучше, в плане быстроты, простоты и удобства, лучше этот форум на борда.ру.

Kerghan :: ладно МозгС не гони волну. Люди берутся все устроить, а ты еще и не доволен 8-(.
Ты сравни васм с краклабом (хотя сейчас это проблематично :( )... Имхо разница очевидна. Как говориться пора выйти из тени

XoraX :: Kerghan пишет:
цитата:
пора выйти из тени


может еще налоги платить будем

MozgC [TSRh] :: Kerghan
Да не я не гоню волну, просто говорю что думаю. т.е. честно свои мысли.

Inferno[mteam] :: ›А вообще мне одна знакомая хакерша говорила, что типа MySQL на сайте - простой способ его ломануть.
Так не будет, если принять определенные меры. Так как я этим занимаюсь, могу помочь любимому сайту.

Char :: Перцы, я не крякер ваще «я еще только учусь» ;), но если вам не помешает помощь, то я готов также «вложиться»:
* финансово - без претензий на какое-нить «wanna be admin», просто для поддержки НУЖНОГО))) дела
* еще хтмл’ю, клипаю Flash 5
* если нада экономическая сторона (коммерциализировать чего, не обязательно cracklab), то тут я проф )
* организационный моменты какие
* социальный инженеринг
* могу помогать вести разделы типа «уязвимости windows систем», ибо изучал много аспектов в этом направлении, работал админом, имею опыт...
*ну и про хак-темы «есть такая буква...» )))

мейл: xchar@mail.ru, ICQ 279264288 (Тока сижу в Сети поздно ночью - см. время написания, потому Аська 8-(((

З.Ы. Я всегда ЗА развитие новых интересных проектов.
З.Ы.Ы. Тока если нет- чур не посылать...

Mario555 :: odIsZaPc пишет:
цитата:
и еще много нового.


Чего именно ? Думаю раздел «скачать» не нужен.

odIsZaPc пишет:
цитата:
Набрел на vBulletin.


IMHO в правильном направление бредешь , переделать этот форум на подобие exetools или woodmann.net было бы cool.

odIsZaPc :: Char
Очень хорошо. Твоя помощь будет как нельзя кстати.
Срочно напиши Бэдгаю или Бэдгай напишет тебе...
Inferno[mteam]
Оставил бы ты свои координаты. У меня вопрос к тебе есть.
Mario555 пишет:
цитата:
Чего именно ? Думаю раздел «скачать» не нужен


Там видно будет.
Mario555 пишет:
цитата:
переделать этот форум на подобие exetools


Неплохой форум. Однако vBulletin вроде как платный. Тут и не покрякаешь...

Мне очень нравиться этот форум, в котором мы щас сидим - все просто и со вкусом. На каком движке он сделан? Invision Power Board?
Mozgc , а как ты собрался подешевле с хостингом?

MozgC [TSRh] :: odIsZaPc пишет:
цитата:
Мне очень нравиться этот форум, в котором мы щас сидим - все просто и со вкусом. На каком движке он сделан?


FastBB

odIsZaPc пишет:
цитата:
Mozgc, а как ты собрался подешевле с хостингом?


Да есть кое-какие мысли, вы пока не обращайте внимания, если получится, то я сообщу.

odIsZaPc :: MozgC [TSRh]
Окей.

Inferno[mteam] :: to odIsZaPc: inferno2002@mail.nnov.ru

odIsZaPc :: Inferno[mteam]
Да я уже и сам разобрался....

MsFUCK :: О боже... собрались....
Единственная просЬДЬба... ну что вы как все ... ещё нюк поставьте... извините меня но это попса... Что программистов чтоль нет?
Если платный хостинг, делайте движок сами... а то толку то... не интелегенто, совсем как маленькие...
Сколько ваШ хостинг на месяц будет (без домена)?
Я сейчас на свой качаю проги... потом ещё 100 мегов возьму и откроюсь ... наконецто...
p.s. вот так вот взял и потерял пароль...
p.p.s [RU].Ban0K!

Telex :: [RU].Ban0K!
Мда... пароли здесь не восстанавливаются...

Bad_guy :: [RU].Ban0K!
Ты хоть сделай чего-нибудь сам, а потом понтуй

odIsZaPc :: MsFUCK
Умный чтоли? И поставим мы нюк. и пох на попсу. Сайт будет работать, а это главное. А потом ессно, движок будет сменен...
Ты думаешь движок написать это как два пальца. Это не каждому программеру под силу...
MsFUCK пишет:
цитата:
не интелегенто, совсем как маленькие


Как раз и должно быть неинтеллегентно. :)
PHPNuke это очень мощный и гибкий движок. При желании можно переделать его до неузнаваемости.

666 :: Короче киньте клич народу, по поддержке сайта финансово.
Как обычно кто дельное что либо прочел или т.п. и преисполнился благодарности
пусть высылает уе по курсу сколько не жалко только укажите куда

Я например готов, среди нормальных людей как известно жлобья не водится

MsFUCK :: Bad_guy пишет:
цитата:
Ты хоть сделай чего-нибудь сам, а потом понтуй


Я сам сделал... и понтую... ты мой движок видел...? не открываюсб по многим причинам...
(Скачать на хост 200 метров с моей линеей не пустяк, открывать сайт с нежостатком статей не интересно)
p.s. Задел за живое....

odIsZaPc пишет:
цитата:
Умный чтоли? И поставим мы нюк. и пох на попсу. Сайт будет работать, а это главное.


Я выразил своё личное IMHO. Про мои мозги говорить моим тесторам... Толку от нюка теперь уже никакого, у него даже скины не полноценные.

odIsZaPc пишет:
цитата:
Ты думаешь движок написать это как два пальца.


Не два пальца, а два месяца...

odIsZaPc пишет:
цитата:
Это не каждому программеру под силу...


Значит есть куда стремиЦа...

odIsZaPc пишет:
цитата:
При желании можно переделать его до неузнаваемости.


Ну ты заявил...

MozgC [TSRh] :: Давайте без грязи в этой теме.




FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже?...



FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже? Говорят, в инете есть ролик 12 мб, где реально жириновский сидит со «свомим» ребятами и материт Буша (маты не закрыты!) Вырезки еще по центральным каналам ТВ показывали год назад вроде. Скандал был...
Может кто знает, где ролик есть в инете?

Кто вообще об этом ничего не слышал, вот тут я положил яркие вырезки из этого ролика, можете ознакомится
http://feuerrader.nm.ru/zhirinovskii-compromat.rar [~200Кб]
DEMON :: Классно!! Жырик клевый черт!!!! Интерестно сколько он зарабатывает????

Bob :: FEUERRADER
Вот когда он выступал, мы скачали. Там на самом деле мат на мате. Только откуда непомню, а остался на винте или нет надо будет посмотреть.

Z :: Здесь

Смеялся долго

Kerghan :: я полную версию видел
смешно

MoonShiner :: Я тож... Там минут на 10. Прикольно:)

XoraX :: похоже на полную версию. сам не качал...

[http://filez.mazafaka.ru/lol/mp3/bagdad.zip]

mnalex :: Ребят, а вы его внимательно послушайте... он там что то про российских ученых заикается... что то про гравитацию... я тут недавно статейку встречал, так там на это интервью ссылаються, и делаю предположения, что есть разработки в плане управления гравитацией, и мол по этому в России начали закруглять космические программы, мол на новом движке ничо этого ненужно будет... Вобщем конкретно непомню, чото статью найти немогу... С одной стороны это конечно же выдумки, а с другой - былобы прикольно...

Char :: Не только крэкеры смотрят фильмы про Жириновского сматом )))
Журналюги тоже. .
Линк умер, а фильм на винте (((




Bad



Bad_guy ...и ahteam.org «крякнулся» Теперь еще кроме васма и рверсинга еще и ahteam.org крякнулся... я фигею, самое странное что васм и реверсинг до сих пор не воссатновили работу. Ща погляжу как exetools поживает...
Gloomy :: Вообще непонятно что за ботва творится - кому все эти сайты помешали? Ладно еще сайты о кряке - считается это противозаконно, но wasm.ru зачем умертвили вообще не понятно - обычный сайт по низкоуровневому программированию, ничего особенного - просто хороший сайт, много полезных статей. Ну есть там на форуме раздел про кряк так ведь можно же было просто раздел убрать, а не весь сайт полностью прибивать!

Ниче не понимаю :(

MozgC [TSRh] :: У всех свои разборки, кто-то на кого-то нагнал, кто-то из себя возомнил, кто-то над кем-то решил пофутить.. Я так думаю...

Kerghan :: ну wasm и reversing это явно старые разборки, а вот что с ahteam случилось для меня является офигенной непоняткой

MoonShiner :: я давно заметил странности в поведении многих, ранее довольньо стабильно работающих сайтов... Также прикрыли сайты некоторых наших знакомых по этому форуму коллег... У меня есть кое-какие соображения по этому поводу, но вы меня сочтете параноиком, если я их выскажу:) Но согласитесь, все это довольно странно... Лучшие сайты, если на них затронута тематика кряка сыпятся один за другим по весьма диким причинам...

GL#0M :: MoonShiner

Согласен. Я думаю о том же.

Purple :: www.is.svitonline.com/syd
таже проблема? :((

-= ALEX =- :: блин так дело пойдет воще все позакрывают...

FEUERRADER :: Официально сообщаю, ahteam.org временно недоступен по неизвестной причине.
Возможно это DDoS атаки, а возможно неисправности у хостера (в отличие от wasm.ru у нас хостер не петерхост).
В ближайшее время вопрос будет решен.

.::D.e.M.o.N.i.X::. :: Наш сайт не закрыли, а просто хостер пиздой пошел - накрылся. Бабки урод не хочет возвращать мудила...

Tricker :: Добрый день . А кто все-таки может дать ответ , что реально случилось с www.wasm.ru ?

DEMON :: Надо с етим как-то бороться!!!

MsFUCK :: Да... это уже совсем не весело... так вот и останутся одни микросоФФФты если и их MYDOOM’z не прикроют...




FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.



FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.
Программа предназначена для быстрой (за пару секунд) распаковки простых пакеров (UPX, ASPack, PE Diminisher, PECompact, PE-PACK и др). Отличается малым размером исполняемой программы и быстротой работы.
Заточена под NT, не восстанавливает импорт под 9х....

Тулза лежит на форуме: http://www.exetools.com/f...read.php?s=&threadid=3478
Кто может выложите еще где-нибудь для народа, кто не зарегистрирован на exetools.

Также можете высказывать мысли по поводу анпакера.

p.s. «This is my first Unpacker, so stop laughing :)» (c) Y0da
Runtime_err0r :: Переложил
_http://www.zone.ee/Runtime_err0r/qunpack_v02.zip

MozgC [TSRh] :: Ну я проверил на UPX, ASPack, PE Compact, ExeStealth - везде сработало, вроде неплохо так все. В общем думаю новичкам понравится, тем более трудно найти распаковщики для PE Compact и eXeStealth, хоть они и очень легкие в плане распаковки.
Только ты бы там написал, что мол автор советует учиться распаковывать вручную =) Прикольно было бы =)

-= ALEX =- :: а я вот что-то попробывал распаковать тот же UPX, просто прога запускается и все....




FEUERRADER SecurityDLL crackme Может кому-то моя идея не понрваится, но я...



FEUERRADER SecurityDLL crackme Может кому-то моя идея не понрваится, но я сделал крякмис на основе CRACKL@B CRACKME #3 by Bad_Guy. Выполнен попроще.
Нужен только пароль, который расшифровывает DLL и запускает ее.

Т.к. шифровать картинку не интересно, то DLL весьма кстати. И не правда, что фактически защита не может использоваться программерами. Напротив, этот мой крякми реально это показывает. Также в архиве - исходники крякми. Но, они вряд ли помогут.
Дерзайте, кто хочет!

P.S. Хотелось бы узнать, уровень крякми. Насколько надежна защита с шифованным DLL.

http://feuerrader.nm.ru/SecDLL.rar
fuck it :: собственна это адин хер что и запароленный архив, никакого тут крак ми нету.

Nitrogen :: 3.14здец. ну че за х..ня?.. ну в каком месте это крякми?.. это ~ чушь полная

Dragon :: Ну что дальше, если DLL? Там можно пользоваться вскрытием с выбранным открытым текстом, т.е. сигнатуры MZ, всякие там cannot be run in dos mode, но только если криптоалгоритм слабый, вроде blowfish к таким не относиться, не слышал ничего про его вскрытие. Ну какой смысл было всё это делать?

-= ALEX =- :: со всеми согласен, смысла ваще никакого. FEUERRADER извини конечно, но ты зря время потратил ... хотя чего там тратить

odIsZaPc :: Имеет ли вообще смысл такая защита??? Да, она ломается только перебором, это плюс... Но на сколько я понимаю пароль всего один... ну пофиг... Но не проще ли сделать демоверсию а потом просто раздавать пароли на скачку? У кажого юзера будет свой пароль и все пучком. А «демо_версия» = «неактивизированная_с_пошифрованной_длл» :) Вроде так проще... Но защита имеет право на существование...

FEUERRADER :: Смысл прост: если программер засунет в DLL процедуры, доступные только зарегенным юзерам и подобным образом зашифрует ее, то эту защиту сломать кроме как карженьем неполучится. А что Вы злитесь? «это даже не крэк ми...» Почему такая защита не имеет право на существование в крэкми?
Короче, закроем тему. Понятно всё.

-= ALEX =- :: FEUERRADER ты думаешь ты защиту придумал ? это давно уже юзается... да и причем тут dll, взял просто свой код пошифровал и все, без ключа не будет выполняться.... а кстати вспомнил, помниться в nfomaker’e твоем тоже dll’ка была :)

fuck it :: Епт, Dragon тему говорит, это очевидно
сматрите у нас есть исходная строчка, есть алгоритм шифрования и результат, осталось только подобрать ключ. Вроде реально

FEUERRADER скинь тока еще эту компаненту позырыть чё там вааще :)




FEUERRADER Где найти AsprDbg 1.06 На woodmann.net видел сообщения, что вышел



FEUERRADER Где найти AsprDbg 1.06 На woodmann.net видел сообщения, что вышел AsprDbg 1.06.
Ссылка там битая. Мож у кого есть?
nice :: FEUERRADER
Залил ;)
http://hice.antosha.ru/AsprDbgr_build_106.zip

GL#0M :: nice

может ещё раз... зальёшь?

Sh[AHTeam] ::

GL#0M пишет:
цитата:
может ещё раз... зальёшь?


Я могу замылить, скажи только куда...

-=atol=- :: Вот atol.newmail.ru/AsprDbgr_build_106.zip

GL#0M :: -=atol=-

Спасиб.

Гость :: Спасибо за ссылочку




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




Styx NeoLite Как распаковать NeoLite. В частности найти OEP.



Styx NeoLite Как распаковать NeoLite. В частности найти OEP.
-=atol=- :: Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm

Styx :: Thanks!

Runtime_err0r :: -=atol=-

цитата:
Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm


Блин, да это же я писАл

Styx
Если не получается руками, то можно этим распаковать: http://feuerrader.ahteam.org/files/QUnpack_v03.rar

-= ALEX =- :: в большинстве случаев в правильных пакерах/крипторах которые заботяться о стэке, можно oep найти по bpm esp-4... последнее срабатывание и приведет к прыжку на OEP.




FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не



FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.
Работает ПОКА только с Delphi прогами.

Инструкция: дампите аспровую прогу (в которой есть мутированные спертые байты!). Находите tempOEP (это адрес первого call’a начиная с ЕР - ну в который аспр входит). TempOEP показывает, например, AsprDbg. Импорт можете не восстанавливать и дамп может не запускаться, это не имеет значения.
Жмете Get Stolen Bytes. Получаете спертые байты с адресами и прочим.

Это первая версия, может есть ошибки!
Пробуйте: http://feuerrader.nm.ru/SBRec10.rar
RideX :: FEUERRADER пишет:
цитата:
Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.


Спасибо, нужная штуковина!

Гость :: Ну ты гений!

-= ALEX =- :: FEUERRADER где столько времени берешь на написание тулз ? я вот все свободное время (пару часов в день) трачу на написание протектора а также другой работы...

FEUERRADER :: RideX пишет:
цитата:
Спасибо, нужная штуковина!


Дык, а в действии? :)
-= ALEX =-
Выходные же. Вот и занялся кодингом.

GRADY$ :: Super!!!

infern0 :: извиняюсь за тон, но хули там в аспре для дельфовых прог восстанавливать ? push ebp, mov ebp, esp, mov eax, some_tbl, add esp, some_val ? это за 20 секунд руками делается...

Gloomy :: FEUERRADER
А можно в лист-боксе ширину строк сделать побольше а то вообще не видно что там написано

nice :: FEUERRADER
Спасибо, рулезная утилита, а исходники не дашь глянуть?

infern0
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

nice :: FEUERRADER
Она только с 11 крадеными байтами работает?
А я уже губу раскатал...

infern0 :: nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45


ну тогда любой пример сложнее того что я написал в студию.

Madness :: infern0
›ну тогда любой пример сложнее того что я написал в студию.
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop (или что-то вроде этого), но в ~95% случаев ты прав.

__cr__ :: infern0 пишет:
цитата:
nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

ну тогда любой пример сложнее того что я написал в студию.


Особенно интересно увидеть ту прогу, где 45 байт
(на _ДЕЛЬФИ_ естессно)

2Madness:

цитата:
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop


Такой цикл все равно не потянет на 45 байт.

nice :: infern0
Ну что же смотри (www.tradesoft.ru)
45:
PUSH EBP
MOV EBP,ESP
ADD ESP,-12C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-120],EAX
MOV [EBP][-124],EAX
MOV [EBP][-118],EAX
MOV [EBP][-11C],EAX
MOV [EBP][-14],EAX
MOV EAX,00333333
CALL ...

32:
PUSH EBP
MOV EBP,ESP
ADD ESP,-1C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-1C],EAX
MOV [EBP][-18],EAX
MOV [EBP][-14],EAX
MOV EAX,[00407C14]
MOV B,[EAX],001
MOV EAX,0033333
CALL ...

38 bytes:
0066B131 55 PUSH EBP
0066B132 8BEC MOV EBP,ESP
0066B134 6A FF PUSH -1
0066B136 68 C0716C00 PUSH opera.006C71C0
0066B13B 68 D8B96600 PUSH opera.0066B9D8
0066B140 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0066B146 50 PUSH EAX
0066B147 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0066B14E 83EC 58 SUB ESP,58
0066B151 53 PUSH EBX
0066B152 56 PUSH ESI
0066B153 57 PUSH EDI
0066B154 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

22 bytes:

0057B0F8 ‹Module› $ 55 PUSH EBP
0057B0F9 . 8BEC MOV EBP,ESP
0057B0FB . 83EC 18 SUB ESP,18
0057B0FE . 53 PUSH EBX
0057B0FF . 56 PUSH ESI
0057B100 . 57 PUSH EDI
0057B101 . 33C0 XOR EAX,EAX
0057B103 . 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
0057B106 . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0057B109 . B8 78A95700 MOV EAX,a.0057A978

Для любителей Олли, уже дописываю статью про аспр, где подробно процесс востановления будет описан.

Гость :: nice пишет:
цитата:
Для любителей Олли, уже дописываю статью про аспр


А где эту статью можно будет глянуть?
Дай адрес на свой сайт

nice :: Гость
Посмотри, это только процентов 40 правда, остальное дома:
http://hice.antosha.ru/AsProtect.rar

Гость :: nice - благодарен!
Надеюсь скоро все выложишь!

Гость :: кстати, nice, зайди сюда, может чем поможешь нам? (долбаем одну прогу!)

-= ALEX =- :: nice’у огромный респект ! по поводу проги сей ниче сказать не могу, вернее промолчу, что-то тянет FEUR. проги странные клепать...

FEUERRADER :: Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X , в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(

infern0 :: FEUERRADER пишет:
цитата:
Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X, в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(


идея понравилась. реализация подвела :)
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.

ViViseKtor :: Это точно. Идея отличная. И развивать стоит.

FEUERRADER :: infern0 пишет:
цитата:
идея понравилась. реализация подвела :)


Дык подскажи, как сделать лучше.
infern0 пишет:
цитата:
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.


Можешь кинуть мне на мыло (feuerrader(at)nm(dot)ru) эту секцию с восстановленными стриппером мутированными байтами? А лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером.
Буду благодарен.

infern0 :: FEUERRADER пишет:
цитата:
Дык подскажи, как сделать лучше.


лучше - в теории это писать анализатор кода который выкинет все барахло и оставит только полезную нагрузку. Проблема усугубляется тем что аспр заходит в call поэтому надо выцепить только инструкции до call (те которые он стирает). Как это красиво сделать - я не знаю. Хотя я восстанавливаю байты одним проходом в айсе по мутированному коду. Следишь за балансом стека и выписываешь на листик команды. Минут 10-15 на все уходит.

FEUERRADER пишет:
цитата:
лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером


тогда дай мне ее запакованную, т.к. самого аспра у меня нет.
или в аську - там поговорим.

nice :: FEUERRADER
В статье я всё допишу и про импорт и про востановление спертых байт

Проект мне тоже интересен, но как это сделать я не знаю :(
Может из Деде попытаться выдрать алгоритм дезассемблирования.
Можно делать так выдрать сначала всё, кроме «основных» мусорных команд jmp и т.п.
потом уже создав более компактный список пройтись по нему разок, и так пока не сведем к минимуму,
да в конечном итоге человек 10 команд и сам может под ОЕП подогнать чем такой цикл проходить




Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




KLAUS Двойная упаковка Всем привет!



KLAUS Двойная упаковка Всем привет!
Народ такой косяк:
Есть прога запакована UPX. Её распаковываю - запускаю всё ништяк. Пихаю в Restorator/exescop - пишет ресурсы не доступны. Сканю файлом анализатором, пишет » ЗАЖАТА UPX», пытаюсь вновь распаковать стандартными методами- не проходит.
Прога запускается раньше чем срабатывает бряка » bpm esp-4» а когда уже сработает то всплывает в kerne32.
В общем стандартные методы распаковки не проходят.....
Может кто что посоветует!!
MoonShiner :: Это не упаковка, это фича такая:) Ты просто посмотри на точку входа (если правильно распаковал) и увидишь, что никаких упх-ом там и не пахнет... И анализатор кривовать наверное. С ресурсами после упх-а частенько косяк (глянь на секции, станет ясно почему). Вывод - юзай какой нить resource rebuilder.

KLAUS :: MoonShiner

Да распаковал-то правильно....после распаковки код такой , какой и должен быть.
Но вот при сканировании OEP совсем другой выходит, туда гляжу и смысл в том, что и там код то такой какой должен быть после распаковки но на него ни каких прыжков нет.
Аназаторов не одним проверял, поэтому скорой всего так и есть.

FEUERRADER :: По двойной упаковке: только вчера игрался с alexprot 4.01b. Забавно получается связка если на прогу навесить AlexProt-›ASPack-›мой EP Protector-›ExeSteath-›мой EP Protector-›LameCrypt-›Y0da Cryptor (со всеми выключенными галочками). После всех превращений target с 22 кб стал всего 35 кб.

WELL :: KLAUS

А че за прога то? Ты мне скинь ее потом

KLAUS :: WELL

Так она у тебя есть LD2.6

WELL :: KLAUS

Ну не знаю... я распаковал, UPX немножко переделаный.
Ресурсы нормально открываются.
Размер файла получился 575320 байт.

P.S. Ага, это была версия 2.5 . 2.6 у меня нету, потом все-таки скинь

KLAUS :: WELL

2.5 и у меня распаковывается, а вот с 2.6, косяки!!
Я тебе тогда уж потом всё вместе скину!!
Или с другой стороны, уж лучше на винте - проще будет!!!




FEUERRADER easter egg в stripper’e В окне стриппера вводите слово «SYD»,



FEUERRADER easter egg в stripper’e В окне стриппера вводите слово «SYD», увидите...

P.S. Команде [AHTeam] сегодня исполняется 1 год. :)
Все поздравления в гостевую или форум на http://ahteam.org
MC707 :: Знаем такую фишку уже :)




-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно



-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :) Цель - распаковать прогу, ну и конечно взломать ее. Разрешается сделать in-line patch, но лучше распаковать... пишите plz ваше мнение, буду очень благодарен...
ссылка - http://www.alex2kx.nm.ru/crackme1.rar
infern0 :: -= ALEX =- пишет:
цитата:
Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :)


в таких случаях протектор навешивается например на блокнот виндусовый.

sanek :: -= ALEX =-
Помоги со взломом DLLки не доганяю че делать с ней

-= ALEX =- :: infern0 да вот что-то не догадался ...

MC707 :: Первое впечатление - довольно затруднен поиск ОЕР (по крайней мере на 98-ой), очень много SEH-ловушек.

dMNt :: ну не так уж и много
когда основной код отработает и управление в выделенную virtualalloc’ом память перейдет - то там их не будет, но там будут веселые проверки после GetProcAddr типа а не int3 ли нам подсовывают
ЗЫ: хм, олли показала себя с хорошей стороны, хотя не доверял я раньше user-mode debuggers ... а зря

Dragon :: OEP, сразу находиться по условному бряку на конец GetModuleHandleA(Условие - адрес возврата в первой секции). А начало оттуда уже спёрли, правда его прямо вручную туда вписать можно. Здесь единственная трудность - импорт, IAT нет, чтобы восстановить, надо написать что-нибудь.

-= ALEX =- :: интересненько :)

MoonShiner :: OEP есть, спертые байты есть, импорт восстановлен, хотя пришлось подолбаться... Приду домой - добью...
А так, штука веселая и нудная, молодец:)

Dragon :: MoonShiner
А как ты его смог так быстро, создание его подправил что ли?

В протекторе оригинальных идей так особо и нет. Вот антиотладка. Ну какой смысл в CreateFile(»\\\\.\\ntice’, ...)? Вот EnumServicesStatus даёт результат, или ветку реестра просмотреть со службами, или OpenService+QueryServiceStatus, или ... хватит, а то этот протектор отладить нельзя будет. bpm также спокойно ставяться. Вообще антиотладка в протекторе сейчас самое главное. Если её нет, то протектор твой за десять минут снимут. Всё остальное так себе, на уровне, по сложности премерно как аспр старый версии 1.1.

MoonShiner :: Dragon пишет:
цитата:
А как ты его смог так быстро, создание его подправил что ли?


я прогулялся по коллу на 44**6B (не пишу, чтобы другим не подсказывать:), наткнулся на первую импортируемую функцию, в переходнике не ковырялся... Потом зашел с другого конца ловив GetProcAddress. Там увидал, куда копируются адреса (а идут они через 86h байтов), подождал, пока ?все? функции импортировались и накатал прямо в коде проги код, который весь этот импорт писал прямо в секцию кода (времени не было, начальство ныло постоянно над ухом) разбавил thunk-и нулями и засунул в импрек. Подробнее больше не смотрел, времени не было. Седня вечерком еще гляну, правильно ли я все понял...

nice :: -= ALEX =-
Респект тебе брат ;)
Эта та же версия, что ты мне давал, или обновленная?

AnteC :: конечно же я не распаковал прогу но лоадер даже я состряпал за 5 минут :(
http://www5.domaindlx.com/antec/LOADER.RA_

Dragon :: MoonShiner
Вот и закономерность - 86h байт, если было случайное число, то сложнее. А если прямые jmp на переходники, как в XtremeProtector’е, то с imprec’ом уже ничего не сделать, всё руками писать надо.

AnteC :: а вот и патч
http://www5.domaindlx.com/antec/PATCH.RA_

AnteC :: Ps DZA - rullez

2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...

The DarkStranger :: вобщем все делается просто но я не как не могу понять что у меня за глюк вобщем IAT востановить просто как я делал :
с getprocaddress вышел на цикл в котором строятся jmp [alex] вот там написал мини процедуру которая бы писала адресса api в адресное пространство проги то есть в то место которое физически в програме существует ( я просто нашел нули :) ) дальше доходим до oep и все тут дампим и через revergin востанавливаем все и вот тут бы все хорошо но вот только загвоздка вышла после фикса IAT файл перестает быть win 32 приложением не какие rebuld и т.д. не помагают еще я заметил такую вещь если просто дампишь а потом добавляешь секцию то файл автоматом становится не прелдожение win32 так вот вопрос что это и как это подедить чесно презнаюсь сталкиваюсь 1 раз стаким :(
в аспре 1.3 аналогично делал ( ну только там раз в 5 сложнее ) все работало а здесь какойто глюк не могу понять

xDriver :: Подскажите пожалуйста я правильно начал копать ?
SEH - ловушки это замусоривание кода ?

.rsrc:00450400 public start
.rsrc:00450400 start proc near
.rsrc:00450400 pusha
.rsrc:00450401 call sub_450407
.rsrc:00450406 nop
.rsrc:00450406 start endp
.rsrc:00450407 sub_450407 proc near ; CODE XREF: start+1p
.rsrc:00450407 add esp, 4
.rsrc:0045040A xor ecx, ecx
.rsrc:0045040C call sub_450412
.rsrc:00450411 nop
.rsrc:00450411 sub_450407 endp
.rsrc:00450412 sub_450412 proc near ; CODE XREF: sub_450407+5p
.rsrc:00450412 add esp, 4
.rsrc:00450415 call sub_45041B
.rsrc:0045041A nop
.rsrc:0045041A sub_450412 endp
.rsrc:0045041B sub_45041B proc near ; CODE XREF: sub_450412+3p
.rsrc:0045041B add esp, 4
.rsrc:0045041E mov ecx, 16h
.rsrc:00450423 call sub_450429
.rsrc:00450428 nop
.rsrc:00450428 sub_45041B endp
.rsrc:00450429 sub_450429 proc near ; CODE XREF: sub_45041B+8p
.rsrc:00450429 add esp, 4
.rsrc:0045042C call $+5
.rsrc:00450431 call sub_450437
.rsrc:00450436 nop
.rsrc:00450436 sub_450429 endp
.rsrc:00450437 sub_450437 proc near ; CODE XREF: sub_450429+8p
.rsrc:00450437
.rsrc:00450437 arg_0 = dword ptr 4
.rsrc:00450437
.rsrc:00450437 add esp, 4
.rsrc:0045043A mov ebp, [esp-4+arg_0]
.rsrc:0045043D add esp, 4
.rsrc:00450440 call sub_450446
.rsrc:00450445 nop
.rsrc:00450445 sub_450437 endp
.rsrc:00450446 sub_450446 proc near ; CODE XREF: sub_450437+9p
.rsrc:00450446 add esp, 4
.rsrc:00450449 sub ebp, offset dword_401031
.rsrc:0045044F
.rsrc:0045044F loc_45044F: ; CODE XREF: sub_450469+5j
.rsrc:0045044F call sub_450455
.rsrc:00450454 nop
.rsrc:00450454 sub_450446 endp
.rsrc:00450455 sub_450455 proc near ; CODE XREF: sub_450446+9p
.rsrc:00450455 add esp, 4
.rsrc:00450458 call $+5
.rsrc:0045045D call $+5
.rsrc:00450462 dec ecx
.rsrc:00450463 call sub_450469
.rsrc:00450468 nop
.rsrc:00450468 sub_450455 endp
.rsrc:00450469 sub_450469 proc near ; CODE XREF: sub_450455+Ep
.rsrc:00450469 add esp, 4
.rsrc:0045046C test ecx, ecx
.rsrc:0045046E jnz short loc_45044F
.rsrc:00450470 call sub_45072E
.rsrc:00450475 call sub_45047B
.rsrc:0045047A nop
.rsrc:0045047A sub_450469 endp

GL#0M :: xDriver пишет:
цитата:
SEH - ловушки это замусоривание кода ?


Почитай про сехи здесь http://xtin.km.ru/view.shtml?id=92
или http://xtin.km.ru/view.shtml?id=135

xDriver :: 2 GL#0M
Спасибо прочитал ! Въехал !

Если не влом плз. линк насчет «спертых байт» можно (дорого искать)
Сенкс!

Mario555 :: -= ALEX =-
Пёртые байты теперь мусорным кодом разбавлены... куль...
В olly есть trace log и подсветка изменений регистров (HighLight register), а твой мусорный код изменяет только Esi, поэтому среди него очень хорошо видны stolen bytes...

MoonShiner :: Делать нечего, начал писать свой загрузчик импорта...

-= ALEX =- :: спасибо всем :) я и сам его за несколько минут распаковывал, теперь узнал мнения других. Все это делалось для того, чтобы доработать протектор. Ждите еще версий :) Может у кого еще идеи есть по улучшению, напишите plz

-= ALEX =- :: AnteC что-то я ниче скачать так и не смог :(

MoonShiner :: -= ALEX =- , самые веселые вещи были с импортом, советую продолжить в этом направлении. Избавиться от 86-ти, о которых я говорил выше, попробовать не использовать GetProcAddress (типа как в обсидиуме) и перемешать импортируемые функции, то есть располагать их не в том порядке, в котором они представлены в оригинале.

-= ALEX =- :: MoonShiner окей, бум стараться :)

Bad_guy :: Ну что, ALEX. Можно уже пока дальше не писать. Теперь покупай 10-100 млн. показов баннеров, открывай alexprot.com и так далее. А не то из хорошей коммерческой идеи выйдет просто «крэкерская игрушка».

-= ALEX =- :: Bad_guy :)

Bad_guy :: -= ALEX =-
Я вполне серьезно. Это может стать основной работой !

MoonShiner :: Bad_guy , ну ты, блин, еще насоветуешь... Мало всяких аспров на нашу голову развелось:)

Bad_guy :: MoonShiner
Рано или поздно ALEX сам бы додумался - чего хорошему человеку не подсказать

-= ALEX =- :: MoonShiner да ты че, все так и задумывалось, вы мне поможите защиту написать, а я буду на этом бабки зашибать :) ШУТКА конечно... пишу пока ради интереса. Кстати вопросик насчет эмуляции getprocaddress, где можно узнать об этом, в каком протекторе ?

Bad_guy :: -= ALEX =- пишет:
цитата:
вы мне поможите защиту написать, а я буду на этом бабки зашибать :)


А что, Солодовников так и делает...

-= ALEX =- :: Bad_guy да я не сомневаюсь :)

MoonShiner :: На васме вроде была статейка... А ваще, посмотри, куда кажет стек, как только ты запустил прогу (на первой команде остановись)... И глянь, какое выравнивание у загруженных либ... Ну а дальше мучайся сам:)

MC707 :: Интересно, с какими крякерами общается солод, и под каким ником

-= ALEX =-
А вообще реально коммерческим его сделать! И чем больше он раскрутится, тем больше нам выгоды будет имхо

MoonShiner :: MC707 пишет:
цитата:
Интересно, с какими крякерами общается солод, и под каким ником


Хмм... А ну ка вспомни, какое у Солода имя:)

Bad_guy :: MC707 пишет:
цитата:
с какими крякерами общается солод


Год назад качал архив форума реверсинга - вот там были посты от солода, с таким высокомерием главное... типа «идите детишки сникерсы кушайте, а я тут бабки делаю»

MaDByte :: Bad_guy
А поточнее? какие именно посты и в каких темах?

MC707 :: MoonShiner
лол

Bad_guy
круто. сейчас бы к нам сюда зашел

AlexZ CRaCker :: AnteC пишет:
цитата:
2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...


AnteC
Молоток! А скока часов/дней/мес/лет занимаишся крэком?
зы :
заходите на опрос «о времени» (нау на 2й странице форума).

MozgC [TSRh] :: -= ALEX =-
ALEX у меня есть твой адрес, так что если твой протектор станет мне надоедать и мешать при сломе программ, то тебе лучше переехать =)

-= ALEX =- :: MozgC [TSRh] от куда у тебя мой адрес ? :)

Bad_guy :: MozgC [TSRh]


Bad_guy :: MaDByte
Откуда я помню. Просто увидел ник «Alexey Solodovnikov» и поиском изучил я этого человека...

AnteC :: 2 -=Alex=- используй какой-нить download manager
и добавь _ в конец линка (хостер не разрешает архивы выкладывать вот и приходится изголяться :( но зато 100 Mb free :)

Mario555 :: Э-э... дык как/чем всё-таки импорт в дамп загнать ? Imprec пишет Invalid dump.
Есть ли статьи по восстановлению импорта без использования Imprec’а ? Что он вообше делает, когда FixDump жмешь ?

MsFUCK :: -= ALEX =-
Вышло, на несколько первых взглядов, очень даже ничего!
Только мало нового... да и зачем столько SEH? Это что модно стало?
Как импорт починить я так и допёр... может быть в причину отсутствия времяни...
Я тут, как помнишь, тоже начал творить протектор... вот разбираюсь в упаковке и налегаю на антиотладку, пока только OllyDbg отрезал, да и без некоторого разбора и SI не пашет...
И вот... где про упаковку импорта прочитать...?

Runtime_err0r :: Bad_guy , MozgC [TSRh]
На самом деле Солодовников скорее всего «расковыряет» этот AlexProt и реализует все интересные фишки в новом аспре, а сам проект загнётся

-= ALEX =- :: Runtime_err0r пока еще нечего ковырять в AlexProt :) а так - он все и так сдирает, все примемы из вирей и из других протекторов...
MsFUCK что вы все заладили насчет SEH’ов ? там их только один, в самом начале, ну и по одному разу используется в процедурке удаления отладочных регистров :) вас никто не просит заходить в эту процедурку, и не будет вам seh’ов :) А вот насчет того, что ты начал тоже протектор писать... мда... рано пока еще

-= ALEX =- :: Mario555 насчет импорта, то тебе надо сначала самому написать небольшую процедурку, которая будет переходники проги исправлять, т.к. я над этим потрудился, а пока еще рано на ImpRec гнать :)

-= ALEX =- :: [RU].Ban0K я как понял ты ник сменил на MsFUCK ? нахрена ? а вообще надо предупреждать, а если б я обкурился и не узнал тебя ?...

-= ALEX =- :: AnteC посмотрел щас твой патч... что-то не похоже, что этот патч сделал новичок, как ты говоришь, код этот я уже видел. остается сделать вывод, что юзалась какая-то прожка :) А так интересно конечно, я вообще-то просил сделать in-line патч, а не внедрять в тело свой код.
P.S. что за прога выделывает такие кренделя ?

-= ALEX =- :: уже куча идей заготовлена, ждите обновленную версию. если не интересно вам, так и скажите, не буду делать. я вот думаю, что интересно будет... Ну а так, кто-нить выложит распакованный crackme ?

MsFUCK :: -= ALEX =- пишет:
цитата:
[RU].Ban0K я как понял ты ник сменил на MsFUCK ?


Не правильно ты решил, это просто форум забыл пароль... или я... :)

AnteC :: 2-=Alex=-
не возвышай меня так высоко а то падать больно будет :)

на самом деле ломанул просто - сделал дамп при помощи LordPe (естественно он не запускался но исследовать то можно :)
потом патч в DZA patcher’e
ЗЫ только в нем галку Append patcher to last section надо снять ...
вот так вот =› может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


dMNt :: [Offtopic]
AnteC блин, поймать тебя не могу никак, стукнись в асю № 1999389
[/Offtopic]

-= ALEX =- :: AnteC пишет:
цитата:
может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


:) да ты хоть 10 сделай :) дело в другом...

Mario555 :: -= ALEX =- пишет:
цитата:
тебе надо сначала самому написать небольшую процедурку


Ну дык я сделал процедуру, которая создаёт iat (с адресами api, а не переходников) в адресном пространстве exe (где нули), при переходе к новому модулю (после вызова LoadLibrary) тоже дописал немного своего кода увеличивающего переменную (которую я использую для создания iat) на 4, тоесть между функциями из разных модулей будут нули, таким образом импрек сможет корректно видеть эту таблицу. Также правятся переходы
с Jmp [protector]
на Jmp [адрес ячейки создаваемой IAT]
Нужно что-то ещё ?
Прога, если после изменений продолжить её выполнение, будет нормально работать с моей Iat, а вот импрек при попытке запихнуть эту Iat в дамп пишет Invalid dump file .

PS я бы не спрашивал «как загнать импорт в дамп», если бы у меня не было этого самого импорта.

PPS и всё-таки что делает импрек при нажатии FixDump ? реально ли сделать тоже самое вручную ?

Mario555 :: Все распаковали или все «забили» ?

-= ALEX =- :: Mario555 еще никто не распаковал :) щас вот дописываю новую версию алекспротектора...

FEUERRADER :: ALEXProt распаковал Asterix. Всем желающим он вышлет распакованный файл на мыло. Оставляйте мыла в этой теме.

-= ALEX =- :: FEUERRADER ну хоть кто-то пару часов, а может и минут потратил :) ща я в полной отладке протектора... столько багов собралось, что УЖАСС

Mario555 :: FEUERRADER пишет:
цитата:
распакованный файл на мыло


А зачем нужен распакованный крякми ?!
Мне бы лучше прогу, которой к дампу импорт прицепить...

[RU].Ban0K! :: Mario555
Попробуй так...
Ты же восстановил в память IAT, ну так натрави на эту IAT ImpRec, по моему он должен восстановить...

Mario555 :: [RU].Ban0K! пишет:
цитата:
по моему он должен восстановить...


В том то и дело, что импрек таблицу видит, а грузить её в дамп отказывается .

-= ALEX =- :: странные вещи...

Aster!x :: ImpRec тебе тут вряд ли поможет придётся всё-таки что-то накодить.

The DarkStranger :: да вся тема что importrec отказывается добовлять секцию а revergin добовляет но после добовления файл не win32 преложение я так подрузомеваю что нужно перестроить файл .... ну там отрезать секции алекса и перстроить ресурсы после чего я надеюсь нормально все будет
да вот собственно назрела прозьба если у когонибуть есть ресурс ребулдер от доктора головы плиззз кинте в мыло angel_aka_ks сабачка pisem.net

GL#0M :: The DarkStranger

Ушло.

Aster!x :: Revirgin скорее всего тоже обломается..
Вот, если кто-то захочет глянуть на распакованный, то
лежит здесь: http://asterix-coder.pochta.ru/Unpacked.exe
(извините что не в архиве, но это сервер его сам распаковал :-)
ЗЫ: perl+asm - рулят.

To Admins:
Не могли бы вы удалить юзера под ником fff из базы форума, это
я протестил возможность написать что-то в форум, но теперь форум
не пускает меня говорит что совпадение IP по зоне c fff

The DarkStranger :: вобщем анпакил я его там одну чтуку сделал и все revergin востановил импорт и все файл пашет !!! смысла выкладываеть его куда то не вижу если кому интересно пишите выложу принципиальные раздичаи между моим дампом и астериксом есть .....

-= ALEX =- :: Aster!x и The DarkStranger молодцы !!!

Mario555 :: Фуф... наконец-то и я распаковал...
И не надо никаких свойх загрузчиков импорта делать, и даже в дампе ничего править не надо. Просто Imprec с «правильными» options ! Поставить нужные флажки (я их методом «научного тыка» обнаружил) и импрек без проблем загрузит импорт (чтобы его получить ессно нужно цикл создания править, тут уж никакие флажки не помогут) в дамп.

-= ALEX =- :: Mario555 тоже молодец ;)




FEUERRADER FNFM бесплатно!!! :)...



FEUERRADER FNFM бесплатно!!! :) http://files.ahteam.org/f...rrader/FNFM-Free-Keys.rar
Со всех, кто скачает, по пиву.
-= ALEX =- :: не уж-то совесть замучала ?

nice :: FEUERRADER
ПАсибо брат!


-= ALEX =- :: а тебе как пиво переслать ?

Rager :: FEUERRADER
!!!

UnKnOwN ::

Однозначно огромное спасибо !!!

Kerghan :: FEUERRADER
не позновато ли?
имхо уже многие сами аналоги написать в состоянии

MoonShiner :: Эээ... Боюсь показаться тупым, но че это такое? :)

FEUERRADER :: MoonShiner пишет:
цитата:
Эээ... Боюсь показаться тупым, но че это такое? :)


http://ahteam.org/cgi-bin...select&prgid=nfofilemaker

Kerghan пишет:
цитата:
имхо уже многие сами аналоги написать в состоянии


имхо, не многие.

UnKnOwN
Черкни мне на мыло (я твое посеял).

-= ALEX =- пишет:
цитата:
а тебе как пиво переслать


А ты скачал?

UnKnOwN :: FEUERRADER

Письмо ушло, жди

Gen0cide :: FEUERRADER

Пасиба!

FEUERRADER :: UnKnOwN
нету!

Всем доброжелателям
Пожалуйста!

Slavon :: Это чё за херня (Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the reque)! Там пусто!!!

MozgC [TSRh] :: заплачь еще.




infern0 кто просил пример работы с дизассемблером от Olly на VC ? кто subj...



infern0 кто просил пример работы с дизассемблером от Olly на VC ? кто subj оставьте координаты...
-= ALEX =- :: а кто его знает

nice :: infern0
Меня как раз интересовало:
nicesc ~ yandex.ru

Dragon :: Какой VC, этот движок написан для C++Bulider, VC не компилируется. В том же Builder’е DLL не получается сделать, чтобы потом использовать в VC или где-то ещё.

zss :: infern0 пишет:
цитата:
кто subj оставьте координаты...


Привет
Если не сложно, то
1. примерчик дизасемблера длин
2. пример самого дисассемблера для x86

Спасибо

З.Ы. Желательно с алгоритмом (или просто сам алгоритм, а я сам что-нибудь сварганю :)))))

grey_zss@mail.ru
ICQ: 332344538

FEUERRADER :: infern0
Я самый первый спрашивал.
Если сделал - кидай на feuerrader(at)nm(dot)ru

infern0 :: Dragon пишет:
цитата:
для C++Bulider, VC не компилируется


а теперь компилируется :)

infern0 :: feuerrader@
SMTP error from remote mailer after RCPT TO:‹feuerrader@›:
host fallback.mail.ru [194.67.57.14]: 554 ‹feuerrader@›:
Relay access denied

host везде nm.ru ессно

zss :: infern0
Спасибо

FEUERRADER Re: infern0 :: infern0
если не сложно кинь на feuerrader(at)ahteam(dot)org или feuerrader(at)pisem(dot)net




MC707 Небольшая коллекция тулз Небольшая, но прикольная коллекция тул, если...



MC707 Небольшая коллекция тулз Небольшая, но прикольная коллекция тул, если кому надо.

http://k3nny.wz.cz/index....5339f8ee11d1b9d6552c6408a
AlexZ CRaCker :: MC707
Спасибо, кстати очень занятные вещицы есть. (уже там пошарил)
Знаю как скрыть окно РегМуна от др.прог вручную: Открыть все файлы в папке с прогой и в хексе заменить REGMON на REGM0N (вместо «о» - нолик). (так, если пригодится кому...)

bUg. :: MC707

круто много полезного

MC707 :: Это nice нарыл, ему спасибо.

UnKnOwN :: Нифига себе там даже

Quick unpack v0.4 - Universal unpacker by FEUERRADER

есть, ого, бля всё закачаю

nice огромное спасибо

Snowbit :: K3nny...
Это случайно не тот ламер, который крякмисы рипал?

nice :: На самом деле MC707 знал про этот сайт, я просто предложил запостить на форуме...
За выполниную непосильную задачу салют в честь MC707 !!!!!


MC707 ::

Slavon :: Всё ok, только непонятно зачем вообще нужен unpacker для upx-а?????????

XoraX :: чтоб руками не мудить. иногда и это делать лень. ;)




AlexZ CRaCker Распаковка Вопрос такой: распаковал я УПХ (вручную), файл...



AlexZ CRaCker Распаковка Вопрос такой: распаковал я УПХ (вручную), файл запускается, но только ресурсов там [corrupt resourse]. Че делать? И второй в дагонку: 25 раз переделывал (это я про другую прогу, тоже УПХ), - незапускается. Хотя автоУнПакер УПХ её берёт - всё нормально.
Гость :: AlexZ CRaCker пишет:
цитата:
автоУнПакер УПХ её берёт - всё нормально


тогда зачем вручную распаковывать? спортивный интерес 8)

Kerghan :: Гость
анпакеры берут не все проги(в частности после обработки скрамблером или вручную)

Grim Fandango :: но скрамблер можно снять и в ручную. а потом уже распаковать автоматом.

Kerghan :: Grim Fandango
может и презервативы удобнее через жопу одевать, но я так не пробовал

Grim Fandango ::

ну новичок я, что поделать

-= ALEX =- :: AlexZ CRaCker тебе надо заново ресурсы пересобрать...

KLAUS :: AlexZ CRaCker

Попробуй ReSoursRebilder’ами пройтись, глядишь и нормализуешь resourse.

KLAUS :: AlexZ CRaCker

НАсчёт второй проги, была как-то подобная щняга, там ImageBase 100000, и пока руками не сделаешь Rebuild 400000 (т.е ручной анпак) не хотела работать!

AlexZ CRaCker :: Гость пишет:
цитата:
...зачем вручную распаковывать? спортивный интерес 8)


Я хочу стать нормальным крякером, посему и учусь, не ленюсь.
Kerghan
Согласен. Лучше сразу учится самому по-нормальному делать, чем через .
-= ALEX =- пишет:
цитата:
тебе надо заново ресурсы пересобрать...


А как это делать? Хотя... вроде где-то читал, но напомните плз, ато можъ я не то что-то думаю. Это KLAUS про него говорит?
KLAUS
Плз, припомни чё за РесБилдер.
›была как-то подобная щняга, там ImageBase...
Бывают и с нестандартным ИБ. А как узнать какой ставить. В большинстве случаев, конечно 400000. Но бывают исключения... короче посмотрю, подумаю... (назрел третий вопрос в тему, но боюсь он тупой: кто-нить дампил патч Рестораторовский? тока что пробывал - хирня выходит (ПеиД показал УПХ))

KLAUS :: AlexZ CRaCker

Resource Rebuilder v1.0 by Dr.Golova
ResFixer v 1.0 beta 1 by seeQ - они делают ресурсы рабочими, скачать их можешь с was.ru , они в комплекте идут.
Смысл в том, что любой ИБ, можно переделать, LordPe с этим справляется в настройках можно указать : Change ImageBase to (на нужное тебе значание (400000))!

P.S.
Незнаю PE-ID 0.92 здравая штука 9по крайне мере лучший файл анализор из тех которыми я пользовался+ здравые к нему плагины идут)!

KLAUS :: AlexZ CRaCker

Коллекция Resours Rebuilders : http://www.wasm.ru/tools/6/resrblds.zip

The DarkStranger :: Kerghan пишет:
цитата:
может и презервативы удобнее через жопу одевать, но я так не пробовал


LOL

Grim Fandango :: Парни, расскакуйте плиз этот патчер.

http://www.nc-cls.nm.ru/Patch_HiA.zip

200клб, нравится он мне, но он на французском, вроде.

AlexZ CRaCker :: Grim Fandango и ВСЕ прочитайте плз. Че тут за ботва?
Блин, это так-же как и со второй прогой. Всё правильно сделал (причём неск. раз!) - неидёт зараза. Незапускаеца + ессно ресурсы повреждены. Ну в чём тут дело? Никак непойму. Кто объяснит? (в дампе название секций затёрто, это чё за херь?)
PS Хотя сам я паковал Блокнот УПИксом, и вручную его (для тренировки) - работает. Только вот ресурсы опять в .
_В нек. туторах по унпаку сказано, что в списке процесов при зацыкливании на ОЕР будт название пакера (там написано про УПИкс), а у меня почему-то там название самой проги.
Кста, Grim Fandango качни PathFX - тоже самое, но на англицком.
+качнул прогу: вводиш байты для патча, а она код на Асме генерит+res+ico+bmp, короче комплект (MASM). Ссылки надо?

Гость :: AlexZ CRaCker пишет:
цитата:
Ссылки надо?


Надо!

FEUERRADER :: AlexZ CRaCker
Я знаю, что Restorator пишет про поврежденные ресурсы, если в файле нет секции .rsrc. Обрати на это внимание.
А так пробуй еще: PE Tools -› Меню Tools -› Rebuild PE. Ребилди файл. А ResRebuilder и ResFix по-моему вообще в данной ситуации делу не помогут.

Grim Fandango :: сегодня скачал ратчик от Gen0cid’a для Teleport’a. Снял дамп, просто снял дамп. пихаю Ресторатору - фиг, «нет там ресурсов, сынок», пихаю PE Explorer и спокойно выдираю оттуда и музыку и темплейт. Вот такие дела.

AlexZ CRaCker
У меня коллекция из 72патчеров, мне качать не нужно, всё давно есть. =) Но этот просто запал. =( Так может кто распаковать?

AlexZ CRaCker :: FEUERRADER
Да делал всё это я. А секция там эта есть.
А как насчёт остальных вопросов? (в той мессаге, где такая вот)

Grim Fandango Re: AlexZ CRaCker :: Да, вот о туторах вопрос мне тоже показался интересным, ибо я тоже видел такие туторы и там было конкретно написано «upx», а на само деле название проги.

ссылки надо, кинь сюда. =)

GRADY$ :: Grim Fandango

4 а не 3 версия и на английском!!!

http://www.toutfr.com/tutor/download/Patch_HiA.zip

FEUERRADER :: Grim Fandango пишет:
цитата:
Парни, расскакуйте плиз этот патчер.
http://www.nc-cls.nm.ru/Patch_HiA.zip
200клб, нравится он мне, но он на французском, вроде


Автоанпакеры этот файл как-то криво берут. Получилось только руками. Юзал: WinME, TRW2k (дампил в нем через PEDUMP). Этому дампу делаю PE Rebuilder 0.96 by PC со всеми галочками в нем. Дальше через imprec прикручиваю как обычно импорт. Файл работает. Ресурсы видно.
Что не получается у Вас?

Grim Fandango :: у меня облом на самых парах. Сайс глючит, уже неделю пытаюсь его поставить(просто переехал с ME на 2k SP4) и нифига. Система отказывается грузиться, поэтоум и распаковать не могу никак. большое горе у меня, короче. =)

GRADY$ пишет:
цитата:
4 а не 3 версия и на английском!!!


пасиба. =)

Styx :: а ты в настройкох SoftIce грузиться с Windows и усё оk. А ещё посмотри патчи на reversing-е.

Grim Fandango :: патчи у меня есть почти все, но я ставил SoftIceNT, всё там указал.. как только ребут, снижу пару секунд мигает какая-то строчка и вываливается в синий экран. =(

Styx :: А в настройках ставь способ загрузки Automatic. Слушай, а ты Барковского такого случаем не знаешь?

Grim Fandango :: нет, не знаю, сорри.
Сейчас попробую поставить.

Grim Fandango :: и опять этот синий экран.

Люди, КАК ПРАВИЛЬНО ЗАСТАВИТЬ РАБОТАТЬ АЙС под Win2k SP4?

Runtime_err0r :: Grim Fandango

цитата:
У меня коллекция из 72патчеров, мне качать не нужно, всё давно есть. =)


Поделился бы с людями, что-ли ...

Grim Fandango :: да с радостью, но... собсна как?

AlexZ CRaCker :: FEUERRADER пишет:
цитата:
Получилось только руками...


а импорт?
Отвлеклись от темы малость (ну ничего, бывает :). Так чё там, в моей мессаге? (эта там, где была и было много написано, на первой странице.) Кто ответит, а?

Гость :: Grim Fandango пишет:
цитата:
да с радостью, но... собсна как?


Что ли сайта нету своёго?

Grim Fandango :: нету, нах он нужен? просто на nm.ru временный склад, а так, нафиг мне сайт? а патчеров оказалось не 72, а 78, пересчитал сейчас. =)

Runtime_err0r :: Grim Fandango
Ну так залей куда-нибудь ... или там много получается ?
Или давай по мылу договоримся ...

Grim Fandango :: ~12 метров.

прям даже не знаю куды лить. =)

по мылу, ну даж ен знаю. 12 метров по мылу....

Гость :: Grim Fandango пишет:
цитата:
нах он нужен?


сложил бы патчеры

Grim Fandango :: они и на винте нормально лежат. =)))))
Просто не думал, что они когда-ньть кого-то заинтересуют.

AlexZ CRaCker :: Grim Fandango пишет:
цитата:
ссылки надо, кинь сюда. =)


Чё именно? Иль это не ко мне?
ЗЫ Вопрос знатокам: Чё делать, если названия секций затёрты?
Импорт восстанавливать с зацыкленой на ОЕР, или с нормально запущеной проги (в разных туторах по-разному.), хотелось бы уточнить.

MoonShiner :: AlexZ CRaCker пишет:
цитата:
Чё делать, если названия секций затёрты?


А они тебе нужны? :) обзови руками, если хочешь:)
AlexZ CRaCker пишет:
цитата:
Импорт восстанавливать с зацыкленой на ОЕР, или с нормально запущеной проги (в разных туторах по-разному.), хотелось бы уточнить.


А как больше нравится, но я лично рекомендую на зацикленной. Встречал мерзости, когда портились отработавшие и более невызываемые функции.

AlexZ CRaCker :: MoonShiner
Спаcибки! Теперь понятно. Сёдня Пе-Компакт снял вручную!!! А с тем UPX надо будет разобратся. Дампит с «Коррупто Рессурсо».
Кта, если кто знает как отсюда быстрее(по скорости) слить http://www.mikeportnoy.co...20Drum%20Theater/LTE1.mov (кажись Янки) Может там проксик какой есть? (короче: http://www.mikeportnoy.com)

WELL :: KLAUS пишет:
цитата:
НАсчёт второй проги, была как-то подобная щняга, там ImageBase 100000, и пока руками не сделаешь Rebuild 400000 (т.е ручной анпак) не хотела работать!


Ага, прога была DOSPrn. Имидж базы у нее 100000. Автоматом распаковывалась. но запускалась только под 2к/ХР. Лордом ПЕ был сделан ребилд (с единственной настройкой change IB to 400000) и все заработало. (Импорт я Revirgin’ом делал).

Grim Fandango :: Demonix, можно, в принципе конкретно обновить reversing...ru, у меня ведь не только патчеры есть. =)

Slavon :: UPX ВСЕГДА безболезнено распаковывается UPX-ом (c rkexjv -d), так что не тупи.

XoraX :: Slavon пишет:
цитата:
UPX ВСЕГДА безболезнено распаковывается


врешь

Slavon :: XoraX пишет:
цитата:
врешь


Может и вру, но пока с проблемами не сталкивался

RideX :: http://www.toutfr.com/tutor/download/Patch_HiA.zip
Patch_HiA.exe (260 112 байт)

PE Tools:
1) Load into PE Editor - Sections
выделяем последнюю секцию и
Kill section (from file)
2) Optional Header - Size Of Image - ?

Hiew:
Переименовываем секции
1) Mode - Hex
2) F8 - F6
3) .code = UPX0
4) .data = UPX1

Вписываем
1) 000003DB: 1.24
2) 000003E0: UPX!

Распаковка:
UPX -d Patch_HiA.exe

MozgC [TSRh] :: Slavon пишет:
цитата:
Может и вру, но пока с проблемами не сталкивался


Если ты не сталкивался, это не значит что их нет. Так что прежде чем говорить другим людям «не тупи» подумай, а прав ли ты на 100%.

WELL :: Slavon пишет:
цитата:
UPX ВСЕГДА безболезнено распаковывается UPX-ом (c rkexjv -d), так что не тупи


Ну ты сказанул
Почитай статью на васме про распаковщики
http://www.wasm.ru/article.php?article=packers2




Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в...



Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в OllyDBG нашел то, что надо, но как это исправить? Где это находится в дизассм. ???
nice :: Goodwin777
Почитай фак: MozgC & FEUERRADER
http://cracklab.narod.ru/doc/faqversion10.htm

DiveSlip :: Пробуй Hiew, там адреса теже, либо патч прямо в OllyDbg.

Goodwin777 Re: DiveSlip :: А OllyDdg как править то?, через Edit в binary?

MC707 :: Уфф. Народ разленился.... Совсем башкой думать перестал....

Хотя б так: Находясь на нужной команде пробел жмешь и вводишь нужную команду.
При этом с ехе-файлом никаких изменений не произойдет. Если хочешь эти изменения в файл внести - жмешь правой крысой по коду -› Copy to executable -› All modifications




FEUERRADER Чистый IAT в PESpin 0.3 Может кто-нибудь конкретно объяснить, как...



FEUERRADER Чистый IAT в PESpin 0.3 Может кто-нибудь конкретно объяснить, как получить чистый IAT после PESpin 0.3?
Кто-то писал, что надо занопить где-то что-то.
С импортом у меня всегда плоховато выходит.
Подскажите, кто копал.
Mario555 :: FEUERRADER пишет:
цитата:
как получить чистый IAT после PESpin 0.3?


Там кроме Iat ещё и переходы на неё нужно править... Вообщем вот:

0040DB69 E8 E1FAFFFF CALL PESpin.0040D64F // создание переходника -- енто нужно просто занопить

Потом этот код:

0040D894 ADD EDI,4
0040D897 SUB EAX,EDI
0040D899 MOV DWORD PTR DS:[EDI-4],EAX
0040D89C JMP SHORT PESpin.0040D8A0
0040D89E MOV DWORD PTR DS:[EDX],EAX
0040D8A0 POP ECX
0040D8A1 POP EDI

меняешь на

0040D894 MOV WORD PTR DS:[EDI-1],25FF
0040D89A MOV DWORD PTR DS:[EDI+1],EDX
0040D89D NOP
0040D89E MOV DWORD PTR DS:[EDX],EAX
0040D8A0 POP ECX
0040D8A1 POP EDI




WELL Голосование: Сколько тебе ?...



WELL Голосование: Сколько тебе ? ­MC707'bUg.'WELL'Bob'XoraX'vins'DiveSlip'Kerghan'MozgC [TSRh]'Dragon'ViViseKtor'Nabu'EGOiST[TSRh]'[ChG]EliTe'UnKnOwN'Dred'Slavon'RideX'Kot'Telex'-= ALEX =-'infern0'[ChG]G.Free.M4N'Макс'Noble Ghost'AlexZ'1899'DZmey'Bad_guy'gion'fuck it'Nitrogen'Styx'Madness'MsFUCK'dMNt'.::D.e.M.o.N.i.X::.'FEUERRADER'ilya'YDS'GL#0M'Destroyer'GRADY$'Sh[AHTeam]'XPiS'blizz'odIsZaPc'CERBER'Quk'­Меньше 15'1
15-16'3
17-18'14
19-20'10
21-22'7
23-24'5
25-26'
27-28'3
29-30'1
Больше 30'5
­Вот подумал я, мне понравилось, я подумал еще раз...
Интересно узнать средний возраст отечественных крякеров
Возрост конечно не показатель уровня мастерства.
Но все же проголосуйте... ­
bUg. :: интересная картинка получаеться...

ViViseKtor :: А чего интересного-то? Давно всем известно, что крякеры - это в основном студенты.

WELL :: Ну я примерно так и ожидал

-= ALEX =- :: :) я пока еще ученик, 17 лет мне

UnKnOwN :: Кому тут за 30 ?, пора футбол смотеть у телевизора

AlexZ CRaCker :: Хм... Тоже дааавно хотел такой опрос провести. Интересно-же.
Мне вот, как и -= ALEX =- ’у.
Тоже ученик =)

DZmey :: с трудом верится что вы ученики %)

Bad_guy :: Ну в принципе я так и знал что крэкеры в основном от 17-23 лет. В этот период жизни мозги особенно хорошо работают... а мне то 21, 2 года осталось,а потом всё отупею окончательно, буду винрар за зелёные покупать ну и т.д.

Styx :: Не нифига, если ты отупеешь, то тебе этот ВинРар и ненужен будет

Kerghan :: ну одного за тридцать я знаю... ну и большинство тоже понятно
тока вот вопрос, кому это там меньше 15 и еще пятеро за 27 ???
ЗЫ че-то голосов многовато, я думал нас поменьше

ViViseKtor :: UnKnOwN пишет:
цитата:
Кому тут за 30 ?, пора футбол смотеть у телевизора


А ты что-же считаешь что после 30 уже пора зубы на полку складывать? Ошибаешся!!!

WELL :: Kerghan пишет:
цитата:
че-то голосов многовато, я думал нас поменьше


Я тоже думал будет около 20 (+/-)

FEUERRADER :: Kerghan
В одной из русских крэк-команд есть люди, которым и под 50.

Когда Bad_Guy раздел с анкетами крэкеров откроет, тогда и посмортим, кому там больше 27 и кому меньше 15 :)

infern0 :: ну мне 27 :)

MoonShiner :: FEUERRADER , это будет самый громкий судебный процесс, если анкеты откроют:)

ViViseKtor :: MoonShiner пишет:
цитата:
это будет самый громкий судебный процесс, если анкеты откроют:)




CReg [TSRh] ::
цитата:
че-то голосов многовато, я думал нас поменьше


Накрутили

AlexZ CRaCker :: пишет:
цитата:
че-то голосов многовато, я думал нас поменьше


нас здесь минимум 31 зарегиных. Эти участники не вбивают свй ник вручную.
’FEUERRADER’ ’[ChG]EliTe’ ’EGOiST[TSRh]’ ’bUg.’ ’SouL’ ’MF3’ ’Grim Fandango’ ’UnKnOwN’ ’Gen0cide’ ’MC707’ ’odIsZaPc’ ’MozgC [TSRh]’ ’Bad_guy’ ’Kerghan’ ’-= ALEX =-’ ’The DarkStranger’ ’Mario555’ ’dMNt’ ’KLAUS’ ’Runtime_err0r’ ’diezel’ ’ilya’ ’GL#0M’ ’[RU].Ban0K!’ ’Protey’ ’ViViseKtor’ ’WELL’ ’AlexZ CRaCker’ ’Гость’ ’DillerXX’ ’XoraX’
(Выдрано из html)

Bad_guy :: AlexZ CRaCker
Не врубаешься ты в html - это списки тех у кого есть аватар... и всего то !

DZmey :: Bad_guy

Сто пудов только с аватаром

AlexZ CRaCker пишет:
цитата:
’FEUERRADER’ ’[ChG]EliTe’ ’EGOiST[TSRh]’ ’bUg.’ ’SouL’ ’MF3’ ’Grim Fandango’ ’UnKnOwN’ ’Gen0cide’ ’MC707’ ’odIsZaPc’ ’MozgC [TSRh]’ ’Bad_guy’ ’Kerghan’ ’-= ALEX =-’ ’The DarkStranger’ ’Mario555’ ’dMNt’ ’KLAUS’ ’Runtime_err0r’ ’diezel’ ’ilya’ ’GL#0M’ ’[RU].Ban0K!’ ’Protey’ ’ViViseKtor’ ’WELL’ ’AlexZ CRaCker’ ’Гость’ ’DillerXX’ ’XoraX’


Например где я %)

WELL :: Но даже с аватаром 31 чел зареген. Круто

AlexZ CRaCker :: Да без разницы. Факт что больше 31.
Bad_guy
Ну, так будем знать сколько нас. я правда неврубился сначала-то...
DZmey пишет
цитата:
Например где я %)


Сорри, тебя форум забыл !

Noble Ghost :: AlexZ CRaCker пишет:
цитата:
’FEUERRADER’ ’[ChG]EliTe’ ’EGOiST[TSRh]’ ’bUg.’ ’SouL’ ’MF3’ ’Grim Fandango’ ’UnKnOwN’ ’Gen0cide’ ’MC707’ ’odIsZaPc’ ’MozgC [TSRh]’ ’Bad_guy’ ’Kerghan’ ’-= ALEX =-’ ’The DarkStranger’ ’Mario555’ ’dMNt’ ’KLAUS’ ’Runtime_err0r’ ’diezel’ ’ilya’ ’GL#0M’ ’[RU].Ban0K!’ ’Protey’ ’ViViseKtor’ ’WELL’ ’AlexZ CRaCker’ ’Гость’ ’DillerXX’ ’XoraX’


А про меня забыли...

[ChG]EliTe :: Xt то и Нитры в списке нет... Уж Отцов то надо было включить!

Bad_guy :: [ChG]EliTe пишет:
цитата:
Xt то и Нитры в списке нет...


Кстати форум автоматически удаляет пользователя, если он не писал в форум кажется что-то около 2 недель. И можно потом занять этот логин с новым паролем, что я Рубанку и помог однажды сделать. А вот забытый пароль в течение этих 2 недель никто не может воссановить, потому как пароли даже мне и Мозгу недоступны.

Bad_guy :: Кстати по голосованию очень логичная картина, так сказать график распределения крэкеров по возрасту - по оси абсцисс - возраст, а по оси ординат - количесвто крэкеров.
Блин, точно - сейчас я график сделаю в экселе и пускай такая картинка будет на cracklab.ru в разделе интервью. Ух, мне там кое кто из нашей тусовки анкеты заполнил и даже Мозг смог взять интервью у самого Хекса !
В выходные этот раздел сделаю и вы узнаете всё или почти всё о некоторых моих знакомых крэкерах !!!

Fiodor :: А если больше 70-ти, значит, уже не кракер?

WELL :: Fiodor пишет:
цитата:
А если больше 70-ти, значит, уже не кракер?


А это все больше 30-ти

KLAUS :: Мда, меньше 15 к 30...будет круто.

bUg. :: AlexZ CRaCker
Пропустил Styx’а

AlexZ CRaCker :: bUg. пишет:
цитата:
Пропустил Styx’а


[ChG]EliTe пишет:
цитата:
t то и Нитры в списке нет... Уж Отцов то надо было включить!


Все притензии к форуму

Slavon :: Noble Ghost пишет:
цитата:
А про меня забыли...


Про меня тоже

WELL :: Slavon пишет:
цитата:
Про меня тоже


Про тебя забудешь...

XoraX :: действительно

K :: 2Slavon
опа! новенький.! ты каждый день так активен ???

KLAUS :: Slavon
Noble Ghost

Вы в нашем сердце, а не списке!!

Slavon :: WELL пишет:
цитата:
Про тебя забудешь...


А что уже надоел???

Noble Ghost :: KLAUS
Блин, меня ж в принципе никто здесь не знает. Может я ФСБшник какой, а про меня так говоришь.

WELL :: Slavon пишет:
цитата:
А что уже надоел???


А ты голосование с таким вопросом создай - узнаешь

Slavon :: Noble Ghost пишет:
цитата:
Может я ФСБшник какой, а про меня так говоришь.


Вово!!!! Я в инете читал, что на каком-то хакерском форуме появилась девушка с ОХЕРЕННЫМИ познаниями в теме net-xack-а. Оказалось это чекист

DillerXX :: Slavon
Откуда узнали?..




FEUERRADER Мой тутор по арме 3 Читайте:...



FEUERRADER Мой тутор по арме 3 Читайте: http://feuerrader.nm.ru/Unpack_Arma3.rar
Slavon :: Ща посмотрим...

Mario555 :: FEUERRADER
Арма без Copymem (кроме новых) распаковывается немногим сложнее aspack.
А с импортом ты действительно гемор развёл, там ведь всего один переход поменять и будет правильная Iat.

PS таких прог, как твой кракми на практике не встретишь, а встретишь как минимум с Copymem (может повезёт и будет без 1000 bytes) и скорее всего не на асме (тоесть твой способ с импортом э-э «не очень-то подойдёт»).

Кста у тебя что-то с аватаром... при открытии этого топика вылетает сообщение по типу «требование авторизации
files.ahteam.org», хотя может это только у меня глюк такой.

Dragon :: Mario555
У меня такое вылетает. Там что-то засекреченное такое, пароля не знаешь, аватара не увидишь

Mario555 :: Dragon
:)

FEUERRADER :: Mario555 пишет:
цитата:
А с импортом ты действительно гемор развёл, там ведь всего один переход поменять и будет правильная Iat


Расскажи, что за переход и как до него добраться. Если, конечно, не вломы. Я говорю, что у меня всегда с импортом проблемы.

Согласен, тутор вышел не очень удачный.

А аватар я уже переместил. Как MozgC его сменит, так и все станет нормально. Пока, потерпите.

X0E-2003 :: Тутор нормальный, но вот во второй части можно проще описать про PE Address*, например так: Смотрим, какое значение было у защищенного файла армой PE Address* = C0, вот и вписываем в наш дамп это значение. Хотя, каждый должен представлять как это делается вручную. Для начинающих ломать арму этот тутор будет очень хорошим пособием!

Mario555 :: FEUERRADER пишет:
цитата:
Расскажи, что за переход и как до него добраться.


Hardware breakpoint на запись в Iat, прервёшся на цикле формирования Iat. Там уже только трейсить и искать magic jmp, в данном случае он тут:

00AEA733 EB 02 JMP SHORT 00AEA737
00AEA735 ^EB 9E JMP SHORT 00AEA6D5
00AEA737 83BD 84E7FFFF 00 CMP DWORD PTR SS:[EBP-187C],0
00AEA73E 75 3F JNZ SHORT 00AEA77F // !!! на nop
00AEA740 0FB785 88E7FFFF MOVZX EAX,WORD PTR SS:[EBP-1878]
00AEA747 85C0 TEST EAX,EAX

MozgC [TSRh] :: FEUERRADER
Если хочешь, стукнись ко мне в ICQ, я с тобой поделюсь впечатлениями и ченить посоветую.

bUg. :: hxxp://exetools.com/forum/showthread.php?t=3900
тоже неплохой тутор.

dMNt :: да, неплохой
только вот наврали они насчет Win2k/XP
нетути в win2k такой API как DebugActiveProcessStop

блин, нехочу на ХР переходить

bUg. :: dMNt пишет:
цитата:
нетути в win2k такой API как DebugActiveProcessStop


нет значит нет.
dMNt пишет:
цитата:
блин, нехочу на ХР переходить


и не надо я тоже не буду.

nice :: FEUERRADER
Да и не думал, что арма такой простой бывает :)

В туторе исправь:
Надо искать задом на перед 0B 01

А то народ будет искать 01 0B

Взял другую арму, не один из твоих способов на ОЕР меня не вывел.

ИМХО надо все exception в игнор заносить, зачем по ним ходить Shift+F9?

Mario555 :: А кто-нить последнюю арму распаковывал ? ту в которой iat после формирования ещё и «перемешивается», и только потом строятся переходы на неё.




ixin Как загрузить в прогу в СофтАйс???? Смотри название темы!!! помогите,...



ixin Как загрузить в прогу в СофтАйс???? Смотри название темы!!! помогите, уже даже отчаялся!!!
WELL :: ixin
через symbol loader

ixin :: ну хорошо заходим в loader32.exe на панели инструментов кнопка открыть --› открываем, а затем что????

nice :: ixin
Почитай фак(MozgC & FEUERRADER):
http://cracklab.narod.ru/doc/faqversion10.htm
Этот лоадер ни фига не работает

ilya :: ixin пишет:
цитата:
ну хорошо заходим в loader32.exe на панели инструментов кнопка открыть --› открываем, а затем что????


запускаешь Symbol Loader , заходишь File-›Open...выбираешь нужную прогу , заходишь в Module-›Load и в появившейся табличке жмёшь ok , дальше должен выскочить softice

ixin :: ilya пишет:
цитата:
запускаешь Symbol Loader , заходишь File-›Open...выбираешь нужную прогу , заходишь в Module-›Load и в появившейся табличке жмёшь ok , дальше должен выскочить softice


Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!

sanek :: ixin пишет:
цитата:
Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!


то, что нет отладочной информации не есть ошибка сайса, просто програмер снял галку при компиляции(наверно)
Ты прочитай, что лоодЕр тебе пишет, в уголку должно быть написано сайс активен, да и его настроить нужно перед использованием
Откройте на редактирование файл winice.dat, который находится в той же
директории что и SoftIce, и уберите точку с запятой со следующих строк:
; ***** Examples of export symbols that can be included for Windows 95
*****
;Change the path to the appropriate drive and directory
EXP=c:\windows\system\kernel32.dll - убрать;
EXP=c:\windows\system\user32.dll - убрать;
EXP=c:\windows\system\gdi32.dll - убрать;
Проверьте путь к файлам kernel32,user32,gdi32, он должен соответствовать
вашему (Актуально в случае если windows ставилась в каталог отличный от
C:\WINDOWS).
Эта операция нужна, для того чтобы при отладке программы при вызове
системных функций вы увидели имя вызываемой функции, а не какой-то call
[xxxxxxxx].
это я взял из одной статьи, если есть автор этой статьи то без обид.

dMNt :: а еще лучше использовать из LordPE/PEtools фишку break’n’enter

ViViseKtor :: А я пользуюсь лоадером от SYD’а, который в комплекте со стриппером.

ilya :: ixin пишет:
цитата:
Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!


скорее всего прога запакована

CReg [TSRh] :: ViViseKtor пишет:
цитата:
А я пользуюсь лоадером от SYD’а, который в комплекте со стриппером.


Согласен, это удобно. Я тоже им пользуюсь.

WELL :: ixin
А ты для какой именно цели хочешь прогу в айс загрузить?
Может тебе проще в олли будет?
Ну и проверь не запакована ли прога (например PEiD’ом).




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




LT Приветствую Дарова всем, кто кто помнит меня (хотя сам них не помню :)) !...



LT Приветствую Дарова всем, кто кто помнит меня (хотя сам них не помню :)) ! Как вы тут? Все споры, диспуты, дебаты? :) А я ушел в «одиночное плавание»: коды-переводы, англы, франки, доллары и еврЫ :) Рад, что вы еще на «плаву». Отдельный привет Бэд_гаю, FEUERRADER’у и Мозгу с предметом (TSRh) :) Ну и остальным тоже по привету (по 2 не хватать!). Судя по темам вы тут не унываете, взять хотя бы «Голосование: Есть ли среди крякеров девушки ?» на два листа :) (есть 100% сам двух знаю) Так держать!
Есть у меня к вам просьба. Киньте ссылоску де можно кей или кряк взять для TWR2000 1.23 (кейген.юс в ауте, а на других везде старые версии). Заранее благодарю. Удачи.
nice :: LT
Доров! Ты, что это, на форум редко так заходишь???
Хочешь, что бы развалился???


Держи trw123
hice.antosha.ru/TRW2K123.ZIP

Kot :: Nice ты писал в форуме на Wasm.ru
«Но смерть приходит от популярной команды:
s 0 l ffffff «Ne visni svoloch!!!»
Приходиться chkdsk запускать. »

Удалось ли справиться с этим? У меня такая же проблема, виснет и с 4.05 и 4.2.7 и 3.1 Win2k, Win2kSp3. Может быть проблема в Hardware?

nice :: Kot
1. не ставить сервис паки.
2. Кто то писал, что такая беда из-за консольных приложений открытых(верится с трудом)
3. Надо поставить все патчи
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
ftp://ftp.compuware.com/p...g/OsInfo/osinfo_XPSP1.dat (если СП стоит)
http://reversing.kulichki...es/debug/nticexppatch.rar

Последний софтайс(который у меня стоя, сейчас нет) я ставил так:
4_05 потом 4_27 + патчи.

LT :: nice пишет:
цитата:
LT
Доров! Ты, что это, на форум редко так заходишь???
Хочешь, что бы развалился???

Держи trw123
hice.antosha.ru/TRW2K123.ZIP


Пишу же в «одиночном плавании» - ломаю либо ради интереса, либо только для себя.

Сэнкс за ссылку.

MozgC [TSRh] :: Насчет s 0 l ffffffff .... то я чтобы не висло просто уменьшаю диапазон поиска и все.

EGOiST[TSRh] :: гы.. у меня всеравно виснет иногда

LT :: Блин, как этот TRW2000 ставить-то и настраивать??? Чета по инету полазил инфы нет такой нигде. :(
Система WinME. после того, как жмешь «Load» система перезагружается.

LT :: Блин, парни, неужели настолько трудно описать или ссылку дать?

.Никакой взаимопомощи :(

nice :: LT
ИМХО мелениум самая неудачная ось от майкрософта, выкинь её и будет тебе счастье.
Ничего ставить там не надо распаковал, да запустил, это же не софтайс.

AlexZ CRaCker :: LT
Дебугер клёвый(TRW). Одно но: стабильно работает только в Виде98
Может китайцы скоро и напишут под ХР...

LT :: Ок, ясенно. Бум 98 SE ставить. Сенкс за советы.




Dred resource rebuilder by Dr. Golova Люди добрые и неочень...



Dred resource rebuilder by Dr. Golova Люди добрые и неочень...
помогите с прАблемой
дайте прямой линк на resource rebuilder by Dr. Golova
PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ
ZX :: http://www.wasm.ru/tools/6/resrblds.zip

Dred :: ZX

СПАСИБКИ

FEUERRADER :: А у нас еще и с GUI: качай!

KLAUS :: FEUERRADER
ССылка не доступна

Dred :: FEUERRADER
«сожалению, сайт временно недоступен»

FEUERRADER :: AHTeam.org переезжает на новый сервер. Пробуйте каждый день скачать. На днях должно заработать.

KLAUS :: ЧТоб прогу скачать, ссыдка не поможет, нужно напрямую через http://ahteam.org/ заходить и качать!

Dred :: KLAUS
&
FEUERRADER


СПАСИБКИ ВООБЩЕМ




FEUERRADER Кто-нить работал с dll2lib? сабж



FEUERRADER Кто-нить работал с dll2lib? сабж
[RU].Ban0K! :: Я делал lib прогой входящей в комплект TASM...
... в dll2lib может быть что-то новое?

Bad_guy :: [RU].Ban0K! пишет:
цитата:
Я делал lib прогой входящей в комплект TASM...


А я tlibimp с Дельфи...




Grim Fandango 2 AHTeam ReleaseBuilder v1.0



Grim Fandango 2 AHTeam ReleaseBuilder v1.0

Зашёл на ваш сайт, смотрю проги, скачал ваш релизген... смотрю папку темплейтов и офигеваю... mxt-*... Парни, это всё рип! И еще больше офигиваю, когда вижу там СВОЙ НФО! Вы там ваще офигели, вы бы хоть спросили, а то как-то не сильно культурно получается. mxt-gf это ведь мой нфошник. Кто не верит, скачайте паки, сами смотрите. Вы просто взяли, изменили все надписи, убрали header и представили как свой, слава богу вы хоть сигнатурку Maxx’a оставили. Нет, ну правда не сильно приятно. И еще, Grim Fandango и NightCat это один и тот же человек, так что в предь не рипьте mxt-nc. Рип. =(

p.s.
Если вы такие хитрые, чего же вы tsrh’шные нфо не зарипили?
-= ALEX =- :: хех, а ты глянь, там есть еще и NFO KpTeaM...

Grim Fandango :: может я чего не понимаю, но в артсцене это называется рип. Может я правда слишком ламернутый, но мне это не сильно нравится. =(

Nitrogen :: Grim Fandango
ты макстро или ..?

DZmey :: Grim Fandango

Если ты праду говоришь то это не «не культурно» , а дикий всплеск наглости

CReg [TSRh] :: Nitrogen пишет:
цитата:
Grim Fandango
ты макстро или ..?


Не, просто макстро похоже сделал человеку инфо, и инфо «одолжили»

[RU].Ban0K! :: Там кстати рисунок одинаковый что в mxt-gf что в ../aht.nfo

RottingCorpse :: Хых... однако... а как с maxxtro можно пообщаться - контакты есть?

CReg [TSRh] :: RottingCorpse пишет:
цитата:
а как с maxxtro можно пообщаться - контакты есть?


Скачай любой его gfx-pack - там есть контакты.

FEUERRADER :: Grim Fandango
Погодите... ни о каком рипе речи нет, т.к. на каждом темплейте стоит надпись «asciiart made by lord maxxtro.cro». А так как стоит копирайт, то права обладателя не нарушены. нфо только лишь переделали на AHTeam. И никто ничего не присваивал себе. Обвинения бессмысленны!

Overlord [AHTeam] :: Grim Fandango, что значит «представили как свой», если в конце каждого темплейта есть имя создателя? Где там написано, что мы его сделали? Темплейты эти еще давно были выложены на lordmaxxtro.cro, оттуда RideX их и взял, и все копирайты он при этом сохранил. На сайте не было написано, что нельзя их использовать в своих программах.

RideX :: Grim Fandango пишет:
цитата:
слава богу вы хоть сигнатурку Maxx’a оставили


Ты бы сделал иначе?

Хотелось как-то помочь всем, кому это нужно, совершенно безвозмездо, в оформлении своих релизов. Получилось некрасиво... Прошу прощения, кого обидел. Написал maxxtro, жду его ответа...
Если это действительно никому не нужно, в понедельник прогу снесу нах...

Grim Fandango :: говорил с Максом вчера... мата было много, очень много. Блин, ну это же рип, парни, ведь вам никто не разрешал испльзовать его творчесво! или он разрешил?.. допустим, я вольму ваш релизген, закину его в ресторатор, поменяю все надписи и вместо Ridex напишу Grim Fandango, вам будет приятно? Да, конечно я оставлю там строку «предоставлено Ридексом», но вот всё остальное будет говорить о том, что это исключительно МОЁ. =(

А макстро тусуется на #sac #ascii...

Grim Fandango :: FEUERRADER пишет:
цитата:
А так как стоит копирайт, то права обладателя не нарушены. нфо только лишь переделали на AHTeam.


стоп, а как это еще называетсчя? И по ходу, если аски рисовал Макстро, то почему во всех файлах стоит ваi header? Или скажете, что это ОН его рисовал? =)

RideX :: Здесь приношу свои извинения maxxtro, уже попросил Overlord’a убрать прогу с сайта...

Grim Fandango :: а вот это уже другой разговор, если бы вы повели себя нормально, то вам бы специально для это проги и нарисолвали бы пару темплейтов. Ну или попросили бы хоть того же Макстро, он бы может и разрешил. А так... короч, если нужны темплейты, то обращайтесь, может подкину штуки 3-4 своих.

RottingCorpse :: Грим, подкинь плз чего нить уникальное. А то без собственного GFXера плохо.

Grim Fandango :: а по конкретней? =)
я в основном аски-анси... хайрез... ну только если в стилу secular.

MaZaFaKeR :: Grim Fandango , если не трудно, пришли мне тоже на maza_nc_ru

RottingCorpse :: аски

Overlord [AHTeam] :: Grim Fandango пишет:
цитата:
короч, если нужны темплейты, то обращайтесь, может подкину штуки 3-4 своих


Извини, конечно, но после обвинений в «рипе» RideX вообще убирает прогу с сайта. Мне лично обидно, т.к. народ теперь не сможет пользоваться хорошей утилитой для создания nfo’шек. И очень интересно, зачем тогда на сайте maxxtro выкладываются темплейты? Только для демонстрации его искусства?

В моем понимании, рип - это наглое присвоение чужого, с удалением всех копирайтов. Как можно назвать «рипом» темплейт, в котором указано имя создателя, а имя файла начинается с «Mxt», мне непонятно. Тем более, в разделе «About» в ReleaseBuilder’е есть фраза «Thanks LORDMAXXTRO.CRO for his splendid ASCII art»...

Grim Fandango пишет:
цитата:
если бы вы повели себя нормально, то вам бы специально для это проги и нарисолвали бы пару темплейтов


Если бы ты нормально попросил нас убрать твой темплейт из программы (или maxxtro попросил убрать ВСЕ его темплейты), а не обвинял бы нас в «рипе» - мы бы остались в хороших отношениях.

Grim Fandango :: хых, вполне. Только вот... рип, это когда модифицируется или просто копируются элементы... у вас же... ё-маё, вы все хидеры измении на свои, ты как это объяснишь, а хорошую прогу... мда, короче можно специально для неё и нарисовать.

и кста, maxxtro не в Cro, а в Razor1911demo.

RottingCorpse, www.nc-cls.nm.ru/ascii.zip

RideX :: Grim Fandango пишет:
цитата:
вы все хидеры измении на свои, ты как это объяснишь


Я объясню :) Я думал так, maxxtro выкладывает свои паки как раз для того, чтобы ЛЮБОЙ мог ими воспользоваться. Какой тогда смысл в использовании этих шаблонов, если в них нельзя НИЧЕГО изменить? Как ты себе представляешь nfo, в котором, например, хидер DARK, а релиз совершенно от другой команды?
Или что делать вот в таком случае, сюда, видимо, тоже ничего нельзя вписывать, нужно оставлять всё как есть:
MAIL : ....... [ EMAIL@ADDRESS.HERE ]
SITE : ...... [ WWW.WEBSITE.HERE ]
IRC : ...... [ #CHANNEL HERE.NET ]
В остальном, ничего не менялось, все оригинальные имена файлов, копирайты и т.д.

С другой стороны, сознаюсь, у меня не хватило ума догадаться, что maxxtro выкладывает свои работы только для демонстрации и использовать их нельзя, а он ничего не написал об этом :(

P.S. Я ещё вчера послал maxxtro свои извинения за использование его работ, но пока никакого ответа, если он действительно кипит от гнева (очень много мата, как ты говорил), хочет мне что-либо высказать, сделай одолжение, дай ему моё мыло, а то, похоже, мои письма до него не доходят. Ну или ссылку на этот топик, чтобы все от него узнали какой я, на самом деле, подлец...

Мне нечего больше добавить, всё есть так, как я здесь написал.

Grim Fandango :: а вот теперь подумай, если там стоит хидер Dark... а какого он там делает? а теперь я раскрою самый большой секрет!! уууу, ыыыы... yaj эти делаю на заказ. Кто-то просит, и вот вам пжплста, нарисовали, Сценеры редко рисуют так, от балды, в самом начале может. НО с опытом у них появляется куча реквестов, вот и рисуют. Так что если нфо для Dark, значит они попросили и он нарисовал, для них. А паки релизятся как сборник творчества, чтобы каждый мож посмотреть... и сказать... Круто! вот

а вот почему он не отвечает не знаю, но каждый день вижу его в IRC.

MaZaFaKeR :: Господа, где взять нормальных NFO-темплейтов?

Grim Fandango :: темплецйтов как таковых не существует. Либо нарисовать самому, либо зареквестить.

MaZaFaKeR :: Grim Fandango пишет:
цитата:
Либо нарисовать самому, либо зареквестить.


Поподробнее, пожалуйсто!

dMNt :: afaik razor1911 разогнали. Или нет?

Grim Fandango :: самих вроде разогнали, но вот razorDemo нетю Они там собирались объядиняться с Haujobb и еще кем-то, элита сцены поговаривала, что если такое слияние произойдёт, то это будет самая крутая кодинговая команда за временя сцены.

О ревестах. Берешь AcidDraw и рисуешь себе темплейт сам. Можно сдеть еще прикольней. Делаешь только окантовку(layout), а место хидела оставляешь пустым, далее пишешь прогу, которая бы вставляла на месьто хидела текст, НО! не просто текст, а аски, задаешь там максимальую длину строки и всё. Т.е. Хидер модифицируется в зависимости от названия, вот.

А заказать, да господи, у того же Макстро(блок), у меня(NewSchool), SAC, CoolPhat, Impure. Допустим в моей комадны нфошки от Меня =), Макстро, Impure, Mimic, the lo0p... вот.

dMNt :: ACiD Draw хорошо, но мне больше Warlock симпотизирует :)
жалко только что он под вин9х и не выше :((

Grim Fandango :: у каждого свои вкусы, сейчас допустим офигенную популярность набрал PabloDraw, а всё из-за того, что там можно проводить AsciiOnlineCompo, короче рисовать прям в онлайне. вот

бара :: тему хоть бы закрыли.
AHTeam грязью хватит обливать

Grim Fandango :: никто никого не обливает. Всё улажено.
Ну а если нужно, то я сам могу им нарисовать темпейты,
всё-таки не сильно хочется оставаться в контрах. неплохие ребята ведь.

CReg [TSRh] :: Тему я закрыл. Если хотите поговорить об инфошках, создавайте новую тему.
Не надо позорить AHTeam.




MaZaFaKeR Куда делся Куда делся Feuerrader ? И сайт тоже пропал



MaZaFaKeR Куда делся Куда делся Feuerrader ? И сайт тоже пропал
XoraX :: вроде никуда не делся, по мылу контачится еще :)

MaZaFaKeR :: На форум давненько зыбегал...

KLAUS :: Хм, вот сайт http://ahteam.org/ и всё нормально пашет

Bad_guy :: Feuerrader мне сказал, что ему надоело работать над сайтом и он свои работы будет выставлять прямо на http://ahteam.org

Bad_guy :: ... А вот меня с хостингом «кинули» - не хотят мой сайт хостить. Так что крэклаб.ру оживёт наверное только после всех праздников.

Кто знает хостеров подешевле ? (пишите тут адреса их сайтов)

[RU].Ban0K! :: Bad_guy
RuWeb.net
я там хостюсь... $2.4 в месяц, все прилисти и 250 мего места 2 гига трафа
... но сам пойми, какие деньги, такой и хостинг... отрубали уже пару раз на полдня... хостзона то в США...

RottingCorpse :: я могу предложить хостинг..... постараюсь договориться....

FEUERRADER :: MaZaFaKeR
Никуда я не делся :)

Bad_guy :: [RU].Ban0K! пишет:
цитата:
2 гига трафа


Не уверен, что мне этого хватит. Вообще меня ограниченный трафик как то напрягает...

MaZaFaKeR :: FEUERRADER , уря!

[ChG]EliTe :: Bad_guy
Я те уже много раз писал.. стукни мне в Асю постараюсь помочь...

[RU].Ban0K!
Блин.. твое письмо получил.. извини ни как немогу тебе ответ написать... зарег себе асю хотя бы временно... лучше в онлине все обсудить....

MozgC [TSRh] :: Bad_guy
Как понять кинули? Ты же договаривался... Почему на письма не отвечаешь ?

[RU].Ban0K! :: [ChG]EliTe
Ок... завтра скорее всего, ночерком стукну...

[RU].Ban0K! :: [ChG]EliTe
Зарегил...

Bad_guy :: MozgC [TSRh] пишет:
цитата:
Почему на письма не отвечаешь ?


Ничего не получал. Попробуй на оба моих ящика отправить.

MozgC [TSRh] пишет:
цитата:
Как понять кинули? Ты же договаривался...


Там хостер хостера кинул и все сайты полетели - обещали возобновить через пару дней... Так я и знал, что надёжнее narod.ru ничего быть не может... Самое обидное, что я тулз на 20 метров заливал часов 5 за два дня до этого и бэкапа говорят не осталось...

[ChG]EliTe :: [RU].Ban0K!
Стукни хотя бы для профилактики что б я знал твой номер...
Bad_guy
Не хочешь как хочешь...

Bad_guy :: [ChG]EliTe пишет:
цитата:
Bad_guy
Не хочешь как хочешь...


Чего я не хочу то ?

[RU].Ban0K! :: Bad_guy
Ну, блин, проснулся... хотсинг тебе предлогают...

Bad_guy :: [RU].Ban0K! пишет:
цитата:
Ну, блин, проснулся... хотсинг тебе предлогают...


Чё то я не просёк... а можно подробнее мне на мэйл bad_guy@mail333.com, а то у меня ICQ нет. Хотя в принципе как запасной вариант - мне всё обещают, что хостинг вот-вот поставят на ноги. Вообще я зря не сижу - осталось 1 скрипт сделать и 1 страницу с опросами, а остальное всё готово. Так что как откроют хостинг так всё и залью.

[ChG]EliTe :: Bad_guy
Глядай почту...

.::[DRUID]::. :: http://www.300mb.biz

300 мб место;
трафик неограничен;
perl;
php;
MySQL;
и т.д.

+++ БЕСПЛАТНО +++

[RU].Ban0K! :: .::[DRUID]::.
Толку нет от 300mb если не разрешают хранить архивы...

Bad_guy :: [ChG]EliTe пишет:
цитата:
Bad_guy
Глядай почту...


Ответил. Теперь ты глядай.

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Толку нет от 300mb если не разрешают хранить архивы...


А кто запретил использовать скрипты, которые например из .jpg при скачивании делают .rar ??? :)




CERBER Голосование: Какую музыку предпочитают крякеры ......



CERBER Голосование: Какую музыку предпочитают крякеры ... ­CERBER'V0ldemAr'GL#0M'FEUERRADER'EGOiST[TSRh]'-= ALEX =-'WELL'sanek'-=atol=-'Perch'ViNCE [AHT]'bUg.'vins'ViViseKtor'fuck it'CReg [TSRh]'Kerghan'XoraX'Styx'VoicE'DiveSlip'Dragon'AlexZ'[RU].Ban0K!'Noble Ghost'Dred'Sh [AHT]'Grim Fandango'Danger'Lz [TSRh]'SLV'.::D.e.M.o.N.i.X::.'XPiS'DZmey'HANS KEEPER'­Попса'2
Хип-Хоп'4
Тежеляк'21
Инструментал'
Транс'5
Не слушаю музыку (отвлекает)'
Другое'3
­Интересно какую музычку слушают крякеры ­
ZX :: Надо было другой опрос типа - Какие трусы носят крякеры - варианты - в горошек, в полоску, танго, грязные

DZmey :: ZX
Грязные, был бы востребованый вариант - поетому надо было бы уточнить причину загрязнения :)

bUg. :: ZX пишет:
цитата:
в горошек, в полоску, танго, грязные


еще в цветочки можно добавить.

SeDoYHg :: Не знаю я, какую они (крякеры) музыку любят, наверно как и все - по настроению.

Telex :: Ещё вариант - не носят трусов :)

Kerghan :: да, про трусы было бы круче
у меня например с сердечками. Шутка

Funbit :: я слушаю все что нравится,
но электроника все же преобладает,
FatboySlim, DustBrothers... 6000 треков
перечислять не хочется :)

MaZaFaKeR :: А я слухаю Хип-Хап...

MoonShiner :: Rammstein, Lacrimosa, Mantus, Diary of Dreams... Из попсы тащусь от C.C.Catch

SeDoYHg :: MoonShiner пишет:
цитата:
C.C.Catch


Как это было давно ...

Dragon :: MoonShiner пишет:
цитата:
Из попсы тащусь


Ну и вкусы однако...

По мне лучше что-то вроде Короля и Шута, Арии и что-то в этом роде.

bUg. :: N.R.M.

dMNt :: с одной стороны SexPistols, ГрОб, Ramones, Nirvana
а с другой тяжеляк Burzum, DarkTranquiliy, Samael и т.д.

ну и Ленинград ofcourse :)

WELL :: А я понастроению разный музон люблю

Dragon :: dMNt пишет:
цитата:
ну и Ленинград ofcourse :)


Вот, самое главное упомянуть забыл

AlexZ CRaCker :: На инт3.нет такой же опрос :)
вобще метал люблю (слухаю Ингви, Стив Вэя, Сатриани, Apocalyptica, Метлa... раннию Арию, БониНем...)
PS видимо такой опрос из-за отсутствия крэкеров в знакомых
Давайте тогда опрос: Кто на чём играет (нервы не считаются)

XoraX :: крэкеры тоже люди вроде бы еще :) поэтому и вкусы совершенно разные..

DillerXX :: Я восновном Eminem’a, Многоточие и Короля и Шута...

[RU].Ban0K! :: Я вообще слушательны кракер..., но на данный момент:
Theatre of Tragedy - СУПЕР...
[.SYS]tem Of A Down
dust heaven - Украинская гот. група... у неё походу только демки и вышли... есль у кого есть ДАЙТЕ БЛИН СКАЧАТЬ!!!
Crematory
NightWish - Ну ёптиль... это уже давняя зависимость...
Samael - Определённо рулит... в месте с кремотори
[3D]0_[ OR]_s Down - У меня это уже с того года есть, и что оно только недавно на MTV вышло...

P.S. А трусы я наверное ношу... потные, некогда после спортзала мыЦа...

KLAUS :: Хе, типа крякеры от нормальных людей должныьпристрастиями отличаться...«КиШ»,«Ария»

fuck it :: bUg.
ё.. сосед :)

fuck it :: DillerXX
зацени Ю.Г.

RottingCorpse :: Deep Forest, Darude, Music Instructor и свои chiptunes :)

ViNCE [AHT] :: KOЯN
Nightwish
Sentenced
АРИЯ
SoAD
Slipknot
...

bUg. :: KOЯN
Metallica
Pain
АРИЯ
SoAD
Slipknot
N.R.M.
Kriwi
Rob Zombie
Linkin Park

ViNCE [AHT] :: bUg. - я с тобой солидарен!

Это настоящая музыка

Lz [TSRh] :: Компутерным гениям - компутерную музыку!!!
Транс (гоа, психоделик) - форева!

SLV :: А я ВООЩЕ от Marilyna Mansona тащюсь.

P.S. У меня есть все альбомы

bUg. :: SLV

Я его забыл написать.

SLV :: bUg., Antichrist Superstar - рулит!!!

bUg. :: SLV пишет:
цитата:
bUg., Antichrist Superstar - рулит!!!


А чё это?

SLV :: 3-тий альбом Mr. MAnson-а; вышел в 1996 году. Там одно мясо!!!

bUg. :: SLV

Я по альбомам не слушаю у меня всё кучей

TOR :: Ase of Base
Фактор2
Дискотека Авария
Классика
Rednex

.::D.e.M.o.N.i.X::. :: Enigma - этим все сказано.
Также с утричка не откажусь от жесткого House и метала.
P.S. Также люблю слушать, что сам написал, но т.к. фантазия не очень прет, то в основном пишу ремиксы на известные мелодии...

bUg. :: .::D.e.M.o.N.i.X::.
под нее(Enigma) спать хорошо

bUg. :: Scorpions забыл.

ViNCE [AHT] :: TOR пишет:
цитата:
Ase of Base
Фактор2
Дискотека Авария
Классика
Rednex


Брр... Гопота!

ViNCE [AHT] :: Lz [TSRh] пишет:
цитата:
Компутерным гениям - компутерную музыку!!!
Транс (гоа, психоделик) - форева!


Живую музыку, исполненную на реальных инструментах никакой синтетикой не заменишь...

bUg. :: ViNCE [AHT] пишет:
цитата:
Брр... Гопота!


Согласен

ViNCE [AHT] :: Я б постыдился (судя по постам) приводить гопотень... Среди крякеров, который говорят что слушают тяжеляк...
ИМХО, А слушать EMiNEM’а и КиШ - это безвкусие...

CReg [TSRh] :: Lz [TSRh] пишет:
цитата:
Компутерным гениям - компутерную музыку!!!
Транс (гоа, психоделик) - форева!


Угу :) Транс рулит.

Gollum :: Technical Itch, Usual Suspects, Bad Company, Diesel Boy, ect. Drum&Bass Forever!

ZX :: А мне пофигу какая, лишь бы пиликала и не напрягала.

AlexZ CRaCker :: ...в последнее время коннект модема слушаю )
музон коннекта - крэкерский музон

ViNCE [AHT] :: AlexZ CRaCker пишет:
цитата:
...в последнее время коннект модема слушаю )
музон коннекта - крэкерский музон


Тогда любимый музон хардварщика - звук чтения\записи с\на винт?




Yraevtys Вопрос по отладке Как в рабочем Dumpe (после UPX распакованного в...



Yraevtys Вопрос по отладке Как в рабочем Dumpe (после UPX распакованного в ручную), найти где идет проверка кода, если после ввода кода прога не обращается к памяти т.е на bpmb не реагирует, а просто закрывает рег-форму. А DeDe вообще кроме Glasses info не форм не процедур не показывает. Надо как-то видимо активизировать не действующие без регестрации функции меню? Что такое «PE» в самом начале кода проги? Restorator тоже ресурсы не показывает, а в Exescope ресурсы есть, но после редактирования dump становится не рабочим . Посоветуйте как действовать?
WELL :: Yraevtys
Урлу дай на прогу.
Yraevtys пишет:
цитата:
Что такое «PE» в самом начале кода проги?


Это значит, что PE-файл (PortableExecutable)
Yraevtys пишет:
цитата:
Restorator тоже ресурсы не показывает, а в Exescope ресурсы есть, но после редактирования dump становится не рабочим


А зачем тебе ресурсы-то?

KLAUS :: Yraevtys пишет:
цитата:
. А DeDe вообще кроме Glasses info не форм не процедур не показывает


цитата:
Что такое «PE»


PE заголовок с 4-х байтной сигнатурой которая представляет из себя 2 байта(«PE» -45500000)
Yraevtys пишет:
цитата:
прога не обращается к памяти


а ты hmemcpy пробывал поставить

-= ALEX =- :: KLAUS а смысл челу объяснять, он по-моему вообще ничего о краке не представляет... Yraevtys читай FAQ by MozgC&FEUERRADER




SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В...



SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В этом крякми я сделал так, что файловые анализаторы не обнаруживают packer. AutoUnpacker-ы также не могут распаковать его. В ручную, я сам не смог его распаковать. Может кто-нибудь сможет... Брать можно отсюда.
sanek :: SLV пишет:
цитата:
Брать можно отсюда.


Чет не запускается!!!!!

Bad_guy :: Было просто:
Bad_guy
8RPZ-154JY-YAX76-E3SSX-J7ZA9
PEiD показывает «UPX» - так что не знаю в чём проблема. Ну что распаковать или не стоит ?

Bad_guy :: ...Даже обидно как-то - никто хотя бы средней сложности крэкми не хочет сделать. (бэсик не предлагать).

RideX :: SLV
Это у тебя новый тип крэкми? Наверное runme называется, кто сможет файл запустить - тот молодец :)))

бара :: извините за оффтоп, но как за***ли уже все эти крякми и тп
давайте хоть начнём ломать проги, к которым нет серийников и тп на кряк сайтах
фигли этот мазохизм - вам сам процесс удовольствия что-ли доставляет ?

Perch :: SLV.
А чего ты сделал один серийник под любое имя?

-= ALEX =- :: бля, задолбали честно гря эти крякми. че автор этим хочет показать, свою «глупость» ИМХО.
Bad_guy мог бы тебе предложить попозже alexprot crackme #3 :) :)

SLV :: Я поменял EP на пакованной проге. На новом EP был jmp на popad (т.е. на старый EP). У меня PeiD показала nothing found. Quick Unpack v0.4 final by FEUERRADER [AHTeam] распаковала, но прога не запускалась. Я распаковал олей, но прога тоже не запускалась. А ещё все стринги в exe-шнике заxor-ены и перед сравнением с серийником идёт мудёжная процедура «проверки» серийника. Следущие попробую сделать посложнее.

Snowbit :: Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!

sanek :: Snowbit пишет:
цитата:
Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!


Заработало под WIN98
А сернУм действительно один у меня такой же. Хоть на русском пиши имя
8RPZ-154JY-YAX76-E3SSX-J7ZA9
Вылетает месага: you reallywin! it is great!

ZX :: SLV пишет:
цитата:
А ещё все стринги в exe-шнике заxor-ены


Лучше бы ты серийник заксорил

Mafia32 :: Блин, ни хрена не запускается. (WinXP) Зря 150 кб качал...

DZmey :: SLV

Она и без распаковке не пускается ....

бара пишет:
цитата:
давайте хоть начнём ломать проги, к которым нет серийников и тп


Полностью согласен !!!

WELL :: SLV
Мог бы проверить под 2k/XP...

KLAUS :: Да короче, желающим чтоб она заработала под 2k/XP открываете (допустим в LORD-PE) за ходите в section и оставляете только первые три, а остальные удаляйте наХ**.....

SLV
Типа хотел замаскировать UPX
анализаторы не обнаруживают packer - сам глазами чтоли анализировал?

Mario555 :: -= ALEX =- пишет:
цитата:
alexprot crackme #3


Ждёмс... ;)
Жаль вот только сессия начинается - времени вообще нет...




SGA Оффтоп - прикол. Что на «самом деле» значит ваш ник



SGA Оффтоп - прикол. Что на «самом деле» значит ваш ник
http://www.cyborgname.com/cyborger.cgi
Докажите всем что вы киборг. :))
S.G.A.: Sythetic General Android
LOL
Telex :: SGA
Это типа - «поговорю тихонько сам с собою?»

SGA :: Видать ошибочно предположил что это каму нибудь будет интересно.
T.E.L.E.X.: Transforming Electronic Lifeform Engineered for Xenocide

Telex :: SGA
Эта «шутка» со ссылкой уже была. И по времени почти год назад...

SGA :: Ту так значит сори.
Господа админы киляйте топик

-= ALEX =- :: A.L.E.X.: Artificial Lifeform Engineered for Xenocide, тока че прикольного ?!

-= ALEX =- :: K.P.T.E.A.M.: Kinetic Positronic Troubleshooting and Efficient Assassination Machine :)

-= ALEX =- :: :) не, все-таки прикольно
M.O.Z.G.C.: Machine Optimized for Zoology and Galactic Calculation
B.A.D.G.U.Y.: Biomechanical Android Designed for Gratification and Ultimate Yelling
M.O.O.N.S.H.I.N.E.R.: Machine Optimized for Observation and Nocturnal Sabotage/Humanoid Intended for Nocturnal Exploration and Repair
I.N.F.E.R.N.O.: Intelligent Networked Facsimile Engineered for Repair and Nocturnal Observation

DiveSlip :: D.I.V.E.S.L.I.P.: Device Intended for Violence and Efficient Sabotage/Lifeform Intended for Peacekeeping

SGA :: C.R.A.C.K.L.A.B.: Cybernetic Robotic Android Calibrated for Killing/Lifeform Assembled for Battle

RottingCorpse :: Руль. В точку )

T.H.E.C.R.A.C.K.Z.: Technician Hardwired for Exploration and Ceaseless Repair/Artificial Cybernetic Killing Zombie

[ChG]EliTe :: Вот тоже прикольно:

N.I.C.E.: Networked Individual Calibrated for Exploration



Styx :: STYX - Synthetic Troubleshooting and Yelling Xenomorph

Styx :: W.A.S.M.: Wireless Artificial Sabotage Machine
C.R.A.C.K.E.R.: Cybernetic Robotic Android Calibrated for Killing and Efficient Repair

.::D.e.M.o.N.i.X::. :: Styx пишет:
цитата:
Cybernetic Robotic Android Calibrated for Killing and Efficient Repair


Мне это больше всех понравилось - на правду смахивает :) Только запрограмированный на убийство прог и их эффективного восстановления:)

EGOiST[TSRh] :: E.G.O.I.S.T.: Electronic Guardian Optimized for Infiltration and Scientific Troubleshooting

FEUERRADER :: F.E.U.E.R.R.A.D.E.R.: Functional Electronic Unit Engineered for Repair/Robotic Android Designed for Exploration and Repair

Фу, для всех однотипные имена генерятся. Так неоригинально :)

DZmey :: FEUERRADER

У них список ограниченный

bUg. :: B.U.G.: Being Used for Gratification(да уж...)




V0ldemAr Пакер MEW 10 Что ви думаете о сабже?



V0ldemAr Пакер MEW 10 Что ви думаете о сабже?
Вот урл: Mew 10
sanek :: V0ldemAr пишет:
цитата:
Что ви думаете о сабже?
Вот урл: Mew 10


Not Found
The requested URL /hcc.kenyer.hu was not found on this server.

------------------------------

Apache/1.3.29 Server at fastbb.ru Port 80

V0ldemAr :: Блин, херево сделал.
Просто наберите: hcc.kenyer.hu

-= ALEX =- :: судя по описанию, очень хороший пакер, НО вот мои кряки после него не запускаются :(

V0ldemAr :: Странно, у меня все ок.
Даже, если на асме написано.
-= ALEX =- пишет:
цитата:
НО вот мои кряки после него не запускаются :(


А на чем написаны твои кряки?

-= ALEX =- :: на асме. не запускается потому, что header неправильно видать настроен...

V0ldemAr :: Все, ясно ти на ФАСМЕ пишеш.
У меня тоже, неканает если на ФАСМЕ, а на МАСМЕ все ок

-= ALEX =- :: V0ldemAr а вот и нет :P обычный масм :)

V0ldemAr :: Странно, у меня все ок.
Только что проверил.

-= ALEX =- :: V0ldemAr на других окей, на патче моем нифига. это багом зовется :)

V0ldemAr :: Еще раз пробовал, все ок кроме ФАСМА
пробовал и на патчах и на кейгенах, самий большой патч у меня к Алкоголю120 390к,
там типа с графикой и музыкой, все рулит. :)))

V0ldemAr :: Придумал, закинь мне после упаковки, свой крек сюда : v0ldemar@mail.lviv.ua

-= ALEX =- :: отправил, проверяй...

V0ldemAr :: Мда, точно.
Непашет
У мене header тотже но все пашет.

Styx :: Всё равно UPX лучше. Глючноватый этот пакер про него нема уже была.

.::D.e.M.o.N.i.X::. :: Еще интересней, что бывает под одну ось запускаются запакованные проги, а под другую - фигушки, и наоборот. Так что автору еще стоит поработать над этим пакером:)

FEUERRADER :: зато жмет кое-что баще FSG. Это хорошо.

-= ALEX =- :: дак это если удасться запустить :)

Runtime_err0r :: На сайте написано, что это v1.1 а в архиве старая версия 1.0
А вот он же распакованный: _http://www.zone.ee/Runtime_err0r/mew10.rar

бара :: Runtime_err0r
дай, please, своё мыло или напиши где ваш сайт работоспособный - посмотреть охота что вы там наломали и вообще....

-= ALEX =- :: бара не работает наш сайт сейчас kpteam.com :(

бара :: жаль...
Хотел бы я посоветоваться с кем-нибудь из вас. Вот с тобой, например... Куда письмо отправить только вот не знаю. Хотел о вашей группе узнать подробнее и ещё кое-чего

Madness :: бара
›Хотел бы я посоветоваться с кем-нибудь из вас.
Никто не мешает :)

›Хотел о вашей группе узнать подробнее и ещё кое-чего
Спрашивай, может ответим :P

GPcH :: V0ldemAr пишет:
цитата:
Что ви думаете о сабже?
Вот урл: Mew 10


Вещь!!! VB пакует на ура! Причем проги идут под всеми виндами.
Что то я все больше разочаровываюсь в UPX и FSG




V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то...



V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то прога незапускается, просто загружается а потом без всяких месаг вылетает
врсия Армы, как пишет PEDI 1.хх-2.хх, помогите может у кого-то такое было. ??
бара :: возможно, что это защита уже софтовая проверяет CRC или размер где...

WELL :: Может попробовать поискать ссылки на ExitProcess или чего-нить в этом духе.
Может и правда проверка целостности кода...

V0ldemAr :: мда, наверно я че то не то сделал, сидел в Олли короче прога вирубается через это:
mov eax,[eax]
а в еах очень большое число то есть прога вылетает при доступе к памяти. :((
мда придется ещераз попробовать распаковать.
Кстати Очень странно что когда я пробовал ПеТулзами снимать дамп то провобще видавала Екзекюшн Еррор. :((

Mario555 :: V0ldemAr пишет:
цитата:
вроде распаковал сабж, но чего-то прога незапускается


А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...

V0ldemAr :: Блин, рас такий умный скажы в чем тут дело :) я вроде все сделал

MozgC [TSRh] :: Mario555 пишет:
цитата:
А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...


Да ладно, дофига прог запускаетмя сразу

infern0 :: Mario555 пишет:
цитата:
Сейчас мало какие проги сразу после распаковки запускаются


можно посоветовать пропатчить hands.sys... :))

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
hands.sys


Поправочка: curvehands.sys :)

бара :: а может brains.sys

RottingCorpse :: ili straight_IZVYLINY’s_in_da_brain.sys :)

Mario555 :: infern0 пишет:
цитата:
можно посоветовать пропатчить hands.sys... :))


И что это интересно у меня с руками не так ?!

.::D.e.M.o.N.i.X::. пишет:
цитата:
Поправочка: curvehands.sys :)


Ну это вообще верх остроумия - ах*уенно смешно.

Или вы все не встречали прог с проверкой на распакованность ?! Мне последнее время в основном только такие и попадаются. Что Alfaclock, SIGuardian или Perl Editor - у кого-нить сразу после распаковки запустились ? а все проверки на наличие протектора в этих прогах мне просто приглючились ???

infern0 :: не лезь в бутылку - это злой крякерский юмор...

бара :: я вообще против таких нападок всегда был... Вообще не понимаю, почему на этом форуме некоторые считают, что имеют право посылать новичков на *** и подтрунивать над товарищами по цеху. Зачинщиков в баню короче. Семь суток чтобы не евши...

infern0 :: бара пишет:
цитата:
Зачинщиков в баню короче


ну вот один:

бара пишет:
цитата:
а может brains.sys


бара :: поймал поймал Так меня этот чёрт - RottingCorpse совратил на преступление Я ищо молодой и неопытный А он плохим словам тут учит...
Так я просто продолжил абстрактный ряд синонимов, не проэцируя их на персоналии...

V0ldemAr :: Мда, народ тут веселый, ладно
Короче никакой проверки там нет, это глюканул, кроме секции CODE, не востоновил DATA,
но єто ничего недало, всмысле прога дальше незапускается, но хотябы еррор выдает.
Короче сидел в Олли и нашол в чем глюк, глюк в том что импорт я невесь востоновил.
Вот пример функции из которою Импрек неопознал и я незнал что с ней делать и просто удалил:
01107018 push ebp
01107019 mov ebp,esp
0110701B sub esp,104
01107021 push esi
01107022 push edi
01107023 push 1132EC0
01107028 call [1126070] // = ntdll.dll/0218/RtlEnterCriticalSection
0110702E mov ecx,[1132CE4] // DWORD value: 003A9978
01107034 mov eax,[112B8C0] // DWORD value: 0001EED7
01107039 xor edi,edi
0110703B mov [1133640],eax // DWORD value: 000085D4
01107040 cmp ecx,edi
01107042 je short 01107057
01107044 mov eax,[ecx]
01107046 cmp eax,edi
01107048 je short 01107057
0110704A mov edx,[113363C] // DWORD value: F1100000
01107050 sub [eax],edx
01107052 add ecx,4
01107055 jmp short 01107044
01107057 mov ecx,[1133098] // DWORD value: 003A9928
0110705D cmp ecx,edi
0110705F je short 01107074
01107061 mov eax,[ecx]
01107063 cmp eax,edi
01107065 je short 01107074
01107067 mov edx,[113363C] // DWORD value: F1100000
0110706D sub [eax],edx
0110706F add ecx,4
01107072 jmp short 01107061
01107074 mov eax,[1133280] // DWORD value: 0112BC9C
01107079 movzx esi,word ptr [eax+12]
0110707D call 011224FD
01107082 mov ecx,[1133644] // DWORD value: 00000000
01107088 lea eax,[eax+ecx+7640005E]
0110708F push eax
01107090 mov eax,[112BAC0] // DWORD value: 00000212
01107095 add eax,esi
01107097 push eax
01107098 mov eax,[1133284] // DWORD value: 01100000
0110709D sub eax,esi
0110709F add eax,[112B8C0] // DWORD value: 0001EED7
011070A5 push eax
011070A6 call 01104074
011070AB mov ecx,[1133098] // DWORD value: 003A9928
011070B1 add esp,C
011070B4 cmp ecx,edi
011070B6 mov [ebp-4],eax
011070B9 je short 011070CE
011070BB mov eax,[ecx]
011070BD cmp eax,edi
011070BF je short 011070CE
011070C1 mov edx,[113363C] // DWORD value: F1100000
011070C7 add [eax],edx
011070C9 add ecx,4
011070CC jmp short 011070BB
011070CE mov ecx,[1132CE4] // DWORD value: 003A9978
011070D4 cmp ecx,edi
011070D6 je short 011070EB
011070D8 mov eax,[ecx]
011070DA cmp eax,edi
011070DC je short 011070EB
011070DE mov edx,[113363C] // DWORD value: F1100000
011070E4 add [eax],edx
011070E6 add ecx,4
011070E9 jmp short 011070D8
011070EB mov ecx,[1132CE8] // DWORD value: 003A3C28
011070F1 cmp ecx,edi
011070F3 je short 01107108
011070F5 mov eax,[ecx]
011070F7 cmp eax,edi
011070F9 je short 01107108
011070FB mov edx,[113363C] // DWORD value: F1100000
01107101 sub [eax],edx
01107103 add ecx,4
01107106 jmp short 011070F5
01107108 mov eax,[1133284] // DWORD value: 01100000
0110710D mov ecx,[112B8C4] // DWORD value: 0000714B
01107113 push edi
01107114 add ecx,eax
01107116 push dword ptr [112BAC4] // DWORD value: 000000D1
0110711C push ecx
0110711D push dword ptr [ebp-4]
01107120 call 011014AC
01107125 mov ecx,[1132CE8] // DWORD value: 003A3C28
0110712B add esp,10
0110712E cmp ecx,edi
01107130 je short 01107145
01107132 mov eax,[ecx]
01107134 cmp eax,edi
01107136 je short 01107145
01107138 mov edx,[113363C]
0110713E add [eax],edx
01107140 add ecx,4
01107143 jmp short 01107132
01107145 push ebx
01107146 xchg eax,edx
01107147 xchg dx,dx
0110714A xchg eax,edx
0110714B push edx
0110714C out dx,eax
0110714D pop ebp
0110714E xor dl,[ebp-7F]
01107151 or cl,[edx]
01107153 fild qword ptr [edx]
01107156 dec ebx
01107157 lahf
01107158 push ebp
01107159 mov esi,8D14C134
0110715E call 662E61AF
01107163 retn

Вот и все. Кто уже такоэ видел, и как боролся, подскажыте.

бара :: по арме Mario555 спец у нас и Feuerrader - у них туториалы про это есть да и опыт распаковки немалый... Так что рекомендую связаться с ним по e-mail и обсудить как выйти на поверхность из этого... нехорошей ситуации.

V0ldemAr Re: бара :: Да сенкс.
Но у Feuerrader-а тутор без КОПИМЕМ - а, и в туторе нет того что уменя попалось :(

Mario555 :: V0ldemAr пишет:
цитата:
Вот пример функции из которою Импрек неопознал


Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...

Mario555 :: бара пишет:
цитата:
арме Mario555 спец


Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...

V0ldemAr :: Mario555 пишет:
цитата:
Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...


Может что-то предложыш, а то я уже неделю парюсь, распаковал уже кучу своих прог упакованой армой негде нету такого :((

Mario555 :: V0ldemAr
У меня такого не было... все проблемы с импортом решались правкой «magic jmp» (ну это ессно кроме 3.7a - там с импортом повеселее сделано :)).

бара :: так туториалы видать безымянные которые мне прислали по её снятию не твои ? тогда понятно...

V0ldemAr :: Mario555 пишет:
цитата:
с импортом решались правкой «magic jmp»


это ти про jle XXXXXXXX

Mario555 :: V0ldemAr пишет:
цитата:
это ти про jle XXXXXXXX


Это я про тот, который определяет что писать в iat - адрес апи или переходник.

V0ldemAr :: Mario555 пишет:
цитата:
Это я про тот, который определяет что писать в iat - адрес апи или переходник.


Опа, а где эго искать неподскажеш??

Mario555 :: V0ldemAr пишет:
цитата:
Опа, а где эго искать неподскажеш??


Дык как обычно - бряк на запись в iat - попадёшь на цикл обработки импорта, ну а там уже смотри где и что записывается и куда jmp’ы направлены.

А ты вручную функции определял что-ли ???

ViNCE [AHT] :: Mario555 пишет:
цитата:
Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...


Марио, с тебя Олли-скрипт против армы!

musulmanin :: недавно нашел хорошие туторы по распаковки армы(и не только)...
http://www.hackemate.com.ar/cracking/

musulmanin :: ViNCE [AHT] пишет:
цитата:
Марио, с тебя Олли-скрипт против армы!


хорошо бы

V0ldemAr :: Mario555 пишет:
цитата:
А ты вручную функции определял что-ли ???


Угу, а что?

Mario555 :: ViNCE [AHT] пишет:
цитата:
с тебя Олли-скрипт против армы!


Не думаю, что возможно написать скрипт, который будет полностью снимать арму с copymem.

V0ldemAr пишет:
цитата:
Угу, а что?


Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.

EGOiST[TSRh] :: чета я щас тоже нарвался..с мэджик джампом не восстановилось ешо туча ф-ий..странно

V0ldemAr :: Mario555 пишет:
цитата:
Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.


А какой еще способ есть чтобы определить функции?

EGOiST[TSRh] :: V0ldemAr
почитай статью Драгона, там как раз используется этот метод..

p.s. восстановил импорт таки..прикол в том что арма не по порядку их прописывает, так что ловить на записи апи, может оказаться неправильным..

infern0 :: EGOiST[TSRh] пишет:
цитата:
ловить на записи апи, может оказаться неправильным


зато это легко помогает нати magic jmp и пи следующем запуске брякнутся сразу на нем :)

EGOiST[TSRh] :: не, правильно есесно.просто надо менять етот джамп когда цикл тока начинается..

Mario555 :: EGOiST[TSRh] пишет:
цитата:
прикол в том что арма не по порядку их прописывает


Функции из разных библиотек перемешаны ? Iat за пределами exe ? если да, то это 3.7a.
Там ещё и антидамп по типу, как в ACProtect.

PS для распаковки 3.7a есть скрипт. Да и если вручную распаковывать - один фиг скрипт писать придётся, хотябы чтобы iat упорядочить.

EGOiST[TSRh] :: да не, все по порядку..просто арма их не по порядку обрабатывает а как то по своему..

Gloomy :: Новую тему решил не создавать поэтому пишу сюда: давно пытаюсь распаковать полезную в хозяйстве прогу Easy CD-DA Extractor (http://www.poikosoft.com/download.html 4,5 Мб). PEiD определяет Армадиллу 1.хх-2.хх, другая программа IsItArma (http://databack4u.com/snc/download/trashreg.zip) тоже определяет Армадиллу. Очень смущает вид кода в отладчике, вот картинка загруженой программы: http://tinysoft.nm.ru/dbg.png Посмотрел пример из статьи про распаковку Армадиллы - там все полностью пошифровано. А здесь чистый код да еще и ресурсы в любом редакторе спокойно правятся (!). Как такое возможно? Все типичные армадильные фокусы типа двух процессов и файла в папке temp присутствуют - значит прога действительно упакована Армадиллой. Но почему тогда код и ресурсы доступны? Может кто с таким уже сталкивался? И главное как тогда ее распаковать?

V0ldemAr Re: Gloomy :: Ну ты чувак даеш, это же и есть версия 2.хх она тем и отличается. :))
Прочти тутор HEX-а по снятию армы, очень поможет.
Кста, я тоже хотер распаковать Easy CD-DA Extractor, но блин у меня она незапускается под Вын2к, хз что делать.
Кто-то может подсказать что нужно делать?????

V0ldemAr :: EGOiST[TSRh] пишет:
цитата:
почитай статью Драгона, там как раз используется этот метод..


дык какраз прочитал, перед тем как на форум зайти,
вот вопрос, а как сохр дерево импорта если мы с проги вылетаем?
Где нужно остоновится?




RaT TO REVENGE Crew Приветствую Вас, мои бывшие «братья по оружию»!



RaT TO REVENGE Crew Приветствую Вас, мои бывшие «братья по оружию»!
Хочу сразу принести свои извинения Zoom–у! Погорячился я тогда!
Я не минуты не жалею, что вступился за Gen0cide-а!!!
Он ОТЛИЧНЫЙ ДРУГ и ХОРОШИЙ ЧЕЛОВЕК!
Zoom! Помнишь, ты, по моему, меня спросил – «кто еще замечен в риппе?»
Тогда мне нечего было ответить! Меня бесило только то, что мои релизы хаяли!
Вот я с Gen0cide-ом недавно калякал, так интересные ФАКТЫ всплыли!
Меня еще в 2003 году в группе не было, но был Gen0cide и Mercyful, естественно!
Так вот! Мне лично Mercyful писал, что он в реверсинге не разбирается! И он далек от этого! Я ему еще написал, что «какие его годы», что он может еще научиться! Он на это промолчал!
Странно! Он мне врал?
И он у нас гуру реверса подпольный, оказывается!
Кому интересно, загляните в архив релизов за 2003 год и там будут РЕЛИЗЫ Mercyful-а! Человека который «далек от этого!»
А Gen0cide мне поведал про релиз Mercyful-а – BVS Solitaire Collection 5.0.0.18 – Serial !
Со слов Gen0cide-а найти сериал там не так уж и просто, там крипто! Gen0cide делал кейген для этой игры! И уж кому-кому, а это известно точно! Он Mercyful-а спрашивал в письме, о том как он нашел сериал, но Mercyful так ему и не ответил!
Вывод – РИПП? А сломанные ЕХЕ – шники? Ну он же далек от реверса!!! С его же слов! Что это?
КАК ЧЕЛОВЕК, КОТОРЫЙ САМ РИППЕР МОЖЕТ ОБВИНЯТЬ И СУДИТЬ ДРУГИХ ЗА ПОДОБНЫЙ ПРОСТУПОК!?????????????????????????????
ЛОГИКА ОТДЫХАЕТ ЗДЕСЬ!!!!!!!!!!!!!
ОФИГЕТЬ МОЖНО!!!

ПРОШУ УЧЕСТЬ!!!
ЭТО НЕ ПРОЯВЛЕНИЕ МОЕЙ МЕСТИ! И НЕ ОПРАВДАНИЕ МНЕ!!!
Я ХОЧУ, ЧТОБЫ ВОССТАРЖЕСТВОВАЛА СПРАВЕДЛИВОСТЬ!!!!
ЕСЛИ ВЫ ЕЩЕ ПОМНИТЕ, ЧТО ЭТО ТАКОЕ!!!!!!!!

А ЗА СВОИ ГРЕХИ Я УЖЕ ОТЧИТАЛСЯ!!!

ДОКАЗАТЕЛЬСТВ ПРЕДОСТАТОЧНО!!!
Я ЗА СВОИ СЛОВА ОТВЕЧАЮ И ГЕНОЦИД, ТОЖЕ!!!
МОЖИТЕ, КОНЕЧНО, НИ КАК НЕ РЕАГИРОВАТЬ НА ТО, ЧТО Я НАПИСАЛ!
ДЕЛО ВАШЕ!!!!

RaT

Noble Ghost :: А у группы своего форума нет? Наш форум разве относится к RC?

Mario555 :: RaT пишет:
цитата:
BVS Solitaire Collection


Гм... а вот помню я эту прожку... на ней аспр был... распаковать-то не проблема но сломать у меня тогда не получилось (да и не у меня одного). И что это интересно за кейген к аспровой-то проге ???

RottingCorpse :: Мдя... можеть разработчикам софта специально для underground’a ввести antirip=проверки..... т.е. чтоб крэктимы (особенно ньюбы) не рипали чужой релиз..... вот вам и стата для разработчика - скока куплено, скока сломано, скока срипано :)

DOLTON :: Mario555 пишет:
цитата:
Гм... а вот помню я эту прожку... на ней аспр был... распаковать-то не проблема но сломать у меня тогда не получилось (да и не у меня одного). И что это интересно за кейген к аспровой-то проге ???


Ты говоришь про русскую версию, а там имеется в виду English version... там всё совсем по другому...

P.S. Может попробуешь снова зарелизить BVS Solitaire Collection, юзая апи аспра?
Многие были бы благодарны!

RaT :: Noble Ghost
Есть форум у Ревенжа! Но я уже не в их числе! К тому же правду не любит не кто! Я на их форуме это же сообщение оставил! Оперативно убрали! Поэтому мне и пришлось здель публиковать! Вот!

RaT :: RottingCorpse
Это не статистика! Это личные разборки! И мне печально, что приходится их выносить на всеобщее обозрение! :(

RottingCorpse :: RaT давай объединим группы :)

RottingCorpse :: А собсно по каким параметрам определяем рип?

Gen0cide :: RottingCorpse пишет:
цитата:

А собсно по каким параметрам определяем рип?


А по таким... Он полныйноль в реверсинге... И зарелизил сериал... И это еще не все... У него еще есть релизы которые он бы не в жизнь не сделал... Пусть он напишет, как он получал эти серийники или как ломал остальное... Конечно он может сказать, что он купил или скардил эту прогу и другие... Или брутфорсил... :)))))))))) Смешно... Сами понимаете... Яи сам не без греха... Но я ушел со сцены, а не наглею как он...

DZmey :: RottingCorpse

Гы-гы а прав на счет статистики =)

ViNCE [AHT] :: RaT пишет:
цитата:
Приветствую Вас, мои бывшие «братья по оружию»!
Хочу сразу принести свои извинения Zoom–у! Погорячился я тогда!
Я не минуты не жалею, что вступился за Gen0cide-а!!!
Он ОТЛИЧНЫЙ ДРУГ и ХОРОШИЙ ЧЕЛОВЕК!
Zoom! Помнишь, ты, по моему, меня спросил – «кто еще замечен в риппе?»
Тогда мне нечего было ответить! Меня бесило только то, что мои релизы хаяли!
Вот я с Gen0cide-ом недавно калякал, так интересные ФАКТЫ всплыли!
Меня еще в 2003 году в группе не было, но был Gen0cide и Mercyful, естественно!
Так вот! Мне лично Mercyful писал, что он в реверсинге не разбирается! И он далек от этого! Я ему еще написал, что «какие его годы», что он может еще научиться! Он на это промолчал!
Странно! Он мне врал?
И он у нас гуру реверса подпольный, оказывается!
Кому интересно, загляните в архив релизов за 2003 год и там будут РЕЛИЗЫ Mercyful-а! Человека который «далек от этого!»
А Gen0cide мне поведал про релиз Mercyful-а – BVS Solitaire Collection 5.0.0.18 – Serial !
Со слов Gen0cide-а найти сериал там не так уж и просто, там крипто! Gen0cide делал кейген для этой игры! И уж кому-кому, а это известно точно! Он Mercyful-а спрашивал в письме, о том как он нашел сериал, но Mercyful так ему и не ответил!
Вывод – РИПП? А сломанные ЕХЕ – шники? Ну он же далек от реверса!!! С его же слов! Что это?
КАК ЧЕЛОВЕК, КОТОРЫЙ САМ РИППЕР МОЖЕТ ОБВИНЯТЬ И СУДИТЬ ДРУГИХ ЗА ПОДОБНЫЙ ПРОСТУПОК!?????????????????????????????
ЛОГИКА ОТДЫХАЕТ ЗДЕСЬ!!!!!!!!!!!!!
ОФИГЕТЬ МОЖНО!!!

ПРОШУ УЧЕСТЬ!!!
ЭТО НЕ ПРОЯВЛЕНИЕ МОЕЙ МЕСТИ! И НЕ ОПРАВДАНИЕ МНЕ!!!
Я ХОЧУ, ЧТОБЫ ВОССТАРЖЕСТВОВАЛА СПРАВЕДЛИВОСТЬ!!!!
ЕСЛИ ВЫ ЕЩЕ ПОМНИТЕ, ЧТО ЭТО ТАКОЕ!!!!!!!!

А ЗА СВОИ ГРЕХИ Я УЖЕ ОТЧИТАЛСЯ!!!

ДОКАЗАТЕЛЬСТВ ПРЕДОСТАТОЧНО!!!
Я ЗА СВОИ СЛОВА ОТВЕЧАЮ И ГЕНОЦИД, ТОЖЕ!!!
МОЖИТЕ, КОНЕЧНО, НИ КАК НЕ РЕАГИРОВАТЬ НА ТО, ЧТО Я НАПИСАЛ!
ДЕЛО ВАШЕ!!!!

RaT


Это называется - «Сам сяду, и всю свою банду утяну...»

-= ALEX =- :: мде.. no comments. я вот ваще понять не могу, нафига рипать-то ? ведь взломать прогу наверное сравнимо с оргазмом :) от этого получаешь удовольствие большое... а рипать для чего, чтоб тебя за крутого считали, а потом обосрали......

бара :: Да что тут наезжать. Люди то вам признались, а это не просто...
А ведь все игры хак-группы очень часто рипают. Взгляните хотя бы на Фаргус, 7Wolf - возьмут чужой взломанный EXE и навесят свою пое**ень-защиту типа DDeM и типа опа - наш релиз. А ещё привязку к CD делают **ки (7Wolf).

ZX :: -= ALEX =- пишет:
цитата:
ведь взломать прогу наверное сравнимо с оргазмом :)


Ну эт ты лишку хватил, но ощущения приятные, согласен
-= ALEX =- пишет:
цитата:
я вот ваще понять не могу, нафига рипать-то ?


Есть такая штука - «клиптомания», возможно поэтому.

бара :: клептомания это не то. Тут другое....
Закрыть тему ваще пора - это сказано было для их бывших соратников... А кто му чтобы судить.
Каждый не безгрешен, я думаю...

RottingCorpse :: Так выпьем же за то, чтобы вышеупомянутый оргазм не превращался в онанизм (рип)

RaT :: ViNCE [AHT]
Нет! Просто справедливости хочется! У Мерсифула разве депутатская неприкосновенность? Он такой как все! И если он не хочет это решать внутри группы пускай об этом узнают все! Это будет чесно!!!!!!!!!!!

TR»]F :: Помнится я неделю не давал исключать тебя из группы, пока ты не вылез из оффлайна и не объяснился. Так может подождете реакции Mercyful’а...

RaT :: -= ALEX =-
Я с тобой согласен! Но одни ошибаются, делая так! И не повторяются никогда! А у других это входит в привычку и мало того они набираются наглости судить за это других! Как по пословице - в чужом глазу соринку видет, а в своем бревна не замечает!

RaT :: TR»]F
Можно и подождать! Но ему не отвертется! ;)

DZmey :: -= ALEX =- пишет:
цитата:
ведь взломать прогу наверное сравнимо с оргазмом :)


а рипнутую прогу с анонизмом =)

nOT :: Я не любитель выставлять внутренние дела на всеобщее обозрение, по крайней мере без предварительного обсуждения с командой. Но некоторые вещи задевают даже меня.

Мне непонятно, почему RaT стал пихать свое заявление по всем форумам, вместо того, чтобы лично получить комментарии у Mercyful’а. Впрочем, он постарался получить комментарии у меня, но и мне тоже надо выслушать первоисточник. Однако, ожидать моего ответа RaT не стал (впрочем, во время этого нашего разговора он предпочел оставаться анонимным и не называть себя, даже в ответ на мой прямой вопрос). Мне также не ясно, какой именно справедливости он хочет. Gen0cide честно рассказал, как это получилось, и сам сказал, что уходит из команды. Никакого зла на него никто из нас не держал. Широкой огласки это не получило - узнали только те, кто непосредственно с этим столкнулся, и те, кому сказал сам Gen0cide. И только теперь, спустя уже порядочно времени, вдруг проявился фонтан эмоций. Я называю это «махать кулаками после драки». Мое мнение - в таких вещах всегда есть возможность решить все спокойно. Я буду разбираться в ситуации, естественно, но не буду везде писать об этом. Если кто захочет обсудить с нами или со мной лично данный вопрос, добро пожаловать на форум на сайте нашей команды, там есть и ПМ.

С уважением, nOT / REVENGE Crew
и.о. Mercyful’а

RaT :: nOT
Очень ИНТЕРЕСНО! Теперь я буду хоть знать, что у такого поступка как РИПП есть срок давности! Значит, по твоим словам надо понимать, что если тебя не поймали в ближайший месяц, то ты пролетел «как фанера над Парижем!» А почему я стал на всех углах, как ты выразился, орать об этом – да потому, что мне не понравилась, элементарно, твоя реакция на данный факт! Ты мне еще втирал, что это слухи, а слухи ты не слушаешь! Ну вот мне и пришлось ОРАТЬ на весь Инет об этом! Чтобы до тебя дошло, что это не оговор и не ~ ешь и не обливание грязью! А если б внутри группы подобные вопросы решались оперативно и без предвзятости то и смысла не было бы ОРАТЬ НА ВЕСЬ ИНЕТ! REVENGE Crew – не частная ЛАВОЧКА! И отвечать должен каждый, не зависимо от занимаемого положения!!! Это ИМХО! Ну а там как знаете! Ну а то, что я был грешен, я признал уже! И тутор писал, и нерв сжег предостаточно! Я себя не оправдываю! Оступился только раз! И мне этого было достаточно, чтобы понять и осознать, и больше НИКОГДА НЕ ПОВТОРЯТЬ! И у меня, еще раз повторяю, это было один раз, один релиз! А у Мерсифула не один, а одиннадцать ( 11 ) !!!!!!!!!!!!!!!!!!!!!!!!!
И это, уже дело принципа! И чести! Я считаю, что неписаный кодекс Чести должен быть не только у бандитов, офицеров, но и у нас – реверсеров, кодеров, крякеров! Т.к. мы все же остаемся людьми живыми, а не виртуальными! А свой истинный ник ~ я, по началу, я скрывал только потому, что ты не стал бы со мной разговаривать вообще! Этот вывод я сделал раньше, изучив как в команде относятся к ОПАЛЬНЫМ мемберам! Но в конце-то концов ты меня узнал! ;) Ну тогда извини, если это задело твое самолюбие!

nOT :: RaT
Ты больше всех восклицательных знаков ставишь и ошибок грамматических делаешь, потому я тебя и узнал. Ты сам сказал поначалу «ходят слухи», потому и получил такой ответ. После твоего менее эмоционального, но зато более детального объяснения, с чего ты это взял, я уже не говорил про «слухи», но спросил «а ты у мерса спрашивать пробовал?». Ты ответил (не без мата), что разговаривать с ним не хочешь. Этим ты вводишь почти такой же «двойной стандарт», в котором обвиняешь нас - в рип Гена никто не верил, все ждали его ответа. И выводы делались уже после его объяснения, и, повторюсь, ЕГО слов об уходе. После его ухода ни на одном столбе мы не писали, что он, мол, риппер. Ты же не стал дожидаться объяснений. Хотя ты сам кричишь, что «отвечать должен каждый», возможности ответить Mercyful’у ты не дал. Это что, тоже дело чести - обложить человека матюгами, пользуясь тем, что он сможет ответить только через несколько дней?

FEUERRADER :: RaT
Ох, как я не люблю эти внутрикомандные дрязги. Жуть.........
Харэ ссорится!

Gen0cide[\b]
Напиши мне, если можешь.

nice :: Да парни не думал, что эта тема так актуальна у нас реверсеров :(
Это как раз из-за того, что в группах приходится постоянно учавствовать в гонках, надо больше релизов, надо больше релизов...
Недавно подвязался с Hornet’ом, хотел ему по релизить не много, и подвел, просто времени не хватало :(
Может сейчас втану на ноги, да подключусь к его проекту.

nOT :: FEUERRADER
я не нарочно :)

nice
на самом деле, участвовать в гонках или нет - выбирают сами для себя. у нас не принято, к примеру, требовать «давать план» =)

RaT :: nOT
Нечего умничать! За своими ошибками следи. По теме больше говори, а не обсерай!
А вы то со мной не так поступили? Еще хуже! Если б Truf мне SMS не прислал бы, то за моей же спиной меня бы и выкинули! И я узнал бы об этом когда позно было бы! И отсутствие чести -это не слова, даже не цензурные, а дела, порочещие! Пощитай сколько я ошибок зделал! Буде причина дальше меня обсерать! ;)

RaT :: FEUERRADER
Блин! Ты думаешь, что меня прет от этого БАЗАРА! Накипело!

бара :: А идите вы ребята к себе на форум...

CReg [TSRh] :: По просьбе мемберов REVENGE Crew тема закрыта. Чуть позже будет удалена.
Если кто-то не доволен (или например Mercyful захочет написать ответ), пишите сюда: creg [] newgen [] ru

nOT :: RaT
по теме я больше говорить не буду, пока не выясню все - не хочу переливать из пустого в порожнее.

CReg [TSRh] :: Привожу полностью ответ Mercyful’а, который я получил по почте:

CReg [TSRh] :: ============= [ Cut Here ] =============
Выбрался, блин :)
Дня два отсутсвуешь, а когда приходишь складывается впечатление, что месяца два не было ;)
Приступим-с:

›››А у группы своего форума нет? Наш форум разве относится к RC?
А им там места не хватило... нафлудили где могли и сюда занесло :)
Переквалификацию в спамеры проходят ;)
Ладно бы один пост... нет, надо было в каждом форуме по два поста забабахать!

›››А собсно по каким параметрам определяем рип?
В данном случае по количеству накопленной злобы за все свое несчастное детство... это тут они такие милые и пушистые...

›››Каждый не безгрешен, я думаю...
Грешен, хоть в Бога и не верю, но грешен... правда, не в рипе :)

Ладно, теперь к нашим разоблачителям:

to RaT
›››А Gen0cide мне поведал про релиз Mercyful-а – BVS Solitaire Collection 5.0.0.18 – Serial !
И? Я никогда и ни от кого не скрывал, что я не шарю в реверсинге. Об этом все прекрасно знают!
И тут я на свою глупость выдаю релиз, который противоречит моим словам? Так по вашему?
Хоть маленько надо головой иногда думать, а не чем попало... особенно не мозгами другого человека, в данном случае Gen’а...

›››Он Mercyful-а спрашивал в письме, о том как он нашел сериал, но Mercyful так ему и не ответил!
А я его предупреждал, что на его матерные/ушлые письма я отвечать не буду! Не научили родители в детсве выражения подбирать, школа не помогла и сам не дошел - чьи это проблемы? Мои?

›››КАК ЧЕЛОВЕК, КОТОРЫЙ САМ РИППЕР МОЖЕТ ОБВИНЯТЬ И СУДИТЬ ДРУГИХ ЗА ПОДОБНЫЙ ПРОСТУПОК!?????????????????????????????
›››и мало того они набираются наглости судить за это других!
Ну-ка напомни мне когда я кого обвинил. Обвинения в твой адрес были не от меня, а от компетентного в реверсинге, и понимающего гораздо больше, чем вы с Gen’ом вместе взятые, человека. Gen’а обвинил не я, а комманда RiF в лице DOUG DC-10.

›››ЛОГИКА ОТДЫХАЕТ ЗДЕСЬ!!!!!!!!!!!!!
Твоя уж точно...

›››Он такой как все!
Да, это моя беда. Я создавал команду именно по этому принципу: «Все равны». С этим я и лажанулся, нужно было на диктатуре все строить :) . Ты также говорил nOT’у, что он боится мне слово сказать... остальные боятся слово «против папы» сказать...
Откуда ты это вообще взял? Приснилось? Все вопросы решаются командой, а не мной... и это может подтвердить любой из мемберов REVENGE Crew. Твои же эти слова (да и не только эти) - полная чушь!
И сейчас все иначе, жесче... за ваши грешки расплачиваются trial-мемберы, на данный момент DOLTON. Я его, наверное, уже достал своими придирками :)
Но как главные вопросы решались командой, так они и будут решаться... КОМАНДОЙ...

›››Этот вывод я сделал раньше, изучив как в команде относятся к ОПАЛЬНЫМ мемберам!
И как? Поведай, солнышко.
Какая может быть реакция на полное неуважение и поливание грязью заглаза? Только исключение из команды... но, даже этого не было - вы ушли добровольно.
Если ты про твой рип, то проверка с нашей стороны последовала только после твоей просьбы принять тебя назад... не просился бы...

›››то за моей же спиной меня бы и выкинули!
И этого не помню. Склероз у меня на молодости лет. Тебе месяц нужен был на оповещение нас?
Надо было выкинуть, да поздно уже...

to Gen0cide
›››Пусть он напишет, как он получал эти серийники или как ломал остальное
Я тебе это обязан доказывать? Вот если бы ты или RaT привели мне хоть один релиз, с которого я мог рипнуть - другое дело!
Есть релиз - есть рип. Но, кроме твоего кейгена я просто не мог рипнуть сериалы - это бы хоть проверил, т.к. кроме неработающего Loader’а от LAXiTY ничего не было!
А! Я наверное воспользовался машиной времени и сгенерил сериалы в твоем кейгене... Точно!

›››Конечно он может сказать, что он купил или скардил эту прогу и другие...
Ни первое, ни второе... и ломал не я :) еще варианты? И не РИП это точно...
Если никто не догадывается откуда я взял сериалы и считает меня риппером, пишите здесь - все объясню... могу свободно высказаться по каждому релизу, который подписан моим ником. Gen’у и RaT’у я такой чести не доставлю...
В будущем также возможно появление релизов под моим ником, как моих так и не совсем моих - но ни в коем случае не риппов!

На последок может расскажешь всю историю, а не выборочно? Почему такая злобушка у вас двоих, почему тебя и RaT’а больше нет в списке мемберов REVENGE Crew? Нехорошо людей обманывать, ой, нехорошо!

P.S.: если кто упустил, повторюсь: интересующимся будут даны объяснения по каждому из релизов, подписанных моим ником.
P.P.S: только два релиза из 11 (вроде 11 цифра была) можно назвать рипами (очень отдаленно), т.к. они делались на основе других релизов... но об этом было упомянуто, а следовательно не своровано! и это не BVS!

Чтобы не портить cracklab-форум, вся эта дискуссия будет перенесена на наш форум ( http://www.revengecrew.org/forum/ ) и не будет оттуда удалена только при условии нормального поведения.
============= [ Cut Here ] =============

RaT :: Ну как я и предпологал! Ни чего конкретного. Только очередная попытка ОБОСРАТЬ! Опускаясь чуть ли не до личных оскарблений!

цитата:
Если ты про твой рип, то проверка с нашей стороны последовала только после твоей просьбы принять тебя назад... не просился бы...



Брехня чистой воды! Я не просился обратно. За меня попрасили Ген и Труф и они меня отговаривали чтобы я не уходил! Уж здесь-то не надо врать!
Короче МОЛОДЕЦ ты Мерсифул!!!




ADVANCED забыл пароль вот друган один забыл пароль от и-нета т.е. он есть но...



ADVANCED забыл пароль вот друган один забыл пароль от и-нета т.е. он есть но ввиде ******. *.pwl не нашёл (XP)
ZX :: Вот это подойдет.

бара :: pwl-ов в XP нет, да будет вам известно... Как и в NT.
SAMInside попробуй или пиши мне в приват - помогу насколько смогу советом...

ADVANCED :: ZX

ЭТО не работает (ссылка)

ADVANCED :: SAMInside ищем кстати к слову вспомнилось - ya.ru - яндекс без рекламы

Bad_guy :: Кстати говоря, интересная тема: кто-нибудь умеет программно вытаскивать пароли из кэша XP ?

ZX :: ADVANCED
Тебе виднее, проверил у меня работает(ссылка)

WELL :: Bad_guy пишет:
цитата:
Кстати говоря, интересная тема: кто-нибудь умеет программно вытаскивать пароли из кэша XP ?


Если только L0phtCrack’ом. Иногда довольно быстро находит. У меня один раз 9-значный пасс нашел за несколько минут.

musulmanin :: ADVANCED
Dialupass v2.41(она описывалась в статьях по фриинету)
показывает все пароли винды...как в 9х так и в НТ-версиях винды
поищи в инете,если не найдешь...могу скинуть на мыло..она 40Кб весит

DZmey :: ADVANCED

Ссылка работает ...

ADVANCED :: DZmey пишет:
цитата:
ADVANCED

Ссылка работает


угу НА ДРУГОМ КОМПЕ РАБОТАЕТ

fuck it :: Bad_guy
какие пароли ?

DZmey :: ADVANCED

=) я пророк :)

ADVANCED :: Dialupass v2.41 - рулез , проблема решилась одним кликом. ВСЕМ спасибо!

Bad_guy :: musulmanin пишет:
цитата:
Dialupass v2.41


Ого, суперская прога. Вообще я однажды брал с того же сайта PSPV и переписывал её в исходник. Рульный сайт - http://nirsoft.cjb.net/ - «наш человек» там проги пишет.

KLAUS :: «Рульный сайт - http://nirsoft.cjb.net/ -»
Особенно Утилиты, а так в основном, по Visual C++/Basic

KLAUS :: НУ и вот ещё, если вдруг кому интерестно;
http://www.bugtraq.ru/library/internals/hash.html

musulmanin :: ADVANCED пишет:
цитата:
Dialupass v2.41 - рулез , проблема решилась одним кликом. ВСЕМ спасибо!


я сам знаю....
здесь http://www.web-hack.ru/ есть форум,посвященный фриинету и описывается эта утилита по его добычи
в локалке сижу...когда вышел сплоит который использовал ошибку в LSASS
все акки оказались на моем компе почему-то

[ChG]EliTe :: ADVANCED пишет:
цитата:
Dialupass v2.41 - рулез , проблема решилась одним кликом. ВСЕМ спасибо!


А у меня не работает так хотел найти прогу которая бы мне диалапные мои пароли сказала бы.. но увы...
То ли руки кривые, то ли WindowsUpdate зря в Избранном... хз...

бара :: зависит от способа хранения учётных записей. ты либо систему обновил либо утилитой какой-то заплату поставил... Хороший троян тебе поможет

[ChG]EliTe :: бара пишет:
цитата:
Хороший троян тебе поможет


Если кто знает про такой плз.. дайте линк или хотя бы название... на а еслиб самого троя то это просто супер бы было!

sanek :: ADVANCED пишет:
цитата:
вот друган один забыл пароль от и-нета т.е. он есть но ввиде ******. *.pwl не нашёл (XP)


Есть прога Protected Storage PassView v1.52 вроде все пасы находит даже на твои сайты форумы и чаты если темпонарь не чистел конечно. 28,3 кб
Могу выслать на мыло или вот здесь посмотри енто их родной сайт. http://nirsoft.mirrorz.com/ здесь и другие проги есть (в утилитах смотри).

musulmanin :: sanek пишет:
цитата:
Есть прога Protected Storage PassView v1.5


PINCH рулит!!!
размер сервера 5КБ (сервер можно конфигурировать под себя)
собирает все, что можно собрать

KLAUS :: [ChG]EliTe пишет:
цитата:
... на а еслиб самого троя то это просто супер бы было!


Ну жди........
А так Netcrack....http://www.nht-team.org/forum/

musulmanin пишет:
цитата:
PINCH рулит!!!


Главное чтоб SMTP верно настроить, в основном у многих с этим косяки возникают...

Макс :: бара
в SAM находятся файлы от системы , а не от инета(от него пароли вроде в реестре)

бара :: так SAM - часть реестра... Там учётные записи хранятся системные и ещё кое-что. А вообще пароли хранится могут по-разному. Есть утилиты, которые могу изменить их хранилище....

[ChG]EliTe :: KLAUS пишет:
цитата:
А так Netcrack....http://www.nht-team.org/forum/


Раньше я с Avenger’ом очень близко контактировал... Когда свои вири писал (так сказать, обменивались опытом ) Он еще раздел всел про NC на нашем (ChG) форуме...
Эх .... как давно это было...

AlexZ CRaCker :: Advanced Windows Password Recovery 1.7.1.134
----------
Advanced Windows Password Recovery (AWPR) - программа, позволяющая восстанавливать забытые пароли, установленные в ОС Microsoft Windows:

Пароль на вход в систему [Windows 95/98/Me/NT4/2000]
Сохраненный пароль на вход в систему (Auto Logon) [Windows 95/98/Me/NT4/2000/XP]
Пароли, сохраненные в Windows XP (multiple credentials)
Пароль на экранную заставку (screensaver)
Пароли к Интернет-провайдерам (RAS и Dial-Up)
Пароли на VPN соединения
Пароли и права доступа к разделяемым (shared) ресурсам
LSA Secrets
Пароли на PWL-файлы (восстанавливаются перебором)
Инсталляционные ключи к установленным продуктам Microsoft (Windows, Office и т.д.)


P.S. Ну прям панацея... Сам ещё не пробывал. Знакомому в Win2000Pro вход в саму винду закрыли, ну я sam’ок на флопы набрал, попытаюсь помочь.

Styx :: AlexZ CRaCker
Класная тулза!

ADVANCED :: Продолжение темы...

Человек, которому я помог с забытым паролем по сути ламомурзик, впервые увидевший комп 3 месяца назад и недавно узнавший где находится ANY KEY.
НА следующий день он пошёл к себе на работу и сказав :«Ща я вам девчёнки прикольных таких котят на комп поставлю, будут у вас по монитору ползать!» стянул паролик.
Научили блин! Всё же есть некоторое зло в программах типа Dialapass, когда любой чел может делать такие весчи.
Люди будьте бдительны иногда и швабра стреляет!
Троян, блин, с человеческим лицом

musulmanin :: ADVANCED пишет:
цитата:
Всё же есть некоторое зло в программах типа Dialapass


а ты как думал?
AlexZ CRaCker
если для себя использовать,то прога кульная!
а если ты собрался стащить пассы у чела,то главное это размер(ну и функциональность)

SLV :: LC4 от @stake. Регится легко: где проверяется s/n стоит конструкция типа:

push eax ;Our core
push ebx ;Real code
call AreYouRegGuy

[DDA] :: AlexZ CRaCker

цитата:
P.S. Ну прям панацея... Сам ещё не пробывал. Знакомому в Win2000Pro вход в саму винду закрыли, ну я sam’ок на флопы набрал, попытаюсь помочь.


Есть прога по сбросу паролей на вход винды

Tested on: NT 3.51, NT 4, Windows 2000 (except datacenter?), Windows XP (all versions), Window Server 2003 (at least Enterprise).

Или сбрасываешь или свой пароль делаешь.
Или сбросил - зашел в винду и свой пароль поставил

Прога делает или загрузочную дискету или загрузочный CD
Загружаемся с дискеты и пароль на ХРЕН



Mario555 ??? Хм... Зашёл сейчас на cracklab и вижу:
«Быстрая распаковка Armadillo 3.xx автор: Mario555.»
Но я этот тутор не писал... И с чего вообще взяли, что это мой тутор ?

PS во блин хрень какая-то началась - недавно узнал, что я оказывается какой-то crackme написал (в жизни
крякмиксов не делал), теперь ещё и тутор чужой мне приписали...
PPS да и не стал бы я таким способом импорт восстанавливать... magic jmp рулит ;)
WELL :: Это вроде FEUERRADER’a тутор.
Он был в ворде без копирайта.
Bad_guy спроси у FEUERRADER’a, его ли это тутор.

-= ALEX =- :: :) я тоже был удивлен честно гря...

Kerghan :: блин, натурально FEUERRADER’овский-то тутор :)

DZmey :: Mario555

А я тебе =) приписал что ты ссылку на протект новый давал :)

бара :: Всё это из-за того, что этот тутор мне кто-то дал и сказал, что это Mario555 тутор. Я из ворда конвертнул в htm и переслал Bad_guy’ю. А ну вас с вашими авторскими правами... В туториалах писать надо чьё...
Теперь вот не отказывайся от авторства.

Styx :: Новые Винды от Mario555


nice :: Mario555
Вот так, понаписал туторов/крякми, а теперь отмазывается!
Нехорошо!

KLAUS :: Парни, а может Mario555 и FEUERRADER эт один и тот же человек...
Но они об этот сами не знают..типа раздвоение личности!

Noble Ghost :: KLAUS пишет:
цитата:
может Mario555 и FEUERRADER эт один и тот же человек...
Но они об этот сами не знают..типа раздвоение личности!


Нет. Ты не прав. Это раздвоение личности у BG. Он один на форуме и тусуется под разными никами. Проект раскручивает.

ADVANCED :: KLAUS пишет:
цитата:
Парни, а может Mario555 и FEUERRADER эт один и тот же человек...
Но они об этот сами не знают..типа раздвоение личности!


Fight club и всё такое!




Bad



Bad_guy CRACKL@B CrackMe #4 - ГОТОВ БЫТЬ КРЯКНУТЫМ ! Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !
Он рассчитан как на новичков, так и на профи (4 крэкми в одном + бонус). Ломать надо подбором правильного кода - никаких патчей, лоадеров + дополнительное задание - подробности в readme.txt внутри архива. Этот крэкми вобрал всё лучшее от трёх предыдущих !

http://cracklab.ru/crackme/clab4.rar (180 Кб)
DOLTON :: Bad_guy пишет:
цитата:
Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !


Урряяяяяяяяя!

DZmey :: Bad_guy

Скачал - приступимс =))

Mafia32 :: Реально аспр? А так замаскировано под UPX...

Styx :: Понеслась ......

Mafia32 :: не, не аспр,все-таки. Легко распаковалось. Видимо какой-то скрамблер на UPX.

FEUERRADER :: Ох, Bad_Guy, новичков ты уже сбил маскировкой под аспр, а что дальше ждешь :)))))

Mafia32(гость) :: FEUERRADER

Вообще-то меня это не сбило совсем, я просто сделал замечание по ходу...

Mafia32(гость) :: Код первого уровня - 643.

Mafia32(гость) :: Блин, ломаю не за своим компом. Софта нет реверсного... черт....

Mafia32(гость) :: Извиняюсь!!! Не то имя юзал.

1-ый уровень: Mafia32 - Newbie579

DOLTON :: 1 уровень:
DOLTON
Newbie464

PalR :: Hi, I’m Bad_guy !
Newbie1270

FEUERRADER :: Name: FEUERRADER
Code 1: Newbie741
Code 2: 927F6C594633200DFAE7D4C1AE9B8875624F3C
Code 3: search...30%
Code 4: search...0%

CReg [TSRh] :: Name: CReg
Stage1: Newbie353
Stage2: 6D605346392C1F1205F8EBDED1

Stage3 - это практически CRACKL@B CrackMe #3. Все тот же MD5, но только теперь цикл на 29999 итераций.
И там теперь строка - это шестнадцатиричное число (4 байта).
Точнее говоря, там код - это шестнадцатиричное число (8 символов - ’0’ -’9’, ’A’ - ’F’).
Введенная строчка переводится в число, потом ксорится с числом ********, затем переводится в строчку в виде десятичного числа. Ну и потом цикл на 29999 итераций. То есть брутфорсить долго надо :(

FEUERRADER пишет:
цитата:
Code 3: search...30%


Гм... а откуда 30%? Готов поспорить, что в ближайшие сутки (на самом деле значительно больше) тут код никто не запостит (может только Bad_guy ). Или код кто-нибудь угадает?

FEUERRADER :: CReg
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.

CReg [TSRh] :: FEUERRADER
FEUERRADER пишет:
цитата:
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.


Конечно надо :) И ооочень долго :)

Kerghan :: Элементарно, хотя я уже даааавненько ничего не ломал
Kerghan
Newbie704
08F8E8D8C8B8A8988878685848382818
копаю дальше :-\

Bad_guy :: CReg [TSRh] пишет:
цитата:
То есть брутфорсить долго надо :(


Не правда, если там ломать «с умом» то брутфорсить нужно будет практически нисколько - это что касается 3 кода. А про 4 пока не говорю.

Bad_guy :: Mafia32 пишет:
цитата:
Видимо какой-то скрамблер на UPX.


А там в конце написано какой, но это немножко не правда.

GPcH :: Не качается
Киньте кто нибудь в мыло: gpch_soft@tula.net

Mafia32 :: GPcH

У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download

DOLTON :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Прекрасно скачалось Оперой 7.23... без всяких Quick Download :)

Ara :: 1-й этап
Name:Ara
code1:Newbie276
Идем дальше!

Styx :: Styx
Newbie440
594C3F3225180BFEF1E4D7CABD
0045F2A3

а дальше

GPcH :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Ничем не качается

Styx :: GPcH
Давай я те на мыло кину

CReg [TSRh] :: Styx пишет:
цитата:
0045F2A3


:)))) А я-то подумал, что там совпадать должно... :) Даже не пробовал дальше трейсить... :D
Мде, классная наебка :) Респект Bad_guy’ю :)

Telex :: Мне, как болельщику «больно» смотреть, что события развиваются несколько замедленно... :)
Хотя заслуги Bad_guy ’я делают этот вид соревнований более интересным, чем какой-либо (другой) спорт (Моя точка зрения )

KLAUS :: ТАк ну распаковать распаковалась...UPX
на D6.
KLAUS
Newbie384

Styx :: CReg [TSRh]
Гы, я не гарант что нет более правильного варианта

Styx :: Это лишь моё решение

Bad_guy :: Styx
Поздравляю, ты нашёл баг, о котором я не подумал. А так вообще там есть ещё один достаточно легкий способ - кто читал статью про первый крэкми этот способ должен помнить.

Bad_guy :: KLAUS
Теперь запакуй - распаковать не проблема.

Ara :: Name:Ara
Code2:8d8175695d5145392d211509
Поехали дальше!

KLAUS :: Bad_guy
ДА я заметил, что размерчик здравенький уж очень получился у тя.....

Styx :: Bad_guy
А в четвёртом долно Go написаться или я неправ?

Ara :: Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???

Ara :: Name:Ara
Code1:Newbie276
Code2:8d8175695d5145392d211509
Code3:0045f2a3

Bad_guy :: Ara пишет:
цитата:
Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???


А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3

Bad_guy :: Styx пишет:
цитата:
А в четвёртом долно Go написаться или я неправ?


Go - только два символа, а ещё будет несколько.

DZmey :: Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...

Bad_guy :: DZmey пишет:
цитата:
0045f2a3
57757757


Не, это однозначно неправильно. Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...

DZmey :: Bad_guy

Дак знаю что не правельно просто прикол ... типа еррор =)

Bad_guy пишет:
цитата:
всякие Муншайнеры, Нитрогены


ты так говоришь как будто ... их по три человека ...
трое муншайнеров ;))

Black Neuromancer :: Name: Black Neuromancer
Codes:
1) Newbie1660
2) 05EACFB4997E63482D12F7DCC1A68B70553A1F04E9CEB3987D 6247

Пока всё, с утра посмотрю ещё - может и получится что-нить отрыть.

vins :: vins
1) Newbie448
2) 6f6255483b2e211407faede0d3

Прикольный крякми

Ara :: Bad_guy пишет:
цитата:

А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3


Я еще потом все равно поковырял на 3 шаге (вернулся с 4-го)- там адрес создается по которому в 4-м переход делается. Значит неправильно сделал что-то с 3-м.

DZmey пишет:
цитата:
Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...


Из-за 3-го СН!!! 4-й код любой укажи-все равно переход один и тотже будет!

V0ldemAr :: Гы, а на счет упаковки, уменя минимум вышло 210 432
[ AsprPE by BGCorp ] однако :)))

name: V0ldemAr
code1:Newbie731
code2:BEAD9C8B7A69584736251403F2E1D0BFAE

А этот крекми PeID определяет как Аспр, а я всегда проверяю еще и -=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер, определил как УПХ мод, и снимается как УПХ :))))
попа и все :))

Madness :: Bad_guy
Спасибо за прогу :)

Madness
Newbie715
1505F5E5D5C5B5A59585756555453525
0045EC84

Последний код пока не скажу, пущай остальные покопаются. А напишет «GoXXX URWINNER». XXX-вырезано, потому как может помочь.

›Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...
Спят они, утром выкладывать надо. ;)

-= ALEX =- :: мде... только отошел после вчерашнего, а тут уже млин запостили... ну че скачаю хоть поглядеть...

WELL :: Ну вот. Вчера на работе весь день был, а там инет отрубили. Всё самое интересное пропустил.

Nitrogen :: Bad_guy
лично я тут.. читаю со второй страницы.. даже скачал, даже запустил :).. дальше даже не делал попытки посмотреть :)

Madness
вах. ты первый? респект! :)
p.s помнишь ты traffic-что-то-там кейгенил?.. он еще через mmc запускался?.. вот мне нужно что-то подобное отломать, а из инструментов тока ида.. можно такой софт из иды отдебажить?

Madness :: Nitrogen
›не делал попытки посмотреть :)
Зря, прикольная штучка. Одна наколка с md5 чего стоит :) Только Bad_guy стоило 2 используемые функции засунуть куда подальше, а то в глаза сразу бросается, тогда б долго ковырялся. Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.

›вах. ты первый?
Обижашь, единственный :P

off:
›ты traffic-что-то-там кейгенил?
Ага, было дело, там щас старфорс кста поставили :) Ковыряемся по-маленьку.

›он еще через mmc запускался?
Ага.

›можно такой софт из иды отдебажить?
Нуна. Ищи *.ocx или dll какую-нить и пихай его в иду. А мне отладчик в иде мне не понравился, хотя мож не умею готовить :D

GPcH :: Styx пишет:
цитата:
Давай я те на мыло кину


И сегодня нифига не качается, помоги плиз: mailto:gpch_soft@tula.net

Nitrogen :: Madness
с ocx и dll и так понятно.. отдизасмить без проблем.. вопрос как _отдебажить_ :).. дллка из иды не запускается

-= ALEX =- :: -= ALEX =-
Newbie574
513E2B1805F2DFCCB9A693806D5A4734210EFB
0045EC84

все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...

RideX :: Madness
Чётко сработал, респект :)
С третьим так я и не понял, аналогично твоему номеру подходят, например, и 0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)

Madness :: Nitrogen
Ну дык. Я и говорю, что сайс лучше :)
Попробовал, вроде получилось :) Почитай чего ида говорит. Debugger-Process Options-Application. Тут поставь exe, который вызывает dll (сам напиши). Попробовал на примере dll из fasm’a.

-= ALEX =-
›все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...
Реальный адрес процедуры2 получается после правильного кода3. Последний код расшифровывает строку и патчит код.
Кстати, нашел еще 1 код3 :)
А кодов4, по-моему, может быть остаточно много.

Bad_guy :: V0ldemAr пишет:
цитата:
-=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер


Ну вот когда он станет популярынм и его буду обламывать :)

Madness пишет:
цитата:
0045EC84


Абсолютно верно.

Madness пишет:
цитата:
Последний код пока не скажу, пущай остальные покопаются.


Спасибо.

MoonShiner :: 3 кода есть. 4-й пока не смотрел:(

-= ALEX =- :: Madness процедура2 - это случаем не 0045ED30 ?

Bad_guy :: RideX пишет:
цитата:
0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)


Да, эти адреса тоже подходят, но тот должен быть (0045ec84). а найти процедуру просто - там допущена ошибка - процедура возвращает значение в ту же переменную, которая используется рядом с циклами md5, что опытный крэкер должен был бы заметить.

Madness пишет:
цитата:
А кодов4, по-моему, может быть остаточно много.


Да.

Bad_guy :: Madness пишет:
цитата:
Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.


РеверсМи, однако

MoonShiner :: 3-й код находится ваще без проблем. Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.

Bad_guy :: MoonShiner пишет:
цитата:
Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.


Без брутфорса можно было обойтись легко.

Styx :: GPcH
Письмо ушло

Madness :: -= ALEX =-
›процедура2
А ты как думаешь? ;)

цитата:
Реальный адрес процедуры2 получается после правильного кода3.


Bad_guy
›процедура возвращает значение в ту же переменную
Даже не в том дело, у тебя там 2 бесхозные процедуры в коде TForm1, что всегда подозрительно. Dede не переварил покореженные ресурсы, потому имена дельфийским/bcpp функциям давал вручную, ну и заметил :) Как их спрятать можно было не скажу :P

RideX :: seg000:0045F1A5 mov eax, ds:dword_462C30
seg000:0045F1AA xor eax, 5E571599h

x-pef:
seg000:00462C30 dword_462C30 dd 0 ; DATA XREF: seg000:0045EC84
seg000:00462C30 ; seg000:0045F1A0

бара :: Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник

V0ldemAr :: бара пишет:
цитата:
Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник


Чювак берешь васм.ру береш там исходник хешера на масме и пишеш.
Я за пол часа написал к этому крякми, но исходника недам.
Кстати скорость 6 пар./с на моем Дюроне 1200

GPcH :: Styx пишет:
цитата:
Письмо ушло


Спасибо.
Но пока за 10 минут я только смог распаковать и найти первый код:

GPcH
Newbie322

PS: Попробую со следующими

Bad_guy :: Madness пишет:
цитата:
Как их спрятать можно было не скажу :P


Если б захотел наверное спрятал бы, и против Dede была мысль код поставить. Но это ж ведь крякми, причём на мастерство, а не на брутфорс, патч и т.д.

Bad_guy :: Madness
Ты молодец ! Пока ещё больше никто не доехал до конца...

бара :: V0ldemAr
Спасибо за идею чувак

P.S.
Кстати слово «чувак» переводится как «кастрированный баран». Это для справки тебе, чтобы никому не писал больше таких слов

Bad_guy :: Ну что, кто же всё таки 4-ый код найдёт ?

бара :: Первый код нашёл (Newbie903)
а на второй и дальше забил

так как
11111111111111111111111111111111111111 вторым ввёлся, но сообщения об ошибке нет и нет сообщения что код правильный. Имхо, фигли **аться, если там достаточно переходы поменять в 4-х местах.... Не по мне короче. Для любителей кейгенов програмка...

Bad_guy :: бара
Ну так запакуй тогда попробуй чтоб работало и было меньше 185 Кб.

Bad_guy :: Люди, мож кто хочет запостить ещё на каких форумах (крэкерских) этот крякмис - я был бы рад, только не говорите, что он здесь уже обсуждается.

бара :: Bad_guy
Хорошо, запаковать попробую и выслать, если размер смогу такой малый сделать....
P.S.
Madness выходит крут немеряно...

-= ALEX =- :: бара ну а ты что думал :) я тоже особо не спец в кейгенах, мне проще пропатчить ...

Ara :: В пять утра нашел правильный третий код, с 4-м похоже будет глухо!!!

Ara :: Bad_guy , а у тебя кейген есть?

-= ALEX =- :: Ara а кейген для чего ? для 3-го и 4-го :)

KLAUS :: Bad_guy
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...

.::D.e.M.o.N.i.X::. :: Bad_guy
Короче скачал я это дело, но мне лень было для себя генерить, короче мне по душе пришлась дополнительная задача - итак у меня вышло 183Кб против твоих 185кб :)
При распаковке наткнулся на интересную строчку .:[ AsprPE by BGCorp ]:. - типа под аспр канает, на самом деле UPX, даже никаких антиотладочных приемов не насувал, хотя может я и не заметил:)
P.S. Тебе замылить или где-нибудь выложить мой анпак в 183кб?

KLAUS :: .::D.e.M.o.N.i.X::.

Лучше рассказать, как такой результат получил!

бара :: да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...

V0ldemAr :: .::D.e.M.o.N.i.X::. пишет:
цитата:
итак у меня вышло 183Кб против твоих 185кб :)


Уменя минимум вышло 210к, ну типа распаковал и удалил секции пакера и фсе.
а потом УПХ 1.24, и вышло 210 432 байт
Чего там еще там можно удалить???

KLAUS :: У меня UPX её зажал, а вот Aspack после зжатия ошибку выдал (про FSG уже не говорю)!

Styx :: Madness
А как ты заставил DeDe файл этот сьести. У меня тока Classes info выкатил и всё?

.::D.e.M.o.N.i.X::. :: KLAUS пишет:
цитата:
Лучше рассказать, как такой результат получил!


У меня еще не окончательный результат - есть идея убрать еще несколько килобайт и никаких PE Rebuild’ов!!! - все только ручками. После завершения работ выложу на всеобщее обозрение и раскажу что по чем...

KLAUS :: .::D.e.M.o.N.i.X::.

Ништяк, будем ждать....

Ara :: -= ALEX =- пишет:
цитата:
Ara а кейген для чего ? для 3-го и 4-го :)


Ну с 3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.

Bad_guy :: Ara пишет:
цитата:
Bad_guy , а у тебя кейген есть?


А нафига он мне.

KLAUS пишет:
цитата:
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...


Вообще то я не очень хочу статью писать -идей новых почти в этом крэкми не было.

.::D.e.M.o.N.i.X::.
Выкладывать не надо - достаточно рассказать.

бара пишет:
цитата:
да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...


UPX 0.72, однако - это вам ни какой-нибудь аспротект.

V0ldemAr
210 кило - плохо. Аспаком исходный (чистый) файл паковался в 180 Кб.

Ara пишет:
цитата:
Ну с3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.


Зря вы 4-го испугались - в третьем ведь «собака порылась»...

бара :: Напишите туториал по поиску кодов. А то я сколько туториалов не читал, всё мимо - как ключи нашёл Madness я так и не въехал. Софтайс я не загружал - через Olly только пробовал ключики найти. Подскажите кто так искал. Интересует логика...
А то вот на днях 3D Hockey 1.06 ломали - там переходы меняли, а ключик хотелось бы тож найти. Как без софтайса енто дело оформить ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Уменьшил на пару кило распакованный файлик, только вот UPX зараза перехотел паковать - буду заново стараться...

бара :: а нафига паковать-то если люди уже логику генерации ключа просекли и способны кейген сбацать... ?

KLAUS :: бара пишет:
цитата:
Напишите туториал по поиску кодов


Во во...полностью согласен.
Патчи патчами....а вот как генерилось, так я и не догнал к сожалению, единственное что понял, так это что в Normal кол-во символом зависило он того сколько символов в нике ( или я ошибаюсь????)!!!

KLAUS :: бара
Ну для начала нужно его распаковать и поглядеть какой размер (у меня вышло 678) а в запакованном 186, ну вот и нужно хотя бы до такого размера ужать попытаться!

бара :: Так я давно распаковал. Первое что сделал. Взял процдамп и распаковал. Запаковать не смог. Вот я и спросил
1) Логика поиска серийника на ДАННОМ конкретном примере (в Olly желательно);
2)что меняли в экзешнике (желательно по пунктам).

бара :: KLAUS
Зависело по формуле: Длина = Длина предыдущего кода * 2
А потом уже дополнительные проверки
И ещё проверки на то, чтобы первые символы 2 были числом вроде бы.

.::D.e.M.o.N.i.X::. :: KLAUS
У меня распакованный вышел 516 кб (без импорта), аспаком не пробовал упаковывать, но UPX ужал это дело до 183 кб. Со второй попыткой дважды промахнулся, решил пойти поспать, завтра с утричка заново на свежую голову возьмусь...

Madness :: Styx
›А как ты заставил DeDe файл этот сьести.
А я говорил, что заставил? Цитату неохота искать, я говорил что dede подавилось секцией ресурсов (ее, кста, даже resrebuilder не желает восстанавливать, опять руками надо), потому вручную пришлось имена функциям давать, из-за чего и наткнулся на бесхозные функции.

Bad_guy
›идей новых почти в этом крэкми не было.
Зато красиво вышло, не то что прошлое. Еще разок спасибо за 2 часа сна прошлой ночью :D

бара
›Интересует логика...
:) Я подобрал байты, которыми должен пропатчиться был код, а через них и код4. Это, кста, через зад, прямой путь намного проще и понятнее.

›способны кейген сбацать... ?
Кейгены можно сделать только к код1,2,4. Кодов3 минимум 2.

ЗЫ. Я че та не понял, все паковать бросились? :lol:

MoonShiner :: Странно... Я склепал брутфорс для 4-го кода. Так бы оставил и в течение часа он бы подобрал верный код... 2-3 байта из 5-ти с достаточно большой вероятностью угадываются... А дальше перебор... Но шняга в том, что у меня подвисает прога на некоторых номерах... То есть приходится перезапускать прогу. Для полного перебора в моем случае ее нужно перезапустить раз 180 примерно:) Седня ковырну и улучшу...

ЗЫ Поздравьте, чуваки, я диссер написал наконец то:)

-= ALEX =- :: MoonShiner ПОЗДРАВЛЯЮ !!!

Bad_guy :: MoonShiner
Да, в 4ом этапе побрутфорсить немного надо, но очень недолго... если брутфорсер хороший написать.

Bad_guy :: MoonShiner
А что такое диссер ?

MoonShiner :: Диссертация... я по матметодам в экономике в аспирантуре. Хочу за один год отстреляться, диссертацию дописал уже... Седня доклад перед советом.

Bad_guy :: MoonShiner
А, вот что.
Удачи !

MoonShiner :: Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy , поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...

бара :: пишите туториал кто как искал коды... Харе хвастать

- = $pY = - :: И всё таки, хотелось бы узнать 4 код, может кто приведёт его тут ...

Да и интересно было б туторы почитать, хоть один

SLV :: А я только начал исследовать crackme (был в offline).
OEP = 45FF18 :)

MoonShiner :: Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.

- = $pY = - :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Было бы не плохо, а вот про остальные коды, тоже интересно.

Styx :: Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?

MozgC [TSRh] :: Я вообще не собирался этот крэкми качать и ломать, т.к. я немного отошел от крэкинга на время... Сессия + занялся программированием...
Но всякие долбоебы мне начинают в аську орать, что крэкми бэдгая - это супер показатель уровня, и что я ламер вонючий, раз в теме про этот крэкми я че-то не отметился... Чела я послал на хуй, но за живое меня это задело...
В общем харэ жаловаться, вот:

Имя: MozgC
код1: Newbie480
код2: B9AB9D8F81736557493B2D1F1103
код3: 0045EC84

код4 я говорить не буду, кому интересно могу сказать последний символ =) Потом прога пишет что я победитель и при выходе кое что невеселое эмулирует.

Madness :: MoonShiner
›Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать.
Чего моего согласия то спрашивать, бери, да пиши. Если есть желание, могу свои комментарии добавить к тутору(соавторство).

Styx
Оно типа пытается все с диска удалить, эта вся байда в последней процедуре Form1.

Madness :: Bad_guy
Когда код 4 сказать то можно?

Bad_guy :: MoonShiner пишет:
цитата:
Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy, поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...


Ну в награду гуру крэкерства... давай не будем говорить подробности - пускай ломають... сами. А 4х паролей много...

Bad_guy :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Если будешь писать - пиши про всё - разные читатели бывают... Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.

Styx пишет:
цитата:
Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?


Нет, но то что пишет Мунш тоже имеет место.

MozgC [TSRh]
Молодец, и ты добрался. Есть в TSRh оказывается крэкеры, которые мой крякмис сломать могут

Madness пишет:
цитата:
Когда код 4 сказать то можно?


А зачем его говорить то - пускай сами ломают. Ну вообще Мунш наверное в своей статье всё опишет, а говорить здесь на форуме код не думаю что надо.

MoonShiner :: Madness пишет:
цитата:
Чего моего согласия то спрашивать, бери, да пиши.


Просто ты был первый, потому и не знал, каково будет твое отношение к тому, если я буду писать тутор... Да из-за нехватки времени глубоко и не копал, потому все будет чисто технически (для достижения цели) описано...
Bad_guy пишет:
цитата:
Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.


Спору нет... Лично мне с технической точки зрения поиск 3-го кода показался сложнее чем 4-го:)

Надеюсь, к выходным я напишу полный вариант поиска всех кодов. Но сильно меня не пинать, если я этого не сделаю:) Траблы со временем из-за скорой сдачи кандминимума:(

Kerghan :: MozgC [TSRh]
да уж. хотя я писал не совсем это, точнее даже совсем не это. спросил просто...
ну ладно, а то забанишь еще

MoonShiner :: Статью дописал. Сегодня отдам Bad_guy-у на рецензию и оформление в нужном стиле.

KLAUS :: MoonShiner
Ништяк.....теперьосталось дождаться когда она в свет выйдет

бара :: если что - шлите статью сразу мне - переделаю как надо... А то будете размещать её месяц...

-= ALEX =- :: прикольная статья ! ждите...

MozgC [TSRh] :: Kerghan
Забудь мой ник, а я забуду твой. Все будут довольны.

Bad_guy :: -= ALEX =- пишет:
цитата:
прикольная статья ! ждите...


Уже дождались ! Только что выложил на www.cracklab.ru

Mafia32 :: MoonShiner

Кульная статья! Молодец!

MoonShiner :: Спасибо:) 3 часа седня грохнул, пока на работе ее писал...

бара :: merci...

Mafia32 :: MoonShiner

Извини, плз, но можно вопрос? Про LocalLock... По-подробнее. Я ставлю бряк на нее, софт-айс не выскакивает. Я просто забыл про hmemcpy со времен использования вынь98, а тут вдруг ты так невзначай бросил... :-)

Madness :: Второй код3 - 0045EC82 :)

MoonShiner :: Mafia32 , у меня выскакивает:) Че за винда у тебя? Кстати, тут пролетала тема про эти функции.

KLAUS :: MoonShiner

о Thanks за статейку

- = $pY = - :: MoonShiner

Офигенная статья, спасибо !!!

Mafia32 :: MoonShiner

WinXP Sp1




FEUERRADER еще про трэкерный музон и вопрос на засыпку! Где можно найти...



FEUERRADER еще про трэкерный музон и вопрос на засыпку! Где можно найти трэкерную музыку (it, mod, xm) каких-либо популярных песен/групп?
Я имею ввиду не просто музон, а с реальной песни чтоб сделано в трэкерном формате.
Например, для midi я такой сайт нашел: http://www.miditext.ru/midi
Может кто знает что-нить подобное?
================================================== =========
Кто-нибудь настраивал/ставил себе SocksCap, SocksChain ? Нужен еще нормальный SOCKS прокси.
================================================== =========
И немного рекламы :)
На форуме [AHTeam] в отдельном разделе теперь можно заказать написание крэк- и некрэк- программ (тулз короче :)) Пишите, если есть интересные идеи.
Вот прямая ссылка.
AlexZ CRaCker :: FEUERRADER
Так есть конвертеры из midi в что хочь.
Если не ошибаюсь, то найти можно здесь

GPcH :: FEUERRADER пишет:
цитата:
Например, для midi я такой сайт нашел: http://www.miditext.ru/midi


Ты случайно не в курсе, как midi прослушать из ресурсов (типа запихать в ресурсы EXE, а затем без использования внешних DLL это прослушать). Хотелось бы видеть функцию на любом языке кроме Asm

GPcH :: AlexZ CRaCker пишет:
цитата:
Так есть конвертеры из midi в что хочь.
Если не ошибаюсь, то найти можно здесь


Классный ресурс. Вот ссылка на конверторы:

http://mnemonic.nizhny.ru...dat/soft.dat&d=Convertors

KLAUS :: FEUERRADER пишет:
цитата:
Кто-нибудь настраивал/ставил себе SocksCap, SocksChain ? Нужен еще нормальный SOCKS прокси.


Я себе ставил SocksChain (асю через неё пускал)!
http://www.checker.freepr.../last_checked_proxies.php

AlexZ CRaCker Re: GPcH :: Ато он бы сам не нашол
GPcH пишет:
цитата:
Хотелось бы видеть функцию на любом языке кроме Asm


хм, третий . Нету там таких функций. Достаёшь из ресурса, кладёш на диск, и с диска играешь. Это _Дествительно единственный способ_ , сам уже убедился. (во всяк. случае на Делфи)

Grim Fandango :: FEUER, в принципе я тут тусуюсь как эксперт сцены.
шучу, короч иди сюды. modarchive.com
totalkaos.net
да и просто pouet.net

Black Neuromancer :: Grim Fandango пишет:
цитата:
да и просто pouet.net


Это один из лучгих сайтов, в свое время его часто посещал, дабы был переводчиков дискмага Hugi

Grim Fandango :: рад за тебя, Hugi это круто. Особенно SE.




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




LT Приветствую Дарова всем, кто кто помнит меня (хотя сам них не помню :)) !...



LT Приветствую Дарова всем, кто кто помнит меня (хотя сам них не помню :)) ! Как вы тут? Все споры, диспуты, дебаты? :) А я ушел в «одиночное плавание»: коды-переводы, англы, франки, доллары и еврЫ :) Рад, что вы еще на «плаву». Отдельный привет Бэд_гаю, FEUERRADER’у и Мозгу с предметом (TSRh) :) Ну и остальным тоже по привету (по 2 не хватать!). Судя по темам вы тут не унываете, взять хотя бы «Голосование: Есть ли среди крякеров девушки ?» на два листа :) (есть 100% сам двух знаю) Так держать!
Есть у меня к вам просьба. Киньте ссылоску де можно кей или кряк взять для TWR2000 1.23 (кейген.юс в ауте, а на других везде старые версии). Заранее благодарю. Удачи.
nice :: LT
Доров! Ты, что это, на форум редко так заходишь???
Хочешь, что бы развалился???


Держи trw123
hice.antosha.ru/TRW2K123.ZIP

Kot :: Nice ты писал в форуме на Wasm.ru
«Но смерть приходит от популярной команды:
s 0 l ffffff «Ne visni svoloch!!!»
Приходиться chkdsk запускать. »

Удалось ли справиться с этим? У меня такая же проблема, виснет и с 4.05 и 4.2.7 и 3.1 Win2k, Win2kSp3. Может быть проблема в Hardware?

nice :: Kot
1. не ставить сервис паки.
2. Кто то писал, что такая беда из-за консольных приложений открытых(верится с трудом)
3. Надо поставить все патчи
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
ftp://ftp.compuware.com/p...g/OsInfo/osinfo_XPSP1.dat (если СП стоит)
http://reversing.kulichki...es/debug/nticexppatch.rar

Последний софтайс(который у меня стоя, сейчас нет) я ставил так:
4_05 потом 4_27 + патчи.

LT :: nice пишет:
цитата:
LT
Доров! Ты, что это, на форум редко так заходишь???
Хочешь, что бы развалился???

Держи trw123
hice.antosha.ru/TRW2K123.ZIP


Пишу же в «одиночном плавании» - ломаю либо ради интереса, либо только для себя.

Сэнкс за ссылку.

MozgC [TSRh] :: Насчет s 0 l ffffffff .... то я чтобы не висло просто уменьшаю диапазон поиска и все.

EGOiST[TSRh] :: гы.. у меня всеравно виснет иногда

LT :: Блин, как этот TRW2000 ставить-то и настраивать??? Чета по инету полазил инфы нет такой нигде. :(
Система WinME. после того, как жмешь «Load» система перезагружается.

LT :: Блин, парни, неужели настолько трудно описать или ссылку дать?

.Никакой взаимопомощи :(

nice :: LT
ИМХО мелениум самая неудачная ось от майкрософта, выкинь её и будет тебе счастье.
Ничего ставить там не надо распаковал, да запустил, это же не софтайс.

AlexZ CRaCker :: LT
Дебугер клёвый(TRW). Одно но: стабильно работает только в Виде98
Может китайцы скоро и напишут под ХР...

LT :: Ок, ясенно. Бум 98 SE ставить. Сенкс за советы.




MaZaFaKeR Куда делся Куда делся Feuerrader ? И сайт тоже пропал



MaZaFaKeR Куда делся Куда делся Feuerrader ? И сайт тоже пропал
XoraX :: вроде никуда не делся, по мылу контачится еще :)

MaZaFaKeR :: На форум давненько зыбегал...

KLAUS :: Хм, вот сайт http://ahteam.org/ и всё нормально пашет

Bad_guy :: Feuerrader мне сказал, что ему надоело работать над сайтом и он свои работы будет выставлять прямо на http://ahteam.org

Bad_guy :: ... А вот меня с хостингом «кинули» - не хотят мой сайт хостить. Так что крэклаб.ру оживёт наверное только после всех праздников.

Кто знает хостеров подешевле ? (пишите тут адреса их сайтов)




Grim Fandango 2 AHTeam ReleaseBuilder v1.0



Grim Fandango 2 AHTeam ReleaseBuilder v1.0

Зашёл на ваш сайт, смотрю проги, скачал ваш релизген... смотрю папку темплейтов и офигеваю... mxt-*... Парни, это всё рип! И еще больше офигиваю, когда вижу там СВОЙ НФО! Вы там ваще офигели, вы бы хоть спросили, а то как-то не сильно культурно получается. mxt-gf это ведь мой нфошник. Кто не верит, скачайте паки, сами смотрите. Вы просто взяли, изменили все надписи, убрали header и представили как свой, слава богу вы хоть сигнатурку Maxx’a оставили. Нет, ну правда не сильно приятно. И еще, Grim Fandango и NightCat это один и тот же человек, так что в предь не рипьте mxt-nc. Рип. =(

p.s.
Если вы такие хитрые, чего же вы tsrh’шные нфо не зарипили?
-= ALEX =- :: хех, а ты глянь, там есть еще и NFO KpTeaM...

Grim Fandango :: может я чего не понимаю, но в артсцене это называется рип. Может я правда слишком ламернутый, но мне это не сильно нравится. =(

Nitrogen :: Grim Fandango
ты макстро или ..?

DZmey :: Grim Fandango

Если ты праду говоришь то это не «не культурно» , а дикий всплеск наглости

DarKSiDE :: Grim Fandango
Не переживай! Рипп - это постоянный гиморрой и на арт сцене и на кряк сцене. Пусть АНТ объяснится. А твое НФО мне нравится! Молодец!

MaZaFaKeR :: DarKSiDE ? продолжение темы спустя почти 2 месяца

GL#0M :: DarKSiDE

Посмотри на дату поста Грима :)

DarKSiDE :: GL#0M
Блин! Ну удалили бы тему нафиг!

KLAUS :: CReg закрывай топик.....

Grim Fandango :: =)

Grim Fandango :: а где мой ранг????7 аааа!!!!

FEUERRADER :: Внатуре тему давно прикрыть надо :) Всё давно решено.

CReg [TSRh] :: FEUERRADER пишет:
цитата:
Внатуре тему давно прикрыть надо :) Всё давно решено.


ок ;)






CERBER Голосование: Какую музыку предпочитают крякеры ......



CERBER Голосование: Какую музыку предпочитают крякеры ... ­CERBER'V0ldemAr'GL#0M'FEUERRADER'EGOiST[TSRh]'-= ALEX =-'WELL'sanek'-=atol=-'Perch'ViNCE [AHT]'bUg.'vins'ViViseKtor'fuck it'CReg [TSRh]'Kerghan'XoraX'Styx'VoicE'DiveSlip'Dragon'AlexZ'[RU].Ban0K!'CHEST'SLV'- = $pY = -'Mafia32'DarKSiDE'TITBIT'Ри'Black Neuromancer'Danger'bi0w0rM'­Попса'3
Хип-Хоп'3
Тежеляк'21
Инструментал'
Транс'4
Не слушаю музыку (отвлекает)'1
Другое'2
­Интересно какую музычку слушают крякеры ­
ZX :: Надо было другой опрос типа - Какие трусы носят крякеры - варианты - в горошек, в полоску, танго, грязные

DZmey :: ZX
Грязные, был бы востребованый вариант - поетому надо было бы уточнить причину загрязнения :)

bUg. :: ZX пишет:
цитата:
в горошек, в полоску, танго, грязные


еще в цветочки можно добавить.

SeDoYHg :: Не знаю я, какую они (крякеры) музыку любят, наверно как и все - по настроению.

Telex :: Ещё вариант - не носят трусов :)

Kerghan :: да, про трусы было бы круче
у меня например с сердечками. Шутка

Funbit :: я слушаю все что нравится,
но электроника все же преобладает,
FatboySlim, DustBrothers... 6000 треков
перечислять не хочется :)

MaZaFaKeR :: А я слухаю Хип-Хап...

MoonShiner :: Rammstein, Lacrimosa, Mantus, Diary of Dreams... Из попсы тащусь от C.C.Catch

SeDoYHg :: MoonShiner пишет:
цитата:
C.C.Catch


Как это было давно ...

Dragon :: MoonShiner пишет:
цитата:
Из попсы тащусь


Ну и вкусы однако...

По мне лучше что-то вроде Короля и Шута, Арии и что-то в этом роде.

bUg. :: N.R.M.

dMNt :: с одной стороны SexPistols, ГрОб, Ramones, Nirvana
а с другой тяжеляк Burzum, DarkTranquiliy, Samael и т.д.

ну и Ленинград ofcourse :)

WELL :: А я понастроению разный музон люблю

Dragon :: dMNt пишет:
цитата:
ну и Ленинград ofcourse :)


Вот, самое главное упомянуть забыл

AlexZ CRaCker :: На инт3.нет такой же опрос :)
вобще метал люблю (слухаю Ингви, Стив Вэя, Сатриани, Apocalyptica, Метлa... раннию Арию, БониНем...)
PS видимо такой опрос из-за отсутствия крэкеров в знакомых
Давайте тогда опрос: Кто на чём играет (нервы не считаются)

XoraX :: крэкеры тоже люди вроде бы еще :) поэтому и вкусы совершенно разные..

DillerXX :: Я восновном Eminem’a, Многоточие и Короля и Шута...

[RU].Ban0K! :: Я вообще слушательны кракер..., но на данный момент:
Theatre of Tragedy - СУПЕР...
[.SYS]tem Of A Down
dust heaven - Украинская гот. група... у неё походу только демки и вышли... есль у кого есть ДАЙТЕ БЛИН СКАЧАТЬ!!!
Crematory
NightWish - Ну ёптиль... это уже давняя зависимость...
Samael - Определённо рулит... в месте с кремотори
[3D]0_[ OR]_s Down - У меня это уже с того года есть, и что оно только недавно на MTV вышло...


P.S. А трусы я наверное ношу... потные, некогда после спортзала мыЦа...

KLAUS :: Хе, типа крякеры от нормальных людей должныьпристрастиями отличаться...«КиШ»,«Ария»

fuck it :: bUg.
ё.. сосед :)

fuck it :: DillerXX
зацени Ю.Г.

CHEST :: А меня вставляет Soulfly & Spineshank в последнее время...
А также ПеСеНкА мамонтёнка ;)

SLV :: Это же ооочень старое голосование. 70+% ответов убито

CHEST :: Не заметил =)) Сорри

Black Neuromancer :: Перечислю мои любимые группы независимо от слия - просто то, что я часто слушаю

ATB, Enigma, Era, Gregorians, Dead Can Dance, Faithless, Depech Mode, Guano Apes, Muse, Placebo, U2 - это пожалуй группы, которые я в основном слушаю - все естесно под настроение - из русских Наутилус Помпилус, Любэ, Кино, Ночные снайперы.

А вот Короля И Шута не люблю и Арию тоже

Вот так-то




Dred resource rebuilder by Dr. Golova Люди добрые и неочень...



Dred resource rebuilder by Dr. Golova Люди добрые и неочень...
помогите с прАблемой
дайте прямой линк на resource rebuilder by Dr. Golova
PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ PLZ
ZX :: http://www.wasm.ru/tools/6/resrblds.zip

Dred :: ZX

СПАСИБКИ

FEUERRADER :: А у нас еще и с GUI: качай!

KLAUS :: FEUERRADER
ССылка не доступна

Dred :: FEUERRADER
«сожалению, сайт временно недоступен»

FEUERRADER :: AHTeam.org переезжает на новый сервер. Пробуйте каждый день скачать. На днях должно заработать.

KLAUS :: ЧТоб прогу скачать, ссыдка не поможет, нужно напрямую через http://ahteam.org/ заходить и качать!

Overlord [AHTeam] :: По просьбам трудящихся именно этот файл выложил, и добавил форум CRACKL@B’а в дружественные сайты, чтобы можно было файлы напрямую отсюда скачивать, а не только с нашего сайта.

Grim Fandango :: =)) ой, я сейчас уписаюсь...

пардон, не хотел никого обидеть...

DarKSiDE :: Overlord [AHTeam]
Как это благородно.......... :))




FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на...



FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на жизнь? :)
SLV :: Чё-то не качается. Наверное nm перегружен

SLV :: Опа, у меня аватар «человеческий».
for i:=1 to 3 do writeln(«Ура!»)

Dragon :: FEUERRADER

seg002:004011B9 push 0 ; lpWindowName
seg002:004011BB push offset aOllydbg_0 ; lpClassName
seg002:004011C0 call ds:FindWindowA

По классу окна значит ищешь. В принципе можно, ведь поменять имя уже созданного класса нельзя. Придёться разработчикам настройку сделать, как в iceext, где имя сервиса выбырать можно.

KLAUS :: Я может не понял, эт для того чтоб OLLY отрубать?
Ну так он её же и трайсить нормально...может не понял просто для чего!

Dragon :: Бывает такое, запускаешь прогу и видишь что-нибудь типа «обнаружен отладчик, работать ни хрена не буду», вот для чего это надо. Хотя можно и вырубить olly - GetWindowThreadProcessId + TerminateProcess.

FEUERRADER :: Dragon
Реализация простая, поэтому для разработчиков может пойти как анти-отладочный приём, к тому же это по-моему единственный способ найти олю запущенной в системе, т.к. защита от IsDebuggerPresent уже есть. Надеюсь топики кряклаба Солод не читает :)

KLAUS :: FEUERRADER
Ну если пргша будет уже загружена в OLLY, то можно будет спокойцнор трайсить ( пока она не запустится)!!

ZX :: FEUERRADER пишет:
цитата:
Надеюсь топики кряклаба Солод не читает :)


Не переживай, читает. :)

Mario555 :: FEUERRADER пишет:
цитата:
единственный способ найти олю запущенной в системе


Не единственный... посмотри например протектор SoftDefender.
А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

GL#0M :: Mario555

Это точно, помню ещё статейка какая-то была на болгарском про обноружение оли...

RideX :: FEUERRADER
Ещё можно убить процесс через ф-ции TlHelp32, по имени файла.

Aster!x :: › А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

Сие реализовано в новой версии плагина HideDebugger ;-)

Mario555 :: Aster!x
Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Aster!x пишет:
цитата:
Сие реализовано в новой версии плагина HideDebugger ;-)


И когда сие творение можно будет потестить ?

PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Aster!x :: › Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Если там какие-то антитрассировочные фишки то вряд ли что-то можно сделать, если поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)

› PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Это к автору OllyDbg, я сам был удивлён когда попробовал переименовать exe’шник.

› И когда сие творение можно будет потестить ?

Не знаю, нужно ещё доделать мессаги об ошибках, то бишь сочинить их на аглицком, что-то я никак не соберусь ;-)

XoraX :: Aster!x пишет:
цитата:
сочинить их на аглицком, что-то я никак не соберусь ;-)


дык швыряй сюда, толпа переведет :D

nice :: Сейчас с парсером разберусь, и хочу написать крякми_олли_детектор.
Понабрал изи разных статей, там будет около 10 шагов примерно :)

Парни а про переименование оли, вы не пробовали посмотреть ехе, я нашел там прямое вхождение простым поиском
ollydbg.exe (у меня 0050F780)
Кажется корень зла там ;)

RideX :: Aster!x
Надо же, как я угадал с ТулХэлп, не зная что Оля не переносит другого имени , хотя, как я понял, никто об этом не знал :)

Aster!x пишет:
цитата:
поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)


Действительно, вполне может пригодиться :)

Mario555 :: RideX пишет:
цитата:
хотя, как я понял, никто об этом не знал :)


Это давно было в ACPRotect... Process32First и Process32Next.

Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

PS хотя если поменять название «OllyDbg.exe» в таблице экспорта самой Оли и в таблицах импорта плагинов, то и присутствие OllyDbg.exe в папке будет не обязательно.

Aster!x :: › Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

Если действительно так, то Olly не нужны никакие другие защиты кроме как против IsDebuggerPresent ;-)

Aster!x :: Проверил, действительно работает вроде ;-), всё выкидываю из плагина противообнаруженческие фичи и релижу новую версию ;-)

RideX :: Только что проверил, всё так и есть как сказал Mario555 , всё работает :)))

Aster!x :: Только вот странно, Pulya всё-равно прибивает Olly, с переименованным exe’шником, даже не знаю, придётся наверно противотерминатную фичу оставить.

Mario555 :: Aster!x пишет:
цитата:
Pulya всё-равно прибивает Olly


У ACPR кроме проверки имён есть ещё одна подлянка, в смысл которой я там до конца и не въехал... функция Process32Next возвращает не только PID самого процесса, но и PID процесса который его инициализировал (в данном случае PID Olly) а вот как он опеределяет, что Olly - это не какой-нить там explorer.exe - это непонятно... (хотя может привелегии процесса смотрит или прям так по имени и проверяет - если не explorer, то убить нахрен).

PS кста прибивается любая прога (соответствующего статуса ессно) инициализирующая ACPR, а не только Olly.

Aster!x :: › возвращает не только PID самого процесса, но и PID процесса который его инициализировал

Точно, я как-то не обращал на это внимание, нужно будет всё-таки пофиксить, тогда не придётся экзешник переименовывать.
Вот оно:

typedef struct tagPROCESSENTRY32 {
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
char szExeFile[MAX_PATH];
} PROCESSENTRY32;

th32ParentProcessID
Identifier of the process that created the process being examined. The contents of this member can be used by Win32 API elements.

Bad_guy :: Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра... собственная разработка. Ну уж извините за хвастовство. кстати библиотечка коммерческая и приватная - никому не раздаю :)

AlexZ CRaCker :: Bad_guy
Раз уж крэкеры пишут защиту чтобы её снимать , тогда хоть обходные пути оставляй

Aster!x :: › Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра...

Против лома нет приёма... (как там дальше? ;-)
Проверять реестр, сканить папку Program Files - глупо, хотя и не удобно бороться с такими методами обнаружения но можно ;-)




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41



FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41
---------------------
Поправил ImpREC.dll, теперь тулза сама меняет в импорте ResoreLastError на SetLastError (привет MozgC :)).
Если кто будет юзать у себя ImpREC.dll - советую юзать из этого релиза Quick Unpack.

P.S. И только не говорите мне типа «Почему она не бкркт PEcompact свежий?». Тулза для распаковки только для UPX, ASPack.

Качать отсюда
Grim Fandango :: Всё равно приятно.

DOLTON :: FEUERRADER
Спасибо. Хорошая вещь.

XoraX :: FEUERRADER а, кстати, почему она не берет pecompact свежий? :) там что-то существенно отличается от старого? (я не видел) :)

GL#0M :: Помнб в одном из первых билдов второй версии EP равняля OEP :)
Хотя может чего и намутили сейчас... врятли %)




MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking...



MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking DDeM. И вот возникнула одна идея: создать автоматический распаковщик. Я бы с радостью за это взялся, но знаний не хватает . Поэтому, уважаемые реверсеры, большая к вам просьба - возьмитесь за это!

PS. UnDDeM на сайте eoda.by.ru работает просто отвратно. В связи с этим потребность в автораспаковке DDeM’a возросла еще больше.
PPS. Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?
nice :: MARcoDEN
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить

Grim Fandango :: у меня сайт тот не открывается.

nice :: Grim Fandango
http://www.wasm.ru/tools/6/qunp.zip

Grim Fandango :: не, Найс, у меня есть QUnpack. Я про eoda.by.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?


Гон.

SGA :: MARcoDEN
прочти статью на сайте Рубанка http://int3.net/?page=art...1=reversing&p2=uncd&art=9 .
Этот DDem вообще не надо распаковывать.
Бывает ещё что сверху пакована Аспаком - Caspr тебе в руки.
А если и про инлайны в пакерах почитаешь. то вообще красота.

зы а qunpack тож рапакоыввает аспак, но DDem Нет

MARcoDEN :: nice пишет:
цитата:
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить


Эту тулзу я пробовал, но DDeM она не берет, да и некоторые модифицированные FSG-паковку. Если тебе интересно, могу забросить запакованный exe-шник на мыло.

MARcoDEN :: Noble Ghost
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?

nice :: MARcoDEN
Бросай для коллекции nicesc GaVGav yandex.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


А ты бряки как ставишь?

Grim Fandango :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


он наверное одними командами пробует... хотя хз, пусть сам скажет.

Mario555 :: MARcoDEN пишет:
цитата:
почему бряк на GetDriveTypeA в Олли не срабатывает


А у тебя ось какая ?

MARcoDEN :: Mario555
Ось - Win XP Pro SP1

Noble Ghost
Бряки ставлю через command bar: bpx GetDriveTypeA и т.п.

Дело в том, что сняв протектор, мы уберем и проверку CD. Вот почему автоматический распаковщик не помешал бы .

SGA :: MARcoDEN
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??

MARcoDEN :: SGA пишет:
цитата:
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??


Да, сам протектор открутил, причем достаточно просто. Зачем же делать дополнительно распаковку FSG, UPX? Во-первых, они тут совершенно ни причем. Во-вторых, последние версии DDeM’a поливаются ASPack’ом, который легко снимается тулзой AsPackDie. Вот после этого, когда загрузчик лежит в DDeMCod, пригодился бы автораспаковщик самого протектора. Если кому интересно, то я выложил экзешник сюда.

SGA :: MARcoDEN пишет:
цитата:
Зачем же делать дополнительно распаковку FSG, UPX


Я встречал DDEM пакованный и этим.
Можно Зафигачить простой seek and destroy универсальный патчик ddem, для распакованной игрушки.

Mario555 :: MARcoDEN пишет:
цитата:
Бряки ставлю через command bar: bpx GetDriveTypeA


bp GetDriveTypeA... ну или там просто нажми CTRL-G, введи GetDriveTypeA и там уже ставь бряк по F2 куда-нить в эту апи.

SGA :: анпак аспака и патч
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.
должен прокатить для всех игрушек.

MARcoDEN :: SGA пишет:
цитата:
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.


Не совсем понимаю что это. Скрипт?

nice :: MARcoDEN
Как я понимаю это цепочка байт ищещь верхнюю, меняешь на нижнию

SGA :: MARcoDEN
Это цепочка байт для так называемого seek and destroy патча. т.е Независимо от offset’a расположения этих байт, патч их найдёт и изменит. Надеюсь понятно что ** - оставить как было.

MARcoDEN :: Что ж, теперь понятно. Спасибо!

MARcoDEN :: SGA пишет:
цитата:
должен прокатить для всех игрушек.


Чего-то ни хрена не прокатывает

Noble Ghost :: Чет я забыл про эту тему.
MARcoDEN
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)

Сорри, тороплюсь, ухожу.

SGA :: MARcoDEN пишет:
цитата:
Чего-то ни хрена не прокатывает


и Для ТОй на которую здесь Ссылку Дал ???

MARcoDEN :: SGA пишет:
цитата:
и Для ТОй на которую здесь Ссылку Дал ???


Именно на ней и пробовал . В качестве seek&destroy патча использовал dUP [http://navig8.to/diablo2oo2].

Noble Ghost пишет:
цитата:
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)


А че делать тогда? Через Names Window брякать? Или как советует Mario555?

SGA :: MARcoDEN
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6. 63
06.48.D8.33.6A.**.**.**.
Это правилные байты.
Проверил и на твоей екзешке и на игрушке Call Of Duty. Работает.

НА старых ддемах ещё без Аспака как в игре Game Red Faction II v1.0.1
нужна така цепочка
E2.CB.02.46.EE.
61.63.FD.15.F2

Noble Ghost :: MARcoDEN пишет:
цитата:
А че делать тогда? Через Names Window брякать? Или как советует Mario555?


Когда как. Лучше делай как марио грит.

MARcoDEN :: SGA пишет:
цитата:
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6.63
06.48.D8.33.6A.**.**.**.
Это правилные байты.


Окей, еще раз спасибо! Только скажи откуда ты эти байты брал?

SGA :: MARcoDEN пишет:
цитата:
Только скажи откуда ты эти байты брал


http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)

MARcoDEN :: SGA пишет:
цитата:
http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)


Ясно




FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.



FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.
Давайте свое мыло. Вышлю 0.42. Надо погонять на как можно больше скрэмблерах (всякие новые DotFix, PEStubOEP и пр.), FSG 2.0, новый PECompact и прочие другие + включая старые пакеры.
Просто исправил большой баг, теперь не будет кучей вылезать exception at... а если попадается SEH, то прога его обходит и просто показывает его в репорте. Т.о. прерывается только на ОЕР, а не на первом же exception’e.
TITBIT :: Кинь мне на : saniok@xxx.lt

nice :: FEUERRADER
Присылай мне, у меня будет хорошая новость для тебя, если ты SEH сделал
nicesc # yandex.ru

-= ALEX =- :: ну скинь и мне тогда, гляну. мыло знаешь.

WELL :: FEUERRADER
12(at)netman(dot)ru

FEUERRADER :: Хм..всем отослал, а ответил только WELL

GPcH :: И мне пошли ;)) Как никак помогу потестить по дружбе

fuck it :: FEUERRADER
left_mail [at] tut.by

WELL :: FEUERRADER пишет:
цитата:
Хм..всем отослал, а ответил только WELL


Сегодня еще потестю ;)

nice :: FEUERRADER
До дома пока не добрался :(

MaZaFaKeR :: FEUERRADER , ну и мне на maza[nc]ru

-= ALEX =- :: а у меня самого унпакера 0.41 нету :) надо будет скачать...

broken :: cnbroken[at]hackermail.com

fuck it :: FEUERRADER
ну чё, трохи пашет :)




MARcoDEN Проблемы со stripper’ом Вообщем, такая трабла: ни одна из версий...



MARcoDEN Проблемы со stripper’ом Вообщем, такая трабла: ни одна из версий (даже 2.07) стриппера не может распаковать файл, защищенный аспротектом. Я пробовал много файлов, включая пакованные мною триальным аспром 1.2. Стоит только загрузить в него файл и нажать unpacking, как выдается сообщение «Программа допустила какую-то там ошибку и будет закрыта». Иногда при повторном действии система зависает наглухо и спасает только reset . Может надо стриппер настраивать специальным образом? Подскажите как решить эту проблему!
бара :: всё работает как часы
просто сначала загрузчик надо запущать и потом всё делать надлежит как написано там, т.е. не на W98 и тп

XoraX :: не ну если со стриппером не разобрался - это талант иметь надо :\
стриппер может не распаковать некоторые файлы - тогда бери олли в руки и вперед..

FEUERRADER :: MARcoDEN
Пока я лицензионную WinXP pto eng не поставил - у меня стриппер тоже не распаковывал.
Теперь правда, «как часы» :)

-= ALEX =- :: мде. такие траблы еще возникают :)

EGOiST[TSRh] :: хе..это может быть, если у тебя включен Hyper Threading, как известно стриппер с ним НЕ работает...просто нужно отрубить HT в биосе...ну или как всегда ручками

бара :: у меня включен HT и всё работает как часы на W2003

EGOiST[TSRh] :: очень странно...не видел такого ..на 2003 у меня также вылетал..

MC707 :: Надо будет у меня дома тоже попробовать, я себе тож вчера комп с гипердредингом купил :)




MozgC [TSRh] Сорри за оффтоп. Кто-нибудь пользуется браузером Mozzila? Я тут...



MozgC [TSRh] Сорри за оффтоп. Кто-нибудь пользуется браузером Mozzila? Я тут скачал себе этот браузерик... Опера мне поудобнее кажется. Но Мозила зачастую побыстрее. Я тут тестировал. Например Mozzila грузит страницы по 1 секунде, в то время как Опера бывает грузит эти же страницы 1-3 секунды. Разница не большая, но приятнее когда все грузится просто мгновенно, как и должно быть на ADSL.
Короче говоря у меня есть несколько вопросов по настройке, ответов на которые я в инете не нашел. Поэтому если тут есть пользователи Mozzila я спрошу =)
dMNt :: какая именно мозила? fireFox?

nice :: Да MozgC [TSRh] возьми лучше фокса, она полегче, движок тотже, и даже русик есть к ней.

MozgC [TSRh] :: Хорошо, щас скачаю.
dMNt, nice - вы ей пользуетесь?

MozgC [TSRh] :: Я кстати неправильно писал слово Mozilla =)
... А я думаю че в яндексе пусто =)

dMNt :: MozgC [TSRh] пишет:
цитата:
вы ей пользуетесь?


...и ей тоже :)

nice :: MozgC [TSRh]
Пользуюсь и уже давно

Grim Fandango :: А мне почтовый клиент нравится.

XoraX :: недавно ставил firefox. прикрутил почти все плугины - но опера все равно функциональней. на ней и останусь.

MozgC [TSRh] :: Ладно тогда спрошу.
В общем 2 главных неудобства, которые видны после перехода с Оперы - это использование кэшированных картинок и работа с новыми окнами.
Подробнее:
1) Можно ли сделать так, чтобы новые картинки сами без моего ведома не загружались, но в это же время загружались бы те, котораые я уже когда-то ранее загружал. Аналог «show cached images» в Опере.
2) Можно ли сделать на панели кнопку переключения вкл/выкл картинки
3) Чтобы новые окна открывались внутри главного окна Мозилы я разобрался вроде... А вот как сделать чтобы когда я кликал на закладку, эта страница загружалась бы в новом окне а не в том же где была открытая страница. Т.е. сейчас старая затирается. А я хочу чтобы было просто уже 2 страницы.

Ну вроде пока все.

newborn :: Имхо лучше оперы браузера не нашёл, и думаю такого не будет...

XoraX :: MozgC [TSRh] пишет:
цитата:
В общем 2 главных неудобства, которые видны после перехода с Оперы - это использование кэшированных картинок и работа с новыми окнами.


абсолютно аналогично. из-за этих двух неудобств (особенно из-за первого) я и остался на опере.
может позже сделают в firefox....

FEUERRADER :: MozgC [TSRh]
Как с тобой можно связаться? Или у тебя что-то с мылом?

WELL :: Дайте что ли урлу на файрфокс этот. Для особо ленивых =)

PalR :: Во-во.

nice :: http://ftp.mozilla.org/pu....2/FirefoxSetup-0.9.2.exe

XoraX :: русская вершн:
http://www.mozilla.ru/ung...-win32-installer-ruRU.exe

плугины:
http://www.extensionsmirr...l/index.php?showtopic=284

а вот еще нашел интересный отзыв:

цитата:
Результаты сравнения FireFox 0.91. с Оперой 7.22
Opera / FireFox (сек):
http://sports.ru/ 4.56 / 5.22
Price.ru 3.38 / 3.21
http://www.vdv-s.ru/ 3.34 / 3.56
http://www.ya.ru/ 2.75 / 2.88
Поиск в Яндексе: Кукольник писатель 3,12 / 2,56
Видоискатель ночной 2,13 / 2,57
Кукольник ночной 2,70 / 2,34

дальше тратить время не стал - и так ясно, что никакого «выигрыша» в скорости тут нет.
Что не понравилось в FireFox 0.9.1 (Duron750, XP SP2, 256 ОЗУ):
- очень долго грузится (первый раз) - уже не сделаешь «браузером по умолчаню»;
- вообще ничего не настроишь (по ср. с Оперой). Настройки не просто «не гибкие», их почти нет (напоминает IE);
- в Program Files занимает 13,5 мб (без плагинов), Opera - 5.5мб (с плагинами и почтовиком);
- ГДЕ КЭШ ? («взад - вперед» на форумах, где в одной теме - много страничек) : В Opere это мгновенно (одно движение мышкой), в FireFox - то ли долго ищет в кэше, то ли грузит по новой ?!? (напоминает IE) Поправимое, но все же (для привередливых):
- не умеет сохранять в MHT. (Для Оперы есть примочка);
- не может грузить избранные ссылки со стр на диск (аналог «Сохранить все» во FlashGet)
- В Опере есть вкладка «Links»; - закладки глючат (не откр свойства, так и не смог добавить на панель закладок то, что хотел) - м.б. не разобрался?
- С другой стороны, ничего удобнее закладок Оперы не видел ;
- «Тормозилла». Дубовый и тормозной интерфейс (напоминает IE) - но это субъектив;
- нет панели масштаб страницы, отсутствует показ процесса загрузки страницы (я лично без него жить не могу), кнопки отключения картинок ( да и вообще зайдите в Оперу и сравните кол-во кнопок и панелей, к-е можно разместить в ЛЮБОМ МЕСТЕ).
- переключение 3 кодировок (KOI - WIN - АВТО) я в Опере повесил в контекстное меню (прав. клавиша), не знаю может ли это FireFox.

Вывод: Сенсации не случилось. FireFox напоминает.. разогнанный IE. А я на эти попытки «сделать из г.. конфетку» уже достаточно насмотрелся. Это все равно, что на каток поставить супер-мощный гоночный двигатель. Быстро, но неудобно. И НЕ ПРИЯТНО. У меня нет особой привязаности к Опере, но объективно она сейчас быстрее, удобнее и функциональнее.


я совершенно согласен.

newborn :: XoraX пишет:
цитата:
я совершенно согласен.


Про это я писал выше, имхо лучше оперы пока браузера нету...

MozgC [TSRh] :: Ну не знаю. Вот насчет скорости загрузки страница... У меня разница больше получилась. Почти всегда выигрывает Mozilla и зачастую на несколько секунд.

DiveSlip :: XoraX пишет:
цитата:
Opera - 5.5мб (с плагинами и почтовиком);


У меня Opera 7.50 занимает 22 метра в Program Files.

WELL :: DiveSlip пишет:
цитата:
У меня Opera 7.50 занимает 22 метра в Program Files.


Дык там видать без явы

DiveSlip :: Ява вообще-то не в ту директорию устанавливается, по крайней мере она у меня на диске С (еще 36 метров), хотя сама Опера на диске E, но все может быть, может и от явы еще зависит...

XoraX :: DiveSlip пишет:
цитата:
У меня Opera 7.50 занимает 22 метра в Program Files.


ессно. это твой кэш.
а ява имхо опере совершенно не нужна - всегда устанавливаю без нее и ни разу не почувствовал неудобств..

Aster!x :: У Оперы 2-а основных недостатка:

1) Время от времени падает, по крайней мере моя 6.05, но говорят, в новых, ситуация не улучшилась.

2) НЕчем нормально работать с кэшем, для 6.05 я использую CacheX for Opera v1.51, но под новые версии она не работает, поэтому собственно остаюсь пока на 6.05

MozgC [TSRh] :: Aster!x
1) Не знаю, я уже больше года кажется сижу на 7.23 и работает очень стабильно. Единственный косяк - падает на mail.ru. 2)Больше за год-полтора ни разу нигде не упала. Попробуй скачать 7.23. Могу выложить.
2) Что ты имеешь в виду говоря о работе с кэшем?

PS. 6.05 уже реально старая и менее надежная. Смени.

dMNt :: она падает из-за flash, если его отключить - то не падает

CReg [TSRh] :: MozgC [TSRh] пишет:
цитата:
PS. 6.05 уже реально старая и менее надежная. Смени.


Имхо это не так. Сам очень долго (года два) сидел на 6.05, падала всего пару раз за всё время использования. А когда перешел на 7.23, то тут падает ~раз в день :(
Единственная причина, по которой я остался на 7.23 - опера 6.05 у меня не совсем корректно работала с некоторыми форумами.

Aster!x :: MozgC [TSRh]
› 2) Что ты имеешь в виду говоря о работе с кэшем?

Когда нужно например порыться в кэше оффлайн, ну там например забить поиск по какому-нить слову, ну иногда после удаления какой-нибудь странички на сайте/форуме ее можно отыскать в кэше, при помощи этой проги гораздо проще, т.к. она разделяет все файлы по сайтам, а также показывает в listview файлы упорядоченно, например по дате.
Ну для владельцев ADSL может и не актуально всё это, можно ведь опять на сайт сходить, но меня эта прога иногда выручает.
Зы: кстати у нее интересная защита..

Опера падает у меня кажется в riched20.dll, причем что интересно падает при закрытии ее самой, или при закрытии других прог, например TheBat’а.

Кстати, есть у меня 7.51 или 52 не помню, я поставил, немного поигрался но переходить не стал..

Aster!x :: dMNt
› она падает из-за flash, если его отключить - то не падает

Хмм, интересно, из-за плагина Макромедии что-ли?
Откуда сведения?

dMNt :: Aster!x пишет:
цитата:
Откуда сведения?


люди говорят... :)
из опыта конечно, надо опцию «Включить плагины» задисаблить и все оки-доки
я на мейл.ру оперой почту проверяю частенько

XoraX :: моя любимая опера у мня не падает абсолютно (v7.50 Final).
в кэше удобно копаться с помощью Internet Cache Explorer (умеет работать с IE и с оперой).
с флэшем проблем тоже нету вроде.

SLV :: У меня тоже опера (7.11). Ни разу не падала & проблем нет...

DiveSlip :: XoraX , поддержу тебя, у меня таже опера (только с явой) и тоже никаких проблем.

DiveSlip :: XoraX пишет:
цитата:
ессно. это твой кэш.


Нет это не кэш:), кэш хранится в другом месте все-таки, просто в одной из папочек обнаружился распакованный дистрибутив явы, размером около 15 метров...




GPcH Похвастаться решил Вот тут попарился и создал еще два сайта:



GPcH Похвастаться решил Вот тут попарился и создал еще два сайта:

http://datasaver.xaker.ru и http://dotfix.xaker.ru

зацените плиз.

И еще благодаря помощи двоих людей на моем основном сайте таки появилась панель авторов с функциями модерирования,
посему, если кто желает увидеть свои статьи и на моем сайте, милости просим сюда: http://gpch.int3.net/admin/_author.php
newborn :: Ну и.... ну типа мои поздравления...

SeDoYHg :: Будет что поломать на выходных :)))))))))))

Noble Ghost :: SeDoYHg
Удачи!


GPcH :: Что ломать то решили, если эти проги я пишу уже давно и все о них знают?

WELL :: GPcH пишет:
цитата:
http://dotfix.xaker.ru


DotFix Protector v1.6
Файлы как и раньше распаковываются руками за ~минуту.
А теперь ещё и QU так вообще за 2 секунды.

Grim Fandango :: WELL пишет:
цитата:
Файлы как и раньше распаковываются руками за ~минуту.
А теперь ещё и QU так вообще за 2 секунды.


Ну так она не на профи расчитана.

SeDoYHg :: Grim Fandango пишет:
цитата:
Ну так она не на профи расчитана.



WELL пишет:
цитата:
А теперь ещё и QU так вообще за 2 секунды.


QU - Квик Анпакер чайникам и лентям (то есть большенству) в руки :)

WELL :: Grim Fandango пишет:
цитата:
Ну так она не на профи расчитана


Я не знаю на кого она расчитана, но как коммерческий продукт пока явно не тянет.
Человек отдаст 150 рублей за DotFix, а его прогу QU распакует за 2 секунды.
Получится, что чел проебал по 75 рублей в секунду =)

GPcH :: WELL пишет:
цитата:
Человек отдаст 150 рублей за DotFix, а его прогу QU распакует за 2 секунды.


QT ее не распакует, так как сам его автор так сказал.
А 150 рублей чел отдаст за 200 с лишним сигнатур и за продвинутый полиморфный мусорный движок,
аналогов подобного пока я не видел в подоббного рода прогах.
Короче, это твое мнение. Скажу по секрету: я и за аспр бы деньги не отдал, если бы он даже 150 рубблей стоил ;)))

Mario555 :: GPcH пишет:
цитата:
продвинутый полиморфный мусорный движок


Ну на счёт его продвинутости - вопрос спорный... на Krypton 0.5 (кста он freeware) посмотри там действительно сложная структура полиморфа.
Ещё некоторые пакеры (напр. SVKP) в свои полиморфы умудряются запихать rdtsc проверку.

GPcH :: Mario555 пишет:
цитата:
Ну на счёт его продвинутости - вопрос спорный... на Krypton 0.5 (кста он freeware) посмотри там действительно сложная структура полиморфа.
Ещё некоторые пакеры (напр. SVKP)


Ссылки на дистрибутивы кинь плиз
Mario555 пишет:
цитата:
rdtsc проверку


Что это?

dMNt :: GPcH пишет:
цитата:
Что это?


protector dude mlah
:)))

GPcH :: dMNt пишет:
цитата:
dude mlah


что это?

WELL :: GPcH пишет:
цитата:
QT ее не распакует, так как сам его автор так сказал


Уже распаковывает

GPcH :: WELL пишет:
цитата:
Уже распаковывает


кинь мне на мыло ту версию, которая распаковывает
если не влом конечно

Mindb0t :: GPcH
Rdtsc используется в приколах проверки трассировки.

WELL :: GPcH пишет:
цитата:
кинь мне на мыло ту версию, которая распаковывает
если не влом конечно


Это еще testing-build, поэтому попроси у FEUERRADER’a

-= ALEX =- :: млин, хвастун %)

GPcH :: -= ALEX =- пишет:
цитата:
млин, хвастун %)


Молчи




Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)



Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)
http://www.mario-files.newmail.ru/OllyFinder.exe
Таким образом можно искать произвольную строчку в процессе или вообще не строчку, а последовательность байт... такое не переименуешь.
PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ? Ребут-то оно покруче будет, чем просто убивать найденный дебугер ;)
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.
-= ALEX =- :: Mario555 пишет:
цитата:
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.


ну ловить просто-напросто вызовы апи TerminateProcess. и смотреть на параметры передаваемые... или как ты там скрываешь .. :)

-= ALEX =- :: скачал файл, посмотрел исходник. интересно реализовано... заинтересовало, щас попробую написать антифиндер %)
ЗЫ ну ни как меня на олю не тянет, хоть убей... :(

test :: Mario555
А у меня твой OllyFinder уже не находит :(

Aster!x :: › PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ?

Ну и что? Можно и ещё к каким-нить системным процессам применить, но вот только зачем?
Если приложение не умеет уживаться с моим софтом или виндой то думаю стоит его кильнуть, пусть разработчики сами с ним играются.

Зы: отладчик третьего кольца беззащитен и способов его обнаружения можно придумать множество. А с TerminateProcess можно бороться и вполне эффективно, и это уже реализовано, теперь «Pulya» не может прибить Olly ;-)

Mario555 :: -= ALEX =- пишет:
цитата:
ну ловить просто-напросто вызовы апи TerminateProcess


Это не серьёзно, уж тебе-то, как автору протектора должно быть понятно, что главное - это не способ убивания процесса отладчика, а получение «dbg найден»/«dbg не найден», дальше уже можно делать всё что угодно...
Перехватывать тоже будет не просто, если вокруг проверки понаставить всяких rdtsc, DRx check и т.п.
К тому же такую проверку можно пускать отдельным Thread’ом с низким приоритетом, который будет постоянно проверять наличие отладчика (дампера или любой другой crack tool) во время работы основной проги.

test пишет:
цитата:
А у меня твой OllyFinder уже не находит :(


Что же ты такое сделал ? Единственный способ спрятать olly, который я вижу - это смена ImageBase, но ведь можно считать эту ImageBase и высчитать нужное значение параметра BaseAddress для ReadProcessMemory. Хотя вот если Olly Obsidium’ом пакануть...

Mario555 :: Aster!x пишет:
цитата:
теперь «Pulya» не может прибить Olly ;-)


А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Aster!x пишет:
цитата:
приложение не умеет уживаться с моим софтом


Если софт - это отладчики... Ребут всего лишь способ ответных действий на обнаруженную прогу...

test :: Mario555
Да нет. Просто у тебя нет проверки кода как в Arme вот и все.Хотя и в память где rep cmps можно напихать мусор и еще много чего.А вот твоя идея (Хотя вот если Olly Obsidium’ом пакануть...)как раз очень интересная.Да еще. кроме оли я ничего не использовал!

Mario555 :: Плагинам не понравилась Оля пакованая Obsidium’ом :( Без плагинов работает...

-= ALEX =- :: Mario555 только что закончил работу, написал OllyHider для твоего OllyFinder’a... :)
ЗЫ нет ниукого сдк по написанию плугинов для ольки, желательно на асме...

Aster!x :: Mario555
› А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Мы не ищём легких путей поэтому будем дописывать плагин, чтоб не действовать таким грубым способом как переименование ;-)

test :: -= ALEX =-
masm_inc.zip - not tested если хочешь

-= ALEX =- :: test ну давай... мыло мое видно тут.

dMNt :: ну и мне киньте masm_inc.zip
вот сюда --› dmnt((AT))ledex D0T ru

PS: спасиба, пришло :)

-= ALEX =- :: test пасибо.

WELL :: Aster!x
А твой HideDebugger.dll обновился?
Если да, то где качнуть можно?

Aster!x :: WELL
Пока нигде нельзя качнуть, постараюсь в ближайшее время доделать messag’и и выложить в народ.

WELL :: Aster!x
Будем ждать

Mario555 :: -= ALEX =- пишет:
цитата:
написал OllyHider


Выложи где-нить.

test :: Mario555
Мне кажется что лучше наверно патчить системный модуль потому как с двумя процессами это не
пролезет.

test :: Вот попробовал с армой все вроде работает без rename ollyexe .Тока hbpx перестал работать..

test :: Извиняюсь. все в ОК! работает.Просто теперь на тот адрес проверки нет перехода после Process32First.

-= ALEX =- :: Mario555 пишет:
цитата:
Выложи где-нить.


вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)

newborn :: -= ALEX =- пишет:
цитата:
вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)


Что то я не могу скачать, может кто переложит на другой сервак ?

GL#0M :: newborn
Известная тема с фаталом :(
http://kon.ldx.ru/OllyHider.exe

newborn :: GL#0M
Спасибо, этот фатал частенько стал падать...

Mario555 :: -= ALEX =-
Думал, что переименование в таком количестве приведёт к глюкам в работе Оли, но всё нормально работает :)
Хотя конечно можно поискать строчку (последовательность байт) которую нельзя переименовывать, но такая строка будет встречатся только один раз и её можно аккуратно переправить вручную.

Aster!x :: Mario555

Фигня все эти методы, я правда не смотрел но судя по обсуждению читаем память Olly в поисках сигнатур через ReadProcessMemory? если да то можно не париться, есть фича в новой версии HideDebugger, которая обломает вам эту возможность :-) , знаю знаю, что пора плагин в народ кидать, но вот обнаружился необычный глюк на винде FEUERRADER’а(XP sp2) с IsDebuggerPresent, придётся алго менять видимо, поэтому выход плагина задерживается, sorry.




FEUERRADER ASProtect 2.0 has been released...



FEUERRADER ASProtect 2.0 has been released http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)
DFC :: FEUERRADER пишет:

цитата:
Штампует как арму уже :)


Блин, запарил AS...

newborn :: FEUERRADER пишет:
цитата:
ASProtect 2.0 has been released


А как бы это добро скачать, мож кто поможет ? и выложит где небудь

FEUERRADER :: newborn
К вечеру, думаю, будет уже на васме - жди.

ilya :: когда же эта сука солод перестанет

Mario555 :: ilya пишет:
цитата:
когда же эта сука солод перестанет


А он не перестанет, он этим деньги зарабатывает...

-= ALEX =- :: весело. надо будет занятся им....

deep lamer :: -= ALEX =- пишет:
цитата:
весело. надо будет занятся им....


Сначала бы 1.31 осилил кто .. чего ж перепрыгивать то ?

GPcH :: FEUERRADER пишет:
цитата:
http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)


Солод мастер! Крут как всегда

-= ALEX =- :: deep lamer я лично уже его осилил без распаковки... так что смело перехожу на следующий уровень :)

AlexZ CRaCker :: -= ALEX =-
Когда справишся с v2, в about, в гритсах впиши солода! (Чтоб его инфаркт миокарда скосил)
---
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.

DFC :: AlexZ CRaCker пишет:

цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


Однозначно реагирует, и не токо на этом форуме. Еще в 2002-ом на реверсинг.нет я с этим столкнулся.

WELL :: Ну на васме уже можно скачать...

-= ALEX =- :: гы. солод-то молодец. но это тока с виду. код остался прежним %) итог - снова я пропатчил... нет чтоб ему заново весь код начальный переписать, именно код протектора и код распаковки... дак нет, какие-то извращенные ключики придумывает :) ну и флаг ему в руки...

Halt ::
-= ALEX =-

цитата:

так что смело перехожу на следующий уровень


Это не следующий уровень, а следующая серия в бееееесконечном бразильском сериале.
пошел смотреть

Danger :: Офтоп: Чувствую форум затихнет на время...

-= ALEX =- :: да я уже понял, что уровень тот же.... обидно :(

FEUERRADER :: Я что-то пропустил?
Где можно почитать/обучится патчиньем аспра нового?

DFC :: FEUERRADER .
Наврядли дождешься как и я...:(

ilya :: AlexZ CRaCker пишет:
цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз

Grim Fandango :: ilya пишет:
цитата:
мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз


Если бы и другие разработчики так делали, то жизнь бы малиной не казалась.

Aster!x :: -= ALEX =-
› дак нет, какие-то извращенные ключики придумывает :)

Твой патч устраняет возможную шифрацию кода?

Не нужно считать Солодовникова дураком.
Нормально заАСПротекченая прога ломается только с валидным ключём, так что только кардить ключики ;-)

Grim Fandango :: Aster!x пишет:
цитата:
› дак нет, какие-то извращенные ключики придумывает :)


Ну для него это наверное легче.

Halt :: Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили

Grim Fandango :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили


Го на protools.cjb.net. Смотри в новостях.

Halt :: Grim Fandango
спасибо

volodya :: ›Го на protools.cjb.net. Смотри в новостях.

Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.

Runtime_err0r :: На сайте автора (h**p://stenri.pisem.net/) оно как-то надёжнее
А вообще интересно, syd сумеет победить эту бяку или проект загнулся ???

Grim Fandango :: volodya пишет:
цитата:
Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.


иии? от того, что он с тобой работает на протулз его не будет? он там есть. вот и всё. =)

DFC :: Halt .
Вообщето со Sten’ом точно надо на прямую общаться :)

Grim Fandango :: DFC, так никто и не разъяснил про патчинг?

ilya :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает


олька хорошо прячется

DFC :: Grim Fandango .

цитата:
DFC, так никто и не разъяснил про патчинг?


Grim, ты видишь ни кто, мало того удалили мой последний пост...:(

DFC :: Grim Fandango .
Ты знаешь, может не в тему...каюсь...честное слово...
Когда ты задавал вопрос по патчмейкерам...для коллекции, я не стал отвечать, негодяй я такой :)
Вобщем сходи на www.hanmen.com
Там есть такая фича - как PatchWise Free, мне этот патчмейкер нравится, я давно в нем работаю, двойной интерфейс, поддержка многих языков, ну и т.д. сам почитаешь :)
Плюс - абсолютно бесплатный :)

Grim Fandango :: Едрить тебя в перец. Чего молчал? =)))
Пасиб.

правда 2.5 метра имхо многовато.

Mario555 :: Гм... странный какой-то этот «новый» аспр.

MozgC [TSRh] :: DFC
Что у тебя удалили? Пост или тему? Какое было содержание?

DFC :: MozgC [TSRh] .
Да ладно, фиг с ним, в данном случае я не в обиде...если товарисчи зохотят ответить, то ответ дадут.

-= ALEX =- :: где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31... очень надо. да и вообще любые проги с аспром....

MC707 :: -= ALEX =-
а самому запаковать?

-= ALEX =- :: MC707 паковал, патчил... не интересно. охота дело сделать, т.е. прогу сломать :)

SIM :: -= ALEX =-
http://desofto.com/myproxy.exe 850kb

Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит

ZX :: SIM пишет:
цитата:
Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит


она уже пропатчена и поломана недели три назад :)

SIM :: ZX пишет:
цитата:
она уже пропатчена и поломана недели три назад :)


Как раз 3 недели назад ее AsLoad патчил и Striper распаковывал, а щас ни тот ни другой и размер проги изменился (версия та же осталась)

GRADY$ :: Можеть кто знает как AntiDebugger ( ASProtector ) снять,
ато IsDebuggerPresent не берют...

SLV :: GRADY$ , www.xtin.org

GRADY$ :: SLV
Там только для старого ASProtector - а.

Ну всё же спасибо!

Halt :: Народ уменя IceExt 0.64 - непомогает от aspra последней версии, че делать-то
Debugger detected

sanniassin :: -= ALEX =- пишет:
цитата:
где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31


ISO Commander 1.4 смотрел (ASPR 1.31)?

-= ALEX =- :: нет. не смотрел. гляну.

CReg [TSRh] :: Halt
цитата из version history:

цитата:
- I decided to turn off most of the antidebugging protection by default.
Use !PROTECT ON command to turn it on when you need it.


Halt :: CReg [TSRh]
Санкс конечно, но I speek deutch
немецкий тоесть.
где бы перевод взять?

-= ALEX =- :: перевод «Я решил вырубить нах все антидебагерские фичи по дефолту. Юзай !PROTECT ON , чтобы включить эту фичу, когда тебе это понадобиться...»

Halt :: Санкс учу англицкий язык

bi0w0rM[AHT] :: Распаковать аспр 2.0 вполне реально, распаковка ничем не отличается от других версий. OEP найти точно так же. Правда при юзании опции Emulate standart functions возникнут проблемы. дофига же функций аспр поспирал себе! Просто весь код из kernel32.dll выудил :) так что надо как-то новый плугин делать! в конце концов там все шаблонно! :)) // все делал в Olly
2-=ALEX=-: а ты опять через API запатчил или как в патчере - с добавлением новой секции и другими извращениями? :)

ilya :: а я вот с олькой запарился уже!аспр там где должен быть переход на оепв сегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
OEP найти точно так же


Там OEP то в принципе нет, оно по аспру размазано...

bi0w0rM[AHT] пишет:
цитата:
так что надо как-то новый плугин делать!


Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?


стоп, не шуми! :) лучше вышли мне свою пакованную прогу.

ilya :: Mario555 пишет:
цитата:
Там OEP то в принципе нет, оно по аспру размазано


так и я про тоже.
ilya пишет:
цитата:
а я вот с олькой запарился уже!аспр там где должен быть переход на оеп всегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.


я с этим аспром *аебался уже!

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
лучше вышли мне свою пакованную прогу.


А зачем ?
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...
Потом уже запаковал другую прогу (PEBrowsePro), так вот её аспр уже по полной программе поимел :)
Этот PEBrowsePro на wasm’е есть, так что можешь оттуда скачать и сам запаковать. И наверно уж PEBrowsePro не единственная такая прога, которую аспр паковать умеет ;)

bi0w0rM[AHT] :: ааа!! я то паковал кракми, а ты сам аспр копал. Там-то мало че поделаешь, раз все обфускано. ты это имел ввиду?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...


вот!! и че ты делал с импортом?

ilya :: извеняюсь что не удержался
вот как я распаковывал crackme

Загружаем программу в OLLYDBG,
Нажимаем Shift+F9 29 раз и оказываемся здесь:

00926807 C700 7F0677B9 MOV DWORD PTR DS:[EAX],B977067F ‹--здесь стоим мы
0092680D FB STI
0092680E 2D F8868BEF SUB EAX,EF8B86F8

Снимаемся с Access violation.Ставим брейкпоинт(F2) на адрес 00926815
и нажимаем Shift+F9.Теперь идём по коду программы по F8

00926878 2945 F8 SUB DWORD PTR SS:[EBP-8],EAX
0092687B E8 18CFFFFF CALL 00923798

.
Нажимаем F7 несколько раз и оказываемся здесь

00B50000 BB 9A35A007 MOV EBX,7A0359A ‹--здесь стоим мы
00B50005 E8 10000000 CALL 00B5001A

Если сейчас нажать F8 то программа запустится а нам это
не надо.Поэтому нажимаем F7 на адресе 00B50005.И долго
идём по F7 пока не окажемся здесь

00B501A1 83E8 60 SUB EAX,60 ‹--здесь стоим мы
00B501A4 F2: PREFIX REPNE:
00B501A5 EB 01 JMP SHORT 00B501A8
00B501A7 F2: PREFIX REPNE:
00B501A8 2BC3 SUB EAX,EBX
00B501AA 5C POP ESP
00B501AB FFE0 JMP EAX ‹--переход на ОЕП
00B501AD 72 23 JB SHORT 00B501D2
00B501AF 37 AAA
00B501B0 0000 ADD BYTE PTR DS:[EAX],AL
00B501B2 0000 ADD BYTE PTR DS:[EAX],AL
00B501B4 0000 ADD BYTE PTR DS:[EAX],AL
00B501B6 0000 ADD BYTE PTR DS:[EAX],AL

по адресу 00B501AB переход на бешенный оеп и он всегда РАЗНЫЙ!!!

bi0w0rM[AHT] :: кстати, в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata... тоже самое было в альфаклок и в нем тоже все обфускано было.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata


В самом аспре ASPack ;)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
В самом аспре ASPack ;)


да что ты говоришь! :))

deep lamer :: Насколько я понял, aspr защищает импорт .exe по разному, в зависимости от какого-то условия (не опции). И если условие не выполнилось, то в aspr’е можно указать кажись «force adv. import protection».
Так вот если кому-то удалось распаковать его за 5 минут, то это от того, что юзался старый импорт (не advanced) + OEP
не был защищен. Есть догадка, что OEP при старом импорте вообще не защищается

bi0w0rM[AHT] :: deep lamer
старо защищенный импорт, говоришь? то есть импорт, который можно восстановить плугином и трейсером? неее. в моем кракмисе OEP тоже не защитился, мне это подозрительно было - вроде врубал опцию спертых байтов! так импорт там не старый. там почти все функции kernel32 сперты из него самого, полная эмуляция их короче! и тут плагин конечно же не помог, ну и трейсер соответственно. а в случае с полным obfuscation’ом(как в PEBrowse) лучше как -=алекс=- найти способ запатчить.

я такой obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны. Но адреса первых процедур(как там в делфе - Application.Initialize, Run и пр.) там были такие же, а в аспре вроде нет! надо бы еще смотреть.

Mario555 :: deep lamer пишет:
цитата:
юзался старый импорт (не advanced) + OEP не был защищен


Дык я об этом и говорю, только вот почему аспр так странно пакует - это не понятно...
Прога, которую аспр хреново защитил была обычная дельфи, а аспр выдал «File is probably already packed/protected!», и при этом запаковал со старым импортом (ну там конечно были переходники, но это правилось парой nop в цикле формирования iat), OEP было незащищено и даже размер файла неизменился.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
я такой obfuscation видел в ACProtect


Ну в ACProtect краденые байты выполняются в секции протектора, так что там это не проблема.
В аспре 1.30 тоже была obfuscation, но там краденые байты выполнялись хоть и вне exe, но обычным образом, а с версии 1.31 RC 05.18 они стали выполнятся через функцию интерпритатора - тоесть псевдокод :(

deep lamer :: Mario555 пишет:
цитата:
аспр выдал «File is probably already packed/protected!


Аа.. ну это то логично - уже запакован, значит импорт и OEP не пакуется и не защищается. Наверно aspr неправильно определил

цитата:
obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны


Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет

цитата:
через функцию интерпритатора - тоесть псевдокод :(


Да, какая-то мутная функция :( Хотя, в принципе, должно быть возможно ее всю (вместе с dll аспра) вырезать и вставить в последнюю/нокую секцию, поменяв у dll адрес загрузки на правильное значение

-= ALEX =- :: bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.

Mario555 :: deep lamer пишет:
цитата:
Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет


В аспре тоже можно... там в папке Examples лежит много всяких гадостей включая callmark UserBuffer, а про него в readme:

цитата:
The code fragment from this mark to the end of this function will be erased and replaced on the polymorphic analogue. ASProtect will change its content throw emulation (like for the EntryPoint Protection), so it will be impossible to restore or even to understand the work principles of the original code.


ну и про саму EntryPoint protection:

цитата:
this version EntryPoint protection uses a Virtual Machine, which makes the removal or recovering of original code practically impossible


bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.


извращения там по-любому есть. :)

bi0w0rM[AHT] :: 2-=ALEX=-: к примеру об извращениях - скажи, сколько раз твой патч перенаправлялся из аспра в твой код? :))

-= ALEX =- :: bi0w0rM[AHT] пожалуйста 4 раза.

bi0w0rM[AHT] :: охх :) 4 раза еще нормально. а ты там что ли checksum подтасовал или что? уж немного то поделись плззз!

-= ALEX =- :: bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...

-= ALEX =- :: :) мне кстати идейка восстановления CRC пришла чуть ли не во сне, прям как менделееву :)

Mario555 :: Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.
А вот с долбаным интерпритатором все гораздо сложнее... основа его функции находится в dll аспра, но оттуда идут обращения ещё к одной странице памяти...

bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...


и ваще, куда ты вогнал 233 байта? Везде, где много нулей, аспр проверяет, причем он шарит не по памяти процесса, а по самому файлу.

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.


это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?


Нет, это в случае где изначально нет iat, тоесть с максимальной защитой импорта.

-= ALEX =- :: bi0w0rM[AHT] вообще-то не все проверяет аспр... границы секций не проверяет, бери туда и пиши... а вообще пиши хоть куда, CRC ж потом восстановишь :)

rok :: Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.

bi0w0rM[AHT] :: rok пишет:
цитата:
Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.


wasm.ru.....

bi0w0rM[AHT] :: var nick=new Array(’DarKSiDE’,’Danger’,’бара’,’EGOiST[TSRh]’,’M ozgC [TSRh]’,’SerGik’,’Ри’,’Mafia32’,’Styx’,’specz’,’[C hG]EliTe’,’bUg.’,’Grim Fandango’,’MC707’,’odIsZaPc’,’Kerghan’,’-= ALEX =-’,’Mario555’,’dMNt’,’KLAUS’,’Runtime_err0r’,’ily a’,’GL#0M’,’[RU].Ban0K!’,’ViViseKtor’,’AlexZ CRaCker’,’DillerXX’,’XoraX’,’WELL’,’CReg [TSRh]’,’FEUERRADER’,’RottingCorpse’,’SLV’,’CHEST’ ,’Halt’,’GPcH’,’TITBIT’,’sanek’,’Bad_guy’);

AlexZ CRaCker :: Прикольно

Grim Fandango :: ээээ, это что такое?

SGA :: люди на форуме, у которых есть аватары.

bi0w0rM[AHT] :: дада :))) пароль я знаю.

The DarkStranger :: мдя темку то закрыли похоже ы мдя так и не разобравшись с protect oep алЯ вирт машина
в опревых oep не размазанно и вся главная ветка легко востанавливается во вторых а че сехи отубили в этом аспре ??? ну нету чтоли seh хиадер или чето там ???
странно я с этим больше всего в 1.3 долбался даже прогу писал ....

Mario555 :: The DarkStranger пишет:
цитата:
вся главная ветка легко востанавливается


Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ? :)) Хотя вот написать аналог этой функции и подсовывать ей только специфичные для каждой проги данные было бы наилучшим вариантом...

The DarkStranger пишет:
цитата:
а че сехи отубили


Угу, они видать работу проги сильно тормозили.

The DarkStranger пишет:
цитата:
долбался даже прогу писал ....


Гм... я функцию обработки и таблицы из аспра рипнул и обработчики на них перенаправил.
А как там вообще можно прогу написать ? ведь в таблицах есть «левые» адреса... или ты анализатор кода написал ?

The DarkStranger :: Mario555 пишет:
цитата:
или ты анализатор кода написал ?


угу
Mario555 пишет:
цитата:
Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ?


востановить все байты
Mario555 пишет:
цитата:
Угу, они видать работу проги сильно тормозили


хз хз .....
в общем мое имхо надо делать так чтобы после распаковки файл стал как до упаковки !!!

Mario555 :: The DarkStranger пишет:
цитата:
востановить все байты


Ну не знаю, у меня на прикрепление секций уйдёт 10~20 минут, а байты восстанавливать явно дольше, хотя конечно это красивее и правильнее.
Функция вообще мутная какая-то... вот например за что в ней цикл отвечает ?






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS