Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



Kerghan TRW for XP Господа, товарищи, граждане, мирные квартиросъемщики и...



Kerghan TRW for XP Господа, товарищи, граждане, мирные квартиросъемщики и бомжи у меня к вам такой вопрос: нет ли патчика для TRW, чтобы он работал под ХеРью, а то че-то сайс уже начинает надоедать.
MoonShiner :: Чем же тебя не устраивает айс? А для ТРВ патчик писать заколебешься, так как там все на сервисах vxd имхо.

Kerghan :: Да, если крит.ошибка вылетает приходиться ребутиться , да из-за него и без повода иногда ребут поисходит
А TRW на мой взгляд реально рулит

dragon :: Посмотри здесь - http://web.vip.hr/inga.vip/index.htm

Может этот дебаггер подойдёт, хотя я сам не смотрел.

Kerghan :: Если честно, не очень прикольно, на мой взгляд даже OllyDbg получше будет.
Да и чего собственно можно было ожидать от человека, который называет себя Vanja Fuckar

Gerix :: Да , дебуггер сыроват , но для взлома он вполне пригоден.

Kerghan :: Я щас OllyDbg юзаю и вам советую, вполне прикольная вещь, но TRW на мой взгляд все же получше.

[RU].Ban0K! :: Для Kerghan: Olly Debuger 1.09c самое лучшее из User-тайпа... как я считаю... особенно если знаеЖ все его функции.. :)

Wersion :: Da voobshe avtory trw davno ego zabrosili i poD XP on NiKOGDA RABOTATY NE BUDET!!!

Guest :: Kerghan забудь ты про TRW, патчик писать муторно там все на сервисах vxd ИМХО! Настрой Айс!




dragon префикс LOCK Я вот тоу движок для дизассемблера дописываю, через



dragon префикс LOCK Я вот тоу движок для дизассемблера дописываю, через несколько дней наверное в инет кину для тестирования. Только с префиксом проблема. Может кто знает, перед какими инструкциями он может употребляться? А то в мануале интела я ничего по этому поводу не нашёл.
freeExec :: Насколько я понял, то после нее идут команды XCHG, MOV, IN and OUT instructions вот они и есть превикс. Это вроде аналогично repz ****

BSL//ZcS :: 2 freeExec : Самое главное забыл: CMPXCHG8B. :) Помните, F0 0F C7 C8... ;)

2 dragon : Мануал, второй том, третья глава, страница 3-397:

The LOCK prefix can be prepended only to the following instructions and only to those forms of the instructions where the destination operand is a memory operand: ADD, ADC, AND, BTC, BTR, BTS, CMPXCHG, CMPXCH8B, DEC, INC, NEG, NOT, OR, SBB, SUB, XOR, XADD, and XCHG. If the LOCK prefix is used with one of these instructions and the source operand is a memory operand, an undefined opcode exception (#UD) may be generated. An undefined opcode exception will also be generated if the LOCK prefix is used with any instruction not in the above list. The XCHG instruction always asserts the LOCK# signal regardless of the presence or absence of the LOCK prefix.

dragon :: Понятно, т.е. перед арифметическими операциями он ставиться.

BSL//ZcS :: Нет. Он ставится перед записью в память для обеспечения атомарности доступа для нескольких процессоров. К примеру, есть у тебя какой-нить семафор, вот чтобы его два процесса на разных процессорах одновременно не подняли, пользуется lock и иже с ним.

Притом, лок ставится именно на запись и именно в память - то есть, ежели у тебя инструкция для лока подходит, но пишет в регистр, а не в память, то всё равно вылезет invalid-opcode.

А ещё там есть заморочки с выравниванием... Но для дизассемблера они, я думаю, не понадобятся. :)

freeExec :: И зачем тебе движок этот ? Круче ИДЫ ты врятли напишешь :( Хотя помнится был курсовой, где надо было иммулировать команды АСМа, типа дебагер. Токое даже в кошмарном сне не приснится

dragon :: Тогда странно, что LOCK перед mov, movq(и др.) не ставится, там тоже запись в память идёт.

Круче ИДЫ может и не напишу, но круче, чем в WDasm или OllyDbg попытаться можно. Тем более на его основе можно что угодно делать(например тот же анализатор, чтобы секцию кода после армадиллы 3.10 востановить), потому что хорошо знаешь, как это движок устроен. Можно также сколько хочешь его улучшать. И опыта в программировании поднабраться тоже можно, всё же дизассемблер не так легко писать...

MozgC :: а мы его потом крэкать, крэкать будем =)))

dragon :: Что крэкать, движок что ли? Это же просто DLL, с функцией disasm, которая строку с инструкцией и длину возвращает. Ну специально для тебя могу чем-нибудь запаковать...

MozgC :: Да да да, оформи в виде отдельной проги с exe фалом и все такое и запакуй чем-нить (только не переборщи там, Armadillo всякие 3+ со всеми фичами нам не нужны) и выложи в инет (www.softodrom.ru). За регистрацию сделай баксов 50 и много много надоедливых нагов в триале и т.д. =))

freeExec :: dragon

цитата:
Тем более на его основе можно что угодно делать(например тот же анализатор, чтобы секцию кода после армадиллы 3.10 востановить),


Видно ды очень близко Иду не язал, там тоже можно отдельно движок юзать. Просто мы все пользуемся Гуидной оболочкой поставляемой с нею, и не знаем всех наворотов двизка :(

dragon :: Да, точно. Я даже скрипты IDC писать не умею. Но всё равно, свой движок тоже пригодится...

BSL//ZcS :: dragon пишет:
цитата:
Тогда странно, что LOCK перед mov, movq(и др.) не ставится, там тоже запись в память идёт.


Нет. Просто запись или чтение - это операция и так атомарная. Лок нужен там, где значение из памяти сначала читается, потом изменяется, а потом записывается обратно. То есть для add [ebx],eax он нужен, а для add eax,[ebx] - нет.

Это похоже на то, как открытый на запись файл лочится, чтобы его другой процесс не испортил. :)

ЗЫ. извиняюсь за задержку с ответом - тоько из командировки приехал.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




Kerghan NeoLite У меня, вообщем, вторая испытательная версия. А фишка вот в...



Kerghan NeoLite У меня, вообщем, вторая испытательная версия. А фишка вот в чем, пакует он прогу, но когда ее запускаешь, но выдает тебе мессегу с предложение посетить ее сайт или запустить прогу. Ну этот "баг" исправляется легко, нужно лишь занопить процедуру вызова этого окна. А вопрос вот в чем, можно ли написать "универсальный патч", который бы фиксил все упакованные им проги.

Испытал на пяти прогах: байты для замены везде одинаковы, смещение относительно EP равно 957h.
freeExec :: Не знаешь как из РЕ вытащить ЕР?
*(*(3с)+40) помойму так

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
Не знаешь как из РЕ вытащить ЕР?
*(*(3с)+40) помойму так


Могу скинуть исходники на Делфях, а на VC++ нету:(. Маленький PE просмоторщик со всеми фишками.

Kerghan :: freeExec пишет:

цитата:

Не знаешь как из РЕ вытащить ЕР?



Без понятия, меня это как-то раньше не очень интересовало.

.::D.e.M.o.N.i.X::. пишет:

цитата:

Могу скинуть исходники на Делфях



Буду очень благодарен. kerghan@pisem.net

Runtime_err0r :: > А вопрос вот в чем, можно ли написать "универсальный патч", который бы фиксил все упакованные им проги.
А через Find&Replace не пробывал ?

Kerghan :: Runtime_err0r

цитата:
А через Find&Replace не пробывал ?


И куда это впихнуть? И что я искать буду? Если патч через Abel делать и диапазон адресов побольше указать, то он параллельно еще пару десятков байт меняет.

ЗЫ о, я тут, смотрю ты статейку по neolite написал, ща почитаю.

Kerghan :: Runtime_err0r
Отличная статейка, хотел сегодня с ним до конца разобраться, да видно не судьба :)

.::D.e.M.o.N.i.X::. :: Kerghan пишет:
цитата:
Буду очень благодарен. kerghan@pisem.net


Скинул.

Kerghan :: .::D.e.M.o.N.i.X::.
Получил. Спасибо.

Zero :: Ну вот таже самая возня что и у .::D.e.M.o.N.i.X::.’a : "А вопрос вот в чем, можно ли написать "универсальный патч"" - можно.
"который бы фиксил все упакованные им проги."???
Я так понял на Neoliite?

Bad_guy :: Рассказываю подробно безо всяких исходников, может кому еще интересно...
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Далее.. ой, блин проще написать самому этот патчер... Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset < VSize) and (VEP - VOffset >= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.

Вот так все хитро. Можно написать и проще, но в этом случае могут быть ошибки при поиске EP Offset (REP). Может кто знает как проще REP искать, так мне было бы интересно. Хотя вот хитрый способ: можно грабить из PEiD’a, а потом его принудительно закрывать, хотя алогритмец то там такой же будет (я имею ввиду в самом Peid).

.::D.e.M.o.N.i.X::. :: Zero пишет:
цитата:
Ну вот таже самая возня что и у .::D.e.M.o.N.i.X::.’a


У меня такой возни нет. Есть возня с VB прогами - это да, а с патчем - no problems.

Kerghan :: Bad_guy пишет:

цитата:
ой, блин проще написать самому этот патчер


если не влом зафигачь, а то у меня от исходника .::D.e.M.o.N.i.X::.’а уже крыша постепенно отъезжать начинает.

.::D.e.M.o.N.i.X::. :: Kerghan пишет:
цитата:
если не влом зафигачь, а то у меня от исходника .::D.e.M.o.N.i.X::.’а уже крыша постепенно отъезжать начинает.


У меня почему-то не отъехала А исходник не мой, а e!MiNENCE team.

.::D.e.M.o.N.i.X::. :: Вот такие пироги

.::D.e.M.o.N.i.X::. :: Sorry, проверяю регистрацию.

.::D.e.M.o.N.i.X::. :: Во, пошла родимая!!!
P.S. Модератор может удалить эти сообщения, че-то я перепил.

Kerghan :: .::D.e.M.o.N.i.X::.
Пахать-то прога пашет, но исходник компиляться вообще не хочет, ему видители kol.dcu не хватает.

Runtime_err0r :: Kerghan
Короче, я не понял в чём там проблема с Find&Replace - вот сделал тут универсальный патч, скачай и проверь, у меня работает без проблем.
http://www.vmu.newmail.ru/NeoLiteP.rar

Kerghan :: Runtime_err0r
ништяк, работатет отлично, тока не подскажешь, где ты такой патчер взял.

Runtime_err0r :: > ништяк, работатет отлично, тока не подскажешь, где ты такой патчер взял.
Где взял, где взял ? Сам сделал
Если нужны подробности - пиши на runtime-err0r @ newmail.ru
А вообще-то лучше распаковать pecomp.dll и пропатчить его (чем я сейчас и занимаюсь )

Bad_guy :: Runtime_err0r пишет:
цитата:
А вообще-то лучше распаковать pecomp.dll и пропатчить его


Кстати, свежая мысль ! А то мы что-то глупости выдумываем - каждый экзешник патчить...

Kerghan :: Runtime_err0r
Говоришь, сам сделал? Может и кряк для WinRar’а на твоей
совести(WinRAR_v3[1].11_Universal_Crack)? :)

Короче разобрался я окончательно с поиск&замена.
Просто я абелем пользовался, а его лоадер две минуты грузил файл, а
потом выдавал ошибку, вот я и подумал, что он там такие же байты
нашел и их заменил, сволочь.
Щас патчер от yoda скачал, так что все ништяк.

ЗЫ pecomp.dll не рапаковал еще? Я бы и сам занялся, но OllyDbg его никак дебажить не хочет.

Runtime_err0r :: Зацените свежее решение
http://members.tripod.com...team/files/NeoLite200.zip

Kerghan :: Нифига не сработал

Runtime_err0r :: Kerghan
Какая у тебя OS ???

Kerghan :: ХеРь

ЗЫ ты же вроде над dll’кой извращался

Runtime_err0r :: Kerghan
Походу, крякнутый EXE’шник только под Win9X
dll’ку пока распаковать не удалось что-то я делаю не так, а вот что именно - не пойму

Kerghan :: Runtime_err0r
Ну ладно, удачи тебе. Че придумаешь, пиши. Шас в коде твоего exe’шника покапаюсь, может чего нарою.




TOL-121212 .EXE Как можно чтото изменить в самом .EXE-файле?



TOL-121212 .EXE Как можно чтото изменить в самом .EXE-файле?
(Кнопку с формы забрать или дописать другую прогу в етот .EXE-файл).
Может кто знает где документы по етому есть
Kerghan ::
цитата:
Может кто знает где документы по етому есть


везде

TOL-121212 :: Где ---адрес можна дать !!! И каким отладчиком " ковыряться в чужом коде" лучше???

Kerghan :: TOL-121212
когда-то я тоже был таким как ты
зайди сюда http://isp.vsi.ru/~kerghan/docs/links.htm

цитата:
И каким отладчиком " ковыряться в чужом коде" лучше???


я юзаю OllyDbg (хотя не думаю, что это тебе о чем нибудь говорит)

TOL-121212 :: А ещо адресок можна!! ??
http://isp.vsi.ru/~kerghan/docs/links.htm -- выдает " The requested URL /~kerghan/docs/links.htm was not found on this server".
Где скачать эту OllyDbg ???

Kerghan :: да, просто сайтик обновил
http://isp.vsi.ru/~kergha...s/Kerghan%20-%20Links.htm

ЗЫ по ссылкам полазаешь, все со временем найдешь...
А вообще, почаще на этот форум заходи wasm.ru и cracklab.narod.ru

TOL-121212 :: Спасибо!!!

Kerghan :: Не за что




Grigoriy Взлом программы, читающей номер диска. Вопросы к асам Ситуация такая:



Grigoriy Взлом программы, читающей номер диска. Вопросы к асам Ситуация такая:
есть прога, под 98 и Хр
Она при запуске читает "что-то" с диска. На основе этого чего-то генерит число и выдает его тебе. ты его отсылаешь автору, он генерит другое число и шлет тебе. ты его вводишь - прога зарегистрена.
есть несколько путей обхода защиты:
1. узнать принцип генерирования числа и самому сгенерировать.
2. найти в проге место, где узнается это что-то на диске.
Есть инфа, что если "что-то" на диске идентично "чему-то" на диске программера, то прога сразу зарегена.
---
теперь по поводу "что-то".
Есть сильное подозрение, что это банальное GetVolumeInformation, врядли имеет отношение к ManufactureID хотя не стану утверждать.
У меня есть из инструментов:
Дельфи 7 (прога написана на 6 билдере)
Билдер 6
софт айс 4.05
WDasm.
Теперь вопросы:
куда рыть? поставил bpx GetVolumeInformation, но рядом не было подходящих cmp.
кроме того, написал прогу, в которой сам эту апишку вызываю, так даже в своей проге я не увидел номера тома...
он по адресу какому-то, но я и адреса не распознал...
короче нужна помощь, неделю бьюсь.
Kerghan :: В сотый раз: ДАВАЙТЕ ССЫЛКУ или хоть название проги скажи, а то так "подходящие cmp" и "что-то" можно искать ОЧЕНЬ долго.

freeExec :: Поставь бряк на DeviceIOControl, так читают сектора диска

Grigoriy :: Kerghan пишет:
цитата:
В сотый раз: ДАВАЙТЕ ССЫЛКУ


Ссылку дать не могу - прогу писал человек из нашей конторы. потом уволился, а прога оказалась вот так защищена.

.::D.e.M.o.N.i.X::. :: Grigoriy пишет:
цитата:
Ссылку дать не могу - прогу писал человек из нашей конторы. потом уволился, а прога оказалась вот так защищена.


А выложить никуда не можешь?

Grigoriy :: Для .::D.e.M.o.N.i.X::.:
Ребят, в том то всё и дело - прога - собственность фирмы, но программер ее защитил в обход нас. И теперь мы пользоваться ею не можем...
Могу выслать на мыло, но выложить не имею права, уж извините...

Kerghan :: если меньше метра, то кинь на kerghan@xaker.ru, а если больше - извини, у меня и так времени мало осталось

MozgC :: "Ребят, в том то всё и дело - прога - собственность фирмы, но программер ее защитил в обход нас. И теперь мы пользоваться ею не можем...
Могу выслать на мыло, но выложить не имею права, уж извините... "

По-моему ерунда полная. Прямо Джеймсы Бонды. Выложить не имеешь права. А ломать право имеешь?

Kerghan :: Для Grigoriy:
отошли лучше на kerghan@list.ru, а то xaker че-то не пашет

MoonShiner :: Хмм... че то мне кажется, что там жуткая лажа. Выкладывай куда-нить.

Grigoriy :: Ап

Grigoriy :: в смысле послал и что?

Sickle :: часто используют GetVolumeInformation, но это лажа, т.к. эта инфа меняется после форматирования винта :(

Sickle :: кинь мне на zarazza@torba.com

Kerghan :: Grigoriy
ща буду смотреть

Kerghan :: Grigoriy
дистриб кривой дошел
все пять файлов в архив кидани и перешли мне

freeExec :: По уму когда заключают контрак, то вся интелектуальная собственнось, "изобретенная" во време работы пренадлежит работадателю, чтобы таких траблов не было. Ктому же если тот чувак действительно обладает бумагой о провах на данный продук, а ты его сломаешь, то отвечать быдешь даже не ты а деректор, или кто там имеется. та кто лутше договорится с тем мужиком за пивом.

Grigoriy :: freeExec пишет:
цитата:
та кто лутше договорится с тем мужиком за пивом.


Кто бы против?! Он утверждает, что исходники пропали, а алгоритма генерации он не помнит... Или делает вид, что не помнит... Вобщем человеческий вариант тут не прокатил, потому я и на форуме КрэкЛаб, а не на форуме "Человеческие отношения"
Теперь к делу.
СофтАйс тормознул на GetVersion, запустил прогу, потом bc * , потом bpx GetVolumeInformationA и f5.
Ну и что?! Остановился он в кернеле, а мне бы надо либо на строку раньше в проге вернутся, либо хреначить через весь кернел, пока не вылезет обратно в прогу?
WDASM пробовал. АвтоСтеп. но до нужного мне момента так и не добрался, долго.
Ведь я знаю, точно знаю - юерется метка тома и где-то в памяти лежит. Мне бы дамп памяти в этот момент снять, адрес переменной установить, может тогда я и смогу либо занопить сравнение, либо узнать где мой номер сравнивается с номером родного харда программера.
А за советы спасибо. Извините, если слишком ламьем отдает, первый раз...
ЗЫ отошлю прогу...

freeExec :: При поподании в кернел нажми Ф12. И видно мужик тот гонит, т.к. вспомнить алгоритм, поковырявшись в асме не проблема. Сам испытал такое дело, когда ИСХОДНИК прогИ генерации паролей для всяких фОРУМОВ НАВЕЧНО ОСтался на ЭмертвойЭ дискте, да упокой ее душу.

Grigoriy :: С софт айсом мне как-то трудно работать. Видимо я его слишком мало знаю. Такой вопрос - можно ли скинуть на винт дамп памяти в определенный момент? Ведь там я найду и номер своего диска.
А я скачал 10 ВДАсм и он оказался лучше 8.3.
Вот что я сделал:
Ведь, как мне известно, программа загружаясь проверяет - не зарегена ли она. Как это она делает - берет из реестра ключ и сравнивает его с результатом своих вычислений на основе сериал_нумера моего диска.
Отсюда я сделал вывод - как только из реестра будет вынут ключ (для простоты я задал FFAAFFAA), он обязательно будет сравнен с тем, что должно быть. И мне останется только это "что должно быть" выписать и потом внести в окошечке регистрации.
Но есть несколько проблем:
1. При считывании из реестра берется строка (ключ там так хранится :-( )
2. Я так понял потом идет StrToInt на асме, что я долго прохожу.
3. Я так и не нашел место, где происходит сравнение реестрового ключа с вычисленным - я привык понимать под сравнением cmp, а там есть еще test, и всякие джампы, которые я просто не понимаю.
И еще - я даже не смог найти, зная свой сериал_нум (b80a9325) его в памяти.
то есть опять вопрос дампа встает...

freeExec :: дамп без знания оффсета в дампе всего лишь, мусор :( такчто тыдолжен найти тот самый злополучный СМР. А комманда ТЕСТ всеголишь проверяет (в данном случаи думаю так) не равенл ли операнд 0.

Kerghan :: По-моему легче замутить при проверке ключа из реестра, потомучто никаких мессег при регистрации не выодится. ИМХО регистрация проверяется призапуске проги.

Кстати, в проге я не нашел даже намека на авторские права, поэтому выкладываю сюда
http://isp.vsi.ru/~kerghan/vsp.rar

Kerghan :: делов то:
код: 334758462
серийник: 512384658

тока я вот думаю, если код другой, серийник может не подойти, так что если не попрет, напиши свой код, я еще бошку поломаю.

ЗЫ

Че-то я уже задолбался писать...
Корче, лучше попробуй сам, вернее будет
Я юзал OllyDbg, но думаю сайс тоже потянет.
Ставим бряк на

0042FFFE

Жмем F9(Run)
Ставим бряк на

0048840F

Жмем F9 три раза
Смотрим значение в EAX, должно быть девятизначное значение - серийник и есть, можешь вводить и радоваться.

Grigoriy :: Проверь почту, пожалуйста.
серийник безусловно другой, буду следовать твоим советам.

freeExec :: Kerghan чето архива нет :(

Kerghan :: вежливо попросили убрать
если хочешь я на мыло кинуть могу, тока не думаю что смысл особый есть, так как серийник найден, а дело теперь стоит только за кейгеном
Кстати, прога какие-то кривые рисует, так что не думаю, что она здесь кому-то полезна будет

Grigoriy :: прога абсолютно бесполезная, ее работа - рисовать кривые формата, который выдает наш прибор и не более того. Но в ней заблокированы сохранение и печать.
А вот мне придется, пожалуй, скачать прогу, которой пользовался ты, ни WDAsm ни СофтАйс не привели к "вводить и радоваться" - не подошел ни один код, кстати они у меня не 9-значные...
Кстати бряк на 48840f привел к тому, что сначала появляется окно с caption=Окно1, а уж потом (после пары ранов) добавляется незарегистрированная программа. Т.е. где-то в этом месте...

Может я повторюсь, но ИМХО три пути у меня:
1. раскрыть алгоритм (практически нереально, с моим "опытом")
2. узнать придуманный прогой номер (наиболее достидимый путь - код в памяти, вот только на каком этапе его брать...)
3. найти место сравнения номера диска с номером диска программиста и изменить там условие (нереально - номер диска вычислить практически невозможно, а поиск по памяти программы наверное и не существует - сделать так - если в памяти проги появилось b80a9325, то бряк...)

Kerghan :: да, сам проверял недавно, WDasm в этом деле абсолютно бесполезен. Я письмо тебе отправил, там ссылки и все такое, думаю разберешься




Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю



Незнайко при запуске Меss. http://www.borda.ru/img/allsm2.gif Кокда я запускаю прогу,она паказивает Меss(Зарегиструйте....). Потом запуск.
Что зделать для того чтобы небыло при запуске Меss.????
MozgC :: Не знаю, для начала выучить русский язык и называть вещи своими именами...

Kerghan :: Че-то я не понял причем здесь смайлы

Вообщем так:
1. поискать в ResHack’е эту самую мессегу
есть - убить и радоваться жизни, нету - пункт 2.
2. Открывай отладчик и трассируй прогу, пока не найдешь функции типа ShowWindow, UpdateWindow и т.д
3. Собственно решение:
а: обычно перед вызовом этого окна идет проверка на регистрацию, так что нужно искать je/jne и править на противоположное(или nop/jmp)
б: занопить вызов функции, но этот вариант не слишком хорош, хотя иногда приходиться им пользоваться

НО если прога требует регистрации, может стоит её зарегистрировать :) а то убьешь, а она дней через двадцать рабоать перестанет ;)

MozgC :: А мне показалось что он просто про MessageBoxA говорит. Если так, то говорят можно его как-то отловить.
А смайлики конечно не в тему =)

Kerghan :: MozgC: find-->MessageBoxA-->BPX

Если MessgeBox или ShowMessage, можно текстовую строку поискать(типа "Please registred")

Незнайко :: Нашол в WinHex строку: "Please registred...", и...... ???

MozgC :: Kerghan я не понял, не мог бы ты попродробнее объяснить как отловить MessageBoxA плиз ?

MozgC :: Короче Незнайко мы угараем.

Вообще я боюсь что трудно будет тебе объяснить что нужно делать. Лучше почитай статьи пока для новичков. Например мои 2 статьи. Когда немножко разберешься будет легче. Потому что мне кажется что у тебя щас такой уровень что объяснять что делать с MessageBox’ом и т.д. бесполезно. Без обид если что...

Kerghan :: MozgC
ничто так не поднимает настроение, как самореклама
ты бы ему еще ссылку на фак дал

Kerghan :: Незнайко
mov.....EAX,4321
cmp......1234,EAX......................;....1234-п равильный серийник, 4321-твой :)))
je......... 40100F.........--------/
PUSH.....0........................ /............; /Style = MB_OK/MB_APPLMODAL
PUSH.....402005............... /...........; /Title = "Name_Window"
PUSH.....402000................/...........; /Text = "Please registred"
PUSH..... 0........................./..........; /hOwner = NULL
CALL.......004011EA............/...........; \MessageBoxA
Начало_программы...<---/

Думаю объяснять смысла нет, но все же...
При загрузке прога читает из реестра или еще откуда информацию о регистрации(зарегена или нет)(фактически это сравнение cmp), если зарегена, то прога сразу переходит к своему выполнению, если же нет то показывает наг определенное время(либо просит нажать OK).
Чтобы избавиться от появления окна нужно исправить je на jne(если jne, то на je).

MozgC :: Kerghan
Когда мне до сих в день приходит по несколько писем и люди пишут что статьи очень понравились и считают их самыми лучшими, то я думаю что лучше посоветовать их, чем какие-то другие. На фак тоже могу ссылку дать и ничего такого здесь не вижу. Если бы мне не писали, я бы и не давал ссылки на свои статьи. А раз пишут - значит нравится.

Kerghan :: MozgC

цитата:
На фак тоже могу ссылку дать и ничего такого здесь не вижу.


Так и я о том же

ЗЫ Чего там насчет 98’ой версии?

MozgC :: Да я ее пропушу, вообще там осталось работы на 30 минут и хоть сразу можно уже полный фак выпускать, но я че-то никак не собирусь... влом.. уже так настое...л этот фак. Всмысле больно он большой, за...ся я писать..
Больше не буду я такие большие статьи начинать писать. А то пока пишешь - надоедает...

Незнайко :: (Смотри 16.09.2003 22:27)
Нашел я в программе OllyDbg ....jne.... заменил на je ; Запускаю Ran ...Все ОК! нет МЕСАГИ !!!
Но теперь как сберечь новый .EXE-файл.?

Kerghan :: юзай Hiew, Olly не сохраняет изменения в файле

Незнайко :: Ok!!

Незнайко :: Да!! да !!! Взломал, как это приятно!!!!
Благодарю всех кто помог! (Kerghan)

Незнайко :: Kerghan Подскажи прогу с Виндовской оболочкой
(Hiew ---Dos)

Kerghan :: иш чего захотел. командная строка - другого не ищи

MozgC :: Незнайко
Если ты уже знаешь машинные коды что на что патчить и адрес в файле, то используй Hex WorkShop - он для Windows и мне нравится. Перевести асм команды в машинные коды можешь например QView или Hview тут уж ничего не поделаешь - досовские, адрес в файле можешь посмотреть тем же Hiew или PE Tools, Lord PE а еще IDA, Win32Dasm. Только вот вместо этого всего для патча можно использовать Hiew. Не проще ли? Мне кстати он тоже не нравится, но не могу не признать, что все таки им проще =)




DiveSlip Асы помогите! Уважаемые асы, у меня возникла проблема, которую я...



DiveSlip Асы помогите! Уважаемые асы, у меня возникла проблема, которую я никак не могу решить. Она заключается вот в чем, у меня не работает айс (он не пишет MSR LastBranchIPFrom и LastBranchIpTo при установки бряков на bpm XXXXXXXXX x и ему подобных). Затем другая проблема, не работает Ида Про при попытке открыть файл для дизассемлирования (просто нажимая клавишу Open), выдавая следующее сообщение: «Actions OpNumber and BitwiseNegate have the same hotkey» - может кто-то знает, что это означает. Я просто не знаю что делать. По совету MozgC решил воспользоваться одной из команд IceExt - !lastbranch (выдает только нули, т.е. MSR LastBranchIPFrom и LastBranchIpTo равны 000000000). Я даже письмо написал разработчику этой утилиты (Вот его краткий ответ:«Однако на практике !lastbranch не оправдала моих ожиданий -она нули практически всегда выдает. :) Единственное, когда онасрабатывает - это когда и сам айс пишет LastBranchFromIp иLastBranchToIp»). Может кто-нибудь сталкивался с этим? Или есть какие-нибудь мысли по этому поводу? У меня установлен Driver Studio v2.7. ОС-Windows XP (Version 5.1 Build 2600).
Работаю на P4(800 FSB, Hyper Threading - проверил и при выключенной опции HT не работает ни Айс, ни Ида).

Kerghan :: юзай OllyDbg
и никаких проблем

3acpaHeLI :: DiveSlip есть такая трабла уже почти неделю бьюсь никак не вьеду залил ds 3.0 а толку ни х*я. Нету MSr ов и все кроме того ds 3.0 на бря ки api ваще не срабатывает поставил bpx GetModuleHandleA сработал только при выключении компьютера!! нехочет sice работать и все ктое сли знает посоветуйте че дельное а то х з че делать :-¦((

DiveSlip :: Так я понять не могу, почему не работает. Сначала я на Windows XP грешил, переустанавливал (с разных дисков, с Service Pack 1 и без него), но во всех версиях одно и тоже, теперь грешу на железо, думал что из-за Hyper Threading, я эту опцию отключил, переустановил все (ОС, Айс, Ида), все равно не работает.

3acpaHeLI :: х з на на етот вопрос еще никто мне тоже не ответил а на счет железа то у меня тоже p4 но не ht
я думаю мож софтина какая мозги е*** сначала у меня вообще аис висел при запуске потом выяснилось что c avp сосулька конфликтует, хотя мож и в железе дело ??????

3acpaHeLI :: ведь есть же люди у кого на XP cосулька пашет отзовитесь!!! как настроить

nice :: 3acpaHeLI
Я встречал в сети много подобных проблем, у меня у самого айс не работал(сейчас пока не ставил),
но все сводилось к тому, что без SP1 вообще всё ок, а с ним надо:

http://reversing.kulichki...es/debug/nticexppatch.rar
+
ftp://ftp.compuware.com/p...utgoing/OsInfo/OSINFO.DAT
+
ftp://ftp.compuware.com/p...going/utility/nmtrans.dll
+
ftp://ftp.compuware.com/p.../patches/osinfo_XPSP1.dat

DiveSlip :: Для nice: а это для любого Айса?

DiveSlip :: Может кто-нибудь знает что означает сие сообщение Иды: «Actions OpNumber and BitwiseNegate have the same hotkey»

nice :: DiveSlip
Вроде как последние 3 ссылки, для 3.00 final
А 1 для 2.7
Но если не работает, эксперементируй, ты же ничего не потеряешь...

Это у тебя IDA в какой винде материться, какая ида, и какой файл?

DiveSlip :: Для nice: если тебе не сложно, может скажешь куда какие файлы вставлять?

DiveSlip :: Ида матерится в Windows XP (с Service Pack 1 и без него). Ида версии 4.17 и 4.30. Матерится при нажатии на кнопку New (это когда она загружается) и при Open, то есть даже не открывается окошечко где выбрать необходимый файл.

3acpaHeLI :: да не я все эти патчи пробовал че то не прокатывало
в директорию windows/system32/drivers
а numtrans в дир softice

3acpaHeLI :: DiveSlip на счет иды не знаю толко вчера скачал 4.3 вроде все нормально открывает

nice :: DiveSlip
Попробуй этот конфиг заменить, для 4_30 на mailto:diveslip@pochta.ru
Старый сохрани!

DiveSlip :: nice - не хочу огорчать, но Ида все равно не работает

nice :: DiveSlip
Да, что то тебе не везет, у меня IDA 4.50 с www.ttdown.com
10Mb она у меня под 9х не пашет, а в хр на ура!!!
вот линка(5 частей):
http://www.ttdown.com/SoftDown.asp?ID=20772
http://www.ttdown.com/SoftDown.asp?ID=20773
http://www.ttdown.com/SoftDown.asp?ID=20774
http://www.ttdown.com/SoftDown.asp?ID=20775
http://www.ttdown.com/SoftDown.asp?ID=20776

DiveSlip :: Что-то уж больно маленький файлик для Иды, но что делать придется закачать. Большое спавибо, nice.

nice :: DiveSlip
Да это «порезаная» версия, там нет отладчика, нет поддержки дос :(
Но под Win отлично работает, часть стгнатур, может проглотить из предыдущих версий, но не все




den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая



den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая программка Alchemy Network Monitor 4.9.7, «поломаная»(не до конца) tEAM-LUCiD. В ней осталась не работающей функция загрузки сохранненого файла настроек(юзается ф-я mfc OnOpenDocument), при попытке загрузить файл-настроек , выдается NAG скрин=( , пытаюсь восстановить данную ф-ю. Подскажите пожалуста в каком направлении копать.....
ЗЫ: брякаться на наг-скрине пробовал... не помогает
maybe руки не прямые.. =(
Kerghan :: если функция вырезана под чистую, то это болты :(

den :: дык, в том то и дело, что при вызове ф-ии OnOpenDocument(она есть в импорте),
каким-то образом выводится окошко НАГ’а (зис фичез вор ин регистеред версион онли =\ )...

Kerghan :: ты бы ссылочку дал или на мыло мне скинул kerghan@pisem.net

тока если больше полутора метров на мыло слать не надо

MoonShiner :: Да запихни файлик в ИДУ, найди этот тухлый наг, просмотри кроссрефы на него и все.

Kerghan :: MoonShiner

цитата:
maybe руки не прямые.. =(


ты уверен, что он сможет это сделать

den :: собсно прога h**p://www.demvar.lv/soft/sistema/monitor.exe

дык, про кроссрефам на НАГ в иде полазил и в si потрейсил.. побрякался.... НАГ могу нахрен убрать.. там несложно, а вот оживить ф-ю, которая загружает файл настроек не могу.
PS: прога запакована asprom (исследовал уже распакованную прогу)

MozgC :: Kerghan пишет:
цитата:
MoonShiner

цитата: maybe руки не прямые.. =(

ты уверен, что он смо


А МунШайнер тут причем ?



Guest123 UPX? Подскажите, вот нахожу в файле upx:
421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
PeID говорит OEP: 4061EE
как это просчитывается? 421fC4 - 35ee?
я, что то не пойму...

И вот еще:
После распаковки ReTools получался дамп, который, не мог изменить ImpRec 1.62+
Только, когда я с помощью LordRe сделал дамп, я его смог изменить.
Почему, неужели ReTools не коректно дамп создает???

freeExec :: Вообщене стоит доверять всяким ПЕИД, хотя для УПХ наверняка найден верно. А джамп помойму относительный, ты посмитри что Айс показывает

Guest123 :: freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...

.::D.e.M.o.N.i.X::. :: Guest123 пишет:
цитата:
freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...


Грузишь в айс, потом ставишь bpx getprocaddress, F5, F12, потом смотришь чуть ниже и видишь
что-то типа:
61 POPAD
E92A42FEFF JMP 4061EE
Вообще-то мне сдается, что ты не тот прыжок нашел. Проверь как я тебе написал через айс.

MozgC :: А я честно скажу я не знаю почему так =)
Можете помидорами бросаться =)

Kerghan :: MozgC
ты это к чему?

Guest123 :: Господа тот самый прыжок!!!
Я раньше уже ковырялся с UPX да и 000000 там их много после последней инструкции....
Я свой файл запаковал и думаю «дай ручками распакую», распаковал, и решил одну длл уже не свою распаковать, а эта DLL есть upx+ручками модификация, мне и понадабилось узнать какой OEP, а там такая же бяка ff ff 3a 22???

MozgC :: Kerghan
К тому что стыдно мне что я точно не знаю. Вот и думаю, щас будете смеяться надо мной, кричать «ламер! ламер! » и помидорами бросаться =)

Kerghan :: MozgC
ламер! ламер!

лови помидоры

MozgC :: мде...

Kerghan :: мда

freeExec :: Кхе-кхе ты по этому джампу на Ф8 жал? И вообще этот джамп в прочессе работы программы правится, а ХИЕВ показывает то что в файле находится.

MozgC :: Хехе, реально сказал.

BSL//ZcS :: Мужики, вы чего?

Блин. Времени нет нифига, работа и всё такое, на форумы давно уже не пишу, только просматриваю изредка. Но этот топик - это просто нешто какое-то. И здесь, и на васме. :(

2 Guest123:

Всё на самом деле гораздо проще.

Во-первых, ты неправильно понимаешь формат отрицательных чисел. На писюках они в дополнительном коде: грубо говоря, отрицательное число это - дополнение целого до единицы. neg(x) = not(x) + 1 Например, байт -5 равен (not(5) + 1) = (0FA + 1) = 0FB

Так что, 0FFFF35EE это не -35EE ни разу. Это -0CA12, у той же хьюшки в калькуляторе можешь посмотреть.

Во-вторых, ты неправильно понимаешь формат машинного кода команды перехода. При такой записи:
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
к адресу следующей за джампом команды (421FC4) надо прибавлять не то, что тебе пишет дизассемблер (он это один раз уже сам проделал), а смещение взятое из самой команды.

В коде E92A42FEFF это последние четыре байта в обратном порядке: 0FFFE422A.
Набрав в том самом хьюшкином калькуляторе 421FC4+FFFE422A ты легко получишь адрес перехода - тот самый 4061EE.

В-третьих, это не баг Hiew. Это поведение неочевидно и неприятно, но вполне логично. А ты неправильно понимаешь формат записи адресов хьюшкиным дизассемблером. ;)

Локальные смещения в хьюшке показываются с точкой в начале. В том же upx-овском распаковщике двумя командами выше того popad есть безусловный переход в рамках секции, и у него точка есть. У этого перехода точки нет - из чего можно сделать вывод, что хьюшка, не найдя в файле секции, в которую попадает этот адрес, обрабатывает его как глобальный, а, поскольку файл пакованый, и данных в секции меньше, чем распакованном виде, глобальное смещение в файле вылетает за верхнюю границу файла и становится отрицательным.

Так что, с этим всё правильно, хотя, конечно, SEN мог бы как-нибудь обработать такие случаи. Свои глюки у хьюшки есть, но этот не из их числа.

А насчёт того, что тебе наговорили - не слушай их, они тебя плохому научат. ;) Адрес перехода на oep у upx-а зашит при упаковке и при работе не правится. Искать переход на oep как-нибудь ещё, в твоём случае тоже совершенно не обязательно - у большинства упаковщиков (не протекторов) этот переход находится на глаз, у upx-а он вообще идёт последней командой в секции распаковщика, в общем, ошибиться сложно. На васме тоже отличились: никаких четвёртых гигабайтов и нулевых колец в глобальном смещении по файлу быть не может, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.

Ладно, что-то я разошёлся. :) Опять, по своему обыкновению, наехал на всех подряд. :)

ЗЫ: Единственный, кто порадовал, это MozgC, который на этот раз, на удивление, занял совсем несвойственную ему позицию. ;))

nice :: BSL//ZcS
Пасибо за разьяснения, а то ламер-ламером, теперь понятно стало, сейчас по мучаю, что бы автомата добится

MozgC :: Позиция мне свойственна. Если я не знаю, то я говорю, что не знаю. Если я знаю, то говорю то, что знаю =)

MoonShiner :: Дааа... BSL//ZcS опять всех залошил и засрал:) Вдвойне обидно, что и ответно наехать нельзя, так как он прав:)

Runtime_err0r :: BSL//ZcS

цитата:
, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.


Вот это, блин, новость !!!! Что это за дамперы такие интересно ??? Ни разу не видел, чтобы после дампа прога, запакованная UPX’ом работала на другом компе (на своём-то она, ясен бивень, пойдёт ). Так что либо MAKEPE в TRW2000 либо Revirgin’ом.

MoonShiner :: А у меня работала:) И до сих пор работает. Может имелся в виду какой нмть непорегенный аспак? Там уж точно импреком его колбасить - извращение.




Kerghan Using SoftIce. Руководство пользователя нашел тут одну доку по сайсу.



Kerghan Using SoftIce. Руководство пользователя нашел тут одну доку по сайсу. может кому будет интересно.
называется «Using SoftIce Руководство пользователя». Формат pdf. 900kb. Сам не читал, но помойму вешь занятная.
Блин, чуть ссылку не забыл
http://isp.vsi.ru/~kerghan/docs/siug401.zip
[RU].Ban0K! :: Эта ВЕЩЬ... уже как полгода валяется на моём сайте.. (или на том что от него осталось...) ... потому она и ВЕЩЬ.. что она там валяется...

Kerghan :: [RU].Ban0K!
блин, ну валяется и валяется... Просто я её до сих пор нигде не видел. сайсом я сам не пользуюсь, просто решил ссылку кинуть, мож нужно кому :-\

GL#0M :: Kerghan пишет:
цитата:
сайсом я сам не пользуюсь


А чем же тогда?

-= ALEX =- :: свой дебагер поди написал ?

UnKnOwN :: Для Kerghan :

Сенкс за сылочку, очень интересно...

Kerghan :: -= ALEX =-
с х..ей не работаю (не в обиду SI)

ЗЫ ollyDbg

-= ALEX =- :: Что-то я не нашел в этой доке, то что меня интересовало, а именно как поменять цвета и вид сайса....

freeExec :: Функцию COLOR помойму еще не отменили

-= ALEX =- :: Да понятно это, но как именно поменять цвета, т.е. там же цвета не RGB, вот и хотелось бы знать, где что куда писать, чтоб был такой-то цвет....

[RU].Ban0K! :: Kerghan
:) OllyDBG рулиз!!!
Для -= ALEX =-:
А в 4.01 можно было менять цвета?

wl :: Извините за ламерство, но мне нравится отладчик, который в C++Builder, до работе использую этот язык, удобно просто... с софт-айсом давно не работал, даже и забыл наверное, что там к чему... а доку выкачиваю(на всякий случай :)

freeExec :: Я для отладки прог на Асме использую от VS C++




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой),



Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой), которое появляется при запуске программы. Никто не пробовал его убрать? Сначала попробовал просто снести его из ресурсов, подредактировать чтобы само закрывалось - не получается, вываливается ошибка и программа закрывается. Под отладчиком тоже ничего не выходит - программа вылетает с сообщением об ошибке. Пробовал найти функцию создания нага и забить ее nop-ами - тоже не вышло - опять ошибка.
По показаниям PEiD 0.91 программа написана на Borland C++ 1999 г.в, но в это как-то слабо верится... Что же там за такая хитрая защита с обнаружением отладчика (OllyDbg)?

Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.
nice :: Gloomy
А ты бы ссылку дал...

MC707 :: Что ж ты так информативно прогу описываешь, ни что за прога, ни что-где-как, ни даже ссылки на нее...

UnKnOwN :: Gloomy пишет:
цитата:
Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.


Ковырял, ЧТО......?

MoonShiner :: В иду запихни и не мучайся... И ваще непонятно, че за проблема может быть с нагом...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
Ковырял, ЧТО......?


Eburg на блюдечке 4 наверно... наверно так прога и назвается...

UnKnOwN :: Для MozgC [TSRh]:

сорри, что -то тему завтыкал...

Gloomy :: Программа называется Екатеринбург на блюдечке 4. По-русски я не написал слово «Екатеринбург» потому что форум глюканул и стыдливо прикрыл гордое имя моего города дурацкими символами.
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести. Сама программа занимает целый диск так что ссылки дать не могу, тема рассчитана на людей, либо живущих в Екатеринбурге, либо туда приезжающих, либо просто на тех кто эту программу юзает.

MoonShiner :: Gloomy пишет:
цитата:
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести


Не понял этой фразы... Ты ж не будешь над всем кодом сидеть. Пройдешься по именам и найдешь подозрительную ботву...

angel_aka_k$ :: MoonShiner
я думаю ему проще будет 2 метра кода разобрать




Ash Глючит SoftIce под ХР!! Спецы помогите начинающему!!!!



Ash Глючит SoftIce под ХР!! Спецы помогите начинающему!!!!
SI скачал с портала .::D.e.M.o.N.i.X::. Ставиться нормально. Вылазиет по Сtrl+D. Но после второй перезагрузки системы перестает!!!! Т.Е. Все виснет, он как бы вылазиет, но я окна не вижу. Пробовал падчи - не помогает.

Люди - помогите!!!
Ash :: Может есть какое исправление?
Мыло bletenkov@infonet.nnov.ru
За ранее благодарен!!

Kerghan :: хорошее исправление OllyDbg v.1.09d

MozgC [TSRh] :: Видеокарту поменяй в настройках. Поэксперементируй там с Universal Video Driver или Standart VGA...

freeExec :: MozgC [TSRh] А почему она тогда в первый раз вылазила, правдо если он в первый раз чето начал менять в настройках, то да.

[RU].Ban0K! :: Для freeExec:
У меня тоже всё из-за видюхи не пахало... но и в первый раз окно не вылазило... я поменял на стандартные драва поставляемые с САйсом... и всё пошло... и я наконец-то разобрался с проблемой мышки...

UnKnOwN :: Для [RU].Ban0K!:

а какая у тебя была проблема с мышкой....?

У меня тоже есть проблема, не знаю как лечить...

Sem :: Подредактируй в реестре HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIW VID

измени 2 ключа c siwsym на siwvid

вроде всё

Ash :: Ладно! Не парьтесь! Скачал новую версию. У .::D.e.M.o.N.i.X::. там все работает! Ему отдельное спасибо!




Skyer WinDasm v10 виснет на больших файлах. На reversing.net написано, что 10



Skyer WinDasm v10 виснет на больших файлах. На reversing.net написано, что 10 версия может работать с многомегабайтными файлами. Я загружаю файл 4 мегабайта(делал взлом согласно статье про программу Alcohol), и WDasm виснет. Что делать?
Kerghan :: OllyDbg

GL#0M :: Skyer
Используй IDA (Interactive Disassembler Advanced) и всё будет путём.

Skyer :: Kerghan
Что такое OllyDbg?

GL#0M
IDA тот файл тоже ОЧЕНЬ долго дизассемблировал, я даже не дождался.

UnKnOwN :: Для Skyer: Нужно иметь хотя бы немного терпения

vins :: у меня 6-ти меговую прогу нормально открыл

Noble Ghost :: А у меня файл листинга одной проги весил ~70 метров. Дизасмил в нём же.

XoraX :: Skyer пишет:
цитата:
IDA тот файл тоже ОЧЕНЬ долго дизассемблировал


ИДА к твоему сведению и небольшие файлы не сразу дизмит.... зато каки возможности.... почти все что захочешь.

nice :: Skyer
То, что он виснит, совсем не значит, что это из-за размера, если используются «специальные» приемы,
то такой эффект и будет...

Kerghan
А ASPR можно с помощью Olly распаковать???

Kerghan :: Skyer
OllyDbg v.1.09d лучший дебаггер после сайса, ссылку я уже не помню, сам найдешь

nice
теоретически, я не пробовал

Dr,Faust :: Дружок если ты лмоал Алкоголь согласно статье, то наверно пропустил строку что ДАСМ ни 8 ни 10 Алкоголь не берет!!! Его только Идой, ну или какими-то альтернативами. А 10 Дасм виснет не от размера, я ним 13 мег *.ехе дизасембил и ниче! Просто в проге типа защита :)

GL#0M :: nice пишет:
цитата:
А ASPR можно с помощью Olly распаковать???


Им и арму распаковывают... и аспр.

Mario555 :: Последний Алкоголь лучше в DeDe.

nice :: GL#0M
Серьезно??? Порадовал, а ссылки на статейки не дашь?

Kerghan :: Mario555 пишет:

цитата:
Последний Алкоголь лучше в DeDe.


Последний Алкоголь лучше с закуской

GL#0M :: nice
Да там их много
поищи в google.com.ru
а так вот http://www.hackemate.com....589186cbc517d78f692920e2b




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




UnKnOwN IDA PRO V4.17 Вот наш



UnKnOwN IDA PRO V4.17 Вот нашёл в инете эту прикольную штуку, её размер 23Mб, как думаете стоит качать ???
Dred :: нет

MozgC [TSRh] :: Точно не скажу, но вроде бы у версий 4.17 и 4.30 были проблемы под WinXP. Может я не прав. У самого 4.15 стоит, правда с сигнатурами тупит =)

UnKnOwN :: Нет я в смысле стоит качать или нет, помните была тема, что IDA Pro неполная версия, у всех она 12 метров занимает а тут 23 метра...

Kerghan :: UnKnOwN
думаю, нет. Да и вообще не очень понятен ажжиатаж по поводу этого продукта.

UnKnOwN :: Ладно, всё понял качать не буду...

MozgC [TSRh] :: Про 12 мегов это говорили про обрезанную иду 4.5
Если у тебя нет никакой иды, то по любому надо скачать хоть какую-то версию
Я вообще не понимаю как серьезные проги можно без иды ломать.

XoraX :: UnKnOwN , зачем ИДА тебе ;)

dragon :: Правильно, качай лучше 4.30, эта поудобнее будет.

MoonShiner :: MozgC [TSRh] пишет:
цитата:
Я вообще не понимаю как серьезные проги можно без иды ломать.


Гы:) а несколько месяцев назад я тебе втирал, что «пихай в ИДУ», а ты говорил, что мол нафиг она нужна, виндасм круче:)

Kerghan :: MoonShiner
не, виндасм это и в самом деле г., но имхо ollydbg куда круче, и дизассемблер и отладчик, корче спросите у [RU].Ban’ка

GL#0M :: MozgC [TSRh] пишет:
цитата:
у версий 4.17 и 4.30 были проблемы под WinXP


Не знаю, у меня 4.30 стоит. Всё нормально пашет. hxxp://www.crackbest.com/...et.asp?id=81&type=1&url=1
(31mb, пароль к архиву: www.crackbest.com)

MozgC [TSRh] :: GL#0M
Ну я ж сказал что не уверен =) Просто где-то слышал вроде.

MoonShiner
Времена меняются, был неправ. Реально Ида - вещь.

GL#0M :: MozgC [TSRh] пишет:
цитата:
Ну я ж сказал что не уверен =) Просто где-то слышал вроде.


Да я понял, всё нормально, просто ссылку дал.




магдалена Что значит ставить бряк на функцию? Откуда я могу узнать какая это



магдалена Что значит ставить бряк на функцию? Откуда я могу узнать какая это функция? Эти функции общие или индивидуальные в каждой программе?..например -Hmemcpy или Getwindowtexta
и как узнать где эти функции есть в исследуемых прогах?
-= ALEX =- :: под словом функция в данном контескте явно подразумеваются АПИ функции... они впринципе одинаковы во всех маздаях, и используются для различных целей :) Как найти эти функции.... покапаться в проге, например в отладчике найти что-то типа Call Kernel32!GetWindowTextA, это и есть апи функция GetWindowTextA... можно в дизассемблере найти похожее... :)

Kerghan :: магдалена
очень советую с отладчиком OllyDbg поработать... несколько дней, про сайс забудешь на фиг. И таких вопросов возникать у тебя не будет, да и winapi с его помощью учить легче

магдалена :: А где найти материалы на русском для OllyDbg???

Kerghan :: магдалена
таких доков почти нет. Пожалуй единственное я видел у [RU].Ban’ка на int3.net, щас сайт на доработке.
Но там тоже особе ничего нет, только перевод фака

MozgC [TSRh] :: Попроси Kerghan’а написать =)

Kerghan :: MozgC [TSRh]
ты знаешь, я не пишу статей.

STiNGZ :: Неплохой тутор по Olly есть на Cydem’e - http://cydem.org.ua/pars.php?lnk=olly&conf=12.

MozgC [TSRh] :: Kerghan пишет:
цитата:
ы знаешь, я не пишу статей.


Ну зря, попробовал бы написать по OllyDbg а то всех агитируешь а инфы для новичков мало. Неправильную политику агитации ведешь! =)
Надо что-то типа «Если вы проголосуете за OllyDbg вы получите простоту и удобство, а также бесплатно тутор на русском для новичков с подробными объяснениями по работе в этом замечательном отладчике!» и т.д. =)

PS. Мне софтайс больше нравится.

XoraX :: Именно, Kerghan, напиши.. а то я не впервые слышу, что Олли рулит... а без тутора его изучать не очень охота.... пока у меня сайс рулит

-= ALEX =- :: у меня тоже сайс рулит !!!!!!!!!!!!!!!!!!!1

UnKnOwN :: Короче 80% людей с форума пользуется Сайсом.

так что Kerghan попробуй написать тутор по Олли,
может кто и перейдёт на него...




MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10...



MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10
-= ALEX =- :: я не слышал, да и не пользуюсь им...

MC707 :: Я перешел на него недавно с айса и не жалею. Хотя на вкус и цвет...

infern0 Re: MC707 :: дело в том что olly - это user-level отладчик и поэтому с icом не сравним в принципе. Его можно сравнивать разве что со встроенным отладчиком IDA (который по моему мнению гораздо полезнее).

MC707 Re: infern0 :: Зря ты так. Я согласен конечно, что олли - юзерлевел, а айс - он проф. На уровне ядра. Так я же не говорю, что олли лучше и кидайте все айс нафиг. Я имею ввиду, что для моих целей МНЕ олли и удобней, проще и с ним гораздо быстрее идет весь процесс.

-= ALEX =- :: а я все найти его не могу в своих downloads’ах :)

UnKnOwN :: для -= ALEX =-

Прикинь я тоже ...

infern0 :: MC707 пишет:
цитата:
Зря ты так. [skip] Так я же не говорю, что олли лучше и кидайте все айс нафиг. [skip]


почитай еще раз мой ответ. Где я сравнивал ice и olly ? Единственное что я написал - что это РАЗНЫЕ отладчики и область применения у них разная. А то что IDA в разы удобнее Olly - это факт :)

nice :: infern0
А у тебя полная ИДА?
Может где качнуть можно...

UnKnOwN :: Для nice

я в инете где то видел полную версию, но сайт был китайский, и ссылка была дохлая...
Жалко...

MC707 :: У меня машина между прочим Celeron-500 (все - га-га-га) и ИДА на ней дизасмит 3-метровую прогу час наверно. Это мне не катит. Хотя пользуюсь часто. А идовским отладчиком ни разу не пользовался.

MC707 :: Для nice
А тебе какую версию нужно?
У меня есть 4.30 full. Мог бы залить на сервак. Но он глюкавит пока чего-то...

Хотя, не, ве чего?
Вот же у DeMiNiX-а http://reversing.kulichki...net/files/dizas/dizas.htm . Рабочая. Только что проверил!

nice :: MC707
Начиная с 4_50(полной) паоявилился отладчик :(
4_30 у меня есть




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23



vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL




MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10...



MC707 New OllyDbg Народ, слышали что новая OllyDbg на подходе? Версия 1.10
-= ALEX =- :: я не слышал, да и не пользуюсь им...

MC707 :: Я перешел на него недавно с айса и не жалею. Хотя на вкус и цвет...

infern0 Re: MC707 :: дело в том что olly - это user-level отладчик и поэтому с icом не сравним в принципе. Его можно сравнивать разве что со встроенным отладчиком IDA (который по моему мнению гораздо полезнее).

MC707 Re: infern0 :: Зря ты так. Я согласен конечно, что олли - юзерлевел, а айс - он проф. На уровне ядра. Так я же не говорю, что олли лучше и кидайте все айс нафиг. Я имею ввиду, что для моих целей МНЕ олли и удобней, проще и с ним гораздо быстрее идет весь процесс.

-= ALEX =- :: а я все найти его не могу в своих downloads’ах :)

UnKnOwN :: для -= ALEX =-

Прикинь я тоже ...

infern0 :: MC707 пишет:
цитата:
Зря ты так. [skip] Так я же не говорю, что олли лучше и кидайте все айс нафиг. [skip]


почитай еще раз мой ответ. Где я сравнивал ice и olly ? Единственное что я написал - что это РАЗНЫЕ отладчики и область применения у них разная. А то что IDA в разы удобнее Olly - это факт :)

nice :: infern0
А у тебя полная ИДА?
Может где качнуть можно...

UnKnOwN :: Для nice

я в инете где то видел полную версию, но сайт был китайский, и ссылка была дохлая...
Жалко...

MC707 :: У меня машина между прочим Celeron-500 (все - га-га-га) и ИДА на ней дизасмит 3-метровую прогу час наверно. Это мне не катит. Хотя пользуюсь часто. А идовским отладчиком ни разу не пользовался.

MC707 :: Для nice
А тебе какую версию нужно?
У меня есть 4.30 full. Мог бы залить на сервак. Но он глюкавит пока чего-то...

Хотя, не, ве чего?
Вот же у DeMiNiX-а http://reversing.kulichki...net/files/dizas/dizas.htm . Рабочая. Только что проверил!

nice :: MC707
Начиная с 4_50(полной) паоявилился отладчик :(
4_30 у меня есть




MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться...



MC707 OllyDbg vs ASProtect Вот нашел вот такое описание того как прерваться на ОЕР, но блин нифига не понял. Может кто наглядно объяснит?
There are multiple ways of obtaining OEP of AsProtect file in Ollydbg. Here’s one:
1) Execute file as normal, counting the number of exceptions. Pass each exception to prog.
2) Restart program, count the number of exceptions - 1.
3) ALT-M, Right click memory address that is app code. Set «break on access».
4) Run prog. Ollydbg will break on OEP.

-= ALEX =- :: MC707 к Kerghan’у обратись, он вроде спец по этому дебагеру...

Kerghan :: MC707
Все гениальное просто. Почти дословный перевод.
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).
2)перегружаем программу и останавливаемся за одно нажатие shift+f9 от запуска программы
3)жмем alt+m и, кликнув правой кнопкой по адресу(в 5ой колонке слева должно быть написано «code»), ставим break on access(F2), или можно поставить бряк на память set break memory on access
4)жмем shift+f9 последний раз и прерываемся на OEP
прошу прощения за мой нелитературный язык

-= ALEX =-
хоть кто-то меня рекламирует

MC707 :: Куль. Я тут подробнее в Олли погружаюсь и уже кое-чо понимать начал
Для Kerghan. Сэнкс. Все понял, не смотря на
цитата:
нелитературный язык


MozgC [TSRh] :: Kerghan пишет:
цитата:
1)загрузите программу под отладчиком. нажмите F9(run), программа прервется(а в самом низу окна появиться нечто вроде press shift+f7/f8/f9), жмем Shift+F9 до тех пор, пока программа не запуститься не забывая считать число нажатий(где-то от 10 до 30).


Мде это пиздец... считать число нажатий =))))))))

UnKnOwN :: MozgC [TSRh] пишет:
цитата:
Мде это @!#$ ец... считать число нажатий =))))))))


Особенно если 30 то и клаву можно нафиг выкинуть...

MC707 :: Вот выйдет новая версия его (олли) и все будет гораздо проще и круче

Kerghan :: UnKnOwN
MozgC [TSRh]
че вы в самом деле, я помню кто-то когда аспр с помощью сайса распаковывал тоже прерывлся на бряке 50 раз. Так ведь никто ж его за это не убил.

MozgC [TSRh] :: Не убил, но мое мнение было таким же. Не думай что у меня какая-то предрасположенность к олли. ПРосто в любом случае считать срабатывания это все фигня =)

test Re: MozgC [TSRh] :: В этом случае как раз удобно считать.На последнем -bpm на секции кода и ты на OEP!Интересно
а softIceом сколько времени уходит на распаковку?

MozgC [TSRh] :: мде.. ну считайте =)

test Re: MozgC [TSRh] :: Нет ну можно адрес запомнить и не считать.Я так и делаю.Вообще Olly во многих случаях помогает
и для изучения основ это очень удобно!И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!

-= ALEX =- :: блин, не надо сравнивать этот Olly с великим Sice’ом... это две разные вещи. test пишет:
цитата:
И патчит файл на лету!Не надо парится с поиском сигнатур в редакторах.Все в одном отладчике!


Это скорее всего для лентяев... а че за сигнатуры ты раньше искал ? Смотришь в сайсе адрес, и патчешь по этому адреса в hiew...

test Re: -= ALEX =- :: Адрес а не смещение в файле.Если в уме рассчитывать то круто,а если считать то время жалко
и знаний не прибавит.А в hiewе патчишь байтами и выровнить надо если короче опкод а если длиннее то весь код полетит!Ну вобщем не для лентяев а для скорости.А с Siceом нужно уметь работать конечно может пригодиться в ring-0 или под dos

-= ALEX =- :: test Ну и хрень ты написал, извини меня конечно... Какие адреса считать, парень опомнись ! ты хоть раз с сайсом работал в hiew байты правил ? Там везде виртуальные адреса, берешь и патчишь, конечно в HIEW есть и смещения, но ЭТО тебе надо ? Какие выравнивания опкодов ???? для начала советую тебе изучить основные команды ASM’a и особенно их опкоды !!! А вот ring-0 & DOS в сайсе... воще я со смеху падаю. Если не знаешь что это такое, лучше не писать ! Учиться и еще раз учиться !!!

angel_aka_k$ :: эээээ вы о чем вы сами себя послушайте оли это типа круто вы что сравниваете какойто сраный оли с великим siceom хехе мдя для тех у кого оли рулит могу сказать одно вам не данно копатся в коде так как вы ищете легкие пути и не понимаете силу softice тут даже спорить не нужно так как sice был придуман для низкоуровневой отладки и без граничности в возможностях это равносильно тому что один пишет на «с» и кричит асм лажа так как у него не хватает мозгов его изучить !!! так же и с айсом если не дано то так и скажите не надо говорить что оли круче sice так как это смешно даже




vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23...



vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL

Madness :: angel_aka_k$
›ты видно с дельфи прогами не часто встречался :)
А хто это? :LOL:

›поэтому это getversionexa !!
аспр(до 1.3) не трогает getversionexa, а только getversion.

99% MozgC [TSRh] правильно говорит.
Для 100% нужен список импорта что есть (только для проги на delphi).

-= ALEX =- :: я согласен с Madness и MozgC [TSRh] !!!

angel_aka_k$ :: иде лана уговорили просто если вставить getversionexa то будет пахать я проверял ;) так что тут уже дело принципа ставить freeresource или getversionexa так как в обоих случаях прога пашет нормально

Mario555 :: Насколько можно доверять плагину ?
Есть ли вероятность, что он неправильно определит функцию (вместо того чтобы оставить её неопределённой).

MozgC [TSRh] :: Канешна есть =)

Mario555 :: MozgC [TSRh] пишет:
цитата:
Канешна есть =)


Как тогда найти неправильно определённую функцию среди правильных (кроме как определять все вручную) ?
Плагин ошибается на какой-то определённой функции, или ошибка равновероятна с любой ?

MozgC [TSRh] :: Посоветую 2 способа:
1) Учиться определять функции вручную
2) Учиться делать так, чтобы аспротект заполнял таблицу импорта адресами реальных апи.

Не посоветую:
Пользоваться плагинами и т.д.

Что насчет ошибки, то она конечно не равновероятна, тем не менее на каких-то функциях и на разных версиях аспра плагины могут ошибиться.
В любом случае нужно обязательно учиться править это вручную.

vins :: короче что с этой ф что без нее не пашет.
выдает ошибку на том же месте. я так понял что эта ошибка появляется из-за попытки программы обратиться к коду аспра, потому что в оригинальной программе ставил бряк на то место где ошибка, и вылазила ошибка протект еррор 17.

MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41

Mario555 :: vins пишет:
цитата:
это Advanced Office XP Password Recovery pro 2.41


Или про Artefact Dictionary ...

vins :: Mario555
нет

MozgC [TSRh] :: vins пишет:
цитата:
MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41


Нееее =) Я помню очень долго мучился с версией 2.30. Распаковывается то легко, а ломал я ее дней 4-5 ! Да и щас сессия, некогда...

vins :: MozgC [TSRh]
так мне как раз распаковка и нужна. у меня там глюки с проверками аспра.

-= ALEX =- :: vins нигде в теле аспра не ставь bpx, тогда не будет protection error’ов.. юзай bpm адрес x, эффект тот же ;)

vins :: -= ALEX =-
это я знаю, я не знаю как избавиться от кала этого адреса я пробовал нопить но там еще куча проверок кажется есть.

так может кто нить распакует, потом мне расскажет.

-= ALEX =- :: а ты можешь поточнее рассказать в чем прикол ? я вот допустим распаковывал этот registered вроде бы...

vins :: у меня peid написал Demo.
на счет прикола не знаю, но после того как я распаковал, сначали глюки были по адресу 0x00000010, там аспр над esi прикалвался, это я исправил, потом ошибка на eip 0x79062506, короче вызов адреса которого нету.
я не заю что делать.

test Re: vins :: Попробовал распаковать вроде все прошло без проблем,stolen bites нет, все шаблонно, правда неопределились 9 ф-ций плагин
ImpRec-а не сработал.Распаковывал по статье про CDClone.Конечно перевод из под переводчика ,но это лутше чем ничего!Если нужно будет - скажи.После анпака проверка какая то не дает запуск переход по адр 004017BA EB 19 JNZ SHORT aoxppr.004017D5 - cменил на jmp - все покатило!

vins :: test
у меня плагин только одну ф-цию не нашел. А ссылку на статью не дашь?

test Re: vins :: Ссылку на сайт дам когда найду.Пока вот http://user.rol.ru/~num11...20clonecd%20por%20ans.zip только без перевода, а статья на испанском.Я переводил через переводчик.Но распаковка 1-1.

Mario555 :: test пишет:
цитата:
все шаблонно


Угу...
А функция эта - GetModuleHandleA.
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.

-= ALEX =- :: Mario555 пишет:
цитата:
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.


Это зависит от того, поставил ли разработчик программы галочки нужные в ASProtect. В данном случае он не поставил галочку напротив защиты ОЕП




Destroyer StyleXP Интересная программка. Shareware на 30 дней, но после...



Destroyer StyleXP Интересная программка. Shareware на 30 дней, но после первого дня израсходовались все 30! Ничем не запакована. OllyDbg ее не берет - прога сразу начинает закрываться. Нашел где проверяется регистрация. Но даже после «успешной» регистрации все пути ведут к закрытию (не удивительно). Есть один переходик, в процедуре проверки, который минует проверку и идет на выход из этой процедуры, при изменении его на противоположный программа не говорит, что не зарегистрирована, даже появляется значек в трее, но потом через некоторое время значек пропадает, но в диспетчере задач всеравно видно, что прога работает. Но на самом деле она не работает, а просто висит, невыполняя никаких задач. Кто-нибудь ее ковырял? Скачать можно здесь http://www1.themexp.org/tgtsoft/StyleXPInstall.zip
-= ALEX =- :: блин, я ей щас пользуюсь, скачал где-то я кейген по-моему...

Kerghan :: прога большая слишком

у меня вопрос, прога сразу вылетает при загрузке в отладчик или при запуске
если при запуске, попробуй плагин hidedebug или поищи строки типа OllyDbg

Destroyer :: С загрузкой все нормально. Начинаю трейсить, и после команды GetModuleHandleA в call-е есть int3, на нем olly стопорится. Зачем он там может стоять? Прохожу код по F8, дохожу до retn 4, и оказываюсь в kernel32. Там на CALL kernel32.ExitThread Olly говорит, что процесс «Running», но ничего не загрузилось.

Kerghan :: Destroyer
после того как загрузишь в Olly, нажми F9, прога стопорнется, а в строке статуса должна появиться надпись типа «Press Shift+F7/F8/F9», нажимай Shift+F9 пока прога не запуститься. Если после загрузки, окажешься в апи функции, то, перегрузи прогу и перед запуском поставь бряк на какую-нибудь основную функцию, типа ShowWindow, GetWindowText или MessageBox, чтобы в конце оказаться на ней, на не в апи.
Надеюсь я тебя правильно понял.

-= ALEX =- :: блин, выкиньте нахрен этот olly, есть же сайс ! без обид конечно...

UnKnOwN :: Для -= ALEX =- и Kerghan

Народ без обид, харе ссориться из за этих Олли и Сайса, у каждого свои вкусы, а как говорится «о вкусах не спорят !!!»

Я думаю ВЫ меня поняли...

ВСЕХ С НАСТУПАЮЩИМ !!!!

-= ALEX =- :: никто и не спорит в общем, просто я не нахожу смысла начинающим работать с olly, когда даже возникают такие вопросы как поставить бряк и т.д.....

Kerghan :: И в самом деле никто не спорит, но -=Alex=- ты не прав ....шучу
как раз вопросов насчет бряков не возникает и olly гораздо легче в понимании.
тут дело в другом, в olly есть фича прерываться на новом модуле, а некоторые просто не замечают этого, так как бряков то они не ставили

на будущее предлагаю всем не обс..ть другие отладчики, а если угодно только указывать преимущества того, которым вы пользуютесь.

nice :: Kerghan
Да в плане наглядности айс явно проигрывает олли, в олли очетно отображены ф-ии с их параметрами, циклы и т.д.
Одно мне в олли не нравится, как он бряки на память ставит...

-= ALEX =- :: Давайте, кто знает этот olly не поленяться и напишут тутор.... может и я его полюблю :)

MC707 :: Давай я угадаю к кому тебе обратиться....

-= ALEX =- :: ... угадай

MC707 Re: -= ALEX =- :: К Kerghan’у.

Destroyer :: Надписи «Press Shift+F7/F8/F9» нет. Интересно то, что если трейсить прогу по F8, то в конце Olly говорит, что процесс running, а если сразу запустить ее по F9 то Olly говорит, что процесс terminated.
На счет sice-а. Я им тоже раньше пользовался. Но под ХР он нормально работать не хочет, хоть и есть всякие версии под NT и XP. По-моему для начинающих Olly понятнее.

MC707 :: Ну давайте я напишу тутор по Олли, отдам его почитать Kerghan’у, если что - подредактирует. Если даст добро - выложим где-нибудь.

MozgC [TSRh] :: Я даю свое разрешение =)))

MC707 :: Спасибо! Чтоб мы без тебя делали?

Kerghan :: MC707 пишет:

цитата:
Ну давайте я напишу тутор по Олли


отличная идея
вот тока [RU].BanOK куда-то пропал, подкинул бы парочку идей :(

Destroyer
ладно, не буду гадать, щас скачаю

Mario555 :: Про Olly есть очень хорошая статья http://cydem.zp.ua/pars.php?lnk=olly&conf=12
Да и весь сайт прикольный...

P.S. Как все-таки этот StyleXP ломать ?

Kerghan :: натурально вылетает

MC707 :: Mario555 пишет:
цитата:
Про Olly есть очень хорошая статья


Да, согласен, хорошая статья, но там все слишком во верхам. А я хочу глобальнее пройтись.
Ладно, раз добро дали, сегодня приступлю. Тока скоро не ждите, числа 10-го будет, если не пожже :).

XoraX :: Mario555 пишет:
цитата:
очень хорошая статья


В статье ничего толкового. Расписаны только команды и кнопки, это и так можно понять, зная английский.

[RU].Ban0K! :: Kerghan пишет:
цитата:
вот тока [RU].BanOK куда-то пропал, подкинул бы парочку идей :(


:)

Блин учёба... в её... дырку...

Я писал уже тутор... для отмазки, правдо не тутор а небольшую статейку...

Kerghan :: Destroyer
Элементарно... короче жмешь настройки, там вкладка Exceptions, в чекбоксе INT3 breaks ставишь галку. проверка валидности введенного ключа с адреса 46B320. А основная проверка
0046B3BA ¦. E8 01E8FFFF CALL 00469BC0 ; StyleXP.00469BC0

Дальше надеюсь скам разберешься

Kerghan :: Destroyer
Может так будет легче:

Name: IAALAAA-AAZ6SQCC-D8MH7TL
Code: KMJTM7-T6BCSSAF-AAAAAM8J-HBBB9FV8-2X

Destroyer :: Спасибо за разъяснения.

Destroyer :: Kerghan не мог бы ты поподробнее рассказать как ты узнал name и code. Я имею ввиду если известно место где вычисляется код, но вычисления сложные, не обязательно на примере этой проги, но желательно на ней. Можно ли просто взять кусок кода вычисления рег номера и сделать так чтобы он работал? Или сначала надо разобраться что и как происходит, а потом набрасывать это, например, на Delphi.

Kerghan :: Ну под name я имел в виду Hardware ID, для каждой машины очевидно свой.

У меня серийник вывалился по адресу
46B771 в EDX 1A2320---›ASCII «MY SERIAL NUMBER»

Процедура генерации серийника начинается по адресу 46E859(этот цикл трудно не заметить ;) ). (готовый сериник у меня пишется по адресу .....!!!!(поправка... примерный адрес куда он пишется находится в EBX)!!!)

Насчет написания кейгена, на ЯВУ процедуру генерации я не переделываю, просто разбираю суть генерации и вставляю в исходник. Здесь листинга страница всего, думаю ты при желании даже кейген наваять сможешь... а мне неохота :-O

ЗЫ там в проге какие-то баги непонятные. Регю её, перевожу на год вперед...работает, назад на год назад...просит регистрации 8-¦ , ввожу регкод, говорит всё ок и дальше путево работает. Так что если что не удивляйся.

Destroyer :: Thanks




MakcuMyc Праблема в SoftIce Люди, обьясните мне plz в ч



MakcuMyc Праблема в SoftIce Люди, обьясните мне plz в чём праблема. Например когда я лажу по инету и захожу на всякие сайты вдруг не с того не с сего вылетает SoftIce и выдаёт какую-то ошибку. Тоже самое происходит и с некоторыми программами, когда я их запускаю вылетает SoftIce (причём никаких брейкпоинтов я не ставил) и после закрытия SoftIce’а вылетает стандартная ошибка и програ вырубается. Что за фигня? Обьясните plz. За ранее спасибо.
MaDByte :: У тебя в инициализации софтайса прописано «faults off»?

Noble Ghost :: Сайс вылетает на GPF. Вообще советую вырубать его, когда не ломаешь проги.

mnalex :: Noble Ghost
А как его вырубить??? Энтот товарЫш только перезагрузом вырубаиться...

Nitrogen :: faults off

Noble Ghost :: Так и вырубать. Не всё ж время ты крякаешь. Я, например, редко сайс юзаю. Пытаюсь обходится OllyDbg’ом или ТРВ. Хотя иногда без сайса никак.

MakcuMyc :: оК, сенькс буду значит вырубать :)




CrazyLamer Патч для оперативной памяти Привет всем!



CrazyLamer Патч для оперативной памяти Привет всем!
Такая проблема. В программе есть значение, известен адрес его в оперативной памяти, изменить его можно с помощью редакторов оперативной памяти. Вопрос: можно ли пропатчить этот .exe чтобы автоматически оно изменялась при запуске? чтобы каждый раз не менять вручную. И какой прогой это можно сделать или это не реально?. А значение она берет по-моему с реестра где оно в зашифрованном виде.
Заранее благодарен!
Kerghan :: CrazyLamer пишет:

цитата:
можно ли пропатчить этот .exe чтобы автоматически оно изменялась при запуске?


можно

цитата:
И какой прогой это можно сделать


OllyDbg или Hiew

ЗЫ тебе бы не помешало прочитать хотя бы несколько статей

DigC :: Мне кажется CrazyLamer, говоря об правке опреативной памяти имел ввиду изменения в запакованной проге.
Если да то проще всего сделать лодер.

-= ALEX =- :: DigC да по-моему он пока еще CrazyLamer :)

Kerghan :: DigC
нет, in-line patch тут по ходу не при чем
CrazyLamer
mov byte ptr [адрес], новый_байт
типа «mov byte ptr [401001],90»
-= ALEX =-
это точно

[RU].Ban0K! :: Если in-line то можно использовать лоадер.. для игр к примеру... если с умом совсем плоХо то можно хоть ArtMoney (б-р-р-р.....) юзать..., но я думаю что легче самому имплантант написать, да и интересней выйдет...

CrazyLamer :: всем спасибо, я сделал лоадер все получилось.

-= ALEX =- :: CrazyLamer молодец, можешь уже и ник сменить :)

Kerghan :: ...на MegaCracker

MC707 :: LOL




odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?



odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar
Yokel :: Ни чего хорошего!! Чем тебя существуйщие, и хорошо зарекомендовавшие не устраивают то???

UnKnOwN :: odIsZaPc пишет:
цитата:
Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar


Мне не понравилось...

odIsZaPc :: Будем знать... А я то думал кто ж лучше Microsoft отладчик для Винды сделает! Будем знать...

MC707 :: OllyDbg рулит




LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так...



LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так легко не ломается :) Вроде книга та же, а старые пароли не подходят. Хотя может мы по их «просьбе» ломали. http://pcbook.nm.ru
MozgC [TSRh] :: Какие еще старые пароли ? Я просто патчил и не надо было пароль вводить...

LT :: ну ты патчил, а я тогда докопался до ключа, а ща не могу. Видимо что-то пропускаю.

MozgC [TSRh] :: Так там же была зависимость от серийника, ты кейген чтоли делал ?

Kerghan :: MozgC [TSRh]
тебе это кажется невероятным?

MozgC [TSRh] :: Не ну я думаю что в новой версии будет новый серийный номер и может поэтому старый пароль у него не подходит =) Поэтому и спросил насчет кейгена. Просто ситуацию че-то не совсем вкуриваю =)

LT :: 2Mozg, да какой кейген ...не...до номера дорылся (я думал все так здесь тогда) теперь не подходит - копаю заново.. Главное тогда еще посмотрел - обновления не было с 2001 года. Ща только нашел еще один сайт, который занимается этой книжкой, там апдейт постоянный, призы, то се, короче сменился код.

MozgC [TSRh] :: да ну пропатч просто опять тогда да и все..

Nitrogen :: жаль сайса нет :(.. а просто отломать - не интересно совсем.. да и дико просто..

GL#0M :: MozgC [TSRh] пишет:
цитата:
да ну пропатч просто опять тогда да и все..


..:why patching while serial number is fishy:.. //TKC
Nitrogen пишет:
цитата:
просто отломать - не интересно совсем.. да и дико просто..


RideX :: LT пишет:
цитата:
да какой кейген ...не...до номера дорылся


Там привязка к Hardware ID была, так что тот номер работал бы только у тебя, или, как говорит MozgC - делай кейген.

MozgC [TSRh] :: GL#0M пишет:
цитата:
..:why patching while serial number is fishy:.. //TKC


GL#OM ну так помоги человеку, сделай кейген =)

GL#0M :: LT
Вот internal keygen. hxxp://gl00m.fatal.ru/reliz/pcbook11.zip
З.Ы. Защита нулёвая.

MozgC [TSRh] :: А на фатал.ру щас уже не регят сайты ?

GL#0M :: MozgC [TSRh]
Да. Вот так вот... кто успел.
З.Ы. Что-то он сейчас в дауне...

SPARKLIGHT :: LT
НАРОД!!! ЗАХОДИТЕ ВСЕ НА http://pcbook.by.ru/ И ПОЛУЧИТЕ ОТВЕТЫ НА ВАШИ ВОПРОСЫ ПО ПОВОДУ ЭТОЙ КНИЖЕНЦИИ!!!

MozgC [TSRh] :: Я че-то не понял... Они крэк что-ли продают к PCBook? Пиздец люди совсем хуеют. GL#OM давай я что-ли твой кейген зарелижу в инет, чтобы люди могли нахаляву взять?

XoraX :: Мега LOL!
Технология мля у них ...
MozgC [TSRh] , ты кейген тоже продава... за полбакса - будешь конкурентом шутю конечно...

MozgC [TSRh] :: Я кейген не делал, только патч =) И для предыдущей версии... Вот халявный глумовский кейген зарелизить было бы прикольно. Еще сайты таких бля надо удалять. Тоже было бы прикольно =)

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

dido :: Я ковырял старый PCbook в SIse, дошел до адреса 0404003 (кажется, а то склероз)
поинтересовался что там в eax и выше (или ниже???) нашел стопку подозрительных
строчек: первые - JXNNFCJ9GO, 9RLHSMJ4OM, 99QKJAOIIS, FUD8SIW244, 7MGISGCO36 И Т.Д.
Записал 37 дальше лень было. Отсчет от первого.
На одной машине но на разных ОС разные пароли. Пробовал найденное к новой версии
подошло - хотя книга для малышей.
В новой версии после входа в SIce вверх на 1500 (приблизительно) строчек тоже
видно похожую стопку но не срабатывает пока.
Снять дамп не умею. Научите. команда !dumpscreen сработала но чем читать файл?

Хотите пароли?
Бряк в SIce bpx GetWindowTextA.
Любой пароль и OK.
s ds:0 l -1 «JXNNFCJ9».
Все пароли на ладони. Читай - зачем?

Mario555 :: dido пишет:
цитата:
s ds:0 l -1 «JXNNFCJ9».


А зачем?
Там же видно, какой из этих паролей нужный.

Gloomy :: Ставим бряк на 403F42, вводим серийник, попадаем в отладчик и смотрим, что это у нас там «черненькое белеется» (с) в регистре eax?

З.Ы. Странно, работает это только в OllyDbg - хотел посмотреть серийник в SI, пишу «d eax» - а там одни вопросы »?» :(

З.З.Ы. Или еще проще - в НЕХ-редакторе меняем по смещению 3F43 байт с 51 на 50 и прога сама себя зарегит :) Для ленивых кряк http://tinysoft.nm.ru/pbcrk.zip (4 кб)

dido1 Re: Gloomy :: Чето не пойму.
При замене байта Hiew-ем 51 на 50 по адресу 403F43 в PCBook
он зарегился и работает на всех дисках, а Excel (та же фирма и защита)
не работает вообще.
Заменил тот же байт (в Excel) в SIce (в памяти), прога заработала,
но только на своем диске.

mnalex :: dido1
Ненаю ненаю... у меня пыхтитят оба и тута, и на других тачках (еще на 2, куда скидывал и проверял)... так что усё тип-топ
Может ты всетаки не там правил в ехеле?

dido1 Re: mnalex :: mnalex
А почему тогда в сайсе работает?
Я те же байты правил.

mnalex :: dido1
Чего ненаю, того ненаю

Val :: Gloomy
Плз, можно этот крэк на мыло? Все ссыли битые. Уже замучилась искать в инете, а очень хочется. Зря что ли я его качала? luts@bk.ru
Спасибо.Val

DOLTON :: Val
Проверь почту!




Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых...



Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых байт с помощью ollydbg. Скачать можно здесь .
У меня почему-то по способу данной статьи найти ничего не получилось (скорее всего потому, что я плохо знаю английский). Может кто-нить поймёт, что там написано... в особенности мне интересны действия после замены «rep stos byte ptr es:[edi]» на jmp edi.




odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?



odIsZaPc Отладчик от Microsoft Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar
Yokel :: Ни чего хорошего!! Чем тебя существуйщие, и хорошо зарекомендовавшие не устраивают то???

UnKnOwN :: odIsZaPc пишет:
цитата:
Кто юзал? Лажа или неЛажа =)?
http://asm.shadrinsk.net/windbg.rar


Мне не понравилось...

odIsZaPc :: Будем знать... А я то думал кто ж лучше Microsoft отладчик для Винды сделает! Будем знать...

MC707 :: OllyDbg рулит




LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так...



LT PCBook А помните, совсем недавно ломали эту книжку. Теперь что-то она так легко не ломается :) Вроде книга та же, а старые пароли не подходят. Хотя может мы по их «просьбе» ломали. http://pcbook.nm.ru
MozgC [TSRh] :: Какие еще старые пароли ? Я просто патчил и не надо было пароль вводить...

LT :: ну ты патчил, а я тогда докопался до ключа, а ща не могу. Видимо что-то пропускаю.

MozgC [TSRh] :: Так там же была зависимость от серийника, ты кейген чтоли делал ?

Kerghan :: MozgC [TSRh]
тебе это кажется невероятным?

MozgC [TSRh] :: Не ну я думаю что в новой версии будет новый серийный номер и может поэтому старый пароль у него не подходит =) Поэтому и спросил насчет кейгена. Просто ситуацию че-то не совсем вкуриваю =)

LT :: 2Mozg, да какой кейген ...не...до номера дорылся (я думал все так здесь тогда) теперь не подходит - копаю заново.. Главное тогда еще посмотрел - обновления не было с 2001 года. Ща только нашел еще один сайт, который занимается этой книжкой, там апдейт постоянный, призы, то се, короче сменился код.

MozgC [TSRh] :: да ну пропатч просто опять тогда да и все..

Nitrogen :: жаль сайса нет :(.. а просто отломать - не интересно совсем.. да и дико просто..

GL#0M :: MozgC [TSRh] пишет:
цитата:
да ну пропатч просто опять тогда да и все..


..:why patching while serial number is fishy:.. //TKC
Nitrogen пишет:
цитата:
просто отломать - не интересно совсем.. да и дико просто..


RideX :: LT пишет:
цитата:
да какой кейген ...не...до номера дорылся


Там привязка к Hardware ID была, так что тот номер работал бы только у тебя, или, как говорит MozgC - делай кейген.

MozgC [TSRh] :: GL#0M пишет:
цитата:
..:why patching while serial number is fishy:.. //TKC


GL#OM ну так помоги человеку, сделай кейген =)

GL#0M :: LT
Вот internal keygen. hxxp://gl00m.fatal.ru/reliz/pcbook11.zip
З.Ы. Защита нулёвая.

MozgC [TSRh] :: А на фатал.ру щас уже не регят сайты ?

GL#0M :: MozgC [TSRh]
Да. Вот так вот... кто успел.
З.Ы. Что-то он сейчас в дауне...

SPARKLIGHT :: LT
НАРОД!!! ЗАХОДИТЕ ВСЕ НА http://pcbook.by.ru/ И ПОЛУЧИТЕ ОТВЕТЫ НА ВАШИ ВОПРОСЫ ПО ПОВОДУ ЭТОЙ КНИЖЕНЦИИ!!!

MozgC [TSRh] :: Я че-то не понял... Они крэк что-ли продают к PCBook? Пиздец люди совсем хуеют. GL#OM давай я что-ли твой кейген зарелижу в инет, чтобы люди могли нахаляву взять?

XoraX :: Мега LOL!
Технология мля у них ...
MozgC [TSRh] , ты кейген тоже продава... за полбакса - будешь конкурентом шутю конечно...

MozgC [TSRh] :: Я кейген не делал, только патч =) И для предыдущей версии... Вот халявный глумовский кейген зарелизить было бы прикольно. Еще сайты таких бля надо удалять. Тоже было бы прикольно =)

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

Sparklight :: НЕТ !!!! НИКАКОГО КРЯКА ИЛИ ГЕНЕРАТОРА КЛЮЧЕЙ МЫ НЕ ПРОДАЕМ!!!! ВСЕ ДЕЛО ОБСТОИТ НАМНОГО ПРОЩЕ ЧЕМ ВСЕ ДУМАЮТ!!! НО ТАК КАК ДО ЭТОГО ПОКА ( НАВЕРНОЕ!? )ТОЛЬКО МЫ ДОШЛИ ПОЭТОМУ И ПРОДАЕМ СЕКРЕТ ЗА ДЕНЬГИ!!! НО РАЗВЕ 30 РУБЛЕЙ ТАКИЕ БОЛЬШИЕ ДЕНЬГИ???

dido :: Я ковырял старый PCbook в SIse, дошел до адреса 0404003 (кажется, а то склероз)
поинтересовался что там в eax и выше (или ниже???) нашел стопку подозрительных
строчек: первые - JXNNFCJ9GO, 9RLHSMJ4OM, 99QKJAOIIS, FUD8SIW244, 7MGISGCO36 И Т.Д.
Записал 37 дальше лень было. Отсчет от первого.
На одной машине но на разных ОС разные пароли. Пробовал найденное к новой версии
подошло - хотя книга для малышей.
В новой версии после входа в SIce вверх на 1500 (приблизительно) строчек тоже
видно похожую стопку но не срабатывает пока.
Снять дамп не умею. Научите. команда !dumpscreen сработала но чем читать файл?

Хотите пароли?
Бряк в SIce bpx GetWindowTextA.
Любой пароль и OK.
s ds:0 l -1 «JXNNFCJ9».
Все пароли на ладони. Читай - зачем?

Mario555 :: dido пишет:
цитата:
s ds:0 l -1 «JXNNFCJ9».


А зачем?
Там же видно, какой из этих паролей нужный.

Gloomy :: Ставим бряк на 403F42, вводим серийник, попадаем в отладчик и смотрим, что это у нас там «черненькое белеется» (с) в регистре eax?

З.Ы. Странно, работает это только в OllyDbg - хотел посмотреть серийник в SI, пишу «d eax» - а там одни вопросы »?» :(

З.З.Ы. Или еще проще - в НЕХ-редакторе меняем по смещению 3F43 байт с 51 на 50 и прога сама себя зарегит :) Для ленивых кряк http://tinysoft.nm.ru/pbcrk.zip (4 кб)

dido1 Re: Gloomy :: Чето не пойму.
При замене байта Hiew-ем 51 на 50 по адресу 403F43 в PCBook
он зарегился и работает на всех дисках, а Excel (та же фирма и защита)
не работает вообще.
Заменил тот же байт (в Excel) в SIce (в памяти), прога заработала,
но только на своем диске.

mnalex :: dido1
Ненаю ненаю... у меня пыхтитят оба и тута, и на других тачках (еще на 2, куда скидывал и проверял)... так что усё тип-топ
Может ты всетаки не там правил в ехеле?

dido1 Re: mnalex :: mnalex
А почему тогда в сайсе работает?
Я те же байты правил.

mnalex :: dido1
Чего ненаю, того ненаю

Val :: Gloomy
Плз, можно этот крэк на мыло? Все ссыли битые. Уже замучилась искать в инете, а очень хочется. Зря что ли я его качала? luts@bk.ru
Спасибо.Val

DOLTON :: Val
Проверь почту!




Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых...



Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых байт с помощью ollydbg. Скачать можно здесь .
У меня почему-то по способу данной статьи найти ничего не получилось (скорее всего потому, что я плохо знаю английский). Может кто-нить поймёт, что там написано... в особенности мне интересны действия после замены «rep stos byte ptr es:[edi]» на jmp edi.
Mario555 :: Оказывается существует простой способ попасть на начало полиформа с крадеными байтами.
F8--›ESP follow in dump (оно будет 12ffc0)--›BreakPoint Hardware, on access // получится что-то вроде айсовского bpm esp-4. Таким образом после последнего exception olly остановится там же где айс после bpm esp-4.

Есть плагин OllyScript (в Readme описание команд). С помощью него можно автоматезировать работу с olly. Например несложный скрипт «автоматом» проходит от EP до полиформа (ASPR)... Этот и ещё несколько примеров скриптов (прохождение к OEP) можно скачать отсюда .

nice :: Mario555
Метод с HArdware я давно использывал и хочу тебе сказать это не панацея.
Было не раз, что он не работал.

Статью отдал переводчице ;) проффесиональной, так что ждемс

Mario555 :: nice пишет:
цитата:
Было не раз, что он не работал.


Угу... но это где-то 1 случай из 10-ти. В 9-ти остальных всё OK, там и скрипт работает корректно.




MC707 Оля Дебагова Если кому интересно: (мне например - очень!)



MC707 Оля Дебагова Если кому интересно: (мне например - очень!)
http://home.t-online.de/home/Ollydbg/beta110a.zip

What’s new here:
- On break, conditional logging breakpoints can pass several text commands to plugins, see description of ODBG_Plugincmd() below.
- New Security option: «Save user data outside any module to main .udd file». Allows to keep breakpoints and comments that belong to no particular module. CAVEAT: data is saved relative to main program and will be corrupted if external code or main executable are reallocated (this is possible, at least in theory). Proposed by Francis Crick;
- Trace condition (Ctrl+T) includes option to pause trace after specified number of commands is executed (more exactly, added to run trace).Counter restarts automatically. Proposed by Marcus Matten;
- Conditional logging breakpoints support pass counter. For example, if you set pass counter to 100, OllyDbg will skip first 100 occurences of breakpoint and pause on 101st. Note that pass counter is not restartable and is not saved to .udd file. Proposed by many contributors. CAVEAT: I have extended structure t_bpoint to fit counter, any plugin that accesses it directly will fail! (AFAIK, there are as yet no plugins that directly access t_bpoint).
- Possibility to reswitch to different module directly from Disasembler (View¦Module ’xxx’). Proposed by Christian Martin;
- New shortcut: Ctrl+gray * (asterisk) for «set new origin here»;
- Run Trace window optionally displays and logs to file modified flags (C, P, A, Z, S, T, D, O only), controlled by Trace option «Show flags». Proposed by Marcus Matten;
- Small improvement: if there is no break selected in conditional breakpoint window, button «OK» remains disabled until any selection is made;

Плюс множественные багфиксы.
-= ALEX =- :: эхх... жалко мне не интересно :) а за новость спасибо !

Kerghan :: а на васме вчера или позавчера экзешник от него появился




J0rDan Распаковка Advanced MP3 Catalog Pro 3.09 Помогите пожалуйста...



J0rDan Распаковка Advanced MP3 Catalog Pro 3.09 Помогите пожалуйста распаковать программу
Advanced MP3 Catalog Pro
http://wizetech.com/ru/download/amcpro-ru.exe
Весит 1183 килобайта.

Запакована
ASProtect 1.23 RC4 - 1.3.08.24
Я никак не могу найти OEP действуя по статьям.

Если вы поможете мне её распаковать (может просто расскажете,
как найти в ней OEP и как грамотно снять дамп), то сниму остальные
ограничения сам.
Jackasm :: В айсе вводишь
bpx GetModuleHandleA if (*(esp+4)==0)
dex 0 esp
Запускаешь прогу и пару-тройку раз жмешь на F5, при этом следишь за окном данных, (данные должны показываться как dword) Как только увидишь что третье значение равно 407579, нажимаешь F11 пока не окажешься на 5D742D. По адресу 5D7428 будет функция из которой ты только что вышел, а выше нули, туда нужно будет вставить байты которые спер аспр.
Дальше используй статью «Распаковка и регистрация Net Vampire 4».

XoraX :: грузишь файл в OllyDbg, жмешь F9. Потом 27 раз жмешь Shift+F9.
потом Alt+M, ставишь бряк на «AMC3 code». потом Alt+C, Shift+F9.
И дампишь плагином.

метода бу MC707 / BugZ TeaM

J0rDan :: Когда я на 5d742d, я сдампил прогу, потом а где взять спертые байты ?
Просто стандартный Дельфи OEP попытаться туда дописать ?
Я так сделал, потом гружу в imprec - не хочет искать IAT
Помнится, когда я распаовывал старый аспр таких маразмов не было.
А в статье про Net Vampire 4 что-то я вообще про эти байты ничего не нашел.

Jackasm а ты до конца распаковал ? - расскажи что надо делать мне дальше: как искать эти байты и как потом IAT найти. И какие ещё фокусы могут быть дальше ?

Kerghan :: XoraX пишет:

цитата:
метода бу MC707 / BugZ TeaM


это не его метода. Способ известен давно.

odIsZaPc :: J0rDan пишет:
цитата:
Просто стандартный Дельфи OEP попытаться туда дописать ?


Нет.

push ebp
mov ebp,esp
add esp, xxxx или sub esp, xxxxx
mov eax, yyyy - это надо искать
call zzzzz

XoraX :: Kerghan , просто я нигде не видел, рассказал мне он.

Mario555 :: XoraX пишет:
цитата:
Потом 27 раз жмешь Shift+F9.
потом Alt+M, ставишь бряк на «AMC3 code». потом Alt+C, Shift+F9.
И дампишь плагином.


Ага, а потом запускаешь айс и уже в нём ищеш краденые байты... геморно получается... Так что лучше использовать Hardware breakpoint !!!

To J0rDan

Краденые байты:

005D741B › $ 55 PUSH EBP // OEP
005D741C . 8BEC MOV EBP,ESP
005D741E . 83EC 10 SUB ESP,10
005D7421 . B8 BC6D5D00 MOV EAX,dumped2_.005D6DBC
005D7426 . 90 NOP
005D7427 . 90 NOP

IAT RVA: 1e11f4

Эту прогу дампить нужно после создания импорта !
Чтоб в olly попасть на цикл создания iat нужно поставить memory breakpoint на секцию в которой будет эта самая iat. Тогда после нескольких Shift-F9, остановишься :

00E632B4 E8 47FCFFFF CALL 00E62F00
00E632B9 E8 7EFEFFFF CALL 00E6313C
00E632BE 8B17 MOV EDX,DWORD PTR DS:[EDI]
00E632C0 8902 MOV DWORD PTR DS:[EDX],EAX ‹-- тут
00E632C2 EB 7E JMP SHORT 00E63342

Ну а дальше, как обычно...

Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?

The DarkStranger :: Mario555 пишет:
цитата:
Кто-нить делал прогу для восстановления импорта в Aspr 1.3


а что ручками не как ??? все халяву ищем ???

infern0 :: Mario555 пишет:
цитата:
Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?


stripper 2.11

Bad_guy :: Кто-нибудь может сказать. Вот появляются всё сообщения: stripper 2.08, stripper 2.11 - на сайте лежит stripper 2.03.
Вы просто шутите или это приватные версии ?

MozgC [TSRh] :: приватные версии

J0rDan :: Спасибо, Mario за помощь, но мне нужно научится самому, поэтому вопросы:
1. как ты нашел украденые байты ?
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)
после цикла создания импорта, потом вставил украденные байты в дамп, а ImpRec вот мне что выдаёт, то есть якобы только Kernel программа использует ну и естественно запускается распакованная прога без окна и висит себе в памяти. Что я сделал не так ?
3. Еще вот к примеру пытаюсь ставить Hardware breakpoint на 407594 и прога просто запускается (после нескольких нажатий Shift-f9), не прерываясь на нём. Что тут ?
4. А у тебя распакованная прога работает ?

OEP: 001D741B IATRVA: 001E11F4 IATSize: 000000B4
Вроде бы OEP и IATRVA такие и должны быть, а вот IATSize правильно ?
А ещё, когда нажимаю IAT AutoSearch - пишет, что в этом OEP ничего хорошего нет.

FThunk: 001E11F4 NbFunc: 0000002D
1 001E11F4 kernel32.dll 00D6 DeleteCriticalSection
1 001E11F8 kernel32.dll 0228 LeaveCriticalSection
1 001E11FC kernel32.dll 00E1 EnterCriticalSection
1 001E1200 kernel32.dll 020A InitializeCriticalSection
1 001E1204 kernel32.dll 031B VirtualFree
1 001E1208 kernel32.dll 0319 VirtualAlloc
1 001E120C kernel32.dll 0235 LocalFree
1 001E1210 kernel32.dll 01E6 GlobalAlloc
1 001E1214 kernel32.dll 015D GetCurrentThreadId
1 001E1218 kernel32.dll 020D InterlockedDecrement
1 001E121C kernel32.dll 0210 InterlockedIncrement
1 001E1220 kernel32.dll 0320 VirtualQuery
1 001E1224 kernel32.dll 032B WideCharToMultiByte
1 001E1228 kernel32.dll 02C1 SetCurrentDirectoryA
1 001E122C kernel32.dll 0252 MultiByteToWideChar
1 001E1230 kernel32.dll 035F lstrlen
1 001E1234 kernel32.dll 035C lstrcpyn
1 001E1238 kernel32.dll 022A LoadLibraryExA
1 001E123C kernel32.dll 01D1 GetThreadLocale
1 001E1240 kernel32.dll 01B9 GetStartupInfoA
1 001E1244 kernel32.dll 01A3 GetProcAddress
1 001E1248 kernel32.dll 018D GetModuleHandleA
1 001E124C kernel32.dll 018B GetModuleFileNameA
1 001E1250 kernel32.dll 0183 GetLocaleInfoA
1 001E1254 kernel32.dll 0181 GetLastError
1 001E1258 kernel32.dll 0158 GetCurrentDirectoryA
1 001E125C kernel32.dll 0149 GetCommandLineA
1 001E1260 kernel32.dll 0133 FreeLibrary
1 001E1264 kernel32.dll 011C FindFirstFileA
1 001E1268 kernel32.dll 0118 FindClose
1 001E126C kernel32.dll 00F8 ExitProcess
1 001E1270 kernel32.dll 00F9 ExitThread
1 001E1274 kernel32.dll 00CD CreateThread
1 001E1278 kernel32.dll 0336 WriteFile
1 001E127C kernel32.dll 0310 UnhandledExceptionFilter
1 001E1280 kernel32.dll 02CF SetFilePointer
1 001E1284 kernel32.dll 02C6 SetEndOfFile
1 001E1288 kernel32.dll 0291 RtlUnwind
1 001E128C kernel32.dll 027E ReadFile
1 001E1290 kernel32.dll 0273 RaiseException
1 001E1294 kernel32.dll 01BB GetStdHandle
1 001E1298 kernel32.dll 0177 GetFileSize
1 001E129C kernel32.dll 01C6 GetSystemTime
1 001E12A0 kernel32.dll 0179 GetFileType
1 001E12A4 kernel32.dll 00B9 CreateFileA

odIsZaPc :: infern0 пишет:
цитата:
stripper 2.11


А откуда его взять можна? Может пришлешь?

Bad_guy :: stripper 2.11 я бы тоже поглядел. Ага, догадался - надо к автору обратиться...
в документации Angor, gAnZ, BruceLee, EliCZ, Averyan, Morfika, Mac, Soldat, YURETS! - вроде всё русские крэкеры, а я ни одного не знаю лично, вроде они все с форума реверсинга...

Кстати odIsZaPc я тебе исходники скоро вышлю крякмиса.

MozgC [TSRh] :: BruceLee русский ? =)) Хм.. он же в нашей тиме, а я с ним по английски пиздел =)

Bad_guy :: MozgC [TSRh] пишет:
цитата:
а я с ним по английски пиздел


Хорошо хоть не по-китайски...

Runtime_err0r :: Bad_guy
Сдаётся мне, что не стОит здесь t-mail автора постить ... стёр бы ты его от греха подальше - чем меньше народу про stripper Знают, тем дольше он продержится ... IMHO

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Хорошо хоть не по-китайски...


Так ты уверен что он русский?

odIsZaPc :: J0rDan пишет:
цитата:
1. как ты нашел украденые байты ?


Тут в каком-то смысле чутье на них нужно :). Находятся они в мусорном коде - трейсить по F8 который глюк - самомодифицируется... Однако там все можно найти. А вообще в Delphi они стандартные:

push ebp
mov ebp,esp
add esp, xxxx или sub esp, xxxxx
mov eax, yyyy
call zzzzz

Ну по крайней мере, первые 3 инструкции...
В данном случае:

push ebp
mov ebp,esp
sub esp, 10
mov eax, yyyy

Эти 4 инструкции занимает 11 байт, вроде как 2 байта остаются после них: 90 90. Ну и хрен с ними...
J0rDan пишет:
цитата:
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)
после цикла создания импорта, потом вставил украденные байты в дамп, а ImpRec вот мне что выдаёт, то есть якобы только Kernel программа использует ну и естественно запускается распакованная прога без окна и висит себе в памяти. Что я сделал не так ?


А ты за’nop’ил функцию (CALL по адресу 00BD32B9), которая берет адресок api-функции и возвращает адрес переходника?
Вообще, вначале я восстановил импорт (вручную), а уж потом брался за краденые байты и OEP.

цитата:
2. Я сдампил прогу находясь на 00E63550 (там была команда popad)


Уж не знаю че ты там делал, но у меня адрес этого POPAD такой - 00BD360D - с него и дампил...
Я распаковал ее - если очень надо - забирай отсюда:
http://odiszapc.nm.ru/my_cracks
Естественно, пока не ломаная - времени нет разбирать, завтра посмотрю че там такое...

Bad_guy :: Runtime_err0r
Однако может ты и прав, посему мэйл Сида я убрал.

MozgC [TSRh] пишет:
цитата:
Так ты уверен что он русский?


Нет, просто это шутка. Ну понимаешь был такой боец Брюс Ли кажется китаец - вот я и пошутил.

Madness :: Mario555
›Кто-нить делал прогу для восстановления импорта в Aspr 1.3 ?
Так это чего, 1.3? Я думал что 1.3 еще не встречал :(

odIsZaPc
›Эти 4 инструкции занимает 11 байт, вроде как 2 байта остаются после них: 90 90. Ну и хрен с ними...
Остается 1 байт и он push esi.

ЗЫ. готовое на kpnemo есть.

MozgC [TSRh] :: Madness пишет:
цитата:
Так это чего, 1.3? Я думал что 1.3 еще не встречал :(


Если ты быстро восстановил импорт и не восстанавливал таблицу инита (в случае дельфи проги) то это не 1.3

Madness :: MozgC [TSRh]
Вот и я так подумал, а на какой проге точно 1.3 стоит? Хочется не только распаковать попробовать, но и пропатчить тоже ;)

-= ALEX =- :: Madness ну давай я тебе крякми сделаю со всеми опциями, ты попробуешь сделать патч, или распаковать...

Madness :: -= ALEX =-
Давай, 1.3 и выше.
+ еще надо 1 файл без всех опций и такой же с аспровым ограничением по времени (чтоб сам аспр ругался и закрывал прогу), желательно эти 2 файла поменьше (ну или если знаешь, подскажи где оно прописывается, jmp мне неинтересен, я его нашел, мне хочется причину найти). :)

MozgC [TSRh] :: Madness
Вот ты расстроишься когда увидишь =)




The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через...



The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через форум спрошу короче я скачал дисассм от оли так вот при компиляции он просит инклуду dir.h я спросил у hexа и вообще на форуме запостил не у кого нету может у тебя есть или где ее вообще можно достать ???
XoraX :: The DarkStranger , может это то что ты ищешь:

http://www.filesearch.ru/...s?q=dir.h&t=f&w=a&x=0&y=0

The DarkStranger :: черт это что же получается все сурсы дисассма которые у меня есть написанны для линя ааааааааааааааааааааааааа черт :( блин где взять нормальные сусры дисассма на асме или с++ ????

infern0 Re: The DarkStranger :: на сайте ollydbg раздаются сырца отличного дизасма. Возможно это спасет отца русской демократии...
ps: я их отлично собрал под BCB6...

.::D.e.M.o.N.i.X::. :: infern0
А скомпиленым файлом не поделишься?

The DarkStranger :: infern0 пишет:
цитата:
я их отлично собрал под BCB6


ну тебе проще ты в с++ шаришь а я ........ только собираюсь его учить может поделишся нармальными сурсами мне все го то нужно получить выход на асм !!!! не буду же я щас учить с++ ради этого .........

infern0 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
А скомпиленым файлом не поделишься?


.obj что-ли ?

infern0 :: The DarkStranger пишет:
цитата:
мне все го то нужно получить выход на асм


выходи в аську и оставляй координаты - я тебе кину asm выход

The DarkStranger :: infern0
координаты оставил :)

infern0 :: The DarkStranger пишет:
цитата:
координаты оставил :)


не наблюдаю. вообще сильно похоже на оффтоп, так шо пора завязавать. ЗАйди на реверсинг.нет, я там infern0_tsrh и пиши в приват - разберемся.

The DarkStranger :: infern0
вобщем я те написал но видно не дошло или я чето не понимаю вобщем мое мыло
angel_aka_ks@pisem.net
скинь пожалуста :)

infern0 Re: The DarkStranger :: ушло в мыло

The DarkStranger :: infern0
сенкс получил :)




Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник...



Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник утверждает, что она написана на Borland C++, но попытка дизассемблирования заканчивается ничем -W32DASM попросту виснет, не выполняя никаких действий. Какие противоотладочные приемы применил автор и как с этим бороться. Притом прожные dll-ки дизасмятся на ура.
GL#0M :: Chirurg

Используй IDA и всё будет ок. И с exe и c dll. :)

Chirurg :: GL#0M
IDA - больно уж долго, мне еще когда-то работать и спать надо :)

GL#0M :: Chirurg

Да у виндасма просто глюк есть, если размер екзехи очень большой, то он его ваще не грузит. Может поэтому...
Да и насчёт долго ты не прав... сигнатуры на что даны? Подгружаешь и всё ок.
Ещё DeDe есть... Так что вперёд!

MoonShiner :: Chirurg пишет:
цитата:
IDA - больно уж долго, мне еще когда-то работать и спать надо :)


Ага... ИДА продизасмит 5 минут, но в итоге ты спать будешь дольше, чем если будешь ковыряться в каком нить дерьме... Поверь старому раздолбаю, который ценит сон превыше всего:)

XoraX ::

Kerghan :: Chirurg
OllyDbg

Destroyer :: Вопрос конечно глупый, но ... А где эти сигнатурки в IDA включаются? А то продизасмил dll-ку, а там почти ничего нет.

Chirurg :: Ну, ладно, некогда мне - дарю!
Программа USBTrafficLabEvaluation.exe найти можно на www.download.com
Хз для чего она нужна, но обратите внимание на цену - 2100 $
Это вам не конь начихал!
Притом размер проги - 4.4 мб
Т.е. 1 мб = 500 $!
Защита - evaluation 30 дней, отключены save
Краки не предлагать, она мне на ... не нужна




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых...



Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых байт с помощью ollydbg. Скачать можно здесь .
У меня почему-то по способу данной статьи найти ничего не получилось (скорее всего потому, что я плохо знаю английский). Может кто-нить поймёт, что там написано... в особенности мне интересны действия после замены «rep stos byte ptr es:[edi]» на jmp edi.
Mario555 :: Оказывается существует простой способ попасть на начало полиформа с крадеными байтами.
F8--›ESP follow in dump (оно будет 12ffc0)--›BreakPoint Hardware, on access // получится что-то вроде айсовского bpm esp-4. Таким образом после последнего exception olly остановится там же где айс после bpm esp-4.

Есть плагин OllyScript (в Readme описание команд). С помощью него можно автоматезировать работу с olly. Например несложный скрипт «автоматом» проходит от EP до полиформа (ASPR)... Этот и ещё несколько примеров скриптов (прохождение к OEP) можно скачать отсюда .

nice :: Mario555
Метод с HArdware я давно использывал и хочу тебе сказать это не панацея.
Было не раз, что он не работал.

Статью отдал переводчице ;) проффесиональной, так что ждемс

Mario555 :: nice пишет:
цитата:
Было не раз, что он не работал.


Угу... но это где-то 1 случай из 10-ти. В 9-ти остальных всё OK, там и скрипт работает корректно.

SHaG :: Новая версия OllyScript v0.5 готова.

Качайте с http://ollyscript.apsvans.com

Если у вас есть предложения на тему дополнения функций пошлите msg на IRC (EFnet), nick: SHaG или ollyscript@apsvans.com =)




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




TankMan Восстановление импорта... не понятны некоторые функции Я тут по...



TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через...



The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через форум спрошу короче я скачал дисассм от оли так вот при компиляции он просит инклуду dir.h я спросил у hexа и вообще на форуме запостил не у кого нету может у тебя есть или где ее вообще можно достать ???
XoraX :: The DarkStranger , может это то что ты ищешь:

http://www.filesearch.ru/...s?q=dir.h&t=f&w=a&x=0&y=0

The DarkStranger :: черт это что же получается все сурсы дисассма которые у меня есть написанны для линя ааааааааааааааааааааааааа черт :( блин где взять нормальные сусры дисассма на асме или с++ ????

infern0 Re: The DarkStranger :: на сайте ollydbg раздаются сырца отличного дизасма. Возможно это спасет отца русской демократии...
ps: я их отлично собрал под BCB6...

.::D.e.M.o.N.i.X::. :: infern0
А скомпиленым файлом не поделишься?

The DarkStranger :: infern0 пишет:
цитата:
я их отлично собрал под BCB6


ну тебе проще ты в с++ шаришь а я ........ только собираюсь его учить может поделишся нармальными сурсами мне все го то нужно получить выход на асм !!!! не буду же я щас учить с++ ради этого .........

infern0 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
А скомпиленым файлом не поделишься?


.obj что-ли ?

infern0 :: The DarkStranger пишет:
цитата:
мне все го то нужно получить выход на асм


выходи в аську и оставляй координаты - я тебе кину asm выход

The DarkStranger :: infern0
координаты оставил :)

infern0 :: The DarkStranger пишет:
цитата:
координаты оставил :)


не наблюдаю. вообще сильно похоже на оффтоп, так шо пора завязавать. ЗАйди на реверсинг.нет, я там infern0_tsrh и пиши в приват - разберемся.

The DarkStranger :: infern0
вобщем я те написал но видно не дошло или я чето не понимаю вобщем мое мыло
angel_aka_ks@pisem.net
скинь пожалуста :)

infern0 Re: The DarkStranger :: ушло в мыло

The DarkStranger :: infern0
сенкс получил :)




Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник...



Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник утверждает, что она написана на Borland C++, но попытка дизассемблирования заканчивается ничем -W32DASM попросту виснет, не выполняя никаких действий. Какие противоотладочные приемы применил автор и как с этим бороться. Притом прожные dll-ки дизасмятся на ура.
GL#0M :: Chirurg

Используй IDA и всё будет ок. И с exe и c dll. :)

Chirurg :: GL#0M
IDA - больно уж долго, мне еще когда-то работать и спать надо :)

GL#0M :: Chirurg

Да у виндасма просто глюк есть, если размер екзехи очень большой, то он его ваще не грузит. Может поэтому...
Да и насчёт долго ты не прав... сигнатуры на что даны? Подгружаешь и всё ок.
Ещё DeDe есть... Так что вперёд!

MoonShiner :: Chirurg пишет:
цитата:
IDA - больно уж долго, мне еще когда-то работать и спать надо :)


Ага... ИДА продизасмит 5 минут, но в итоге ты спать будешь дольше, чем если будешь ковыряться в каком нить дерьме... Поверь старому раздолбаю, который ценит сон превыше всего:)

XoraX ::

Kerghan :: Chirurg
OllyDbg

Destroyer :: Вопрос конечно глупый, но ... А где эти сигнатурки в IDA включаются? А то продизасмил dll-ку, а там почти ничего нет.

Chirurg :: Ну, ладно, некогда мне - дарю!
Программа USBTrafficLabEvaluation.exe найти можно на www.download.com
Хз для чего она нужна, но обратите внимание на цену - 2100 $
Это вам не конь начихал!
Притом размер проги - 4.4 мб
Т.е. 1 мб = 500 $!
Защита - evaluation 30 дней, отключены save
Краки не предлагать, она мне на ... не нужна




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых...



Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых байт с помощью ollydbg. Скачать можно здесь .
У меня почему-то по способу данной статьи найти ничего не получилось (скорее всего потому, что я плохо знаю английский). Может кто-нить поймёт, что там написано... в особенности мне интересны действия после замены «rep stos byte ptr es:[edi]» на jmp edi.
Mario555 :: Оказывается существует простой способ попасть на начало полиформа с крадеными байтами.
F8--›ESP follow in dump (оно будет 12ffc0)--›BreakPoint Hardware, on access // получится что-то вроде айсовского bpm esp-4. Таким образом после последнего exception olly остановится там же где айс после bpm esp-4.

Есть плагин OllyScript (в Readme описание команд). С помощью него можно автоматезировать работу с olly. Например несложный скрипт «автоматом» проходит от EP до полиформа (ASPR)... Этот и ещё несколько примеров скриптов (прохождение к OEP) можно скачать отсюда .

nice :: Mario555
Метод с HArdware я давно использывал и хочу тебе сказать это не панацея.
Было не раз, что он не работал.

Статью отдал переводчице ;) проффесиональной, так что ждемс

Mario555 :: nice пишет:
цитата:
Было не раз, что он не работал.


Угу... но это где-то 1 случай из 10-ти. В 9-ти остальных всё OK, там и скрипт работает корректно.

SHaG :: Новая версия OllyScript v0.5 готова.

Качайте с http://ollyscript.apsvans.com

Если у вас есть предложения на тему дополнения функций пошлите msg на IRC (EFnet), nick: SHaG или ollyscript@apsvans.com =)




alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально



alien17 Open Book 1.4 Программа упакована ASProtect’ом. Все нормально
распаковалось. После запуска сразу говорит, что остался
-1 день и вылетает (Хотя упакованная программа говорит, что
осталось еще 28 дней и работает нормально). Долго искал, но так и не смог найти место
где программа записывает дату своего первого запуска.
Может быть кто-нибудь ее уже исследовал ?

О программе:
Программа Open Book будет полезна в первую очередь тем, кто желает серьёзно пополнить свой словарный запас при изучении иностранного языка. При ежедневном использовании Open Book за месяц можно легко запоминать 400-500 слов (словосочетаний, предложений, терминов, дат, и т.п.), причем в день на работу с программой будет уходить в целом не более 15 минут.

http://www.vinidiktov.ru/openbook.htm
Madness :: alien17
Найди апи аспра и поменяй байты отвечающие за дату. У тебя там ffffffffh написано, а надо хотя бы 1. Возможно дампил сразу после создания импорта и апи еще не вызывались.

Кста, было такое вот: Open Book v1.4 beta 9 Cracked EXE Runtime_err0r 2004-01-30

Kerghan :: alien17
не хочешь искть проверку, воспользуйся патчером -=Alex=-’а
ЗЫ можно еще так сделать: трассировать обе проги, а потом посмотреть где они «расходятся»

odIsZaPc :: Kerghan
А параллельно их можно трассировать ? :))))

Madness :: odIsZaPc
На 2-х машинах можно :)

Runtime_err0r :: Я же её зарелизил ещё неделю назад !!!
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 _exe.rar
_http://www.zone.ee/Runtime_err0r/KpT-OpenBook14b9 (Rus)_exe.rar

odIsZaPc :: Madness
Куль! :)

alien17 :: Всем огромное спасибо.
Разобрался.

Kerghan :: odIsZaPc пишет:

цитата:
А параллельно их можно трассировать ? :))))


ну как дети ей богу :)
если нельзя, то сохрани логи обоих, а потом сравнивай

odIsZaPc :: Kerghan
Поподробней. С помощью чего эти логи замутить?

nice :: odIsZaPc
Делается это с помощью OllyDbg, у этого отладчика есть возможнось сохранения логов в файл или копирования в буфер обмена.
Alt+L
Menu-›ViewLOG

MozgC [TSRh] :: nice
Офигеть, я не знал =) Надо будет попробовать, наверно реальная штука.

nice :: MozgC [TSRh]
А я знал о логе, но мысли такой у меня не родилось :)

Kerghan
Спасибо за мысль

TankMan :: А где этот OllyDbg скачать?

Kerghan :: nice
всегда готов
MozgC [TSRh], -=Alex=- and ALL
я же вас предупреждал, что Olly рулит тока вот че-то со статьей MC707 застрял...

odIsZaPc
помимо ViewLOG можно также RunTrace юзать

PalR :: ГДЕ ЭТО ЩАСТЬЕ.................????????????

TankMan :: Runtime_err0r
А почему ссылка не работает на кряки?! :(

MozgC [TSRh] :: Kerghan
Не я все равно буду пользоваться айсом, чисто если надо будет сравнить различия, то может запущу олли =)

MC707 :: Kerghan
Сорри что застрял... Со временем совсем напряг щас....

Kerghan :: сорри за оффтоп
MC707
че ты передо мной то оправдываешься, статья то твоя :)




Bad



Bad_guy Альернативный поиск OEP В зааспреных прогах написанных на Delphi6,7, где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя. Вроде бы неплохой способ. Просьба сразу же не обсирать.
Madness :: Bad_guy
А я по-другому делаю: поиск Runtime (_err0r конечно ;) ), далее листаю вверх с конца кода ища нули или конец таблицы адресов (очень хорошо видно), вот сразу после этой таблицы и идет OEP.

MozgC [TSRh] :: Тут че один я по нормальному ищу? =)))

XoraX :: а некоторые уже привыкли олли юзать....

Kerghan :: Madness
Bad_guy
это все прикольно конечно, но имхо это полезно только в научных целях.
2Bad_guy в конце концов не все проги пишутся на делфях :)

Тока что проверил:
с момента, как я нажал в меню OllyDbg до того момента как я нашел ОЕР прошло ровно 26сек

Madness :: MozgC [TSRh]
А нафик трейсить далее после получения спертых байт? (хоть это и недолго) ;)
Оно нужно только если прогу не на делфи/билдере писанную распаковываешь.

Bad_guy :: MozgC [TSRh]
А может это ты по ненормальному ищещь, а мы по нормальному. Покажи мне ГОСТ где написано как нужно правильно искать OEP.

Kerghan пишет:
цитата:
это полезно только в научных целях


А у меня всё для научных целей - рутина мне не интересна.

MozgC [TSRh] :: Мде уж..

Mario555 :: Kerghan пишет:
цитата:
нашел ОЕР прошло ровно 26сек


Если использовать скрипт, то ваще пара секунд.

Bad_guy пишет:
цитата:
где столен байты
в дампе легко найти OEP: Ищем сигнатуру 00000000000000000000E8XXXXXXFF. То есть ищем 00000000000000000000E8 и смотрим нет ли FF три байта спустя


А на гуя нужно OEP, если не знаешь Stolen Bytes ?
Всё равно ведь их искать надо, а там и OEP.

odIsZaPc :: Mario555
Ну можно не тока выковыривать спертые байты. Можно поступить и так, как делает Stripper...

MC707 :: Kerghan пишет:
цитата:
до того момента как я нашел ОЕР прошло ровно 26сек


У меня таж фигня . От размера проги зависит. А вообще от 15 до 30 секунд.

odIsZaPc пишет:
цитата:
Можно поступить и так, как делает Stripper...


О да, тока в ручную так гиморно.

nice :: Bad_guy
:) А как ты определяешь наличие спертых байт без отладчика???
А если байты не сперты? Мне до сих пор такие программы попадаются, тогда твой поиск будет -› 0

Mario555
Что за скрипт, брось на мыло, если не трудно

RideX :: nice
Я, например, ищу в Hiew’е по сигнатурам в _InitExe, просто поднимаюсь на уровень выше (выхожу из этого call’а) и смотрю, есть спёртые байты или нет :)

FEUERRADER :: nice пишет:
цитата:
Что за скрипт, брось на мыло, если не трудно


Почитай тут: http://www.exetools.com/f...2&perpage=15&pagenumber=1
Плагин для оли - OllyScript (http://ollyscript.apsvans.com). На вудмане набросали скриптов для быстрого (за пару секунд) нахождения ОЕР для разных пакеров (в том числе и аспр 1.3). Мне особенно понравился скрипт, который у tElock 0.98 быстро на ОЕР останавливается. Там еще для pecompact, neolite, pepack и др есть. А скрипт для аспра останавливается на спертых байтах (или ОЕР). Идея, которую реализовал SHaG (автор плагина OllyScript) мне лично очень понравилась.

P.S. Часто интересные вещи кидают на форуме exetools. Как Вы думаете, Володя с васма откуда про всё самое свежее узнает

nice :: FEUERRADER
Большое спасибо

PalR :: На вудмане набросали

Никода не слышал. Как пишется.

GL#0M :: PalR

Знаменитый форум. FEUERRADER правильно говорит.
www.woodmann.cjb.net
http://66.98.132.48/forum/




TankMan Восстановление импорта... не понятны некоторые функции Я тут по...



TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой...



Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой FlaX (662 Кб). Возникла интересная задачка: при запуске программы в OllyDbg отладчик считает что программа прибита, хотя она на самом деле продолжает работать. Как она умудряется вырваться из-под контроля отладчика? Такого я еще не видел
MoonShiner :: А че происходит в айсе? Есть ли процесс в списке задач? Видится ли каким нить LordPE?

Dragon :: Может быть она DLL подгружает какие-нибудь, и там что-то такое происходит.

Gloomy :: Проверил на наличие функции IsDebuggerPresent - ее нет.

MoonShiner
В Айсе ситуация аналогичная - он тоже считает что процесс прибит и проваливается в дебри ntdll.dll

Dragon
Никаких DLL нет вообще - один только запуской файл.

MC707 :: Ты вот на это обрати внимание:
00418788 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418789 ¦. 8D05 586C4400____LEA EAX,DWORD PTR DS:[446C58]
0041878F ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418790 ¦. 8B45 08__________MOV EAX,[ARG.1]
00418793 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418794 ¦. 8D05 0C114400____LEA EAX,DWORD PTR DS:[‹& KERNEL32.GetProcAddress ›]
0041879A ¦. AB_______________STOS DWORD PTR ES:[EDI]

и еще:
004187BC ¦› A1 489F4500______/MOV EAX,DWORD PTR DS:[459F48]
004187C1 ¦. 83F8 00__________¦CMP EAX,0
004187C4 ¦. 74 53____________¦JE SHORT FLAX.00418819
004187C6 ¦. 33D2____________¦XOR EDX,EDX
004187C8 ¦. 8A10____________¦MOV DL,BYTE PTR DS:[EAX]
004187CA ¦. FF05 489F4500____¦INC DWORD PTR DS:[459F48] ; FLAX.00448D68
004187D0 ¦. 6BD2 05_________¦IMUL EDX,EDX,5
004187D3 ¦. A1 309D4500_____¦MOV EAX,DWORD PTR DS:[459D30]
004187D8 ¦. 03D0____________¦ADD EDX,EAX
004187DA ¦. 33C0____________¦XOR EAX,EAX
004187DC ¦. 8A42 04__________¦MOV AL,BYTE PTR DS:[EDX+4]
004187DF ¦. 2245 05__________¦AND AL,BYTE PTR SS:[EBP+5]
004187E2 ¦. C645 05 FF________¦MOV BYTE PTR SS:[EBP+5],0FF
004187E6 ¦. 50_______________¦PUSH EAX
004187E7 ¦. 52_______________¦PUSH EDX
004187E8 ¦. 50_______________¦PUSH EAX ; /Arg1
004187E9 ¦. E8 42000000______¦CALL FLAX.00418830 ; \FLAX.00418830
004187EE ¦. 83C4 04__________¦ADD ESP,4
004187F1 ¦. A1 489F4500______¦MOV EAX,DWORD PTR DS:[459F48]
004187F6 ¦. 8945 00__________¦MOV DWORD PTR SS:[EBP],EAX
004187F9 ¦. A1 548D4400______¦MOV EAX,DWORD PTR DS:[448D54]
004187FE ¦. 8B0D 189D4500____¦MOV ECX,DWORD PTR DS:[459D18]
00418804 ¦. 5A_______________¦POP EDX
00418805 ¦. FF12_____________¦CALL DWORD PTR DS:[EDX]
00418807 ¦. 8B45 00__________¦MOV EAX,DWORD PTR SS:[EBP] ; ¦
0041880A ¦. A3 489F4500______¦MOV DWORD PTR DS:[459F48],EAX ; ¦
0041880F ¦. E8 EB030000______¦CALL FLAX.00418BFF ; \FLAX.00418BFF
00418814 ¦. 83C4 04__________¦ADD ESP,4
00418817 ¦.^EB A3____________\JMP SHORT FLAX.004187BC

аффигенно длинный цикл
При выходе из него (4187C4) - пускается другой процесс. Какой - не разбирался...

Gloomy :: MC707
Спасибо за подсказку, копаю дальше:
004187BC EB 5B JMP SHORT FlaX.00418819 ; теперь программа не закрывается в отладчике и ее можно спокойно ковырять.
Есть проблема - нашел место где выдается сообщение о неправильном серийнике:
00427F94 /. 55 PUSH EBP
Но там невозможно поставить бряк потому что это место в коде вызывается при вводе серийника. Пробовал ставить бряки на GetFocus и SetWindowsHookExA - они не работают. Как можно обойти такую систему ввода серийника?

MC707 :: Gloomy
В общем я пошел по другому пути.
В хекс редакторе изучил содержимое ехе. Он всегда в любой проге может много чего интересного дать ...
Нашел строки Flex Key, Key, flex.ini.
Нашел файл flex.ini - в папке windows
Поставил бряки на эти строки. Запускаем - прерываемся по адресу 42932F и видим, что прога считывает из ini строку
Key=...
Добавляем Key=666666
Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника. Я не вдавался в подробности как, но там все видно. И там еще дохрена проверок. Как минимум я 6 насчитал.

Ara :: А кто видел такое - место сравнения найдено, если EAX=0 (верный RegCod), то прога работает хорошо. Если в отладчике обнулить ЕАХ, то тоже все хорошо. Но если подпатчить немного, то программа вылетает в аут. Проверки на CRC нет !!!

Ara :: Да, еще, никаких пакеров-протекторов нет, есть VIsual C++ 7.0

Gloomy :: MC707
›› Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника
Прошел весь код от чтения строки из ini-файла до открытия окна программы - вычислить серийник не удалось Возможно дело в том что я отключил создание нового потока который обламывает отладчик (сообщает ему что программа закрылась)? Как ты проходил этот код? Так же прибив создание нового потока?

Ara
›› А кто видел такое - место сравнения найдено
Я такое видел когда ломал Promt XT. Добить его до конца так не смог - пришлось написать загрузчик. Попробуй DZA Patcher - она умеет создавать in-line патчи

Ara :: Gloomy пишет:
цитата:
Попробуй DZA Patcher - она умеет создавать in-line патчи


DZA вообщето у мяня что-то хреновато работает, правильно патчит только несколько байт, остальные что-то портит, я не разбирался. Попробую для интереса лоадер, потом напишу результат.

Ara :: Gloomy
Лоадер тоже не катит

Gloomy :: Ara
›› Лоадер тоже не катит
Тогда ищи как программа защищает память от чтения - см. справку по фукнциям VirtualProtect\VirtualProtectEx. А почему DZA не работает? Ты уверен что правильно задаешь все адреса и байты?

Ara :: Gloomy
Да говорю же, не разбирался, почему DZA не работает! Вернее, он работает, если нужно патчить 1-2 байта, а если больше, то облом. А может я где и ошибся, просто после я сделал свой крек на ВР и им пользовался. Сейчас все пытаюсь на Delphi сделать (без VCL), да что-то пока никак руки не дойдут.




Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/



Krizotill помогите кто чем может! Я Krizotill ghbdtnbr dctv/
День первый: ставил софтлиз на ХР - не пашет.
День второй: вешал патчи - не пашет.
День третий: ставил драйверстудио 2.6 - не пашет.
День пятый (день четвертый тянул из сетки 96задолбайт!): ставил драйверстудио 3.0 betta 2 - пашет но тем обиднее что глючно!!!

ТИПА bpx GetWindowTextA не хотит ставиться. ТО -биш вроде и ставится, по F5 вываливаться не хочет, в любом случае срабатывает бряк (типа «какай смертью писай громом» но Х... отсюда выйдешь) давим BC* жмем F5 - выпали нормально самочувствие поганое.
День шестой: - Тут то и закрадывается злодейская мысля, которая приходит обычно опосля проверить брякина Функциях иных.
Вывод некоторые пашут как папа Карло над поленом, а иные представители (аналогия с родными ГИББДшниками) сачкуют, придумывая различные отмазы (нечто вроде я не я и Ж... не моя).

День седьмой: не родив подходящего решения, бью клич о помощи.

А теперь вопрос уважаемым знатокам.

ЧТО ДЕЛАЬ и КУДА ВСЕ ЭТО ТЕПЕРЬ ДЕВАТЬ.!!!

бара :: format C: к е*ени матери.

XoraX :: дабы не мудится поставь вторую систему win2k и ломай в свое удовольствие с нормальнам сайсом

MozgC [TSRh] :: XoraX
А причем тут Win2K ? У меня (и у большинства) всегда в WinXP отлично работает.

Krizotill
Что в твоем понимании «не пашет»?

XoraX :: MozgC [TSRh]
при том, что у меня (и не только) на Xp сайс работать правильно отказывается

Dragon :: DS 3 - там бряки - контекстно зависимые. Только в 3.10 настройка появилась, чтобы бряки для всех процессов работали. Так что ищи DS 2.7 или 3.10

Krizotill :: Я согласен «win2k», «DS 2.7 или 3.10» все это решения, комуто может даже «format C: к е*ени матери» понадобится. Но все эти пути не для меня:
1. - Я попутно занимаюсь видео, файлы офигенные (читай: объемные, большие,... синие, зеленые, красные, если не сказать ужасные.) мой малютка Макср...(читай: винт) непотерпит вливания еще №-нного вливантя свежих байт, т.к вторая система требует своего софта из-за природной ревнивости и феноменальной стервозности (Беня Гей посторался на славу), а от ХР, хотя и ярый сторонник 2000, не откажусь. Опять же, с легкой руки некого «Мичурина» скрестившего Adobe Premiere Pro 7-ого рождения с Win XP, я оказался привязанным к Premiere как основному инструменту хлебодобывания, а к Win XP как средству искуственного поддержания жизни в Adobe.
2. - Перекачку из сети еще одной версии нумеги, без гарантий ее дееспособности (читай: вменяемости не говоря о чистоте помыслов и действий), я не переживу (не Connect-ом единым жив Человек), окромя рулона туалетной бумаги (спасибо «фабрике бумажных изделий города Засранска») и баночки горилки (спасибо дружественному народу Хохландии), в холодильнике хотелось бы иногда видеть кусочек натуральной писчи(типа там мяска кусманчик, сырочку (сойдет и дружба), картофанчика чюток)!
3. - Легких путей мы не ищим.
4. - НУ ВОТ КАКОГО microsoft-ТА бряк так ПРИЛЕЖНО! себя ведет (прям как я в школе).

одним словом


Krizotill :: Пордон заболтался.
Глюк в том что по bpx GetWindowTextA из отладчика не выйти, сразу срабатывает бряк (никаких похабных действий над системой не производилось, приложения не запускались).
Вот ведь ____(вставить родственное слово), родил идею - надо посмотреть моих паразитов (желающих овладеть невинностью моего компа предостаточно,вот и приходится следить кто, чего и когда нарушал и сколько же мне это стоит).
А самое прикольное нереагируют бряки на те действия, на которые срабатывал первый пропатченый совтлиз (ну вроде впечатать текст АУ-ГДЕ МЫ).
Причем синтаксис некоторых команд нивкакую не правельный (ближний пример бряк GetWindowText, ShowWindow) какие тут ошибки я не пнял раньше работало именно так.

Krizotill :: Идею я родил правилно!! злополучный СТАТВИН, верой и правдой копивший статистику посягательств, оказался непрочь потрепаться с совтлизом, из-за этого каждое обращение программы (статвин) вываливало, как грыжу при напруге, дитя Нумеги тобишь есть совтлиз.
Совет таков, - гасите проги, что могут геморою вам навлечь.

MC707 :: ollydbg - хорошее исправление (c) Kerghan


WELL :: Krizotill
IMHO под ХР OllyDbg - лучше сайса и всего остального.
По крайней мере поставить бряк на GetWindowText просто.

KLAUS :: НЕ сравнивайте Sice и OLLyDbg это в сущности две разные вещи, и Sice трудно найти замену!!

XoraX :: с олли можно проделать _практически_ все, что можно в айсе...
плюс ко всему там плугины полезные еще есть...

MC707 :: KLAUS
Да никто не сравнивает. Просто нравится Айс - пользуйся им.
А у меня с Олли на сдампивание любого аспра уходит 21 секунда. Полная распаковка упх - секунд 40, PECompact - секунд 50. Это просто примеры, выводы делай сам.

WELL :: KLAUS
По крайней мере Olly не выпрыгнет где-нить в неожиданном месте (типа в игрушке)




[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:



[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:
ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
Я через OllyDbg способом из 26 нажатий shift+F9 нашел OEP... *Не зацикливая* программу а просто остановившись, снял Дамп... с помощю ImportREC восстановил таблицу... (почти все ImportREC восстановил сам + помог плагин для к нему для ASProtect v1.22) делаю затем Fix Dump....
Но после запуска дампа: «Инструкция по адресу 0x0048e889 обратилась к памяти по адр 0x00000004 память не может быть read» :(

Может это потому что Дамп снимал на незацикленной проге? Кстати а зачем ее вообще зацикливать? А если просто бряк на OEP ?
По поводу галочки «Add new section» в ImportREC? Нужна ли она? или надо RVA из Дампа брать?
P.S. хотя я и так и так пробовал...
MC707 :: Зацикливается только в айсе, чтоб прога дальше не убегала. Сайс же не параллельно с виндой работает.
[ChG]EliTe пишет:
цитата:
почти все ImportREC восстановил


а надо чтоб все.
Прочитай в доках краклаба статью -=ALEX=--а о распаковке этого аспра.

Если хочешь быстрее и не ручками (но не факт что правильнее) - возьми strripper 2.07f.

MC707 :: Да кстати не забудь еще и ОЕР правильно указать

XoraX :: еррор вылетает из-за спижженых байт, ты их не восстановил

MC707 :: XoraX
мде... че это я про них забыл?


[ChG]EliTe :: Что касаеться Импорта то я его ВЕСЬ восстанавливаю что не востановилось В самом начале то Плагин довостанавливает! Вообщем с этим все ОК! Как я понял.. :)

А вот что касаеться краденых байт, то действительно их не искал.. я думал они только в 1,3 версиях

[ChG]EliTe :: Люди добрые помогите со спертыми байтими разобраться.... точнее вернуть их на место... :)

Подскажите с чего начать, куда копать... Пользуюсь преимущественно Olly...

Помогите кто чем может...

Kerghan :: XoraX
MC707
вы че чуваки, пизженные байты кажись тока с 4ой бэтки начинаются , и уж во всяком случае в первой их ну никак нету

[ChG]EliTe
поробуй посмотреть в чем суть ошибки, отладчик он для того и сделан
может там чето типа mov eax,byte ptr [eax] а eax=0 или проверка целостности кода или еще хз че

MC707 :: XoraX
О, я ж грил

XoraX :: сорри, я честно гря не знал...

nice :: [ChG]EliTe
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит

dMNt :: я конечно извиняюсь , но где этот плагн там искать? я его не нашел

__cr__ :: http://kpteam.com/index.php?show=tools

Поисковики - это сила

[ChG]EliTe :: nice пишет:
цитата:
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит


1000 благодарностей! Офигеть! И правда все ОК!

Вот только как такое может быть ведь и без этого плагинка я все восстанавливал и ImportREC писал что мол все ОК! точнее «YES»!
Типа он восстановил но не правильно?




smallcracker как при помощи OllyDbg паставить бряк на проверк



smallcracker как при помощи OllyDbg паставить бряк на проверку с\н в проге на барсике См. в теме
Kerghan :: так же как и в другом отладчике

smallcracker :: с другими языками при помощи OLLY идёт всё нармально «bpx getdlgitem,bpx get windoxtexta- и понеслась«а здесь бейсиковская.DLL - и я схожу с ума в этих дебрях

Mario555 :: smallcracker
Попробуй поискать «интересные» string ref (olly знает unicode). Или поиск по команде CALL [EAX+000000A0].

Ps ссылку на прогу дай.




Python



Python_Max Странный UPX Сабж состоит в том, что PEiD и ему подобные показывают, что подопытная прога запакована UPX (а конкретнее «UPX 0.89.6 - 1.02 / 1.05 - 1.24 -› Markus & Laszlo»), но в то же время ни сам UPX ни другой unpacker, который может его распаковать, этого сделать не могут и говорят, что UPX’a там и близко нет.
Распаковать смог только ProcDump, но дизасмится распакованный вариант не хочет, а ResourceHacker говорит, что ресурсы нестандартные либо запакованы, хотя тот же PEiD после десяти секунд сканирования (долго однако) говорит, что Borland Delphi 3.0

Че делать-то? Хочу увидеть код программы...

ЗЫ: руками распаковать пробовал - после распаковки по аналогии с туторами дамп не запускается. Но посмотрел я в PE Editor’e тот дамп, который распаковал ProcDump, - он добавил туда еще одну секцию idata. Возможно поэтому его (процдампа) дамп запускается нормально, но, как уже сказал - не дизасмится (конца работы W32Dasm я не дождался).
XoraX :: анализаторы и обмануть можно... покажи файл

Python_Max :: http://www.hotrex.com/soko_pro.exe

Т.е. это инсталяха. А файл - главный exe-шник.

Вот блин, кажись я его даже не оттудова качал :/
Хотя размер сходится, это тот же файл.

WELL :: Лучше распаковывать руками, так надежнее.
Попробуй по такой схеме:
1) Ищешь OEP руками
2) Циклишь прогу (лучше в OllyDbg) на OEP’е
3) Дампишь (лучше с помощью LordPE)
4) Таблицу импорта восстанавливать попробуй ImpRec’ом и Revirgin,
т.к. бывает ImpRec восстанавливает криво (да и Revirgin бывает тоже).
В принципе такая схема обычно подходит для всех простых пакеров (типа ASPack, UPX).

Bob :: Python_Max
Ручками распаковывается все без проблем...
OEP 45e8b0
действу как сказал WELL

Python_Max :: WELL
Thx, я так все и делал, кроме восстановления таблицы импорта.

Bob
OEP я нашел первым делом.

Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/

Выбираю процесс (нераспакованный), ввожу OEP, а ImpREC говорит «Invalid OEP! It does not match in the process memory». А запускаю дамп и получаю - «Ошибка при инициализации приложения...». В самом дампе EP поставил равным OEP-ImageBase.

Что я делаю неправильно?
Может там (в ImpREC) рядом с OEP нужно еще ввести RVA и Size?
А как их узнать?

WELL :: Python_Max
Попробуй Revirgin http://wasm.ru/tools/6/revirgin.zip

Runtime_err0r :: Python_Max
Распакуй этим: _http://www.zone.ee/Runtime_err0r/upx.exe

-=atol=- :: Python_Max пишет:
цитата:
Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/


Юзай 1.6. У меня 1.4.2+ точно такое - же сообщение написал «Invalid OEP! It does not match in the process memory»

KLAUS :: «Invalid OEP! It does not match in the process memory»

Чтоб небыло ошибки нужно правильно указать RVA (если искать автоматом, то будут ошибки), запускай какой-нить Hex редактор (Hex Workshop - например), и в DUMP’e ищи такие (F3) - 1677F7BF, у меня выдался 100110 ( у тебя будет другой), в поле RVA вводи -100000, и в Imprec жми GetImport, потом удаляй всё где стоит NO (Delete Thunks)..и жми FIX DUMP.....и опля ВСЁ РАБОТАЕТ!!!

KLAUS :: Да , кстати там точка входа, это обманка типа jmp наделали на реальную точку...поэтому PEID так долго думает

-=atol=- :: OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

WELL :: KLAUS
А там вообще UPX ?

-=atol=- :: Имеется три секции:
V}«0 -1
^?91 -2
.rsrc -3

WELL :: А модифицироваными упсами с васма пробовали распаковывать ?
У меня был косяк с распаковкой упса со скрамберами, там ImpRec 1.6 не справился, а Revirgin помог.

KLAUS :: Да там балда была...UPX’ом зажата!

KLAUS :: Ну а сам их защищал, и потом распаковывал.....по идеи просто делаеш PE_rebuild и всё.
Ну меня ещё Imprec неразу не подводил...посмотрим что дальше будет!

Python_Max :: -=atol=-
› OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?

Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.
Ради любопытства зациклил прогу и сделал два дампа: один с помощью LordPE, другой - с помошью PE Tools. И проделал те же действия для обоих. В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось (к слову, у дампа LordPE даже не отображалась иконка).
Можно считать, что прога распакована, но редактор ресурсов продолжает гнать все тот же бред: »...it probably been compressed with an EXE compressor».
Это как понимать?

W32Dasm тихо умирает, а вот IDA хоть и предупреждает о том, что таблица импорта повреждена, но дизассемблирует довольно быстро (две минуты), хотя не могу сказать насколько правильно...

А к чему было сообщение о том, что там три секции?

Runtime_err0r
Из-за смайлика боюсь даже качать :)
Тем более я сказал, что UnPacker’ы его не берут. Или этот особенный?

Python_Max :: Хе! В опциях LordPE нужно было две птицы поставить!
Теперь таблица импорта восстанавливается нормально.

Runtime_err0r :: Python_Max
Этот особенный А вообще распаковывать UPX руками - это извращение, читай статью:
http://www.wasm.ru/article.php?article=packers2#8

-=atol=- :: Python_Max пишет:
цитата:
А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?


Да 5E8B0 это EP для дампа, а 45E8B0 это EOP для запакованной проги.Python_Max пишет:

цитата:
Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.


Незнаю у меня все нормально.
Python_Max пишет:
цитата:
В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось


И Lord_PE и Pe-Tools оба дампа получались рабочии.

KLAUS :: А мне вот вообще интерестно, вы вообще пробывали распаковать прогу самим UPX, предварительно в HIEW подправить секции!!

KLAUS :: Короче OEP -0005E8B0 !! Эт 100%
Заменяй секции на UPX0, UPX1 - и разпаковывай самим UPX, без всяких проблем, без всяких дампов..реальный файл занимает 1628

Python_Max :: В смысле имена секций???

KLAUS :: Короче в HIew, нажимаешь F9, выбераешь свой файл, затем F8›F6›F3›F3 и набираешь UPX0. затем Enter›F9 , стускаешься на вторую секцию и тоже самое только UPX1. Всё сохраняешь фаел, запускаешь UPX -d ...прога распакована




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто



alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто интересно, кто умнее, кракеры или я?
Раньше всегда побеждали кракеры, но одна знакомая девушка-программист
подсказала мне интересный вариант защиты с шифрованием кода.....

Прога готова на 85%, IDE среда для программистов на PowerBASIC
http://scriptstudio.narod.ru/

Cкриншоты программы
http://scriptstudio.narod.ru/screen.html

Идею защиты, с шифрованием кода, подсказала Надя Мосягина, умница и просто красавица,
за что ей огромное спасибо! Виктору Тв. спасибо за тестирование защиты, и выявление
слабых мест.

Для скачивания файлов с народ.ру желательно использовать download менеджер.
К примеру ReGet ( http://www.reget.com ).

Когда сломаете защиту, поделитесь пож. технологией слома!!!
:))

dMNt :: ормгмнальная защита от взлома - page not found

alex221 Re: dMNt :: ок

dMNt :: нда, программа нашлась, только зачем делать download если его нету?

тепрь о главном: защита сильная, настолько сильная, что аж при запуске вылетает с runtime error #7 на ОС win98SE
я пас

alex221 Re: dMNt :: К сожалению в Win98 глючит XP стиль, 98 Мастдай неправильно
обрабатывает параметры передаваемые функции CreateWindowEx..

Чтобы отключить XP стиль в файле Startup.ini надо заменить строку

XPStyle=True на XPStyle=False

И добавить строку

MenuStyle=9X

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

При этом пропадут иконки в меню...
Но прога будет работать в 98 виндах

Gloomy :: alex221
Не люблю программы на Васике но на досуге обязательно поковыряю

alex221 Re: Gloomy :: Если взломаешь, опиши технологию пож. взлома!!!
:))))

UnKnOwN :: Чёто это прога у меня вооще не запустилась, странно

RideX :: alex221
Тебе ведь уже Dr.Golova на wasm.ru написал, что не устраивает?

alex221 :: UnKnOwN

Какой у тебя Windows?
Если 95/98/ME то замени строки в файле Startup.ini

Должен быть такой вид

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

alex221 :: to RideX

Он взломал, после того, как я поместил сюда мессагу..
Да и взломал ли??? Там есть еще несколько секретов..

:)))

Gloomy :: Эх, опередили меня Не люблю я все-таки Васик

›› Там есть еще несколько секретов..
Тогда это надолго...

RideX :: Gloomy пишет:
цитата:
Тогда это надолго...


А оно тебе надо?

dMNt :: нда, васик это да. если кто знает, чем dr.Golova так ее дизасмил, поделитесь
а вот пакер снялся быстро... начинаю доверять olly

alex221 Re: dMNt ::
Я специально запаковал прогу старым ASpack, в релизе хочу использовать Armadillo 6.5

Gloomy :: RideX
Интерес тут чисто спортивный

dMNt
«Есть мнение, причем не только мое» (с) что Dr.Golova ипользовал полную версию VB RezQ.

›› начинаю доверять olly
OllyDbg рулит!

alex221
›› Armadillo 6.5
А разве такой уже есть? Самая последняя версия вроде 3.2

alex221 Re: Gloomy :: Наверное попутал с другим протектором

Armadillo 3.60 - точно

:))))

alex221 Re: alex221 :: Если найдете кряк для VB RezQ, киньте сюда ссылку....

:)))

XoraX :: alex221 , учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)

__cr__ :: На ftp.exetools.com лежит Арма 3.60 Public. Мне кажется, что за нее ничего не просят

MozgC [TSRh] :: __cr__
Там она без наномитов, такое распаковывается за 10 минут.

__cr__ :: Не, ну понятно, что Public арма без наномитов.

GL#0M :: MozgC [TSRh]
А где можно с наномитами раздобыть?

MozgC [TSRh] :: GL#0M
купить.

alex221 :: XoraX пишет:
цитата:
alex221, учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)


Пусть подадут на меня в суд!!!

:)))




DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только



DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только скачал :) Ну так вот накачал КракМи’фов и появились вопросы. Короче нашёл место где совершается безусловный переход (jz) а как пропатчить не знаю (вы не смейтесь) Ну и как заменить мне jz на jmp? Я и таблицы с кодами не знаю (где взять-то?). И адреса по которому надо патчить... Там софтАйс вроде показывает адрес в файле а я HexEdit’ом открыл а там ноль... Чё такое? И ваще, можт есть крекеры из Саратова(ой, мля, как сомневаюсь!!!)??? Спасиба за помошь. Только не посылайте на*** и не смейтесь...
__cr__ :: Прочитай FAQ Мозга:
-----------------------------------------
http://mozgc.com/faqversion10.htm
------------------------------------------

И еще: скорее всего тебе будет удобнее пользоваться w32dasm’ом. С wasm.ru (в инструментах) можешь скачать w32dasm и патч к нему (который позволяет патчить прямо в w32dasm’е, почти отпадает необходимость использовать Hex-редактор и к тому же так получается намного быстрее).

Kerghan :: DillerXX
пожалуй лучше взять OllyDbg там все куда нагляднее чем в айсе, и тебе будет куда легче понять азы
...ну и конечно же читать и читать и ... ... статьи на crackl@b’е

smallcracker :: берёшь hiew загружаешь свою программу туда затем жмёшь F4 далее выбираешь «decode» , потом жмешь F5 «ищещь строку которую надо заменить» находидишь, жмёшь F3 меняешь что надо ,потом жмёшь F9 а потом F10 -вот и всё программа пропатчена

__cr__ :: 2smallcracker: если патчить, то делать это в хекс-редакторе не удобно - долго слишком. Если вот hiew использовать одновременно и как дизассемблер, то это еще терпимо.

Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.

AnteC :: Не подскажите у меня одного такой глюк в W32Dasm’e v10 by Killer:
При QuickEdit’e окно едита прозрачное видно только рамку :( юзаю в WinXp

Mario555 :: __cr__ пишет:
цитата:
Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.


Ещё бы... Мне даже вспоминать противно этот кривой патчер из W32Dasm’а. Olly рулит.

__cr__ :: Я просто вспомнил, как меня напягало каждый раз открывать hiew, для того чтобы пропатчить =)
А про олли я тогда не знал (давно это было =))
А так, конечно, Olly - рулез полнейший, просто мне кажется, что новичкам все-таки w32dasm попроще.

DillerXX :: Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)

DillerXX :: И ещё как сохранить пропатченный файл? А то я всё пропатчил, протестил - работает, а как теперь сохранить? (в Олли)

WELL :: DillerXX пишет:
цитата:
Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)


F2

Kerghan :: DillerXX
или два раза кликнуть по строке на которую хочешь бряк поставить, либо в командной строке «bp адрес» (без ковычек конечно)

а сохранять пропатченный - по правой почке и Copy to executable-›All modification ну а дальше сам разберешься

DillerXX :: Спасиба!!!! Уже какую-то прогу крякнул!!!! УРЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
А в Олли незя сделать патч, а не просто ехе-шник?

dMNt :: мона, давишь A и пишешь код своего патчера

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?

KLAUS :: DillerXX
А прога не запакована?

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

DillerXX :: KLAUS пишет:
цитата:
А прога не запакована?


Ты про какую спрашиваешь, которая длл не использует или где адреса другие? Если про длл, то я не знаю, думаю что нет. Она слишко редкая чтобы её защищать (и для узкого круга людей).
А если про адреса, то тоже думаю что нет.

DillerXX :: Как мне сделать так, чтобы в софтАйсе начало адресов проги было 00401000, как в W32Dasm’е и Олли???

KLAUS :: DillerXX

Скорей всего прога запакована, а чтоб это узнать скачай какой-тить файл анализатор
(pe-scan, PE-ID и т.д), если они выдадут что прога запакована тем-то тем-то, тебе придётся его распаковать, и тогда адреса станут одинаковыми, т.е как в W32Dasm’е и Олли!!!

DillerXX :: Да не, у меня уже ваще херь началась: теперь адреса в СофтАйсе не совпадаю с В32Дасмом и Олли в любой проге!!!!! Т.е. я теперь не могу ставить брейк на адреса (в СофтАйсе)!!!! Пытался калькулятором высчитать - нихера! Вроде всё прально считаю а адреса не те!!! Чё у меня за херня началась с СофтАйсом??? Ведь сначала все адреса совпадали!!!! Помогите плз!!!!!!! Я думаю, должен быть какой-то параметр в Айсе...

DillerXX :: И вот ещё чё: при анализации проги в Олли у меня в 75% прог он виснет (на 98). Чё такое? Можт патч какой есть?

KLAUS :: Проверь то, что тебе сказали!

DillerXX :: Не, ну так почему у меня сначала ареса все совпадали (во всех прогах), а теперь нет??????

Ra$cal :: У меня в olly нет пункта сохранить в исполняемый (v1.1 по-моему)

Ra$cal :: Точнее v1.10 Step 2

DillerXX :: Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!

MC707 :: DillerXX
Зачем психовать? Виснет Олли - ты первооткрыватель такого глюка. И скорее всего дело тут не в Олли (хотя хз, у меня стоит 1.10 б1). Переустанови винду. Под корень. Очень рекомендую.
З.Ы. Мы кстати тут не обязаны объяснять ничего: DillerXX пишет:
цитата:
Крякеры вы или кто????? Чё вы мне ничо объяснить не можете????


Ra$cal
Не там ищещь. По коду правой клавишей крысы жмешь и там уже copy to exe...

infern0 :: DillerXX пишет:
цитата:
Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!


поосторожнее с заявлениями. А то тебе просто будет предложено отправится в дальнее путешествие с сексуальным уклоном.

AlexZ CRaCker :: DillerXX пишет:
цитата:
И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?


Есть такая фишка как виртуальный адрес... Кстати мне тоже интересно о нем узнать, ато знаю что он начинается с ».» (точки).

Блин, и кто только стока сообщений от моего имени навсавлял?

AlexZ CRaCker :: DillerXX пишет:
цитата:
в Олли у меня в 75% прог он виснет


Я юзаю v1.09d и не жалуюсь(там все есть!)
infern0 пишет:
цитата:
с сексуальным уклоном.


Прикольная шутка! А псих желательно подавлять...

MC707 :: AlexZ CRaCker
лол однозначно. ноу комментс.
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь

AlexZ CRaCker :: Извиняйте, не врубился....
MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...»


Чё неу коментс (о чем именно?), и Дилеру понятно станет.

MC707 :: 1. от твоего имени навставлял ты сам
2. ».» ставится только в hiew, чтоб получить VA, без точки будет RVA. Есть еще и offset. Вот в той статье и почитай насчет этого

DillerXX :: AlexZ CRaCker пишет:
цитата:
Я юзаю v1.09d и не жалуюсь(там все есть!)


Я тоже юзаю эту же самую версию, но у меня виснет при анализации (в одной проге на 1,9% в другой на 80%).

MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь


Ну я же уже говорил, что в любой проге (полюбому без упаковки). А если ты на счёт ваще всей статьи, то там инфа полезная. Кстати теперь оказывается, надо запустить прогу, затем поставить брейк (в Айсе) на hmemcpy, нажать на Ф12 раза 4 и тогда адреса будут нормальные. Мндя. Прикольно.




Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




Styx Web Compressor Прога запакована SVKP. Дамп сделал только PE Tools-ами...



Styx Web Compressor Прога запакована SVKP. Дамп сделал только PE Tools-ами т.к. остальные думперы этот процесс не видят,
ImpRec тоже. Не могу распаковать. Помогите.

http://arendix.median.ru/...roducts-webcompressor.php
RavenFH :: Ищи импорт по всем секциям, где он может лежать тем же импреком

WELL :: Styx

Попробуй для восстановления импорта Revirgin (ну как вариант)

Mario555 :: ImpRec---›Options---›Enable Debug Privilege (должен быть включён).

Styx :: Может кто знает как получить OEP именно для SVKP. По bpm esp-4 Sice прерывается уже после загрузки проги.
Пробовал трейсить прогу в ручную, но с некоторого момента там начинает твориться чёрт знает что!

Styx :: И ещё, чем пользоваться вместо hmemcpy под Win2k?

RavenFH :: Styx пишет:
цитата:
Может кто знает как получить OEP именно для SVKP. По bpm esp-4 Sice прерывается уже после загрузки проги.


Я ради интереса попробовал, не знаю почему у тебя не работает, у меня все прерывается и если тебе это чем-то поможе - CD5EC.

Mario555 :: Версия SVKP не из последних, так что stolen bytes нет.
Дампить можно и OllyDump’ом и LordPe (с включённым Intelly dump).
Самое сложное в этом SVKP это импорт, плагина то нет, так что вручную пришлось. Нужно править цикл создания Iat и определять api svkp (их там аж 8). Вообщем вот Import_imprec
Одну функцию я так и не определил, она кладёт в eax 1 и чего-то со стеком делает, короче заменить её на
mov eax,1
ret
и всё. Потом ещё прога при закрытии падала, я разбираться не стал, и просто
0040CEF2 E8 C167FFFF CALL 2_.004036B8 ------------- занопил.

Взлом:
в dede смотришь buttonclick ok, идёшь на эту процедуру, там введённый пароль будет сверятся с несколькими сгенерированными прогой

004BCD1C FF FF FF FF 10 00 00 00 31 30 33 45 2D 32 33 36 яяяя...103E-236
004BCD2C 2D 43 36 2D 34 45 37 42 00 00 00 00 FF FF FF FF -C6-4E7B....яяяя
004BCD3C 10 00 00 00 32 46 39 45 2D 39 38 34 2D 37 36 2D ...2F9E-984-76-
004BCD4C 34 37 37 38 00 00 00 00 FF FF FF FF 10 00 00 00 4778....яяяя...
004BCD5C 31 30 33 45 2D 46 30 39 2D 39 33 2D 31 37 36 41 103E-F09-93-176A
004BCD6C 00 00 00 00 FF FF FF FF 10 00 00 00 32 46 39 45 ....яяяя...2F9E
004BCD7C 2D 42 44 32 2D 37 30 2D 33 31 45 39 -BD2-70-31E9

Любой из них подходит (ессно для моего hardware id) - будет сообшение об успешной регистрации. Но при запуске прога выдаст такую месагу:
«Critical error! Code: 191. Immediately contact support service - support@arendix.median.ru»
Зря она эту месагу выдала...

004CB17E 76 3A JBE SHORT 2_x1.004CB1BA
004CB180 . B8 E0B84C00 MOV EAX,2_x1.004CB8E0 ; ASCII «Critical error! Code: 191. Immediately contact...»

на

004CB17E 76 3A Jmp SHORT 2_x1.004CB1BA
004CB180 . B8 E0B84C00 MOV EAX,2_x1.004CB8E0 ; ASCII «Critical error! Code: 191. Immediately contact...»

Гы-Гы прога зарегена.

PS если бы был плагин, то распаковка вообще минут 5-10 заняла бы.

Styx :: Номерки кстати у меня теже, наверное прога проверяет не пользовался ли user услугами асталависты

Styx :: Номерки кстати у меня теже, наверное прога проверяет не пользовался ли user услугами асталависты.
А вообще спасибо за помощь.

Styx Re: Mario555 :: Слушай Mario555 не поленись напиши как ты OEP нашёл. Я вот делаю break&enter, потом
bpm esp-4, F5 много раз, но в итоге попадаю на постоянно меняющийся код
Было бы лучше если c OllyDbg, но это если не напрягает

Mario555 :: На last exception ставишь бряк на доступ к секции кода, Shift-F9, остановишься в цикле, удаляешь бряк и проходишь цикл, потом опять ставишь бряк... опять обходишь цикл, потом уже и на OEP остановишься.

PS я сегодня распаковал ещё одну прогу с SVKP и там api svkp почти в точности (даже по расположению) совпадали с api svkp этой проги.

0 000D21FC ? 0000 00DA2A04
1 000D2200 kernel32.dll 00EA FreeLibrary
1 000D2204 kernel32.dll 00CA FindFirstFileA
1 000D2208 kernel32.dll 00C6 FindClose
0 000D220C ? 0000 00DA2070

и

0 00CF2194 ? 0000 018A2A04
1 00CF2198 kernel32.dll 00EA FreeLibrary
1 00CF219C kernel32.dll 00CA FindFirstFileA
1 00CF21A0 kernel32.dll 00C6 FindClose
1 00CF21A4 kernel32.dll 0046 CreateDirectoryA
0 00CF21A8 ? 0000 018A2070

А я то думал, что SVKP - крутой протектор, а оказолось «так себе»... стоит один раз его распаковать и всё станет просто и понятно...




SavagE Кто-нибудь ковырял StarForce 3 ?? Я вообще офигеваю на этот СтарФорс -...



SavagE Кто-нибудь ковырял StarForce 3 ?? Я вообще офигеваю на этот СтарФорс - ни SI loader c E0000020 на секциях ехе, ни Break&Enter не дают никакого результата,
к тому-же после некоторых экспериментов выяснилось что у ехе вообще прописан левый энтрипоинт и грузится он не с него
т.к если в энтрипоинте прописать любую фигню, то прога продолжает прекрасно запускаться
Как такое происходит ? Ведь PE загрузчик ОСи берет энтрипоинт из РЕ заголовка ?
з.ы : Кто-нибудь знает как заныкать сайс от этой сволочи(IceExt,IceDump нервно курят в сторонке )
и как она(эта сволочь) шатдаунит комп при попытке запустить сайс при уже запущенной игре ?
з.з.ы : дайте линки на туториалы по лому этой пакости(я что-то ничего толкового не нашел, хотя отученные от диска екзешники уже валяются на варез серверах)
MoonShiner :: Эээ... прежде чем запустить прогу, система подгружает либы, содержащиеся в импорте. Фича в том, что одна из этих либ и запускает файлик с левой точки входа:)

SavagE :: Хоть кто-то прояснил ситуацию, а то я уже полез перечитывать доки по РЕ формату
2 MoonShiner Ну а насчет какой-нить инфы по Старфорсу -нигде не встречал ?

-= ALEX =- :: SavagE пишет:
цитата:
а то я уже полез перечитывать доки по РЕ формату


дак читай, пригодиться....

Dragon :: Точка входа там правильная а не левая. protect.dll расшифровавает exe-файл, запускает его система. Перед самым запуском вызывается функция SetErrorMode. Надо её ловить перехватом и дампить во время вызова. Для импорта надо создавать переходники, в общем про это в статье написано, а дальше не понял что делать и бросил всё это

KLAUS :: SavagE

Вместо Айса, можешь OllyDBg попробывать, его некоторые за отладчик не считают!

бара :: SavagE
мой тебе совет - забей....

это как Xtreme protector, только попроще...

Реально взломали его конечно - видел реально сам. Но инфы нигде не выкладывают пока. Видел кейгенераторы для спи*женных дисков и всё работало.

Но мне это пока не надо - проще копировать, учитывая объём геморроя...

SavagE :: Dragon пишет:
цитата:
в общем про это в статье написано


ГДЕ ??? В КАКОЙ ??? ДАЙ ЛИНК !
задолбался уже линк просить

-=atol=- :: Вот про эти atol.newmail.ru/sf.zip

Raw :: ›Вот про эти atol.newmail.ru/sf.zip
ну и причем тут SF3 :?

Dragon :: При том, попробуй начни распаковывать и узнаешь. Там отличий почти и нет, только защита данных во внешних файлах добавилась.




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.

Mario555 :: Появился новый PEiD 0.92 [ hxxp://peid.has.it ]

цитата:
Added support for external database, independant of internal signatures. Added PE details lister. Added Import, Export, TLS and Section viewers. Added Disassembler. Added Hex Viewer.
Added ability to use plugins from Multiscan window. Added exporting of Multiscan results. Added ability to abort MultiScan without loosing results. Added ability to show process icons in Task Viewer.
Added ability to show modules under a process in Task Viewer. Added some more detections.


XoraX ::
цитата:
Added support for external database


где бы ее взять? вдруг пригодится...

PalR :: Ресторатор 2ОО4 v3.О.1129 Full
http://www.hornet.ru/0214/d-res301.zip
http://www.hornet.ru/0214/d-res302.zip

PalR :: Кто не успел, тот опаздал:) Гы

Cigan :: PalR
Плиз выложи еще разок. Блин токо сегодня до форума добрался!!!

PalR :: Restorator 2004 v3.0.1129 Release: DiSTiNCT

-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res301.zip
-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res302.zip
русик
_http://www.apocalypse1.na...004_3001129retail_rus.exe
_http://www.4ru.info/rus/alexagf-Res301129Fr.zip

Cigan :: PalR
Большое бли спасибо!!! :)))

nice :: Обновилась: BETA 2 of OLLYDBG 1.10

is in the page of olly for download

http://home.t-online.de/home/Ollydbg/beta110b.zip

Vesrion 1.10b - second beta

Download v1.10b now - still raw, for troubleshooting only, includes plugin.h and sources of cmdline.dll that demonstrate usage of ODBG_Plugincmd().

There is a big useful new feature: OllyDbg now can debug standalone DLLs. Just drop DLL into OllyDbg and see what happens. A brief walkthrough is available here. Also new is a SEH chain window. Other changes:

A very useful option to remove analysis from selection (shortcut: Backspace);
Attach window is resizeable (and even maximizable);
New stack commands: push doubleword and pop doubleword;
Option to copy all registers to clipboard.

Removed bugs:

Assembler supports simplified form of IMUL: IMUL reg,const. This command is disassembled as IMUL reg,reg,const. One cannot search for IMUL using imprecise register (IMUL R32,CONST - use IMUL R32,R32,CONST instead). Reported by Alexandr Yakubtchik.
Disassembler used address size instead of operand size to decode size of immediate offset (JMP FAR ssss:oooooooo). Reported by Karel;

Tabs in source text in Disassembler comments and info pane were displayed as small rectangles. Now they are extended to at most 8 spaces. Reported by Karel;

ARPL was decoded with 32-bit size of operands (correct decoding is ARPL r/m16,r16). Reported by Karel;
OllyDbg now should correctly work in multi-monitor configurations, but I am unable to verify this. Please check! Reported by Roel Verdult;
2-byte INT 3 (CD 03) was processed incorrectly. Reported by roticv.
That’s all, enjoy and don’t forget to report bugs! Unfortunately I’m very busy now and cannot answer to you emails instantly, sorry. But, earlier or later, I’ll read then all :)

mnalex :: PalR
Во блин, прошлый раз неуспел, и в этот тоже :(, либо сайт глючит, либо за ~ ался :( - чото достучаться немогу... Ты еще неубирал?

AnteC :: все качается...

mnalex :: Угу, вроде стало нормально, а то чото немог :(

Mario555 :: Inno Setup Unpacker

http://innounp.sourceforge.net/

nice :: Mario555
Где раньше был :)

InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar

WELL :: Что-то http://hice.antosha.ru/AsprDbgr_build_104.zip не закачивается,
хотя http://hice.antosha.ru/is7unpack05.rar качнулся нормально.

AlexZ CRaCker :: stripper.exe - под ХР ункриптор вер 2.03
http://protools.anticrack...es/unpackers/stripper.zip

nice :: WELL
http://hice.antosha.ru/AsprDbgr_build_106.zip

AlexZ CRaCker
Уже давно 2_07
http://www.is.svitonline....om/syd/stripper_v207f.rar

Гость :: Дайте ссылочку на masm
(последней версии, ессно)

MC707 :: Гость пишет:
цитата:
Дайте ссылочку на masm


ftp://ftp.exetools.com

Только пасс с логином не спрашивай пожалуйста. На ихнем форуме найдешь

Гость :: Чего то не хочется на форум то их лезть..

PalR :: А нет ли у кого IceExt версии до 0.61

PalR :: Нет что л ни у кого??????????

PalR :: Мдя

ilya :: http://wasm.ru/tools/10/IceExt.zip эта 0.61

PalR :: Мне надо 0.6, 0.59, 0.58, 0.57 и т.д, но не 0.61

DOLTON :: PalR
Есть 0.57. Пиши мыло - пришлю...

PalR :: palrсобакаyandexточкаru
если больше метра лучше порубить.
сенкс




Cyclop новичек У кого есть ссылки для начинающих крэков то плз дайте



Cyclop новичек У кого есть ссылки для начинающих крэков то плз дайте
или какую другую инфу у каво есть
и вообще с чего надо начинать учить крэк
KLAUS :: Нужно начать с изучения ASSEMBLERA.
Читай FAQ.
А статейки на этот сайте , в разделе СТАТЬИ
www.wasm.ru

odIsZaPc :: Cyclop
http://mozgc.com/faqversion10.htm

Kerghan :: KLAUS
послать его сразу же на васм не очень хорошая идея
Cyclop
начни со статей для новичков на краклабе, я их в свое время _дохрена_ прочитал ну и кончно же ломать, ломать и ломать...
ЗЫ в качестве отладчика советую взять OllyDbg, чтобы потом не заработать геморой на голову

AlexZ CRaCker :: Cyclop
И хорошо бы ищё какой-нить язык знать/понимать. Ну, или просто чтоб был опыт кодинга на том-же Бэйсике(многие с него начинали), т.е. основы программирования. Если вобще в языках плохо, начни с QBasic.

[RU].Ban0K! :: AlexZ CRaCker пишет:
цитата:
QBasic.


Pascal! На бейсик тратить время нельзя!

Гость :: [RU].Ban0K! пишет:
цитата:
Pascal!


Я начинал с него

CReg [TSRh] :: [RU].Ban0K! пишет:
цитата:
AlexZ CRaCker пишет:
цитата:
QBasic.

Pascal! На бейсик тратить время нельзя!


Только Си и Асм На паскаль тратить время нельзя!

XoraX :: CReg [TSRh]
а имхо си сложновато учить абсолютному новичку... нужна хотя бы начальная база. например паскаль

AlexZ CRaCker :: Как чела запутали! «Чё учить» - так я задавал вопрос на этом форуме, ВОТ ЭТО ТАМ ВОЙНА развернулась. В конце я понял, что язык надо выбрать самому , и там уже думать/смотреть на чё переходить. Cyclop , взялся за один язык - не бросай через 3(допустим) дня, ато все языки переберёшь за пару недель .

mnalex :: AlexZ CRaCker
ИМХО начинай с любого, а когда поймешь суть - переходи на АСМ. А суть в том, что основа любого языка - алгоритм - и отличие только в синтаксисе! Так что дерзай

WELL :: mnalex пишет:
цитата:
А суть в том, что основа любого языка - алгоритм - и отличие только в синтаксисе!


Это точно. Логика она одна для всех.

KLAUS :: НА форумах чаще тусуйся, спрашивай, что не понятно...народ добрый, объяснят.
Ну и главное это конечно же стремление самому всё понять, искать и разбираться!

dMNt :: итак, специально «для начинающих крэков» или «с чего надо начинать учить крэк»
крэк надо учить небольшими дозами, чтоб сразу не сторчацца. Со временем дозу можно осторожно увеличивать.

и может быть вы познаете крэк.... если раньше от передоза не загнетесь

MoonShiner :: KLAUS пишет:
цитата:
народ добрый, объяснят


Или добро пошлет куда нить как со мной бывало:)

Gloomy :: В последнее время в некоторых школах и универах начали изучать не Паскаль и Васик, а Питон - ИМХО, очень хорошее решение. Если бы был компилятор Питона обязательно колбасился бы на нем - очень простой, но в то же время мощный язык. Подробности тут: http://python.org

KLAUS пишет:
цитата:
народ добрый, объяснят.


Не всегда, я вот например дюже злобный, чуть что сразу посылаю лесом до городу Парижу

AlexZ CRaCker пишет:
цитата:
ВОТ ЭТО ТАМ ВОЙНА развернулась


-------------
* когда начинающий программист робко, опасаясь быть проигнорированным, замодерированным или посланным, забрасывает вопрос в какую-нибудь конференцию. Последующие события, как правило, приводят его в шок, надолго отбивая охоту приступать к прочтению второй главы. Со всех концов бескрайней саванны мгновенно слетаются и сбегаются бесчисленные гуру, возникает потасовка, из облака пыли доносятся рык, ржание, визги и предсмертные хрипы, разлетаются перья и клоки шерсти. Великие считают и пересчитывают строчки в исходниках, потом буквочки в них же, а потом и байтики в екзешниках. Вопли стихают только после того, когда кто-нибудь предлагает подсчитывать биты, установленные в 1, и все вдруг понимают, почему двери в психушках открываются исключительно вовнутрь. Вывалив языки и тяжко дыша, братия расползается по своим кельям зализывать раны и готовиться к грядущим битвам. Посередине вытоптанной поляны, одинокий, жалкий и забытый, остывает трупик несчастного новичка
-----------


AlexZ CRaCker :: Gloomy пишет:
цитата:
*


Бред. (Ко всему остальному не относится.)
mnalex
Да, АСМ - это крутой язык, жаль что тяжолый/долгий.
dMNt пишет:
цитата:
если раньше от передоза не загнетесь


Да, это точно. Ато, Cyclop , спать плохо будешь... буиш шаровару ломать... (ночью NOP’ами от нагов неотобьешся , а регистров в голове - тьма... а ты всё это бряками поливаешь ) - тоже бред. А ещё время надо дофига.

P.S. Учи любой язык(как мне это все и хотели сказать на этом форуме), потом перейдеш, если надо будет.

А народ, в целом, хороший. Видишь сколько тебе всего насоветовали... Во всяком случае, пищу для размышлений дали.

KLAUS :: Gloomy
MoonShiner

Ну значит я обишся : народ «ДОБРЫЙ», объяснят




-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно



-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :) Цель - распаковать прогу, ну и конечно взломать ее. Разрешается сделать in-line patch, но лучше распаковать... пишите plz ваше мнение, буду очень благодарен...
ссылка - http://www.alex2kx.nm.ru/crackme1.rar
infern0 :: -= ALEX =- пишет:
цитата:
Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :)


в таких случаях протектор навешивается например на блокнот виндусовый.

sanek :: -= ALEX =-
Помоги со взломом DLLки не доганяю че делать с ней

-= ALEX =- :: infern0 да вот что-то не догадался ...

MC707 :: Первое впечатление - довольно затруднен поиск ОЕР (по крайней мере на 98-ой), очень много SEH-ловушек.

dMNt :: ну не так уж и много
когда основной код отработает и управление в выделенную virtualalloc’ом память перейдет - то там их не будет, но там будут веселые проверки после GetProcAddr типа а не int3 ли нам подсовывают
ЗЫ: хм, олли показала себя с хорошей стороны, хотя не доверял я раньше user-mode debuggers ... а зря

Dragon :: OEP, сразу находиться по условному бряку на конец GetModuleHandleA(Условие - адрес возврата в первой секции). А начало оттуда уже спёрли, правда его прямо вручную туда вписать можно. Здесь единственная трудность - импорт, IAT нет, чтобы восстановить, надо написать что-нибудь.

-= ALEX =- :: интересненько :)

MoonShiner :: OEP есть, спертые байты есть, импорт восстановлен, хотя пришлось подолбаться... Приду домой - добью...
А так, штука веселая и нудная, молодец:)

Dragon :: MoonShiner
А как ты его смог так быстро, создание его подправил что ли?

В протекторе оригинальных идей так особо и нет. Вот антиотладка. Ну какой смысл в CreateFile(»\\\\.\\ntice’, ...)? Вот EnumServicesStatus даёт результат, или ветку реестра просмотреть со службами, или OpenService+QueryServiceStatus, или ... хватит, а то этот протектор отладить нельзя будет. bpm также спокойно ставяться. Вообще антиотладка в протекторе сейчас самое главное. Если её нет, то протектор твой за десять минут снимут. Всё остальное так себе, на уровне, по сложности премерно как аспр старый версии 1.1.

MoonShiner :: Dragon пишет:
цитата:
А как ты его смог так быстро, создание его подправил что ли?


я прогулялся по коллу на 44**6B (не пишу, чтобы другим не подсказывать:), наткнулся на первую импортируемую функцию, в переходнике не ковырялся... Потом зашел с другого конца ловив GetProcAddress. Там увидал, куда копируются адреса (а идут они через 86h байтов), подождал, пока ?все? функции импортировались и накатал прямо в коде проги код, который весь этот импорт писал прямо в секцию кода (времени не было, начальство ныло постоянно над ухом) разбавил thunk-и нулями и засунул в импрек. Подробнее больше не смотрел, времени не было. Седня вечерком еще гляну, правильно ли я все понял...

nice :: -= ALEX =-
Респект тебе брат ;)
Эта та же версия, что ты мне давал, или обновленная?

AnteC :: конечно же я не распаковал прогу но лоадер даже я состряпал за 5 минут :(
http://www5.domaindlx.com/antec/LOADER.RA_

Dragon :: MoonShiner
Вот и закономерность - 86h байт, если было случайное число, то сложнее. А если прямые jmp на переходники, как в XtremeProtector’е, то с imprec’ом уже ничего не сделать, всё руками писать надо.

AnteC :: а вот и патч
http://www5.domaindlx.com/antec/PATCH.RA_

AnteC :: Ps DZA - rullez

2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...

The DarkStranger :: вобщем все делается просто но я не как не могу понять что у меня за глюк вобщем IAT востановить просто как я делал :
с getprocaddress вышел на цикл в котором строятся jmp [alex] вот там написал мини процедуру которая бы писала адресса api в адресное пространство проги то есть в то место которое физически в програме существует ( я просто нашел нули :) ) дальше доходим до oep и все тут дампим и через revergin востанавливаем все и вот тут бы все хорошо но вот только загвоздка вышла после фикса IAT файл перестает быть win 32 приложением не какие rebuld и т.д. не помагают еще я заметил такую вещь если просто дампишь а потом добавляешь секцию то файл автоматом становится не прелдожение win32 так вот вопрос что это и как это подедить чесно презнаюсь сталкиваюсь 1 раз стаким :(
в аспре 1.3 аналогично делал ( ну только там раз в 5 сложнее ) все работало а здесь какойто глюк не могу понять

xDriver :: Подскажите пожалуйста я правильно начал копать ?
SEH - ловушки это замусоривание кода ?

.rsrc:00450400 public start
.rsrc:00450400 start proc near
.rsrc:00450400 pusha
.rsrc:00450401 call sub_450407
.rsrc:00450406 nop
.rsrc:00450406 start endp
.rsrc:00450407 sub_450407 proc near ; CODE XREF: start+1p
.rsrc:00450407 add esp, 4
.rsrc:0045040A xor ecx, ecx
.rsrc:0045040C call sub_450412
.rsrc:00450411 nop
.rsrc:00450411 sub_450407 endp
.rsrc:00450412 sub_450412 proc near ; CODE XREF: sub_450407+5p
.rsrc:00450412 add esp, 4
.rsrc:00450415 call sub_45041B
.rsrc:0045041A nop
.rsrc:0045041A sub_450412 endp
.rsrc:0045041B sub_45041B proc near ; CODE XREF: sub_450412+3p
.rsrc:0045041B add esp, 4
.rsrc:0045041E mov ecx, 16h
.rsrc:00450423 call sub_450429
.rsrc:00450428 nop
.rsrc:00450428 sub_45041B endp
.rsrc:00450429 sub_450429 proc near ; CODE XREF: sub_45041B+8p
.rsrc:00450429 add esp, 4
.rsrc:0045042C call $+5
.rsrc:00450431 call sub_450437
.rsrc:00450436 nop
.rsrc:00450436 sub_450429 endp
.rsrc:00450437 sub_450437 proc near ; CODE XREF: sub_450429+8p
.rsrc:00450437
.rsrc:00450437 arg_0 = dword ptr 4
.rsrc:00450437
.rsrc:00450437 add esp, 4
.rsrc:0045043A mov ebp, [esp-4+arg_0]
.rsrc:0045043D add esp, 4
.rsrc:00450440 call sub_450446
.rsrc:00450445 nop
.rsrc:00450445 sub_450437 endp
.rsrc:00450446 sub_450446 proc near ; CODE XREF: sub_450437+9p
.rsrc:00450446 add esp, 4
.rsrc:00450449 sub ebp, offset dword_401031
.rsrc:0045044F
.rsrc:0045044F loc_45044F: ; CODE XREF: sub_450469+5j
.rsrc:0045044F call sub_450455
.rsrc:00450454 nop
.rsrc:00450454 sub_450446 endp
.rsrc:00450455 sub_450455 proc near ; CODE XREF: sub_450446+9p
.rsrc:00450455 add esp, 4
.rsrc:00450458 call $+5
.rsrc:0045045D call $+5
.rsrc:00450462 dec ecx
.rsrc:00450463 call sub_450469
.rsrc:00450468 nop
.rsrc:00450468 sub_450455 endp
.rsrc:00450469 sub_450469 proc near ; CODE XREF: sub_450455+Ep
.rsrc:00450469 add esp, 4
.rsrc:0045046C test ecx, ecx
.rsrc:0045046E jnz short loc_45044F
.rsrc:00450470 call sub_45072E
.rsrc:00450475 call sub_45047B
.rsrc:0045047A nop
.rsrc:0045047A sub_450469 endp

GL#0M :: xDriver пишет:
цитата:
SEH - ловушки это замусоривание кода ?


Почитай про сехи здесь http://xtin.km.ru/view.shtml?id=92
или http://xtin.km.ru/view.shtml?id=135

xDriver :: 2 GL#0M
Спасибо прочитал ! Въехал !

Если не влом плз. линк насчет «спертых байт» можно (дорого искать)
Сенкс!

Mario555 :: -= ALEX =-
Пёртые байты теперь мусорным кодом разбавлены... куль...
В olly есть trace log и подсветка изменений регистров (HighLight register), а твой мусорный код изменяет только Esi, поэтому среди него очень хорошо видны stolen bytes...

MoonShiner :: Делать нечего, начал писать свой загрузчик импорта...

-= ALEX =- :: спасибо всем :) я и сам его за несколько минут распаковывал, теперь узнал мнения других. Все это делалось для того, чтобы доработать протектор. Ждите еще версий :) Может у кого еще идеи есть по улучшению, напишите plz

-= ALEX =- :: AnteC что-то я ниче скачать так и не смог :(

MoonShiner :: -= ALEX =- , самые веселые вещи были с импортом, советую продолжить в этом направлении. Избавиться от 86-ти, о которых я говорил выше, попробовать не использовать GetProcAddress (типа как в обсидиуме) и перемешать импортируемые функции, то есть располагать их не в том порядке, в котором они представлены в оригинале.

-= ALEX =- :: MoonShiner окей, бум стараться :)

Bad_guy :: Ну что, ALEX. Можно уже пока дальше не писать. Теперь покупай 10-100 млн. показов баннеров, открывай alexprot.com и так далее. А не то из хорошей коммерческой идеи выйдет просто «крэкерская игрушка».

-= ALEX =- :: Bad_guy :)

Bad_guy :: -= ALEX =-
Я вполне серьезно. Это может стать основной работой !

MoonShiner :: Bad_guy , ну ты, блин, еще насоветуешь... Мало всяких аспров на нашу голову развелось:)

Bad_guy :: MoonShiner
Рано или поздно ALEX сам бы додумался - чего хорошему человеку не подсказать

-= ALEX =- :: MoonShiner да ты че, все так и задумывалось, вы мне поможите защиту написать, а я буду на этом бабки зашибать :) ШУТКА конечно... пишу пока ради интереса. Кстати вопросик насчет эмуляции getprocaddress, где можно узнать об этом, в каком протекторе ?

Bad_guy :: -= ALEX =- пишет:
цитата:
вы мне поможите защиту написать, а я буду на этом бабки зашибать :)


А что, Солодовников так и делает...

-= ALEX =- :: Bad_guy да я не сомневаюсь :)

MoonShiner :: На васме вроде была статейка... А ваще, посмотри, куда кажет стек, как только ты запустил прогу (на первой команде остановись)... И глянь, какое выравнивание у загруженных либ... Ну а дальше мучайся сам:)

MC707 :: Интересно, с какими крякерами общается солод, и под каким ником

-= ALEX =-
А вообще реально коммерческим его сделать! И чем больше он раскрутится, тем больше нам выгоды будет имхо

MoonShiner :: MC707 пишет:
цитата:
Интересно, с какими крякерами общается солод, и под каким ником


Хмм... А ну ка вспомни, какое у Солода имя:)

Bad_guy :: MC707 пишет:
цитата:
с какими крякерами общается солод


Год назад качал архив форума реверсинга - вот там были посты от солода, с таким высокомерием главное... типа «идите детишки сникерсы кушайте, а я тут бабки делаю»

MaDByte :: Bad_guy
А поточнее? какие именно посты и в каких темах?

MC707 :: MoonShiner
лол

Bad_guy
круто. сейчас бы к нам сюда зашел

AlexZ CRaCker :: AnteC пишет:
цитата:
2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...


AnteC
Молоток! А скока часов/дней/мес/лет занимаишся крэком?
зы :
заходите на опрос «о времени» (нау на 2й странице форума).

MozgC [TSRh] :: -= ALEX =-
ALEX у меня есть твой адрес, так что если твой протектор станет мне надоедать и мешать при сломе программ, то тебе лучше переехать =)

-= ALEX =- :: MozgC [TSRh] от куда у тебя мой адрес ? :)

Bad_guy :: MozgC [TSRh]


Bad_guy :: MaDByte
Откуда я помню. Просто увидел ник «Alexey Solodovnikov» и поиском изучил я этого человека...

AnteC :: 2 -=Alex=- используй какой-нить download manager
и добавь _ в конец линка (хостер не разрешает архивы выкладывать вот и приходится изголяться :( но зато 100 Mb free :)

Mario555 :: Э-э... дык как/чем всё-таки импорт в дамп загнать ? Imprec пишет Invalid dump.
Есть ли статьи по восстановлению импорта без использования Imprec’а ? Что он вообше делает, когда FixDump жмешь ?

MsFUCK :: -= ALEX =-
Вышло, на несколько первых взглядов, очень даже ничего!
Только мало нового... да и зачем столько SEH? Это что модно стало?
Как импорт починить я так и допёр... может быть в причину отсутствия времяни...
Я тут, как помнишь, тоже начал творить протектор... вот разбираюсь в упаковке и налегаю на антиотладку, пока только OllyDbg отрезал, да и без некоторого разбора и SI не пашет...
И вот... где про упаковку импорта прочитать...?

Runtime_err0r :: Bad_guy , MozgC [TSRh]
На самом деле Солодовников скорее всего «расковыряет» этот AlexProt и реализует все интересные фишки в новом аспре, а сам проект загнётся

-= ALEX =- :: Runtime_err0r пока еще нечего ковырять в AlexProt :) а так - он все и так сдирает, все примемы из вирей и из других протекторов...
MsFUCK что вы все заладили насчет SEH’ов ? там их только один, в самом начале, ну и по одному разу используется в процедурке удаления отладочных регистров :) вас никто не просит заходить в эту процедурку, и не будет вам seh’ов :) А вот насчет того, что ты начал тоже протектор писать... мда... рано пока еще

-= ALEX =- :: Mario555 насчет импорта, то тебе надо сначала самому написать небольшую процедурку, которая будет переходники проги исправлять, т.к. я над этим потрудился, а пока еще рано на ImpRec гнать :)

-= ALEX =- :: [RU].Ban0K я как понял ты ник сменил на MsFUCK ? нахрена ? а вообще надо предупреждать, а если б я обкурился и не узнал тебя ?...

-= ALEX =- :: AnteC посмотрел щас твой патч... что-то не похоже, что этот патч сделал новичок, как ты говоришь, код этот я уже видел. остается сделать вывод, что юзалась какая-то прожка :) А так интересно конечно, я вообще-то просил сделать in-line патч, а не внедрять в тело свой код.
P.S. что за прога выделывает такие кренделя ?

-= ALEX =- :: уже куча идей заготовлена, ждите обновленную версию. если не интересно вам, так и скажите, не буду делать. я вот думаю, что интересно будет... Ну а так, кто-нить выложит распакованный crackme ?

MsFUCK :: -= ALEX =- пишет:
цитата:
[RU].Ban0K я как понял ты ник сменил на MsFUCK ?


Не правильно ты решил, это просто форум забыл пароль... или я... :)

AnteC :: 2-=Alex=-
не возвышай меня так высоко а то падать больно будет :)

на самом деле ломанул просто - сделал дамп при помощи LordPe (естественно он не запускался но исследовать то можно :)
потом патч в DZA patcher’e
ЗЫ только в нем галку Append patcher to last section надо снять ...
вот так вот =› может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


dMNt :: [Offtopic]
AnteC блин, поймать тебя не могу никак, стукнись в асю № 1999389
[/Offtopic]

-= ALEX =- :: AnteC пишет:
цитата:
может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


:) да ты хоть 10 сделай :) дело в другом...

Mario555 :: -= ALEX =- пишет:
цитата:
тебе надо сначала самому написать небольшую процедурку


Ну дык я сделал процедуру, которая создаёт iat (с адресами api, а не переходников) в адресном пространстве exe (где нули), при переходе к новому модулю (после вызова LoadLibrary) тоже дописал немного своего кода увеличивающего переменную (которую я использую для создания iat) на 4, тоесть между функциями из разных модулей будут нули, таким образом импрек сможет корректно видеть эту таблицу. Также правятся переходы
с Jmp [protector]
на Jmp [адрес ячейки создаваемой IAT]
Нужно что-то ещё ?
Прога, если после изменений продолжить её выполнение, будет нормально работать с моей Iat, а вот импрек при попытке запихнуть эту Iat в дамп пишет Invalid dump file .

PS я бы не спрашивал «как загнать импорт в дамп», если бы у меня не было этого самого импорта.

PPS и всё-таки что делает импрек при нажатии FixDump ? реально ли сделать тоже самое вручную ?

Mario555 :: Все распаковали или все «забили» ?

-= ALEX =- :: Mario555 еще никто не распаковал :) щас вот дописываю новую версию алекспротектора...

FEUERRADER :: ALEXProt распаковал Asterix. Всем желающим он вышлет распакованный файл на мыло. Оставляйте мыла в этой теме.

-= ALEX =- :: FEUERRADER ну хоть кто-то пару часов, а может и минут потратил :) ща я в полной отладке протектора... столько багов собралось, что УЖАСС

Mario555 :: FEUERRADER пишет:
цитата:
распакованный файл на мыло


А зачем нужен распакованный крякми ?!
Мне бы лучше прогу, которой к дампу импорт прицепить...

[RU].Ban0K! :: Mario555
Попробуй так...
Ты же восстановил в память IAT, ну так натрави на эту IAT ImpRec, по моему он должен восстановить...

Mario555 :: [RU].Ban0K! пишет:
цитата:
по моему он должен восстановить...


В том то и дело, что импрек таблицу видит, а грузить её в дамп отказывается .

-= ALEX =- :: странные вещи...

Aster!x :: ImpRec тебе тут вряд ли поможет придётся всё-таки что-то накодить.

The DarkStranger :: да вся тема что importrec отказывается добовлять секцию а revergin добовляет но после добовления файл не win32 преложение я так подрузомеваю что нужно перестроить файл .... ну там отрезать секции алекса и перстроить ресурсы после чего я надеюсь нормально все будет
да вот собственно назрела прозьба если у когонибуть есть ресурс ребулдер от доктора головы плиззз кинте в мыло angel_aka_ks сабачка pisem.net

GL#0M :: The DarkStranger

Ушло.

Aster!x :: Revirgin скорее всего тоже обломается..
Вот, если кто-то захочет глянуть на распакованный, то
лежит здесь: http://asterix-coder.pochta.ru/Unpacked.exe
(извините что не в архиве, но это сервер его сам распаковал :-)
ЗЫ: perl+asm - рулят.

To Admins:
Не могли бы вы удалить юзера под ником fff из базы форума, это
я протестил возможность написать что-то в форум, но теперь форум
не пускает меня говорит что совпадение IP по зоне c fff

The DarkStranger :: вобщем анпакил я его там одну чтуку сделал и все revergin востановил импорт и все файл пашет !!! смысла выкладываеть его куда то не вижу если кому интересно пишите выложу принципиальные раздичаи между моим дампом и астериксом есть .....

-= ALEX =- :: Aster!x и The DarkStranger молодцы !!!

Mario555 :: Фуф... наконец-то и я распаковал...
И не надо никаких свойх загрузчиков импорта делать, и даже в дампе ничего править не надо. Просто Imprec с «правильными» options ! Поставить нужные флажки (я их методом «научного тыка» обнаружил) и импрек без проблем загрузит импорт (чтобы его получить ессно нужно цикл создания править, тут уж никакие флажки не помогут) в дамп.

-= ALEX =- :: Mario555 тоже молодец ;)




DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит...



DillerXX Точка входа Если W32Dasm не может найти точку входа, то это значит что прога запакована или что?
[RU].Ban0K! :: Вряд ли запакована... скорее всего, точка входа передаётся exe после загрузки некого протекторного модуля (dll)

Kerghan :: DillerXX
W32Dasm чушь, у меня такая хрень раньше тоже частенько бывала, хотя чаще на пакованных.
Советую взять OllyDbg

ЗЫ может мне подпись сделать «Юзайте OllyDbg» ?

KLAUS :: DillerXX

ПРойдись файлом анализатором, да и узнай!

DillerXX :: 1. Там нет ДЛЛ. Один ехе.
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.
3. Посоветуйте, плиз, хорошие анализаторы, а то я скачал - а там херь!

KLAUS :: DillerXX

Pe-ID v.092
В Pe-Tools ( там есть такой PE-Sniffer)
Stud_PE1.8
Ещё можно Pe-Scan
Но я те советую PE-ID

Mario555 :: DillerXX пишет:
цитата:
2. Мне олли не нравится тем что там нет указания, с какова адреса был произвдён жамп на эту часть кода. Я олли только для патча использую.


А что Find references to -- Selected command (или Selected block) уже отменили ?!
И вообше нет смысла сравнивать отладчик с дизасмом.

111 :: 111

Алеся :: Кто нибудь знает «Мозга»




ilya StyleXP кто ломал эту прогу поделитесь советом,а то у меня ч



ilya StyleXP кто ломал эту прогу поделитесь советом,а то у меня чёто не один бряк не работает
Kerghan :: смотри архив фрпума, я её ломал когда-то, там все написано

ilya :: Kerghan пишет:
цитата:
смотри архив фрпума, я её ломал когда-то, там все написано


ничего не нашел!!!
есть ещё такой вопрос-когда StyleXP засовываешь в OllyDBG и нажимаешь F9, Olly пишет-INT3 command at stylexp.0041DB1A дальше прога из Olly вылетает с громким треском, please help что енто за х*йня ???

Kerghan :: плохо искал
-ненужное вырезано-

......
Kerghan :: Destroyer
Элементарно... короче жмешь настройки, там вкладка Exceptions, в чекбоксе INT3 breaks ставишь галку. проверка валидности введенного ключа с адреса 46B320. А основная проверка
0046B3BA ¦. E8 01E8FFFF CALL 00469BC0 ; StyleXP.00469BC0

Дальше надеюсь сам разберешься

Kerghan :: Destroyer
Может так будет легче:

Name: IAALAAA-AAZ6SQCC-D8MH7TL
Code: KMJTM7-T6BCSSAF-AAAAAM8J-HBBB9FV8-2X

Destroyer :: Спасибо за разъяснения.

Destroyer :: Kerghan не мог бы ты поподробнее рассказать как ты узнал name и code. Я имею ввиду если известно место где вычисляется код, но вычисления сложные, не обязательно на примере этой проги, но желательно на ней. Можно ли просто взять кусок кода вычисления рег номера и сделать так чтобы он работал? Или сначала надо разобраться что и как происходит, а потом набрасывать это, например, на Delphi.

Kerghan :: Ну под name я имел в виду Hardware ID, для каждой машины очевидно свой.

У меня серийник вывалился по адресу
46B771 в EDX 1A2320---›ASCII «MY SERIAL NUMBER»

Процедура генерации серийника начинается по адресу 46E859(этот цикл трудно не заметить ;) ). (готовый сериник у меня пишется по адресу .....!!!!(поправка... примерный адрес куда он пишется находится в EBX)!!!)

Насчет написания кейгена, на ЯВУ процедуру генерации я не переделываю, просто разбираю суть генерации и вставляю в исходник. Здесь листинга страница всего, думаю ты при желании даже кейген наваять сможешь... а мне неохота :-O

ЗЫ там в проге какие-то баги непонятные. Регю её, перевожу на год вперед...работает, назад на год назад...просит регистрации 8-\ , ввожу регкод, говорит всё ок и дальше путево работает. Так что если что не удивляйся.

Destroyer :: Thanks

-добавлено от сего числа-
странная фича была замечена в версии 2.0 female - генерация серийника на первый взгляд абсолютно такая же, если ставить ее посверх старой версии то все ништяк, но если потом ввести серийник, она пишет «ты - инвалид и все такое», после того как снести 2.0ф и поставить 2.0м, один хрен ничего не регится 8-0

ilya :: Kerghan
Спасибо.




ilya написание отладчика кто нить знает линки по этой теме или где можно...



ilya написание отладчика кто нить знает линки по этой теме или где можно найти исходники
-= ALEX =- :: зачем оно тебе ?

ilya :: хотса замутить кокой нить отладчик похожий на trw но под xp

Kerghan :: ilya

ты сначала разберись как с ним работать

Noble Ghost ::

ilya :: Kerghan пишет:
цитата:
ты сначала разберись как с ним работать


*издец ты деловой, чё поумничать решил. если тебе *е ~ писать то *ули лезешь

Kerghan :: ilya
да нравиться мне над тобой издеваться

тут посмотри http://exmortis.narod.ru/src_disassem.html
а если TRW под херь переделаешь, я думаю тебе многие пива поставят, так что впред и с песней

XoraX :: ilya
удачи, я мысленно всегда с тобой


Dragon :: Отладчик Ring3 типа ollydbg можно легко написать, а что-то типа softice - замучаешься, лучше и не начинать. Так что лучше исследуй процедуру инициализации в драйвере ntice.sys и напиши «softice unloader», это полезнее будет.

[RU].Ban0K! :: Kerghan пишет:
цитата:
а если TRW под херь переделаешь, я думаю тебе многие пива поставят, так что впред и с песней


Да не, врятли... так сразу...
Dragon пишет:
цитата:
Отладчик Ring3 типа ollydbg можно легко написать, а что-то типа softice - замучаешься, лучше и не начинать.


Оно и првда...
На API отладчик легко соТВАРЬить... книженция у меня даж была... да и есть вроде, называется «Отладка приложений»... Ещё от питера была... толстая такая, там всё про DebugApi написано... и маленький отладчик, вот только дизасм сам писать будешь, хотя можно и ~ ануть где-нить.

P.S. Книжка у меня вродь на сайте лежала, не катологизирована... а может и не лежала :) только если и есть то без примеров... а то так она 10 метров весит...

AlexZ CRaCker :: Dragon пишет:
цитата:
и напиши «softice unloader»


Эт точно. Ато впадляк ребутить тачку после Айса. Вот и юзай потом ТПВ.
ilya
Опыт получить это конечно хорошо... Но дебугеров ИМХО всяяяких-всяяяких много. Да и ты подумай, кто это юзать будет кроме тебя?




Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в...



Goodwin777 Как вычислить Offset адрес в отладчике Одну прогу запустил в OllyDBG нашел то, что надо, но как это исправить? Где это находится в дизассм. ???
nice :: Goodwin777
Почитай фак: MozgC & FEUERRADER
http://cracklab.narod.ru/doc/faqversion10.htm

DiveSlip :: Пробуй Hiew, там адреса теже, либо патч прямо в OllyDbg.

Goodwin777 Re: DiveSlip :: А OllyDdg как править то?, через Edit в binary?

MC707 :: Уфф. Народ разленился.... Совсем башкой думать перестал....

Хотя б так: Находясь на нужной команде пробел жмешь и вводишь нужную команду.
При этом с ехе-файлом никаких изменений не произойдет. Если хочешь эти изменения в файл внести - жмешь правой крысой по коду -› Copy to executable -› All modifications




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




И как это понимать? :)



И как это понимать? :)
То есть выходит, что без рабочего ключика ничего у нас не выйдет :( Если криптовку ты сам писал, то там могут быть ошибки, но копаться в таком коде никому не захочется, другое дело, если бы было написано на Си или на асме - тогда было бы интересно. Опять же могут быть ошибки в реализации не твоих крипто-алгоритмов, но все опять-таки упирается в анализ этой жижи. :)

Если все-таки взломать без рабочего ключа нельзя, то можно было бы попросить кого-нибудь скардить эту прогу (если бы она стоила $$$), но никто такое кардить не будет.
Можно написать тебе в мыло и попросить ключик, но этого опять же делать никто не будет - ломать прогу на VB с крипто - удел извращенцев.

Из всего вышенаписанного можно сделать вывод, что прога не так уж и плохо защищена, если конечно ты хотел это услышать. Но я подчеркну, что это не твоя заслуга, а программистов из Микрософта, которые создали такой замечательный язык программирования

И еще: в твоей проге есть баги :(
Причем выявляются они через минуту после запуска, например если попробовать что-нибудь переименовать в списке программ (почему твоя мега-прога вообще позволяет такое делать - мне не понятно).

CReg [TSRh] :: И еще: выложил хотя бы здесь где-нить Xakep.key.
Или ты думаешь, что тебе все захотят писать письмо? :)

GPcH :: CReg [TSRh] пишет:
цитата:
И как это понимать? :)
То есть выходит, что без рабочего ключика ничего у нас не выйдет :( Если криптовку ты сам писал, то там могут быть ошибки, но копаться в таком коде никому не захочется, другое дело, если бы было написано на Си или на асме - тогда было бы интересно. Опять же могут быть ошибки в реализации не твоих крипто-алгоритмов, но все опять-таки упирается в анализ этой жижи. :)

Если все-таки взломать без рабочего ключа нельзя, то можно было бы попросить кого-нибудь скардить эту прогу (если бы она стоила $$$), но никто такое кардить не будет.
Можно написать тебе в мыло и попросить ключик, но этого опять же делать никто не будет - ломать прогу на VB с крипто - удел извращенцев.

Из всего вышенаписанного можно сделать вывод, что прога не так уж и плохо защищена, если конечно ты хотел это услышать. Но я подчеркну, что это не твоя заслуга, а программистов из Микрософта, которые создали такой замечательный язык программирования

И еще: в твоей проге есть баги :(
Причем выявляются они через минуту после запуска, например если попробовать что-нибудь переименовать в списке программ (почему твоя мега-прога вообще позволяет такое делать - мне не понятно).


Из всего написанного выше я делаю вывод, что интересно ломать то, что не сложно ломать
по причине линейности кода, генеренного компилятором

Во вторых, ошибок в криптоалгоритме нет и это не заслуга майкрософта, что все переменные в проге закриптованы
и имена вызываемых функций декриптуются в памяти моим криптоалгоритмом

О багах в проге напиши поподробнее на gpch_soft@tula.net, за это я тебе скажу огромное спасибо.
Если же ты считаешь багом то, что изменения ступают в силу после перезагрузки базы, то почитай хелп
к проге (если интересно), там описано все

Вся фишка в том, что моя программа бесплатная и я никому из вас не дал ссылку на ключик потому,
чтобы вам было интересно взломать прогу - с ключем ее и ломать то не надо
(достаточно определить алгоритм генерации ключа и написать кейген)

GPcH :: CReg [TSRh] пишет:
цитата:
И еще: выложил хотя бы здесь где-нить Xakep.key.
Или ты думаешь, что тебе все захотят писать письмо? :)


Я его не выкладываю по причине того, что ломание проги отпадет само собой

GPcH :: sanek пишет:
цитата:

Скажи о чем она, про что, трафик жалко блин


В кратцах - набор из горы тулз для работы с дисками от журнала Xakep и СПЕЦ Xakep
1. Ведение структуированной базы из программ с дисков от вышеназванных журналов,
их описаний и скриншотов
2. Возможность поиска крэков к этим прогам и добавления серийников из баз SEU
3. Выгрузка базы в HTML (с поддержкой шаблонов)
4. Поиск в названиях и описаниях прог
5. Поддержка скинов
6. Поддержка плагинов

GPcH :: !!!!!!!!!!!!!!!!!!!!!!!!!!!!

CReg [TSRh] ::
цитата:
Во вторых, ошибок в криптоалгоритме нет и это не заслуга майкрософта, что все переменные в проге закриптованы


Ну про ощибки это никто не знает, откуда ты на 100% знаешь, что их нет? я говорю про ошибки именно в реализации, часто именно из-за них все легко снимается.

цитата:

и имена вызываемых функций декриптуются в памяти моим криптоалгоритмом


Что это значит, как это имена функций шифруются??? Я думал, что ты код функций шифруешь, а ты оказывается имена

Неее.... я так не играю

А ты все-таки так и не понял, что проблема взлома твоей проги вовсе не в криптовке функций
Ты хоть когда-нибудь в жизни видел код, произведенный на свет с помощью васика?? Уверен, что нет, тогда бы ты такое не писал.

Если ты считаешь, что ты крут, то можешь считать себя таковым - твое дело

Вот мне давали кейгенми, который написан был на асме, так вот его закейгенить трудно было - алгоритм действительно не такой простой.
А что касается твоей проги - то у тебя алгоритм скрыт в куче дерьма, проблема именно в этой куче, о чем тебе тут уже все писали.
Если ты до сих пор не понял, что эту кучу за тебя сотворили программеры из MS, то уж извиняйте

Прочитай все посты в этом топике и подумай...
Я в этот топик писать больше не буду - все превращается во флейм...
Удачи в продвижении твоей мега-проги.

AlexZ CRaCker :: Да нах мне журнал }{акер нужен. Чё интересно - качнуть можно.

GPcH :: CReg [TSRh] пишет:
цитата:
Что это значит, как это имена функций шифруются??? Я думал, что ты код функций шифруешь, а ты оказывается имена

Неее.... я так не играю

А ты все-таки так и не понял, что проблема взлома твоей проги вовсе не в криптовке функций
Ты хоть когда-нибудь в жизни видел код, произведенный на свет с помощью васика?? Уверен, что нет, тогда бы ты такое не писал.

Если ты считаешь, что ты крут, то можешь считать себя таковым - твое дело

Вот мне давали кейгенми, который написан был на асме, так вот его закейгенить трудно было - алгоритм действительно не такой простой.
А что касается твоей проги - то у тебя алгоритм скрыт в куче дерьма, проблема именно в этой куче, о чем тебе тут уже все писали.
Если ты до сих пор не понял, что эту кучу за тебя сотворили программеры из MS, то уж извиняйте

Прочитай все посты в этом топике и подумай...
Я в этот топик писать больше не буду - все превращается во флейм...
Удачи в продвижении твоей мега-проги.


Под криптовкой имен функций я понимаю к примеру следующее:

sName=Crypt(«LoadPlugins») ’ вместо этой строчки - кусок ключа
sName=DeCrypt(sName)
callbyname(sName)

private sub LoadPlugins()
...
end sub

То есть, если ключ неверный, то бейсик пытается вызвать
несуществующую функцию и вызывает ошибку, а у меня написано,
что если возникла ошибка - вывести окно с регистрацией

По поводу того, что я не знаю что генерит компилер бейсика

Кстати знаю и не раз дизасмил проги написанные на VB, например
Vopt XP (кстати лучший дефрагментатор и причем не бесплатный (защищен аспром))
и native код в них ничем не отличается от кода, генеренного C++ или Dalphi
(по моему в коде Delphi сложнее разобраться из за горы дерьма)

Поэтому не путай PCODE и NATIVE CODE

PCODE уже никто не использует (NATIVE CODE даже самим бейсиком используется по умолчанию)

Slavon :: GPcH пишет:
цитата:
Или все так VB взламывать боятся?




GPcH :: Slavon пишет:
цитата:





J :: Пришелец ты уже всех достал вали от сюда .............. САМ пиши.


diezel :: Дох%я таких я встречал. Которые просят, на халяву взломать, или они просто пантуются.
Да и кому эта прога нужна.
В инете есть проги во много раз лучше этой. Которых без обиды можно сломать.
Да и вообще таких увереных ламеров надо посылать куда подальше, где потемнее да пострашнее!!!

И напоследокGPcH не вы#бывайся! Тут люди поумней тебя!

K :: пишет:
цитата:
...


Ты, урод, вали отсюда.
Ламер, блин. За спину VB прячишся? Прога - отстой!

Баран-кастрат.

Kerghan :: а че так жестоко

nice :: Kerghan
Согласен, по крайней мере автор никого не оскорблял.
Я смотрел его программу, поломать пока не получилось, ошибок там действительно хватает, только спасает сам бэйсик, но садится я за неё больше не хочу, слишком код размазан.

WELL :: GPcH
Кстати, у меня когда нажимаю на «О проге» вываливается ошибка и прога отрубается.
Это баг или фича ?

GPcH :: WELL пишет:
цитата:
Кстати, у меня когда нажимаю на «О проге» вываливается ошибка и прога отрубается.
Это баг или фича ?


Ты скорее всего ее не инсталлировал, а распаковал и запустил.

Чтож, попробуй запустить файл RegDLL.exe из папки с программой,
или зарегистрируй ActiveX comctl.dll сам вручную.

GPcH :: nice пишет:
цитата:
Я смотрел его программу, поломать пока не получилось, ошибок там действительно хватает, только спасает сам бэйсик, но садится я за неё больше не хочу, слишком код размазан.


Плиз опиши поподробнее ошибки, так как если все ActiveX’ы нормально зарегистрировать
с помощью утилиты, входящей в комплект программы regdll.exe, то ошибок в проге практически нет

WELL :: GPcH
Понятно. На досуге обязательно дальше поковыряю.

GPcH :: K пишет:
цитата:
Ты, урод, вали отсюда.
Ламер, блин. За спину VB прячишся? Прога - отстой!

Баран-кастрат.


Ты не ~ ывайся, пришелец К

Лучше скажи, что ты в этой жизни в области крэка или программирования
полезного сделал, чтобы не считать тебя ламером?

И поверь, я пишу на VB не от того, что я C++ и Asm не знаю, а от того,
что программы на VB при равной сложности пишутся раз в 10 быстрее,
чем на C++ м раз в 10e99 быстрее, чем на Asm

И вообще хватит разводить флейм - если взламывать нет
желания, лучше выйди из этого топика, а не обсирай!!!

GPcH :: WELL пишет:
цитата:
Понятно. На досуге обязательно дальше поковыряю.


Спасибо. Если что получится - пиши мне на мыло

WELL :: GPcH
Раз уж ты используешь sfx-архив вместо инсталлятора, то сделай в проге проверки на зарегенность компонентов.
Чтобы как у меня с About’ом не получилось

GPcH :: WELL пишет:
цитата:
Раз уж ты используешь sfx-архив вместо инсталлятора, то сделай в проге проверки на зарегенность компонентов.
Чтобы как у меня с About’ом не получилось


OK

nice :: GPcH
Знаешь ошибки такого плана:

OpenFile(«хаker.key») - или как там в бэйсике
ReadString

Бэйсик не найдя такого файла «проглатывает» ошибку проскакивая несколько операторов вниз...
Но правильно будет написать:
если файл(хакер.кей)существует? тогда
обработать файл
иначе
продолжить.

Я встречал около 3 такого рода ошибок.
И при запуске, когда происходит инициализация базы тоже отладчик матерился как сапожник, она у меня вообще не запускалась, пока я не запретил отробатывать эту ошибку.

Насчет бейсика, рекомендую тебе взять Delphi

GPcH :: nice пишет:
цитата:
Знаешь ошибки такого плана:

OpenFile(«хаker.key») - или как там в бэйсике
ReadString

Бэйсик не найдя такого файла «проглатывает» ошибку проскакивая несколько операторов вниз...
Но правильно будет написать:
если файл(хакер.кей)существует? тогда
обработать файл
иначе
продолжить.


Огромное спасибо за совет - я действительно так делал!
В новой версии напишу обработчики
Может расскажешь, чем отлаживал, что «такое» отлаживать мешало?
nice пишет:
цитата:
Насчет бейсика, рекомендую тебе взять Delphi


Не, друг, C++ рулит однако!!! Хотя Delphi я тоже немного знаю (на уровне несложных прог)

nice :: GPcH
Отлаживал я OllyDbg 1.10b
http://www.wasm.ru/tools/9/odbg.zip

C++ сложнее чем дельфи, а дельфи в свою очередь чуть сложнее бэйсика.
Дельфи ничуть не уступает С++, писать просто и получаются оочень мощные приложения.
По скорости компиляторов VisualC быстрее чем Delphi но не на мног, и в некоторых приложениях скорость такая же или меньше, не говоря уже о KOL (супер компонента для delphi). Всё выше написаное моё ИМХО.

GPcH :: nice пишет:
цитата:
Отлаживал я OllyDbg 1.10b
http://www.wasm.ru/tools/9/odbg.zip


Видел такой.
Может подкинешь ссылку на русский хелп к нему, а то я
сильно к Win32DASM’у привык - ни StringReferences, ни
встроенные патчеры в нем не нашел.

nice пишет:
цитата:
C++ сложнее чем дельфи, а дельфи в свою очередь чуть сложнее бэйсика.
Дельфи ничуть не уступает С++, писать просто и получаются оочень мощные приложения.
По скорости компиляторов VisualC быстрее чем Delphi но не на мног, и в некоторых приложениях скорость такая же или меньше, не говоря уже о KOL (супер компонента для delphi). Всё выше написаное моё ИМХО.


Что за KOL? Может ссылку подкинешь? Или хотябы расскажи для чего нужна

AlexZ CRaCker :: KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/

GPcH :: AlexZ CRaCker пишет:
цитата:
KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/


Спасибо за подробности, обязательно посмотрю

GPcH :: AlexZ CRaCker пишет:
цитата:
KOL - это библиотека объектных типов , которая заменяет VCL. Основная цель KOL - уменьшение размера конечной программы в 5-10 раз по сравнению с тем, что дает VCL. Вы сможете создавать маленькие и эффективные программы.
Подробности:
http://kol.mastak.ru/


Посмотрел - меня порадовало

Правда это все равно изврат над Delphi




MaZaFaKeR Минимальный набор... Минимальный набор софта для исследования...



MaZaFaKeR Минимальный набор... Минимальный набор софта для исследования программ для новичка?!.. Что лучше, кто чем пользуется?!.
Подскажите, форумчане! ;)
bUg. :: MaZaFaKeR
смотри топик «новичкам сюда».

WELL :: MaZaFaKeR
Заказывай диск от CRACKL@B
А так Soft-Ice, IDA, Hiew, OllyDbg, LordPE...

KLAUS :: MaZaFaKeR

Читай статьи «Для новичков», там всё написано!!

MozgC [TSRh] :: MaZaFaKeR
Для начала я вроде пользовался только SoftIce, WinDasm и Хекс-редактором (мне нравитcя Hex WorkShop)
Фактически этого может хватить в первые пару недель. На данном этапе тебе нужна гора статей. Читать и пробовать, читать и пробовать.

AlexZ CRaCker :: MaZaFaKeR
http://cydem.org.ua/pars....bengaly_tut&conf=12&lev=3

dMNt :: незабываем также про hiew
я без него как без рук

Kerghan :: вот весь софт, который нужен. В порядке частоты использования:
OllyDbg, Hiew, PEiD, LordPE, Imprec, Registry Studio, Restorator, HexEditPlus

XoraX :: Kerghan пишет:
цитата:
В порядке частоты использования


если так, то peid должен быть на 1-м месте.. ;)

Kerghan :: XoraX
не, я чисто если вижу, что запакована хз чем, тогда смотрю чем именно

KLAUS :: XoraX
Нужно хотя бы несколько анализаторов, т.к. из-за популярности PE-ID его можно и обмануть!

MaZaFaKeR :: ВСЕМ ОГРОМНОЕ СПАИБО !!!




bUg. OllyDbg scripting plugin hxxp://ollyscript.apsvans.com



bUg. OllyDbg scripting plugin hxxp://ollyscript.apsvans.com
[ChG]EliTe :: Э.. че то я в смысл топика не вкупился.. это вопрос или флейм ?

XoraX :: это он похоже к тому, что оллискрипт обновился до версии 0.7

[ChG]EliTe :: а.... Вон оно че.....

Styx :: BUG незабудь закатать его мне на компакт!!!

bUg. :: Styx
закатал не боись.

bUg. :: да это к тому что оллискрипт обновился




Bmx Обьясните пожалуста Хочу в софт асе узнат. какие длл грузит процесс и...



Bmx Обьясните пожалуста Хочу в софт асе узнат. какие длл грузит процесс и какие ф-и (адреса) есть в этом процессе и длл-ах , есть ли такая возможность?
WELL :: Bmx
Тебя таблица импорта что ли интересует?

Bmx :: Ну да

-= ALEX =- :: насчет айса я не знаю, не пользовался эти никогда, а насчет других прог, то можно...

Bmx :: Какие это проги ?

MC707 :: Если нужно посмотреть, какие ехе импортирует dll-ы, то подойдет любая из известных тулз: LordPE, PE Tools, ...
А если нужны еще и названия функций, то... ну, в OllyDbg можно посмотреть:
стоя на ЕР жмешь по коду правой крысой-›Search for-›All intermodular calls

WELL :: Bmx
Кажется редактор ресурсов Exescope может показывать инфу о том, что тебе надо.

Lость :: 2Bmx
А также bpx на LoadLibrary:)

Bmx :: Lость пишет:
цитата:
2Bmx
А также bpx на LoadLibrary:)


А можно тут поподробнее

infern0 :: MC707 пишет:
цитата:
Если нужно посмотреть, какие ехе импортирует dll-ы, то подойдет любая из известных тулз: LordPE, PE Tools, ...
А если нужны еще и названия функций, то...


то тоже подойдет LordPE :))

Bmx ::
infern0 пишет:
цитата:
то тоже подойдет LordPE :))


А где это в Лорде показывает Ф-ии я что то не нашел ?




ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-ч



ADVANCED правка путей c CD НА HDD решил отучить одну прогу от диска, кой-чё подправил теперь диск не просит, но выдаёт сообщение об ошибке и вообщем-то правильно делает - большую часть ресурсов она хавает с диска. В реестре нашёл пути указывающие прямиком CD, подправил на C:\Pro... , но это нифига не решило (вылетает ещё одна ошибка), она видно , проверяет ,что-ли, такие дела.
Вообщем жду ваших капитальных советов и предложений. По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).
Kerghan :: ADVANCED пишет:
цитата:
По-возможности советуйте без использования Soft-Ice (не сдружились мы (Я, XP и ICE)).


иш размечтался :) вообще можешь ollydbg взять, даже 5ти метровые экзешники у меня брал. Ставь бряки на CreateFile, OpenFile.... Ну и строки поищи с путями

MC707 :: А возможно еще использование такой API функции, как GetDriveType()

ADVANCED :: Я вообщето начинающий.
цитата:
Ставь бряки на CreateFile, OpenFile....


Не понял я как это в ollydbg делать

ADVANCED :: Я, там где GetDriveTypeA изменил 5 на 3, там где GetVolumInformation изменил jne на jmp. Но там остаётся куча WriteFile, CreateFile - как понять что мне нужен именно этот; и ещё там есть GetDiskFreeSpace, но там нет ниединого перехода! ЧЁ делать белому человеку в этой Африке?
Kerghan пишет:
цитата:
Ставь бряки на CreateFile, OpenFile


Заодно объясните, а OpenFile здесь причём.И какие API ещё могут использовать программеры в гнусных целях?

ADVANCED :: ПРИЯТНО ПОГОВОРИТЬ С УМНЫМ ЧЕЛОВЕКОМ

(в смысле ADVANCED vs ADVANCED)

nice :: ADVANCED
Чем ковыряешь?
Если OllyDbg, то отладчик отчетливо показывает:
PUSH 00433333 ; e:\hero3\music.pak
....
CALL CreateFileA

А бряки ставить:
ALT+F1: BPX CreateFileA - появится список, выбирешь там
Или BP CreateFileA - Прям в системной библиотеке бряк

ADVANCED :: nice пишет:
цитата:
e:\hero3\music.pak


К сожалению (или к счастью) это не третьи герои, а карта моёго города.

nice пишет:
цитата:
А бряки ставить:


Спасибо, что сказал.

sanek :: Если так хочется но не как не получается, то можно виртуальный диск создать (программ навалом, и даже обходящих защиту, не всю правда!!!) и с него юзай свою карту.
Т.Е. создаешь образ с диска с помощью программы(Paragon, virtual cd, .....), только место на винте занимает в размере диска и все. Попробуй!!!!!
Да и возможно потребуется windows commander, через проводник не всегда открывается.

ADVANCED :: sanek пишет:
цитата:
можно виртуальный диск создать


Это то можно, но не интересно. Уж очень хочется её сломать.

ADVANCED :: Екатеринбург - тот самый город.

Может есть кто оттудова.

Гость :: sanek
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)
ADVANCED
с сайсом дружить не обязательно, тем более щас на все (почти) проги ставят детект. А какая еще ошибка у тебя вылетает после правки путей? (последнее время очень интересует меня отучение всяких софтваров от cd - винт не резиновый...!)

ADVANCED Re: Гость :: Ошибка:

Ошибка инициализации:
EAccessViolation.

цитата:
- винт не резиновый...!)


К тому же работает без дисков и образов работает намного быстрее.
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.

Гость :: ADVANCED пишет:
цитата:
Оссобенно относительно CD-rom: Вот посмотрел я кусок карты и решил вдруг помотреть другой, а сидюк в это время успел остановиться вот и сиди жди пока он опять раскрутится.


так же и с играми

ADVANCED :: Гость пишет:
цитата:
А какая еще ошибка у тебя вылетает после правки путей?


Ошибка:

Ошибка инициализации:
EAccessViolation.

Гость, тебе это ни о чём не говорит?

Гость :: Стандартная мастдаевская ошибка... 8) 8(

ADVANCED :: А возможно совмещение защит т.е. GetDriveType() + некая извращённая защита(не API)?
Киньте сылочек на туториалы по теме «извращённая защита(не API)».

Некто Fess писал:
цитата:
Почитайте статьи ASMax’a на www.reversing.net.


Но помоему www.reversing.net не существует
Может где-нибудь ещё есть статьи ASMax’a или кого-нибудь ещё.

sanek :: Гость пишет:
цитата:
Не влом таким способом пользоваться - прога установленная + эмулятор + образ диска. Ну, если у тебя два винта по 120 гектар, то волноваться нету повода 8)


На самом деле место на винте занимается только в размере CD сам эмулятор весит не более 0.5 мб.
А для исследования обращений программы к CD даже очень полезно.
Да и скорость работы такая же как и с винта и CDюк не гробишь, и диск можно взять на прокат снять образ и пользоваться без проблем. А захочешь сломать так он и под рукой всегда.

ADVANCED ::
цитата:
6) Другие виды проверки
Теория: Бывают и другие сильно замусоленные проверки
Как часто встречается:
На дисках компании «Русобит»
Метод взлома:
Почитайте статьи ASMax’a на www.reversing.net


линки на статьи о сильно замусоленных проверках пожалуйста подкиньте

SeeKeR :: нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком

SeeKeR :: ADVANCED
поломал прогу ? или сдулся ?

ADVANCED :: SeeKeR
Я в оффлайне - баблосы кончились. Пока не сломал.
SeeKeR пишет:
цитата:
нет там никакой извращенной защиты
проверяется контрольная сумма файликов
проверяется метка диска
проверяется чтобы все файлики и папки лежали в корне диска, а также чтобы в этом же корне не было левых папок и файлов
ну и чтобы девайс был сидюком


Скажи это ты про «Русобит» или ты из Е-бурга?
Если второе то можешь как нибудь поконкретнее что где и как а то я уже задолбался - знаний не хватает

SeeKeR :: я про карту

ADVANCED :: SeeKeR
это канечно очень, очень хорошо, что-нибудь по типу туториала можно?

SeeKeR :: поправить надо следуюющие вещи:
1. GetDriveType
2. GetVolumeInformation
3. Идет проверка контрольной суммы файлов (ВНИМАНИЕ!!) находящихся в корне !!!!!! диска забитого в реестре
то есть если в реестре SGODir=d:\FolderVasya\SGO, то проверятся будет не d:\FolderVasya а d:\

все ! удачи

SLV :: Кто пробовал править KERNEL32.DLL так, чтоб харды стали CD-ROM-ами (mov eax,00000005 на mov eax,00000003)? Я поменял, всё OK, но файлы сразу же удаляются безвозвратно... Кто нибудь знает как эту хрень подправить???




MaZaFaKeR Господа, подскажите... Господа, я нович



MaZaFaKeR Господа, подскажите... Господа, я новичёк в этом деле, подскажите, что делать далее с дизассемблированным кодом (что конкретно нужно делать):

004E748C 55 push ebp
004E748D 8BEC mov ebp, esp
004E748F 33C9 xor ecx, ecx
004E7491 51 push ecx
004E7492 51 push ecx
004E7493 51 push ecx
004E7494 51 push ecx
004E7495 51 push ecx
004E7496 53 push ebx
004E7497 56 push esi
004E7498 57 push edi
004E7499 8945FC mov [ebp-$04], eax
004E749C 33C0 xor eax, eax
004E749E 55 push ebp
004E749F 683E764E00 push $004E763E

***** TRY
¦
004E74A4 64FF30 push dword ptr fs:[eax]
004E74A7 648920 mov fs:[eax], esp
004E74AA 8D55F8 lea edx, [ebp-$08]
004E74AD 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditKey : TEdit
¦
004E74B0 8B8000030000 mov eax, [eax+$0300]

¦
004E74B6 E8953DF7FF call 0045B250
004E74BB 8B45F8 mov eax, [ebp-$08]
004E74BE 50 push eax
004E74BF 8D55F4 lea edx, [ebp-$0C]
004E74C2 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditEMail : TEdit
¦
004E74C5 8B80FC020000 mov eax, [eax+$02FC]

¦
004E74CB E8803DF7FF call 0045B250
004E74D0 8B45F4 mov eax, [ebp-$0C]
004E74D3 5A pop edx

¦
004E74D4 E82791FAFF call 00490600
004E74D9 84C0 test al, al
004E74DB 0F84E9000000 jz 004E75CA
004E74E1 33C0 xor eax, eax
004E74E3 55 push ebp

* Possible String Reference to: ’й~ИсяибЛсяЂ=јпN’
¦
004E74E4 687D754E00 push $004E757D

***** TRY
¦
004E74E9 64FF30 push dword ptr fs:[eax]
004E74EC 648920 mov fs:[eax], esp
004E74EF B201 mov dl, $01

* Reference to class TRegistry
¦
004E74F1 A128D94300 mov eax, dword ptr [$0043D928]

¦
004E74F6 E82D65F5FF call 0043DA28
004E74FB 8BD8 mov ebx, eax
004E74FD BA02000080 mov edx, $80000002
004E7502 8BC3 mov eax, ebx

¦
004E7504 E8BF65F5FF call 0043DAC8
004E7509 B101 mov cl, $01

* Possible String Reference to: ’SoftWare\SoftTR\Konvertik’
¦
004E750B BA54764E00 mov edx, $004E7654
004E7510 8BC3 mov eax, ebx

¦
004E7512 E81566F5FF call 0043DB2C
004E7517 84C0 test al, al
004E7519 7458 jz 004E7573
004E751B 8D55F0 lea edx, [ebp-$10]
004E751E 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditEMail : TEdit
¦
004E7521 8B80FC020000 mov eax, [eax+$02FC]

¦
004E7527 E8243DF7FF call 0045B250
004E752C 8B4DF0 mov ecx, [ebp-$10]

* Possible String Reference to: ’EMail’
¦
004E752F BA78764E00 mov edx, $004E7678
004E7534 8BC3 mov eax, ebx

¦
004E7536 E88D67F5FF call 0043DCC8
004E753B 8D55EC lea edx, [ebp-$14]
004E753E 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditKey : TEdit
¦
004E7541 8B8000030000 mov eax, [eax+$0300]

¦
004E7547 E8043DF7FF call 0045B250
004E754C 8B4DEC mov ecx, [ebp-$14]

* Possible String Reference to: ’RegKey’
¦
004E754F BA88764E00 mov edx, $004E7688
004E7554 8BC3 mov eax, ebx

¦
004E7556 E86D67F5FF call 0043DCC8

* Possible String Reference to: ’1.1’
¦
004E755B B998764E00 mov ecx, $004E7698

* Possible String Reference to: ’Ver’
¦
004E7560 BAA4764E00 mov edx, $004E76A4
004E7565 8BC3 mov eax, ebx

¦
004E7567 E85C67F5FF call 0043DCC8
004E756C C605BCEF4E0001 mov byte ptr [$004EEFBC], $01
004E7573 33C0 xor eax, eax
004E7575 5A pop edx
004E7576 59 pop ecx
004E7577 59 pop ecx
004E7578 648910 mov fs:[eax], edx
004E757B EB0A jmp 004E7587
MaZaFaKeR :: ¦
004E757D E97EC8F1FF jmp 00403E00

¦
004E7582 E8E1CBF1FF call 00404168

****** END
¦
004E7587 803DBCEF4E0000 cmp byte ptr [$004EEFBC], $00
004E758E 741D jz 004E75AD

* Possible String Reference to: ’Спасибо! Вы зарегистрированы! Перез
¦ апустите программу!’
¦
004E7590 B8B0764E00 mov eax, $004E76B0

* Reference to : TMessageForm._PROC_00437874()
¦
004E7595 E8DA02F5FF call 00437874
004E759A 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditKey : TEdit
¦
004E759D 8B8000030000 mov eax, [eax+$0300]
004E75A3 8B10 mov edx, [eax]

* Possible reference to virtual method TEdit.OFFS_00E0
¦
004E75A5 FF92E0000000 call dword ptr [edx+$00E0]
004E75AB EB49 jmp 004E75F6

* Possible String Reference to: ’Попробуйте ещё раз!’
¦
004E75AD B8F0764E00 mov eax, $004E76F0

* Reference to : TMessageForm._PROC_00437874()
¦
004E75B2 E8BD02F5FF call 00437874
004E75B7 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditKey : TEdit
¦
004E75BA 8B8000030000 mov eax, [eax+$0300]
004E75C0 8B10 mov edx, [eax]

* Possible reference to virtual method TEdit.OFFS_00E0
¦
004E75C2 FF92E0000000 call dword ptr [edx+$00E0]
004E75C8 EB2C jmp 004E75F6

* Possible String Reference to: ’Пароль не верен! Будьте внимательне
¦ е: поля чувствительны к регистру!’
¦
004E75CA B80C774E00 mov eax, $004E770C

* Reference to : TMessageForm._PROC_00437874()
¦
004E75CF E8A002F5FF call 00437874
004E75D4 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditEMail : TEdit
¦
004E75D7 8B80FC020000 mov eax, [eax+$02FC]
004E75DD 8B10 mov edx, [eax]

* Possible reference to virtual method TEdit.OFFS_00E0
¦
004E75DF FF92E0000000 call dword ptr [edx+$00E0]
004E75E5 8B45FC mov eax, [ebp-$04]

* Reference to control TRegForm.EditKey : TEdit
¦
004E75E8 8B8000030000 mov eax, [eax+$0300]
004E75EE 8B10 mov edx, [eax]

* Possible reference to virtual method TEdit.OFFS_00E0
¦
004E75F0 FF92E0000000 call dword ptr [edx+$00E0]
004E75F6 FF05C0EF4E00 inc dword ptr [$004EEFC0]
004E75FC 833DC0EF4E0002 cmp dword ptr [$004EEFC0], +$02
004E7603 7E16 jle 004E761B

* Possible String Reference to: ’Вы трижды ошиблись! Обратитесь к ра
¦ зработчику!’
¦
004E7605 B85C774E00 mov eax, $004E775C

* Reference to : TMessageForm._PROC_00437874()
¦
004E760A E86502F5FF call 00437874

* Reference to TApplication instance
¦
004E760F A1B4F54E00 mov eax, dword ptr [$004EF5B4]
004E7614 8B00 mov eax, [eax]

* Reference to : TApplication._PROC_0047BC5C()
¦
004E7616 E84146F9FF call 0047BC5C
004E761B 8B45FC mov eax, [ebp-$04]

* Reference to : TApplication._PROC_00478448()
¦
004E761E E8250EF9FF call 00478448
004E7623 33C0 xor eax, eax
004E7625 5A pop edx
004E7626 59 pop ecx
004E7627 59 pop ecx
004E7628 648910 mov fs:[eax], edx

****** FINALLY
¦
004E762B 6845764E00 push $004E7645
004E7630 8D45EC lea eax, [ebp-$14]
004E7633 BA04000000 mov edx, $00000004

¦
004E7638 E897D0F1FF call 004046D4
004E763D C3 ret

¦
004E763E E971CAF1FF jmp 004040B4
004E7643 EBEB jmp 004E7630

****** END
¦
004E7645 5F pop edi
004E7646 5E pop esi
004E7647 5B pop ebx
004E7648 8BE5 mov esp, ebp
004E764A 5D pop ebp
004E764B C3 ret

P.S. прошу прощения за большой кусок... А также всем заранее спасибо за ответы!

WELL :: Меняй
004E758E 741D
на
004E758E 9090.
Ну и можно вдобавок (если не запашет)
004E7603 7E16
на
004E7603 EB16

Кажись так

vins :: и 004E7519 7458 jz 004E7573
на 004E7519 7558 jz 004E7573
наверное

MaZaFaKeR :: Ок, ща попробую!
Всем спасибо!

WELL :: vins пишет:
цитата:
и 004E7519 7458 jz 004E7573
на 004E7519 7558 jz 004E7573
наверное


А по-моему это проверка существования в реестре ключа ’SoftWare\SoftTR\Konvertik’

MaZaFaKeR :: Мужики, а в чём код-то править? Каким софтом ?

MC707 :: уфф.
hiew or OllyDbg.
Hew is better for this.

MaZaFaKeR :: MC707, сэнкс! ;)

MaZaFaKeR :: Блин, нифига не получается... :(
Hiew - херня какая-то, нифига не пойму. :(
OllyDbg - как именно править так и не понял... :( Если не трудно, подскажите, что-где нажимать.
P.S. у этой проги есть ещё защита - один запуск за сессию Винды. Ресторатором я удалил слудеющее:

object TimerTrial: TTimer
OnTimer = TimerTrialTimer
Left = 368
Top = 8
end

Но после этого вылетает ошибка. :(
Может я что-то ещё не доконца удалил...
Подскажите... ;)

infern0 :: скорее всего сначала создается mutex с определенным именем и не удаляется вообще. И в самой проге есть проверка его существования.

Chirurg :: MaZaFaKeR
Дык, может, для начала, доки почитать, а потом пробовать себя в краке?

MaZaFaKeR :: infern0, сомневаюсь...
Chirurg , да итак почитываю...

WELL :: MaZaFaKeR пишет:
цитата:
Hiew - херня какая-то, нифига не пойму. :(


Если ты не знаешь как юзать прогу, то херня не она, а ....
Короче, запускаешь Hiew, F9, открываешь файл.
F5 пишешь адрес с точкой (типа .4E758E).
Жмешь Enter.
F3 и вводишь нужные цифры (типа 9090).
Потом F9 и F10.
Может демку прислать, или скриншоты?

KLAUS :: MaZaFaKeR пишет:
цитата:
Hiew - херня какая-то


Такой шедевр обосрать, научитсь с ним работать, не раз поможет!

MoonShiner :: Да. Хорошо хоть иду или айса не назвали херней:)

WELL :: MoonShiner пишет:
цитата:
Да. Хорошо хоть иду или айса не назвали херней:)


Про них наверное слова по цензуре не прошли

sanek :: WELL пишет:
цитата:
Если ты не знаешь как юзать прогу, то херня не она, а ....
Короче, запускаешь Hiew, F9, открываешь файл.
F5 пишешь адрес с точкой (типа .4E758E).
Жмешь Enter.
F3 и вводишь нужные цифры (типа 9090).
Потом F9 и F10.


Чем хуже Qview, тем более для новичка. Открыть Qview
кликнуть крысой по надписи memory
выбрать нужный файл, и кликнуть крысой по номеру строки правей memory(он красного цвета),
и ввести оффсет.
Сохранять- нажать на Esc пару раз и выбрать «W» и все просто и очень легко.

Chirurg :: sanek
sanek пишет:
цитата:
Сохранять- нажать на Esc пару раз и выбрать «W» и все просто и очень легко.


В HIEW еще легче - F9 :)




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Mario555 New Olly Вышла новая версия OllyDbg 1.10с. Читать тут.



Mario555 New Olly Вышла новая версия OllyDbg 1.10с. Читать тут.
ZX :: Глючит...

ilya :: Mario555
спасибочки!!!




odIsZaPc Требуется сдампить ключик HARDLOCK Программа работает под Win98. Мне...



odIsZaPc Требуется сдампить ключик HARDLOCK Программа работает под Win98. Мне нужно сдампить hardlock-ключик, затем всунуть его в Глашин эмуль, работающий уже под XP. Подскажите софт понадежнее, т.к. в винде98 насколько я понимаю Глаша отдыхает.
MoonShiner :: на каждом форуме должен быть свой блаженный:) ака ДАУН!
odIsZaPc , ИМХО, глашин эмуль не эмулит хардлок ключи. У хаспа и хардлока совсем разные протоколы общения с железкой. А пошло мнение, что эмулит и хасп и хардлок из-за того, что хасп работает и с драйвером hardlock.sys.
По поводу дампа... Как правило, с хардлоками дамп менее обязателен, чем с хаспами или гвардантами и прочими... Хотя дампилку, конечно, написать можно, главное обладать СЕКРЕТНЫМ ключиком для чтения памяти ключа:) Но проще так поломать. Выложи где нить ехе-шничек или прогу целиком, я гляну, что можно сделать.
ЗЫ Там не конверт?

WELL :: odIsZaPc
MoonShiner
А что за глашин эмуль? Только не смейтесь
Кстати, в одной проге с хаспом4 у меня проблема решилась не через эмуляцию а через замену обычного условного перехода.
По-моему, в некоторых случаях проще бит-хаком подправить, чем эмулить.
Видимо это не тот случай.

MoonShiner :: WELL , спешу тебя обрадовать, заменой джампов дело обходится в 50% случаев прог без конверта:)
zzz.brstudio.com - эмуль хаспов. Правда проект прикрыл. Но там все поймешь. Там же и полезные мануалы.

WELL :: MoonShiner пишет:
цитата:
спешу тебя обрадовать, заменой джампов дело обходится в 50% случаев прог без конверта:)


Действительно, это радует
MoonShiner пишет:
цитата:
zzz.brstudio.com - эмуль хаспов. Правда проект прикрыл. Но там все поймешь. Там же и полезные мануалы.


Спасибо.

odIsZaPc :: WELL пишет:
цитата:
А что за глашин эмуль?


Это вещь... Как TSRh его зарелизила, так сразу ломанулся не один десяток прог. В том числе и мой любимый Kompas v6+. Так что спасибо infern0.
MoonShiner пишет:
цитата:
ЗЫ Там не конверт?


Я понятия не имею че это. Не шарю я в донглах.
Вот ссылка на экзешник проги (его достаточно для работы): http://personal.primorye.ru/snaker/hardlock.zip
Я знаю, ты соображаешь в этих ключиках, посмотри пожалуста.

jeck Re: odIsZaPc :: Подскажите, где взять «глашин» эмуль?
Надо Компас 6+ побороть.

MozgC [TSRh] :: Короче я скачал, глянул, там конверт =(
Походу без ключа не судьба, мож Мунш че придумает...

odIsZaPc :: MozgC [TSRh]
Что значит «коверт»?
Ну ключ стоит там у нас на компах, не буду ж я его домой тащить :) Вы подскажите че с этого ключа надобно снять и коим образом - я попытаюсь... Может пргой какой...

infern0 :: odIsZaPc пишет:
цитата:
Это вещь... Как TSRh его зарелизила, так сразу ломанулся не один десяток прог. В том числе и мой любимый Kompas v6+. Так что спасибо infern0.


из моего последнего релиза:

If you have a HASP4 key and whant emulate it with this emulator you
...

THIS PROJECT HAS BEEN CLOSED. sorry...

Sh [AHT] :: infern0
and send it to haspemul@mail.ru instead of
glasha@brstudio.com.

:)))) 5 баллов :)))
Все равно что сервер активации ХР поставить у себя и продавать дистрибуты, заточенные под твой сервер. А гаду Билли ни цента :)))
Повеселил... только Глашу, Хармера и Ко немного жаль... старались люди все-таки :)

odIsZaPc :: MoonShiner
Ну что, ты экзешничек не смотрел еще?

MoonShiner :: Там вроде конверт, я ниче не могу пока сделать... Ты сможешь конверт отколупать?

infern0 :: Sh [AHT] пишет:
цитата:
infern0
and send it to haspemul@mail.ru instead of
glasha@brstudio.com.

:)))) 5 баллов :)))


THIS PROJECT HAS BEEN CLOSED. sorry...

Sh [AHT] :: infern0

цитата:
THIS PROJECT HAS BEEN CLOSED. sorry...


Да, видел уже... и еще там было «скажите за это спасибо infern0». Впрочем, это не мои проблемы.
Просто забавная ситуация...

odIsZaPc :: MoonShiner пишет:
цитата:
Там вроде конверт, я ниче не могу пока сделать... Ты сможешь конверт отколупать?


Что значит конверт? Тебе нужны какие-то данные ключа? Что от меня требуется?

mr.FiX :: infern0
А конвертер функций 3C/3D
выйдет в свет ?

MoonShiner :: odIsZaPc , ты аспр распаковывал? Вот там не сложнее, попробуй этот конверт сам с ключом снять. Правда могут быть грабли с хапуском айса, но возможно это только у меня были:)

Lz [TSRh] :: OllyDbg - и нет проблем с запуском :)

MoonShiner :: Да нееее... трабла была в том, что на кривой тачке заказчика, где не работала половина моих инструментов надо было отковыривать... Дык айса эта зараза палит, а с айсэкстом в кору падала... да и половина айсэкстов то тачку вешали. А конверт надо было отковыривать... Мозгу рассказал как я мощно извратился, так он вообще в ауте был:)

MozgC [TSRh] :: Я не помню =)

MoonShiner :: Ну блин... говорил же. Запустил прогу, определил через ДеДе ОЕП. Запустил заново, а там распаковки да проверки самого хардлока идут секунд 10. На 5-й секунде пишу «net start ntice», жду еще пару секунд, потом кидаюсь в айса (тупо надеясь, что проверки на айс все прокатили) и ставлю бряк на выполение кода по ОЕП. Торможу там и сдираю дамп:) Несколько раз айса либо рано врубал, либо не успевал:)

MozgC [TSRh] :: Ну вроде было че-то такое но я не особо помню =)

mahp :: Heelп плиз, «Hasp emulator PE XP 2.33» регится КГ не на всех машинах. В чем может быть вопрос? А?

infern0 :: mahp пишет:
цитата:
«Hasp emulator PE XP 2.33» регится КГ не на всех машинах.


имя должно быть 8 символов.

odIsZaPc :: MoonShiner пишет:
цитата:
Вот там не сложнее, попробуй этот конверт сам с ключом снять


Увы, это невозможно. Ключ стоит в «общественном» месте... Не принесу ж я туда Айс... Выгонят же нах...

waxyman :: Ксати как сильно отличается Edstruct в полученном дампе от присланного переконвектируемого дампа?

mahp :: infern0, я пользуюсь именем, которое использую на 2-х других машинах удачно ;-) и одним и тем же КГ от сам знаеш кого... Но, млин, на Вин2000сп4, Сел333, GF2, 128озу, старая мать - не регится!?

infern0 :: mahp пишет:
цитата:
Но, млин, на Вин2000сп4, Сел333, GF2, 128озу, старая мать - не регится!?


потому что глаша типа решил замутку сделать - читает дату биоса не только из станлдартного места но и из еще одного. А туда его не все биосы пишут. Так что всем на brstudio.com писать баглист. В принципе можно выложить драйвер вообще без регистрации, но влом...

TuPis :: infern0

цитата:
В принципе можно выложить драйвер вообще без регистрации, но влом...


А может все же выложить по огромной просьбе нуждающихся а?

infern0 :: может. но мне нЕгде.

odIsZaPc :: infern0
Ну так шли на мыло. выложу

mahp :: Ну может в какой обменник? Там и время лежки ограничить можно. Кому надо возьмут. http://ex.imho.ws/upcent, http://www.konfa.ru/cgi-bin/filex.cgi, f p://laogu.com:laogu.com@ftp.laogu.com/upload

TuPis :: Поставил на ту машину где не регился эмуль А001 поставил А002. Те же яйца только в профиль.... Ну не регится он хоть убей! В чем глюкс? Может в винде??? Или все же в железе? Может infern0 таки куда то выложит драйвер которой без регитсрации??

mahp :: Да, блин, не регится и у меня ни 001, ни 002. Хееелп!




TheOldMen Подскажите новичку2 Посоветуйте пожайлуста, какими средствами я...



TheOldMen Подскажите новичку2 Посоветуйте пожайлуста, какими средствами я могу нормально изучить код проги (а именно загружаемий код) написаной на MFC или Microsoft Visual C++
MC707 :: IDA vs OllyDbg

Funbit :: IDA лучшее средство для любого языка и помпилятора :)
Windasm возьми, если не лень на глаз определять библиотечные ф-ции

WELL :: TheOldMen
Возьми IDA. Тебе уже несколько раз всё объяснили.

TheOldMen :: Скажите пожалуйста, агде я могу достать хороший хелп по IDA?

666 :: Насчет IDA не согласен в WDASM все расписано как надо
а в мнимых преимуществах, подчеркиваю, именно мнимых преимуществах IDA
больше путаницы чем пользы, особенно для новичка
Так-что WDASM+SICE+PETOOLS и вперед, немного трудновато на первых этапах
(в основном из-за банального незнания, сам через это проходил), но гораздо легче
потом когда не полагаешься на инструментарий (да это уже и не нужно)

KLAUS :: TheOldMen

В инете найти можно....

ZX :: 666 пишет:
цитата:
а в мнимых преимуществах, подчеркиваю, именно мнимых преимуществах IDA
больше путаницы чем пользы


Да-а, вот эт ты дружок загнул так загнул. Ты никогда не исследовал алгоритмы создания ключа, иначе ты так бы не говорил.
666 пишет:
цитата:
но гораздо легче
потом когда не полагаешься на инструментарий


Да, точно, посмотрел прогу и в HIEW, уже знаешь какие байты править. Вот это подход, уважаю.

Skyer :: Вообще, зерно в том, что новичку в поначалу IDA сложно разбираться. Особенно если до этого уже чуть поработал с WDasm и другими простенькими дизассемблерами. Просто офигеваешь поначалу - в IDA всё новое, интерфейс другой, нестандартные горячие клавиши, громоздко, навороченно, инструкции и интерпретация могут быть совсем другими, нежели в WDasm. В общем, всё другое, и поначалу теряешься.

Но конечно разобраться с этим нужно, поскольку только IDA показывает практически всегда рабочий код, остальные дизассемблеры часто несут чушь.

цитата:
Да, точно, посмотрел прогу и в HIEW, уже знаешь какие байты править. Вот это подход, уважаю.


А какой подход более эффективный? Я работаю с IDA, но сейчас так и делаю - глянул в ида, меняю в HIEW, глянул в IDA, меняю в HIEW......

KLAUS :: Skyer
Ну по идеи вместо HIEW можно исп-ть любой HEx-редактор, хотя я делаю так же, ну или
вместо IDA (в разных случаях) можно и SoftIce исп-ть

SeDoYHg :: 666

Ага, может и сайс отправим на помойку? Про ИДу прошу не гнать лажи.

SeDoYHg :: 666 пишет:
цитата:
потом когда не полагаешься на инструментарий


Дизассемблирование в уме... Где-то я от одного ламера уже это слышал...

прошу без обид.

WELL :: SeDoYHg пишет:
цитата:
Дизассемблирование в уме...


Это у Криса Касперски такая глава в книжке есть

SeDoYHg :: WELL пишет:
цитата:
Криса Касперски


Имя это перца для меня мат. Поэтому я и не написал его имя.

WELL :: SeDoYHg
А что ты так его не любишь?

SeDoYHg :: WELL

Этот перец позиционирует себя как Хакер Всея Руси. А если он так себя поставил, то не должен совершать столько ошибок в своих «хакерских» книгах (читай замечания Свина на васме).

В его книге «техника и философия» удачно написана только философия... Помню шел я по книжному развалу,в пору дремучего чайничества», и вижу эту книгу, слюнки потекли, принес домой, начал читать, и смог тогда понять только рассказ про историю и развитие хакерства, а те приемы и способы я даже не мог понять о чем говорит. И забросил эту книгу до лучших времен прошло года два, я снова её начал читать и она мне уже была не интересна. Так для кого он пишет? Если для чайников тогда это сложно (слишком), а ежели уже для более опытных нужно писать о другом и другми словами.

Да и вообще, не люблю я понтовщиков... Но люблю когда их ставят на свое место.

SeDoYHg :: небольшая аллегория

Билл Гейтс - злой дух

Крыс кАСПеРский - лжепророк (прикольно я про аспр заметил )

CReg [TSRh] :: SeDoYHg пишет:
цитата:
А если он так себя поставил, то не должен совершать столько ошибок в своих «хакерских» книгах (читай замечания Свина на васме).


Так как здесь народ поиском часто пользоваться не умеет, то даю ссылку на те самые замечания:
http://www.wasm.ru/forum/...hread&forum=18&topic=5318

SeDoYHg пишет:
цитата:
Крыс кАСПеРский - лжепророк (прикольно я про аспр заметил )







EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал...



EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал дебажить и когда трейсишь по F8 она мне листинг через 3 строки вверх подправляет, это както можно отрубить?
RideX :: Ещё хочу добавить вопрос:
Можно ли в Olly дебажить файл, у которого есть секция отладки (.debug), если да, то как? Пример такого файла, AlfaClock 1.60, можно взять здесь: http://www.alfasoftweb.com/download/

MC707 :: EGOiST[TSRh]
Я тебя недопонял. Как это поравляет? Обычно она так делает, когда ты протектор трейсишь какой-нить. Так это и в айсе так же будет...

EGOiST[TSRh] :: ну она курсор все время поднимает на первею строку(2 прйдешь, на 3ю понимет обратно), и причем не тока в протекторе..а просто в нормальном коде..и при этом иногда ругается что типа на следующей инструкции совсем даже не код

MC707 :: RideX
И тебя я тож недопонял... Как обычно... ОЕР = 40640C

Mario555 Re: MC707 :: EGOiST[TSRh] пишет:
цитата:
строки вверх подправляет, это както можно отрубить?


А никак :( меня эта хрень тоже бесит...

MC707 пишет:
цитата:
Как обычно... ОЕР = 40640C


Не смеши... В AlfaClock 1.60 сидит аспр 1.3 «full», там как такового OEP нету, всё до главного call размазано по протектору. Это твоё 40640C всего лишь вызов апи. Если ты распаковал эту хрень, то расскажи plz, как это сделал. С импортом и таблицей «call eax» я разобрался, спёртый код тоже можно попробовать восстановить, но вот что делать с мусором который по коду инита разбросан (тот что исключения вызывает aka SEH) и с четырьмя call «protector» ?

MC707 :: EGOiST[TSRh]
Хе. Я конечно боюсь предположить, что это цикл... Хотя вряд ли от тебя такого ожидать можно :)
Лучше дай файл или линк, я посмотрю.

EGOiST[TSRh] :: не не цикл... ну смотри.. ставишь бряк гденить..начинаешь трейсить.. жмешь 2 раза F8, на 3й она какбы скролит листинг кода на 3 строки вниз т.е. какбы курсор поднимается.. и это в любой проге

MC707 :: EGOiST[TSRh]
Нда... Я больше ничего не могу предположить кроме скролла или глюка.
Ты когда бряк ставишь рвется она внизу экрана? Если да, то то она автоматом скроллит код вверх.
Иначе глюк имхо.

EGOiST[TSRh] :: нее, рвется какраз вверху..:D гмм а какая последняя версия то..может внатуре глюк

MC707 :: последняя - 1.10 step 3 (c)
хотя я работал на всех 3х a,b,c на WinXP & Win98SE. Все было ок.
Хотя step 3 на ХР еще не успел потестить

MC707 :: А вообще давай так - я те свой ollydbg.ini могу заслать - с ним проверишь. Может в настройках чего-то не то...

MC707 :: Mario555 пишет:
цитата:
А никак :( меня эта хрень тоже бесит...


Чего-то я не понимаю о чем вы... Просто видимо это от того, что айс я не запускал уже месяцев 5

Mario555
Я уж понял, что это 1.3.
Сам пока не распаковывал. Вечером попытаюсь.
А «ОЕР» я написал для того, чтоб показать что дебажится она также как и остальные.
Просто другой вопрос, как ее распаковать.

RideX :: MC707 пишет:
цитата:
чтоб показать что дебажится она также как и остальные


В SIce не даёт бряки ставить, вылетает с ошибкой, вот решил попробовать Olly, непонятно как пройти до OEP. Почитал туторы по Olly, но здесь что-то так не получается. Я подумал что это из-за секции JCLDEBUG (volodya в первой части статьи упоминал, что секция отладки может как-то мешать, но точно не знаю как).

Mario555
Значит это и есть аспр 1.3 и всё из-за него? Я первый раз такое встретил.

P.S. AsprDebugger и Stripper тоже отдыхают...

MC707 :: Надо будет его стриппером 2.11 попытать

WELL :: MC707 пишет:
цитата:
Надо будет его стриппером 2.11 попытать


А он уже есть для скачивания?

RideX :: WELL пишет:
цитата:
А он уже есть для скачивания?


Пока нет, но этот файл тоже не берёт :(

WELL :: Значит будем ждать следующую версию

EGOiST[TSRh] :: короче..поставил старую тоже самое.. НО заметил одну фичу..это проичходит только если юзать бряки... если просто трейсить с самого начала, то все ок..

Mario555 :: WELL пишет:
цитата:
Значит будем ждать следующую версию


Халявщики... :)

Mario555 :: По поводу 1.3.
Мусор разбросаный по интиту - это бывшие jmp’ы. При прохождении этого мусора срабатывает обработчик исключений, который сравнивает адрес где произошло данное исключение с адресами в таблице:
.............
00E79D98 FF 8E 01 00 2C 48 7C 73 яЋ.,H¦s
00E79DA0 52 B9 00 00 2C 48 7C 76 R№..,H¦v
.............
команда была тут - 00418EFF FFBB ??? ; Unknown command
когда адрес найден, то берут соответствующую ему циферку (2C 48 7C 73) и что-то с ней делают - а именно высчитывают определённые байты и записывают их в стек, там и будет выполнен jmp, например так:

0012FAEC -0F84 E2932E00 JE AlfaCloc. 00418ED4
0012FAF2 68 018F4100 PUSH 00418F01
0012FAF7 C3 RETN

А место где произошло исключение выглядит так:

00418ED4 MOV EDX,EBX ; сюда выполнится jmp
00418ED6 MOV EAX,DWORD PTR DS:[4EA860]
00418EDB CALL AlfaCloc.00418ADC
00418EE0 CMP EBX,DWORD PTR DS:[4170F4]
00418EE6 JE SHORT AlfaCloc.00418F01
00418EE8 MOV EAX,EBX
00418EEA CALL AlfaCloc.004033D8
00418EEF MOV EBX,EAX
00418EF1 MOV EDX,EBX
00418EF3 MOV EAX,DWORD PTR DS:[4EA860]
00418EF8 CALL AlfaCloc.00418AF4
00418EFD TEST AL,AL
00418EFF ??? ; Unknown command == тута ошибка :)
00418F01 XOR EAX,EAX ; сюда попадём, если не выполнится jmp

Вообщем надо разобраться что означают цифры типа «2C 48 7C 73», и тогда можно будет попробовать вернуть jmp’ы на место.

PS армадилу никому не поминает ?! :))))))

PPS Упс... оказывается там не только jmp’ы крадутся, но ещё и call’ы... выполняются они так
0012FAEC 68 9A8F4100 PUSH 418F9A ; адрес куда вернёмся после выполнения
0012FAF1 68 388B4100 PUSH 418B38 ; а сюда call
0012FAF6 C3 RETN

ZX :: Mario555
А на счет импорта 1.3 ничего не желаешь сказануть?

Mario555 :: ZX пишет:
цитата:
А на счет импорта 1.3 ничего не желаешь сказануть?


Дык в моём туторе по 1.3 «lite» про импорт всё расписано, а в «full» импорт устроен также, как и в «lite». Кста ссылку я уже давал... и ты вроде этот тутор читал...

Mario555 пишет:
цитата:
Вообщем надо разобраться что означают цифры типа «2C 48 7C 73»


Похоже на то, что «2C 48 7C 73» и т.п. это просто пошифрованные смещения от начала другой таблицы. А вот в этой другой таблице уже более интересные вещи:

............
00E7D31C 02 04 02 59 CA E8 00 00 YКи..
............

02 - тип эмулируемого действия (jmp/call/ещё что-то, похожее на безусловный jmp), соответственно бывает три значения.
04 - тип jmp’a, тоесть 04h+80h=84h - je и т.п. (80h - const)
02 - длина спёртой команды (исп. для расчёта адреса на который перейдёт прога при не выполнении jmp или выходе из call). Бывает ессно 02, 05, 06.
59 - фиг знает...
CA E8 00 00 - адрес (без ImageBase), куда направлен jmp/call

ZX :: Mario555
Я взял ту же прогу, что и в туторе, сейчас только и начал ковырять. Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.

Mario555 :: ZX пишет:
цитата:
Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.


Ага, щас... Ессно нужно не первое срабатывание бряка... Вначале «простым копированием из памяти» идёт запись «заготовок», тоесть так
00406710 FF 15 C1 FA 51 B1 8B C0 FF 15 F7 50 C2 BE 8B C0 яБъQ±‹АячPВѕ‹А
А потом уже туда будут писаться правильные(для аспра) адреса джампов...
00406710 FF 15 F8 03 E2 00 8B C0 FF 15 BC 05 E2 00 8B C0 яшв.‹Аяјв.‹А
Но если ты даже этого не понимаешь, то наверно тебе с 1.3 рановато связываться...

PS кста адреса мест записи всегда будут 00xx7847 00xx7943 и т.д.

ZX :: Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников. Интересный вопрос навязывается - а если ее прикрутить к проге, что получится. Таблицу я тебе по мылу скинул.
Mario555 пишет:

цитата:
Ага, щас...


Эт точно, толь меня проглючило иль я не знаю. Только что таким способом попробовал и тут же на процедуре создания переходников. Хотя я ее уже вдоль и поперек излазил :) , у меня все таки такое чувство когда я на нее смотрю, что тут можно обойтись меньшими переделками в проге, и чем дольше я ее изучаю тем больше хочется ее урезать.

Mario555 :: ZX пишет:
цитата:
Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников.


Маловата таблица-то... это наверно просто iat самого протектора... ;)

ZX пишет:
цитата:
Интересный вопрос навязывается - а если ее прикрутить к проге, что получится


А ничего... jmp’ы должны быть в таблицу, а они остануться «в небо».

ZX пишет:
цитата:
что тут можно обойтись меньшими переделками в проге


Можно наверно и без переделок... Почитай тут.

Про «full»:
Хм... интересно, есть ли в таблице с адресами исключений лишнии ячейки, указывающие на левые адреса. Если нет, то прогнать бы через аспровую процедуру его же таблицу... (ессно конец процедуры нужно будет переделать, чтобы она call/jmp на место записывала)

ZX :: Mario555
Интересно, попробую. Сделать не проблемма. Как сделать такой лог?

Mario555 :: ZX пишет:
цитата:
Как прога будет искать джампы?


В смысле ? Ты про лог-патчер или про «full» ? А то я тут подрят написал, но это про совершенно разные вещи.

ZX :: Про лог-патчер.

Mario555 :: А что подробнее ? Я же вроде на Xforum всё расписал...
Только вот лучше сделать чтобы в логе была возможность обрабатывать не только адреса, но иногда и просто имена апи. Тоесть нужна будет какая-нить проверка (например символа » ), мол если адрес, то сразу пишем в txt, а если имя, то вначале GetProcAddress...
Я тебе два вида лога (к GetPix) скинул на мыло.

ZX :: Mario555 пишет:
цитата:
мол если адрес, то сразу пишем в txt, а если имя, то вначале GetProcAddress...


Сделаю попозжа.
Mario555 пишет:
цитата:
Я тебе два вида лога (к GetPix) скинул на мыло.


Мне первый больше понравился :)
Mario555 пишет:
цитата:
Тоесть нужна будет какая-нить проверка (например символа » )


Да это фигня там форматированная таблица получается, из нее выуживать не проблемма. Я скелет сделал попробуй своим зорким оком, что не так или что еще надо.

Mario555 :: Мде... «full» - это п*здец... Я сделал процедуру, которая восстанавливает call’ы и jmp’ы, только вот оказалось, что «лишнии» адреса всё-таки есть и поэтому при использовании этой процедуры патчатся ещё и «безобидные» адреса... А как отличать настоящий exception от правильного кода (там где FF) я не знаю :(

ZX
Второй удобнее, т.к. если использовать его, то вообще никаких изменений в код протектора вносить не надо будет.
Смотри почту.

ZX :: Вот если б найти способ указания имени библиотеки в логе - тогда не проблемма.

ZX :: Mario555 пишет:
цитата:
А как отличать настоящий exception от правильного кода (там где FF) я не знаю :(


Опиши, что ты делаешь, а я попробую найти способ :)

Mario555 :: ZX пишет:
цитата:
имени библиотеки в логе


Зачем имя ? есть же mHandle !

ZX пишет:
цитата:
Опиши, что ты делаешь, а я попробую найти способ :)


пытаюсь вернуть спёртые команды на место... но в таблицах есть «левые» ячейки с адресами по которым находится нормальный код, а не искуственно созданное аспром исключение.
Вообщем по типу наномитов армовых, там также в таблицах адреса не только спертых jmp’ов, а всех 0СС.

ZX :: Mario555 пишет:
цитата:
Зачем имя ? есть же mHandle !


Ну-ну. Предлагаешь ремоут тред, или ты думаешь что LoadLibrary всегда дает на те же библиотеки одинаковые mHandle?

Mario555 :: ZX пишет:
цитата:
Предлагаешь ремоут тред


??? Я предлагаю
PUSH «адрес строки с именем апи»
PUSH «mHandle библиотеки»
CALL GetProcAddress
На выходе получаем адрес апи. По крайней мере я так делал в процедуре для 00xx7943 и 00xx78E3.

ZX пишет:
цитата:
или ты думаешь что LoadLibrary всегда дает на те же библиотеки одинаковые mHandle?


Упс... :) А вот это я малость не учёл...

бара :: мне одно не понять - как этот долбаный алфаклок с последним аспром распаковали.
Может связаться с теми, кто распаковал или посмотреть сам кряк.

Кто в английском разговорном шарит - спросите. Тут вот вижу суперпродвинутые многие - малины знают и малявы рекомендательные имеют поди на всяких мирках и тп - вызнайте чем репу до плеши расчёсывать и ждать стриппера нового от syd’а...




MaZaFaKeR П0м0гите с0вет0м! Господа, подскажите советом: запускаю прогу,...



MaZaFaKeR П0м0гите с0вет0м! Господа, подскажите советом: запускаю прогу, вылетает окно с кнопкой ОК и надписью «Sorry, but your 15 days trial has expired!..». При нажатии ОК, программа закрывается. Что можно сделать?

0042E7A2 . 68 6CD94900 PUSH _Cracked.0049D96C ; SE handler installation
0042E7A7 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0042E7AD . 50 PUSH EAX
0042E7AE . 64:8925 000000›MOV DWORD PTR FS:[0],ESP
0042E7B5 . 81EC A4040000 SUB ESP,4A4
0042E7BB . 56 PUSH ESI
0042E7BC . 8BF1 MOV ESI,ECX
0042E7BE . 6A 00 PUSH 0
0042E7C0 . 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
0042E7C4 . E8 B7990000 CALL _Cracked.00438180
0042E7C9 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],0
0042E7D4 . C74424 08 0000›MOV DWORD PTR SS:[ESP+8],0
0042E7DC . C74424 04 DC0F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E7E4 . 68 DB000000 PUSH 0DB
0042E7E9 . 6A 02 PUSH 2
0042E7EB . 68 DB000000 PUSH 0DB
0042E7F0 . C68424 BC04000›MOV BYTE PTR SS:[ESP+4BC],1
0042E7F8 . E8 A9D00200 CALL ‹JMP.&MFC42.#1146›
0042E7FD . 50 PUSH EAX ; ¦hInst
0042E7FE . FF15 A00A4A00 CALL DWORD PTR DS:[‹&USER32.LoadBitmapA››; \LoadBitmapA
0042E804 . 50 PUSH EAX
0042E805 . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0042E809 . E8 92D00200 CALL ‹JMP.&MFC42.#1641›
0042E80E . 8B5424 08 MOV EDX,DWORD PTR SS:[ESP+8]
0042E812 . 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
0042E816 . F7D8 NEG EAX
0042E818 . 1BC0 SBB EAX,EAX
0042E81A . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
0042E81E . 23C2 AND EAX,EDX
0042E820 . 894424 78 MOV DWORD PTR SS:[ESP+78],EAX
0042E824 . E8 75CF0200 CALL ‹JMP.&MFC42.#2514›
0042E829 . 83F8 01 CMP EAX,1
0042E82C . 75 6F JNZ SHORT _Cracked.0042E89D
0042E82E . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
0042E832 . E8 79190100 CALL _Cracked.004401B0
0042E837 . 85F6 TEST ESI,ESI
0042E839 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],2
0042E841 . 75 04 JNZ SHORT _Cracked.0042E847
0042E843 . 33C0 XOR EAX,EAX
0042E845 . EB 03 JMP SHORT _Cracked.0042E84A
0042E847 › 8B46 20 MOV EAX,DWORD PTR DS:[ESI+20]
0042E84A › 50 PUSH EAX
0042E84B . 51 PUSH ECX
0042E84C . 8D9424 AC04000›LEA EDX,DWORD PTR SS:[ESP+4AC]
0042E853 . 8BCC MOV ECX,ESP
0042E855 . 896424 1C MOV DWORD PTR SS:[ESP+1C],ESP
0042E859 . 52 PUSH EDX
0042E85A . E8 7DD00200 CALL ‹JMP.&MFC42.#535›
0042E85F . 51 PUSH ECX
0042E860 . 8D8424 AC04000›LEA EAX,DWORD PTR SS:[ESP+4AC]
0042E867 . 8BCC MOV ECX,ESP
0042E869 . 896424 1C MOV DWORD PTR SS:[ESP+1C],ESP
0042E86D . 50 PUSH EAX
0042E86E . C68424 C004000›MOV BYTE PTR SS:[ESP+4C0],3
0042E876 . E8 61D00200 CALL ‹JMP.&MFC42.#535›
0042E87B . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18] ; ¦
0042E87F . C68424 BC04000›MOV BYTE PTR SS:[ESP+4BC],2 ; ¦
0042E887 . E8 641E0100 CALL _Cracked.004406F0 ; \_Cracked.004406F0
0042E88C . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
0042E890 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],1
0042E898 . E8 43190100 CALL _Cracked.004401E0
0042E89D › 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0042E8A1 . E8 EECF0200 CALL ‹JMP.&MFC42.#2414›
0042E8A6 . 83BC24 B804000›CMP DWORD PTR SS:[ESP+4B8],3
0042E8AE . 75 1F JNZ SHORT _Cracked.0042E8CF
0042E8B0 . 8B86 84040000 MOV EAX,DWORD PTR DS:[ESI+484]
0042E8B6 . 85C0 TEST EAX,EAX
0042E8B8 . 75 15 JNZ SHORT _Cracked.0042E8CF
0042E8BA . 6A 00 PUSH 0
0042E8BC . 6A 00 PUSH 0
0042E8BE . 68 ECEF4C00 PUSH _Cracked.004CEFEC ; ASCII «Sorry, but your 15 days trial has expired!
Place, register your copy at
http://www.hexisoft.com/icon/index.html»
MaZaFaKeR :: 0042E8C3 . E8 CED00200 CALL ‹JMP.&MFC42.#1200›
0042E8C8 . 8BCE MOV ECX,ESI
0042E8CA . E8 11010000 CALL _Cracked.0042E9E0
0042E8CF › C74424 04 C80F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E8D7 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0042E8DB . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],4
0042E8E3 . E8 ACCF0200 CALL ‹JMP.&MFC42.#2414›
0042E8E8 . C74424 04 B40F›MOV DWORD PTR SS:[ESP+4],_Cracked.004A0F›
0042E8F0 . 8D8C24 A404000›LEA ECX,DWORD PTR SS:[ESP+4A4]
0042E8F7 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],0C
0042E902 . E8 47CD0200 CALL ‹JMP.&MFC42.#800›
0042E907 . 8D8C24 A004000›LEA ECX,DWORD PTR SS:[ESP+4A0]
0042E90E . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],0B
0042E916 . E8 33CD0200 CALL ‹JMP.&MFC42.#800›
0042E91B . 8D8C24 CC03000›LEA ECX,DWORD PTR SS:[ESP+3CC]
0042E922 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],0A
0042E92A . E8 0184FFFF CALL _Cracked.00426D30
0042E92F . 8D8C24 F802000›LEA ECX,DWORD PTR SS:[ESP+2F8]
0042E936 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],9
0042E93E . E8 ED83FFFF CALL _Cracked.00426D30
0042E943 . 8D8C24 2402000›LEA ECX,DWORD PTR SS:[ESP+224]
0042E94A . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],8
0042E952 . E8 D983FFFF CALL _Cracked.00426D30
0042E957 . 8D8C24 E401000›LEA ECX,DWORD PTR SS:[ESP+1E4]
0042E95E . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],7
0042E966 . E8 F3CE0200 CALL ‹JMP.&MFC42.#795›
0042E96B . 8D8C24 3001000›LEA ECX,DWORD PTR SS:[ESP+130]
0042E972 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],6
0042E97A . E8 A1520100 CALL _Cracked.00443C20
0042E97F . 8D4C24 7C LEA ECX,DWORD PTR SS:[ESP+7C]
0042E983 . C68424 B004000›MOV BYTE PTR SS:[ESP+4B0],5
0042E98B . E8 90520100 CALL _Cracked.00443C20
0042E990 . 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
0042E994 . C78424 B004000›MOV DWORD PTR SS:[ESP+4B0],-1
0042E99F . E8 C0CE0200 CALL ‹JMP.&MFC42.#641›
0042E9A4 . 8B8C24 A804000›MOV ECX,DWORD PTR SS:[ESP+4A8]
0042E9AB . 33C0 XOR EAX,EAX
0042E9AD . 64:890D 000000›MOV DWORD PTR FS:[0],ECX
0042E9B4 . 5E POP ESI
0042E9B5 . 81C4 B0040000 ADD ESP,4B0
0042E9BB . C2 0800 RETN 8
0042E9BE 90 NOP
0042E9BF 90 NOP
0042E9C0 . 6A 00 PUSH 0
0042E9C2 . 6A 00 PUSH 0
0042E9C4 . 68 60F04C00 PUSH _Cracked.004CF060 ; ASCII «Register succeed!»
0042E9C9 . C781 84040000 ›MOV DWORD PTR DS:[ECX+484],1
0042E9D3 . E8 BECF0200 CALL ‹JMP.&MFC42.#1200›
0042E9D8 . 33C0 XOR EAX,EAX
0042E9DA . C2 0800 RETN 8
0042E9DD 90 NOP
0042E9DE 90 NOP
0042E9DF 90 NOP
0042E9E0 /$ 56 PUSH ESI
0042E9E1 ¦. 8BF1 MOV ESI,ECX
0042E9E3 ¦. 6A 00 PUSH 0
0042E9E5 ¦. C786 88040000 ›MOV DWORD PTR DS:[ESI+488],1
0042E9EF ¦. E8 ECD00200 CALL ‹JMP.&MFC42.#6215›
0042E9F4 ¦. 8B46 20 MOV EAX,DWORD PTR DS:[ESI+20]
0042E9F7 ¦. 6A 00 PUSH 0 ; /lParam = 0
0042E9F9 ¦. 6A 00 PUSH 0 ; ¦wParam = 0
0042E9FB ¦. 6A 10 PUSH 10 ; ¦Message = WM_CLOSE
0042E9FD ¦. 50 PUSH EAX ; ¦hWnd
0042E9FE ¦. FF15 E00A4A00 CALL DWORD PTR DS:[‹&USER32.SendMessageA›; \SendMessageA
0042EA04 ¦. 5E POP ESI
0042EA05 \. C3 RETN
0042EA06 90 NOP
0042EA07 90 NOP
0042EA08 90 NOP
0042EA09 90 NOP
0042EA0A 90 NOP
0042EA0B 90 NOP
0042EA0C 90 NOP
0042EA0D 90 NOP
0042EA0E 90 NOP
0042EA0F 90 NOP
0042EA10 . 6A FF PUSH -1
0042EA12 . 68 88D94900 PUSH _Cracked.0049D988 ; SE handler installation

Прошу прощения за большой кусок дизассемблиронного кода...

ZX :: MaZaFaKeR
По-моему тебе уже говорили на счет листингов :¦

-= ALEX =- :: MaZaFaKeR ты извращенец что-ли ? у меня лично этот охрененный листинг вообще отбил желание смотреть на него...

MaZaFaKeR :: -= ALEX =- , нет, не извращенец!

-= ALEX =- :: MaZaFaKeR вообще не из этого надо начинать ломать программы, т.е. с обработок кнопок, убирания нагов etc.. Искать надо первопричину, а именно процедуру проверки ключа etc, там дело исправишь, и все будет пучком !

KLAUS :: MaZaFaKeR
У тебя что за привычка куски кода кидать, ты или саму прогу выкладывай или лучше вообще не стоит.!

MaZaFaKeR :: Ок, спасибо, буду знать!

test Re: KLAUS :: Он ссылку давал http://www.hexisoft.com/i...nload/PrettyIconMaker.exe

ZX :: MaZaFaKeR пишет:
цитата:
Ок, спасибо, буду знать!


4402DF 75-›EB

Больше листинги не пость, прога хорошая.

WELL :: MaZaFaKeR
Ты если будешь такие листинги кидать, то это закончится тем, что никто на твои посты отвечать не будет.

Danger :: ZX пишет:
цитата:
402DF 75-›EB


неподскажешь чем ты её дизасемблил?
мне Хиев выдаёт ошибку чтения, В32Дасм вобше виснет :(

ZX :: Олька - один инструмент - один байт - красота в минимуме :)

Danger :: Чёт я ничего непонял....


ZX :: Danger
OllyDbg - отладчик такой есть.




MC707 MFC API Вопрос Во многих прогах встречаю вызовы так называемых MFC...



MC707 MFC API Вопрос Во многих прогах встречаю вызовы так называемых MFC «api». Можно узнать какие это функции, т.е. их имена?

Например в OllyDbg:
00417D5C ¦. E8 C5520300 ¦CALL ‹JMP.&MFC42.#5857›
MoonShiner :: MFC, вроде, вызываются по ординалу. Я где то видал плагин для ИДЫ для символьного представления имен этих функций. Но где - не помню, а у меня нет.

WELL :: Вроде IDA имена MFC показывает.

MC707 :: Хехе. Точно. Спасибо.
Только вот жаль олька не определяет их. И приходится туда-сюда бегать :)

MoonShiner :: Гы, протупил:)

MC707 :: Хех, прикольно.
На форуме ольки подсказали выход:
-Дизасмим Идой
-Создаем map-файл
-Приконнекчиваем его в ольке и все имена появляются :)

Проверил - работает ;)

WELL :: А всё таки олька - рульная вещь

MC707 :: WELL
Ну дык. Я у себя айс запускал месяца 4 назад...




Макс банально,но... помогите кракнуть прграмма лежит тут



Макс банально,но... помогите кракнуть прграмма лежит тут
~450kb
DillerXX :: Кого я вижу :) Ща посмотрю...

Макс :: DillerXX
а с newline пообщался уже????

WELL :: Это опять с вэбмани что ли?

Макс :: WELL
ну да

MC707 :: Нда. Вирусы с троянами у нас в стране нарасхват........

WELL :: MC707 пишет:
цитата:
Вирусы с троянами у нас в стране нарасхват........


Это точно... Скупой платит дважды

test :: Run Setup «WMForce_setup.exe» . OllYDBG - File Attach «Setup-WmForce».
Bp 00440339 CMP EAX,DWORD PTR DS:[4501D0].0044033F SETE BL ---› SETNE BL

DillerXX :: Макс
С разработчиками не пообщался, так как у них мыла НЕТ! :) Кстати могу выслать кракнутую прогу ;) Правда она, сука, всё равно генерить ключи отказывается :)))

DillerXX :: DillerXX пишет:
цитата:
сука


Хм... ~ , ~ на ~ загондонился :)

DillerXX :: Хм... Мат вроде отлавливает, а «суку» оставил :) Может потому что это уже стало не нецензурным словом... а «гондон» тогда тоже? :)

Макс :: DillerXX
ну вышли что ль

DillerXX :: Мндя... ладно... вот тодько ЗАЧЕМ ???? ЕСЛИ ОНА НЕ РАБОТАЕТ!!! Если так хочешь, то на:
www.dillerxx.amillo.net/NewLine_patched.rar
Паковал РАРом 3.2 Введи любой пароль она скажет что всё ч-п...

DillerXX :: Бляяяяяяя.... Какой тупой форум!! Ну неужели не понятно, что не на нём файл лежит!!!! Вот:
http://www.dillerxx.amillo.net/NewLine_patched.rar

Макс :: DillerXX
не качатся , а чё с wmforce???

HANS KEEPER :: Ща тоже гляну чего эта такое :)

DillerXX :: HANS KEEPER
HANS KEEPER пишет:
цитата:
Город: DeepTown


Вау И давно прочитал?

DZmey :: DillerXX пишет:
цитата:
Какой тупой форум!!


А какого ты тут тогда делаешь???
И не качается... :)

Что на зеркало пинать коль у самого рожа .. :)

DZmey :: Макс

Спасибо закачал :)

Макс :: DZmey
а за что спасибо??????

SLV :: Макс, а те кряк всё ещё нужен? (или уже есть)

Макс :: SLV
нужен,если можно

SLV :: Макс, У Тебя другой урлы нету, или кинь мне на rpz154@yandex.ru. У меня чё-то нихера ни качается


SLV :: ОЙ не, Макс, не нада щас скачиваю...

SLV :: Это вооще херня (Crack на Web Money). Нам на setup-е pass.Я думаю он даже не проверяется. Ты высылаешь им $$$, а они тебе этот pass, который так же не подходит.

XoraX :: SLV пишет:
цитата:
Это вооще херня (Crack на Web Money).


во, еще один это понял..

SLV :: XoraX пишет:
цитата:
во, еще один это понял..


Уже давно...

odIsZaPc :: Че-то я не понял - ачего вы ломаете ЭТО? Ради интереса? Это тоже самое что подбирать пароль к пустому архиву...

SLV :: odIsZaPc пишет:
цитата:
ачего вы ломаете ЭТО?


А мы (я точно) и не ломаем...

DillerXX :: Ребят, харе пыздыть ;)
Всё качается!! И не говорите мне, что это из-за того что это мой сайт. Я уже десять раз перезагружался, нажимаю по обычному на 2-ю ссылку, нажимаю Сохранить и жду... И ваще, чо за интерес к краку, который предназначен к неработающей проге? :)

А форум действительно дебильно устроен: если к урле не приписать ’http://’ то он будет искать в самом форуме...

Макс :: SLV
посмотри,может он и проверяется

SLV :: Макс пишет:
цитата:
посмотри,может он и проверяется


Я смотрел, там НИКАКИХ условных переходов. Проверено на S 0 l ffffffff «string», bpx MessageBoxA.

DZmey :: SLV пишет:
цитата:
У меня чё-то нихера ни качается


Хер и не должен качаться :)
Короче у меня первую минуту тоже не качалась, но я же умудрился чуток подумов мозгами, а не
и то что ты написал это говорит ....

DZmey :: И вообще это не программа а фигня :)




Jonson Исследование программы на VB... Вопрос в аудиторию...



Jonson Исследование программы на VB... Вопрос в аудиторию...

Имеется программа, написанная на VB. Хочется ее «немного отучить от наглости требования денег», а посему ряд вопросов:

1. Какими инструментами (доступными) необходимо обзавестись для исследования VB? Пробовал пользоваться SoftICE, но «заблудился» в сплошных CALL в MSVBVM60.dll и ничего вразумительного так и не понял.

2. Программа использует подключение к и-нету для проверки правильности введенного кода. Как это примерно реализуют в VB? Может хоть так (в листинге программы) найду «необходимый» участок кода (для BPX в ICE-е).

3. (общий вопрос) Неужели VB сложнее при «взломе» чем остальные языки?

Заранее спасибо всем, кто примет участие...

P.S. Читал, что VB компилит программы в 2-ух режимах: P-Code и Native Mode. В моем случае отладчик WKTVBDE сругался, что типа программа не в P-Code. Означает ли это что мой случай - это Native? Или он может ошибаться, ибо CALL’ов в ней (на функции типа ___vb.....) - НЕМЕРЯНО!!!!
MoonShiner :: 1) Если Native, то также как и с обычными... IDA+Softice. Также редакторы ресурсов для VB. Отличие только в том, что юзаются всякие левые функции типа _VB...
2) Поищи всякие функции с подозрительными именами... Прочитай мануал по функциям msvbvm60.
3) Геморройнее это из за пункта 1.

ЗЫ У тебя Native и тебе повезло:)

Jonson :: А поподробнее про редакторы ресурсов (навскидку, хотя бы названия программ - полезу искать)... а также мануалы про функции msvbvm60. У меня стоит Visual Studio .NET 2003 и MSDN к ней. Но там я не нашел описаловки функцию VB (хотя может я что-то и не доустановил из MSDN)...

Gloomy :: Jonson
1. Просмотрщик ресурсов VBDE (можно взять на wasm.ru, пользы от него правда маловато но иногда он показывает адреса откуда начинаются обработчики событий), отладчик по вкусу (мне нравится OllyDbg). От дизассемблера толку маловато будет, разве что msvbvm60.dll им дизассемблировать (в этом случае рекомендую Win32Dasm).
2. Залазь отладчиком в msvbvm60.dll, ищи там функцию InternetOpenA (и пр. функции, см. wininet.dll), смотри как называется экспортируемая фукнция и лови ее (можно прямо в библиотеке). В особо тяжелых случаях я даже пропатчивал системную библиотеку втыкая в нужные места команду int3 (код CC).
3. Взлом не сложнее - он более трудоемкий. Большая часть времени уходит на блуждания по коду виртуальной машины. А уж если используется p-code тогда вообще полный завал - считай что из msvbvm60.dll вообще выбираться не будешь т.к. вся работа происходит там.

Jonson пишет:
цитата:
WKTVBDE сругался, что типа программа не в P-Code


Это значит что либо прога была чем-то упакована (распакованные проги на Васике бесполезно пихать в WKTVBDE, все равно ничего толкового не получишь) либо это действительно не p-code.

Начинай ломать как обычно: посмотри реакцию проги на неравильный серийник и далее по обстоятельствам. Скажу лишь что большая часть программ на Васике ломается посредством излова функций __vbStrCmp и __vbStrComp (по названию наверное догадаешься что они делают). Если не ошибаюсь MC707 когда-то давал УРЛ на сайт про взлом программ на Васике.

Про функции: дизассемблируй библиотеку msvbvm60.dll и смотри экспортируемые функции - других методов я не знаю.

Что за прога-то? Может быть УРЛом поделишься если она не шибко здоровая по размеру?

Jonson :: 2Gloomy
Спасибо за совет. Прога сильно специфична (addon к Flight-симулятору) и, соответственно, сильно большая (около 56 мегов). Пока лазил по ней SoftICE вроде как нашел участок, в котором по введенному мною номеру генерируется ссылка типа «http://www.сайт_производителя.com/мой_введенный_к од ‹- вероятнее всего, после легальной регистрации эта ссылка станет рабочей, т.е. вызывающая программа получит по ней либо ответ, либо что-то еще. А если код вводить «от-балды», то получаю сообщение, что типа »... либо и-нета нету, либо сайт недоступен»....

Gloomy :: Jonson пишет:
цитата:
генерируется ссылка


Теперь лови ее в отладчике и дорабатывай так чтобы она стала правильной. Или можно идти от окна с ошибкой. Все-таки рекомендую OllyDbg - с ним исследовать проги на Васике гораздо проще и быстрее.
Главное после отлова функции вылезти обратно в код проги - наверняка это окно для ввода серийника просто наг после удаления которого будет доступна вся прога. Хотя возможно и более тяжелая ситуация если например код используется для расшифровки чего-то.

Jonson :: ОК. Спасибо за участие... Пошел дальше ковыряться (скачивать OllyDbg, кстати, он сильно от ICE-а отличается?). Если что - еще раз обращусь...

P.S. Классный форум!!! Буду теперь почаще наведываться... ;-))))

Jonson :: Еще маленький вопросец.

Как то попадалась програмка запакованная BitArts Crunch просвятите - что за пакер? Я в тот раз так и не нашел на него распаковщика, а с ручной распаковкой у меня пока еще туговато (я тока учусь :-))))))

RottingCorpse :: BitArts Crunch попакован либо Fusion либо Titanium от той же фирмы....
На Crunch распаковщик есть на protools.anticrack.de

Gloomy :: Jonson пишет:
цитата:
Классный форум!!!


Не классный а ЛУЧШИЙ

Jonson пишет:
цитата:
скачивать OllyDbg, кстати, он сильно от ICE-а отличается?


По внешнему виду - сильно, сам наверное уже заметил. Главное все плагины для него скачать не забудь

Jonson пишет:
цитата:
Если что - еще раз обращусь...


Wелкам!




Goodwin777 Nag Нужна некоторая помощь!



Goodwin777 Nag Нужна некоторая помощь!
Установил игру 3D hockey 1.06 (сайт разработчика http://www.avagames.net/ весит где то 800 кб, но я брал с диска)
Впринципе позагонятся можно, но там nag есть и лимит на время(nag при старте и лимит ломается без особых проблем). Вот проблема с nag вовремя игры, как убрать незнаю! Написана вроде на Delphi 6. Еще вот вопрос есть ли замена bpx hmemcpy у Softice, на OllyDbg? А то что то немогу поставить этот бряк!(там есть еще возможность регистрации кодом, но стандартные бряки не срабатывают)
Goodwin777 :: Только сильно не бейте за Hmemcpy :)

DiveSlip :: Есть point-h. Статья (ry0 - Эмуляция hmemcpy в ХР

ZX :: DiveSlip пишет:
цитата:
Есть point-h. Статья (ry0 - Эмуляция hmemcpy в ХР


А причем здесь point-h? Он же в 98-х.
Goodwin777 пишет:
цитата:
Еще вот вопрос есть ли замена bpx hmemcpy у Softice, на OllyDbg?


hmemcpy - это функция в системе, а не в SoftIce. В ольке на окне кода надави на правый глаз крысы Search -› Names in all modules, в открывшемся окне найди свою hmemcpy, двойной щелчек и ты в самой функции (точнее на ее начале), тут ставь бряки. Все никаких эмуляций :)

DiveSlip :: ZX пишет:
цитата:
Он же в 98-х.


А как ты это узнал, если не секрет?

ZX :: Goodwin777 пишет:
цитата:
Еще вот вопрос есть ли замена bpx hmemcpy у Softice,


Значит у него в сайсе работает, раз он просит замену, а раз работает - значит это 98-е. Простая логика :)

DiveSlip :: ZX пишет:
цитата:
Простая логика :)


Угу, точно, так и хочется процетировать Холмса: «Элементарно, Ватсон»:)

Goodwin777 :: Я впринципе про hmemcpy понял, а про nag то?

бара :: А чё наг-то ? Ты попробуй игра ресторатором посмотреть и нагу в свойствах прописать visible:-false или DeDe попробуй запусти и глянь откуда вызывается. Прога, как ты сам говоришь, на дельфях ежели...

dMNt :: ломал я ее когда-то, там запатчил несколько jump’ов (подробнее уже не помню :)
если надо - она кряканая где-то на hxxp://ledex.ru лежит

SeDoYHg :: бара

Прежде чем советовать, мог бы игру посмотреть. Там нет форм и диалогов.

бара :: так фигли... я хотел качать а потом кряк к ней готовый в инете увидел и расхотел ломать.. А совет я дал самый общий. А нет диалогов - значит через WDasm 10 ковырять можно.
Попробую скачать... Хотя разорите

SeDoYHg :: бара

бара пишет:
цитата:
WDasm


рулит =)

Но и Олли в данном случае справляется =)

бара :: http://free.88pl.com/ldx/...v1.05.cracked.exe.KoN.zip

DOLTON :: бара
Так в том-то и дело, что на сайте уже выложили ver. 1.06,
а для неё крака нет...

Nitrogen :: Comparing files hockey.exe and 1HOCKEY.EXE
000447C5: 74 EB
00045297: 74 EB
000455B3: 75 74
0004564D: 74 EB
00045909: 74 EB
000459FD: 75 90
000459FE: 3C 90
0004800C: 0F 90
0004800D: 84 E9
00048269: 74 EB
000482E2: 74 EB

как некрасиво.. аж самому стыдно за себя :)

бара :: 448c59 eb
408eea eb
448ee2 eb
4453d3 9090

а я вот так примерно
но у меня стартовый наг не снят

PS
теперь я понял - Нитроген видать нашёл процедуру по строкам buy и тп
там как опции нага были... молоток - догадался быстро и вообще оперативно сработал

Nitrogen :: бара
просто подправленны все переходы после вызова sub_00437F58
процедура найдена по
CODE:004454C4 aAgileNAInTrial db ’Agile (N/A in trial)’,0 ; DATA XREF: sub_4453E0+72o

бара :: я уже понял
просто я не раскрутил цепочку эту до конца - стормозил. Опыта у меня значит пока такого нет по нахождению.... Мне ещё учится и учится...




nice Оля 1.10 без бэ :) 1.10



nice Оля 1.10 без бэ :) 1.10
http://home.t-online.de/home/Ollydbg/odbg110.zip
ZX :: › This is the last beta. If I receive no crash notifications, in a week it will be declared final.
Значит ли это, что бесплатных версий больше не будет?

XoraX :: это значит что оля заканчивает бетится и буит FiNAL :))

ZX :: Глючит, похоже до FINAL еще далеко.




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

-----------------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret
---------------------

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Mario555 New Olly Вышла новая версия OllyDbg 1.10с. Читать тут.



Mario555 New Olly Вышла новая версия OllyDbg 1.10с. Читать тут.
ZX :: Глючит...

ilya :: Mario555
спасибочки!!!




odIsZaPc Требуется сдампить ключик HARDLOCK Программа работает под Win98. Мне...



odIsZaPc Требуется сдампить ключик HARDLOCK Программа работает под Win98. Мне нужно сдампить hardlock-ключик, затем всунуть его в Глашин эмуль, работающий уже под XP. Подскажите софт понадежнее, т.к. в винде98 насколько я понимаю Глаша отдыхает.
MoonShiner :: на каждом форуме должен быть свой блаженный:) ака ДАУН!
odIsZaPc , ИМХО, глашин эмуль не эмулит хардлок ключи. У хаспа и хардлока совсем разные протоколы общения с железкой. А пошло мнение, что эмулит и хасп и хардлок из-за того, что хасп работает и с драйвером hardlock.sys.
По поводу дампа... Как правило, с хардлоками дамп менее обязателен, чем с хаспами или гвардантами и прочими... Хотя дампилку, конечно, написать можно, главное обладать СЕКРЕТНЫМ ключиком для чтения памяти ключа:) Но проще так поломать. Выложи где нить ехе-шничек или прогу целиком, я гляну, что можно сделать.
ЗЫ Там не конверт?

WELL :: odIsZaPc
MoonShiner
А что за глашин эмуль? Только не смейтесь
Кстати, в одной проге с хаспом4 у меня проблема решилась не через эмуляцию а через замену обычного условного перехода.
По-моему, в некоторых случаях проще бит-хаком подправить, чем эмулить.
Видимо это не тот случай.

MoonShiner :: WELL , спешу тебя обрадовать, заменой джампов дело обходится в 50% случаев прог без конверта:)
zzz.brstudio.com - эмуль хаспов. Правда проект прикрыл. Но там все поймешь. Там же и полезные мануалы.

WELL :: MoonShiner пишет:
цитата:
спешу тебя обрадовать, заменой джампов дело обходится в 50% случаев прог без конверта:)


Действительно, это радует
MoonShiner пишет:
цитата:
zzz.brstudio.com - эмуль хаспов. Правда проект прикрыл. Но там все поймешь. Там же и полезные мануалы.


Спасибо.

odIsZaPc :: WELL пишет:
цитата:
А что за глашин эмуль?


Это вещь... Как TSRh его зарелизила, так сразу ломанулся не один десяток прог. В том числе и мой любимый Kompas v6+. Так что спасибо infern0.
MoonShiner пишет:
цитата:
ЗЫ Там не конверт?


Я понятия не имею че это. Не шарю я в донглах.
Вот ссылка на экзешник проги (его достаточно для работы): http://personal.primorye.ru/snaker/hardlock.zip
Я знаю, ты соображаешь в этих ключиках, посмотри пожалуста.

jeck Re: odIsZaPc :: Подскажите, где взять «глашин» эмуль?
Надо Компас 6+ побороть.

MozgC [TSRh] :: Короче я скачал, глянул, там конверт =(
Походу без ключа не судьба, мож Мунш че придумает...

odIsZaPc :: MozgC [TSRh]
Что значит «коверт»?
Ну ключ стоит там у нас на компах, не буду ж я его домой тащить :) Вы подскажите че с этого ключа надобно снять и коим образом - я попытаюсь... Может пргой какой...

infern0 :: odIsZaPc пишет:
цитата:
Это вещь... Как TSRh его зарелизила, так сразу ломанулся не один десяток прог. В том числе и мой любимый Kompas v6+. Так что спасибо infern0.


из моего последнего релиза:

If you have a HASP4 key and whant emulate it with this emulator you
...

THIS PROJECT HAS BEEN CLOSED. sorry...

Sh [AHT] :: infern0
and send it to haspemul@mail.ru instead of
glasha@brstudio.com.

:)))) 5 баллов :)))
Все равно что сервер активации ХР поставить у себя и продавать дистрибуты, заточенные под твой сервер. А гаду Билли ни цента :)))
Повеселил... только Глашу, Хармера и Ко немного жаль... старались люди все-таки :)

odIsZaPc :: MoonShiner
Ну что, ты экзешничек не смотрел еще?

MoonShiner :: Там вроде конверт, я ниче не могу пока сделать... Ты сможешь конверт отколупать?

infern0 :: Sh [AHT] пишет:
цитата:
infern0
and send it to haspemul@mail.ru instead of
glasha@brstudio.com.

:)))) 5 баллов :)))


THIS PROJECT HAS BEEN CLOSED. sorry...

Sh [AHT] :: infern0

цитата:
THIS PROJECT HAS BEEN CLOSED. sorry...


Да, видел уже... и еще там было «скажите за это спасибо infern0». Впрочем, это не мои проблемы.
Просто забавная ситуация...

odIsZaPc :: MoonShiner пишет:
цитата:
Там вроде конверт, я ниче не могу пока сделать... Ты сможешь конверт отколупать?


Что значит конверт? Тебе нужны какие-то данные ключа? Что от меня требуется?

mr.FiX :: infern0
А конвертер функций 3C/3D
выйдет в свет ?

MoonShiner :: odIsZaPc , ты аспр распаковывал? Вот там не сложнее, попробуй этот конверт сам с ключом снять. Правда могут быть грабли с хапуском айса, но возможно это только у меня были:)

Lz [TSRh] :: OllyDbg - и нет проблем с запуском :)

MoonShiner :: Да нееее... трабла была в том, что на кривой тачке заказчика, где не работала половина моих инструментов надо было отковыривать... Дык айса эта зараза палит, а с айсэкстом в кору падала... да и половина айсэкстов то тачку вешали. А конверт надо было отковыривать... Мозгу рассказал как я мощно извратился, так он вообще в ауте был:)

MozgC [TSRh] :: Я не помню =)

MoonShiner :: Ну блин... говорил же. Запустил прогу, определил через ДеДе ОЕП. Запустил заново, а там распаковки да проверки самого хардлока идут секунд 10. На 5-й секунде пишу «net start ntice», жду еще пару секунд, потом кидаюсь в айса (тупо надеясь, что проверки на айс все прокатили) и ставлю бряк на выполение кода по ОЕП. Торможу там и сдираю дамп:) Несколько раз айса либо рано врубал, либо не успевал:)

MozgC [TSRh] :: Ну вроде было че-то такое но я не особо помню =)

mahp :: Heelп плиз, «Hasp emulator PE XP 2.33» регится КГ не на всех машинах. В чем может быть вопрос? А?

infern0 :: mahp пишет:
цитата:
«Hasp emulator PE XP 2.33» регится КГ не на всех машинах.


имя должно быть 8 символов.

odIsZaPc :: MoonShiner пишет:
цитата:
Вот там не сложнее, попробуй этот конверт сам с ключом снять


Увы, это невозможно. Ключ стоит в «общественном» месте... Не принесу ж я туда Айс... Выгонят же нах...

waxyman :: Ксати как сильно отличается Edstruct в полученном дампе от присланного переконвектируемого дампа?

mahp :: infern0, я пользуюсь именем, которое использую на 2-х других машинах удачно ;-) и одним и тем же КГ от сам знаеш кого... Но, млин, на Вин2000сп4, Сел333, GF2, 128озу, старая мать - не регится!?

infern0 :: mahp пишет:
цитата:
Но, млин, на Вин2000сп4, Сел333, GF2, 128озу, старая мать - не регится!?


потому что глаша типа решил замутку сделать - читает дату биоса не только из станлдартного места но и из еще одного. А туда его не все биосы пишут. Так что всем на brstudio.com писать баглист. В принципе можно выложить драйвер вообще без регистрации, но влом...

TuPis :: infern0

цитата:
В принципе можно выложить драйвер вообще без регистрации, но влом...


А может все же выложить по огромной просьбе нуждающихся а?

infern0 :: может. но мне нЕгде.

odIsZaPc :: infern0
Ну так шли на мыло. выложу

mahp :: Ну может в какой обменник? Там и время лежки ограничить можно. Кому надо возьмут. http://ex.imho.ws/upcent, http://www.konfa.ru/cgi-bin/filex.cgi, f p://laogu.com:laogu.com@ftp.laogu.com/upload

TuPis :: Поставил на ту машину где не регился эмуль А001 поставил А002. Те же яйца только в профиль.... Ну не регится он хоть убей! В чем глюкс? Может в винде??? Или все же в железе? Может infern0 таки куда то выложит драйвер которой без регитсрации??

mahp :: Да, блин, не регится и у меня ни 001, ни 002. Хееелп!




TheOldMen Подскажите новичку2 Посоветуйте пожайлуста, какими средствами я...



TheOldMen Подскажите новичку2 Посоветуйте пожайлуста, какими средствами я могу нормально изучить код проги (а именно загружаемий код) написаной на MFC или Microsoft Visual C++
MC707 :: IDA vs OllyDbg

Funbit :: IDA лучшее средство для любого языка и помпилятора :)
Windasm возьми, если не лень на глаз определять библиотечные ф-ции

WELL :: TheOldMen
Возьми IDA. Тебе уже несколько раз всё объяснили.

TheOldMen :: Скажите пожалуйста, агде я могу достать хороший хелп по IDA?

666 :: Насчет IDA не согласен в WDASM все расписано как надо
а в мнимых преимуществах, подчеркиваю, именно мнимых преимуществах IDA
больше путаницы чем пользы, особенно для новичка
Так-что WDASM+SICE+PETOOLS и вперед, немного трудновато на первых этапах
(в основном из-за банального незнания, сам через это проходил), но гораздо легче
потом когда не полагаешься на инструментарий (да это уже и не нужно)

KLAUS :: TheOldMen

В инете найти можно....

ZX :: 666 пишет:
цитата:
а в мнимых преимуществах, подчеркиваю, именно мнимых преимуществах IDA
больше путаницы чем пользы


Да-а, вот эт ты дружок загнул так загнул. Ты никогда не исследовал алгоритмы создания ключа, иначе ты так бы не говорил.
666 пишет:
цитата:
но гораздо легче
потом когда не полагаешься на инструментарий


Да, точно, посмотрел прогу и в HIEW, уже знаешь какие байты править. Вот это подход, уважаю.

Skyer :: Вообще, зерно в том, что новичку в поначалу IDA сложно разбираться. Особенно если до этого уже чуть поработал с WDasm и другими простенькими дизассемблерами. Просто офигеваешь поначалу - в IDA всё новое, интерфейс другой, нестандартные горячие клавиши, громоздко, навороченно, инструкции и интерпретация могут быть совсем другими, нежели в WDasm. В общем, всё другое, и поначалу теряешься.

Но конечно разобраться с этим нужно, поскольку только IDA показывает практически всегда рабочий код, остальные дизассемблеры часто несут чушь.

цитата:
Да, точно, посмотрел прогу и в HIEW, уже знаешь какие байты править. Вот это подход, уважаю.


А какой подход более эффективный? Я работаю с IDA, но сейчас так и делаю - глянул в ида, меняю в HIEW, глянул в IDA, меняю в HIEW......

KLAUS :: Skyer
Ну по идеи вместо HIEW можно исп-ть любой HEx-редактор, хотя я делаю так же, ну или
вместо IDA (в разных случаях) можно и SoftIce исп-ть

SeDoYHg :: 666

Ага, может и сайс отправим на помойку? Про ИДу прошу не гнать лажи.

SeDoYHg :: 666 пишет:
цитата:
потом когда не полагаешься на инструментарий


Дизассемблирование в уме... Где-то я от одного ламера уже это слышал...

прошу без обид.

WELL :: SeDoYHg пишет:
цитата:
Дизассемблирование в уме...


Это у Криса Касперски такая глава в книжке есть

SeDoYHg :: WELL пишет:
цитата:
Криса Касперски


Имя это перца для меня мат. Поэтому я и не написал его имя.

WELL :: SeDoYHg
А что ты так его не любишь?

SeDoYHg :: WELL

Этот перец позиционирует себя как Хакер Всея Руси. А если он так себя поставил, то не должен совершать столько ошибок в своих «хакерских» книгах (читай замечания Свина на васме).

В его книге «техника и философия» удачно написана только философия... Помню шел я по книжному развалу,в пору дремучего чайничества», и вижу эту книгу, слюнки потекли, принес домой, начал читать, и смог тогда понять только рассказ про историю и развитие хакерства, а те приемы и способы я даже не мог понять о чем говорит. И забросил эту книгу до лучших времен прошло года два, я снова её начал читать и она мне уже была не интересна. Так для кого он пишет? Если для чайников тогда это сложно (слишком), а ежели уже для более опытных нужно писать о другом и другми словами.

Да и вообще, не люблю я понтовщиков... Но люблю когда их ставят на свое место.

SeDoYHg :: небольшая аллегория

Билл Гейтс - злой дух

Крыс кАСПеРский - лжепророк (прикольно я про аспр заметил )

CReg [TSRh] :: SeDoYHg пишет:
цитата:
А если он так себя поставил, то не должен совершать столько ошибок в своих «хакерских» книгах (читай замечания Свина на васме).


Так как здесь народ поиском часто пользоваться не умеет, то даю ссылку на те самые замечания:
http://www.wasm.ru/forum/...hread&forum=18&topic=5318

SeDoYHg пишет:
цитата:
Крыс кАСПеРский - лжепророк (прикольно я про аспр заметил )







EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал...



EGOiST[TSRh] и опять оЛЛя слухайте..поставил я себе 1.10 ну и че??.. стал дебажить и когда трейсишь по F8 она мне листинг через 3 строки вверх подправляет, это както можно отрубить?
RideX :: Ещё хочу добавить вопрос:
Можно ли в Olly дебажить файл, у которого есть секция отладки (.debug), если да, то как? Пример такого файла, AlfaClock 1.60, можно взять здесь: http://www.alfasoftweb.com/download/

MC707 :: EGOiST[TSRh]
Я тебя недопонял. Как это поравляет? Обычно она так делает, когда ты протектор трейсишь какой-нить. Так это и в айсе так же будет...

EGOiST[TSRh] :: ну она курсор все время поднимает на первею строку(2 прйдешь, на 3ю понимет обратно), и причем не тока в протекторе..а просто в нормальном коде..и при этом иногда ругается что типа на следующей инструкции совсем даже не код

MC707 :: RideX
И тебя я тож недопонял... Как обычно... ОЕР = 40640C

Mario555 Re: MC707 :: EGOiST[TSRh] пишет:
цитата:
строки вверх подправляет, это както можно отрубить?


А никак :( меня эта хрень тоже бесит...

MC707 пишет:
цитата:
Как обычно... ОЕР = 40640C


Не смеши... В AlfaClock 1.60 сидит аспр 1.3 «full», там как такового OEP нету, всё до главного call размазано по протектору. Это твоё 40640C всего лишь вызов апи. Если ты распаковал эту хрень, то расскажи plz, как это сделал. С импортом и таблицей «call eax» я разобрался, спёртый код тоже можно попробовать восстановить, но вот что делать с мусором который по коду инита разбросан (тот что исключения вызывает aka SEH) и с четырьмя call «protector» ?

MC707 :: EGOiST[TSRh]
Хе. Я конечно боюсь предположить, что это цикл... Хотя вряд ли от тебя такого ожидать можно :)
Лучше дай файл или линк, я посмотрю.

EGOiST[TSRh] :: не не цикл... ну смотри.. ставишь бряк гденить..начинаешь трейсить.. жмешь 2 раза F8, на 3й она какбы скролит листинг кода на 3 строки вниз т.е. какбы курсор поднимается.. и это в любой проге

MC707 :: EGOiST[TSRh]
Нда... Я больше ничего не могу предположить кроме скролла или глюка.
Ты когда бряк ставишь рвется она внизу экрана? Если да, то то она автоматом скроллит код вверх.
Иначе глюк имхо.

EGOiST[TSRh] :: нее, рвется какраз вверху..:D гмм а какая последняя версия то..может внатуре глюк

MC707 :: последняя - 1.10 step 3 (c)
хотя я работал на всех 3х a,b,c на WinXP & Win98SE. Все было ок.
Хотя step 3 на ХР еще не успел потестить

MC707 :: А вообще давай так - я те свой ollydbg.ini могу заслать - с ним проверишь. Может в настройках чего-то не то...

MC707 :: Mario555 пишет:
цитата:
А никак :( меня эта хрень тоже бесит...


Чего-то я не понимаю о чем вы... Просто видимо это от того, что айс я не запускал уже месяцев 5

Mario555
Я уж понял, что это 1.3.
Сам пока не распаковывал. Вечером попытаюсь.
А «ОЕР» я написал для того, чтоб показать что дебажится она также как и остальные.
Просто другой вопрос, как ее распаковать.

RideX :: MC707 пишет:
цитата:
чтоб показать что дебажится она также как и остальные


В SIce не даёт бряки ставить, вылетает с ошибкой, вот решил попробовать Olly, непонятно как пройти до OEP. Почитал туторы по Olly, но здесь что-то так не получается. Я подумал что это из-за секции JCLDEBUG (volodya в первой части статьи упоминал, что секция отладки может как-то мешать, но точно не знаю как).

Mario555
Значит это и есть аспр 1.3 и всё из-за него? Я первый раз такое встретил.

P.S. AsprDebugger и Stripper тоже отдыхают...

MC707 :: Надо будет его стриппером 2.11 попытать

WELL :: MC707 пишет:
цитата:
Надо будет его стриппером 2.11 попытать


А он уже есть для скачивания?

RideX :: WELL пишет:
цитата:
А он уже есть для скачивания?


Пока нет, но этот файл тоже не берёт :(

WELL :: Значит будем ждать следующую версию

EGOiST[TSRh] :: короче..поставил старую тоже самое.. НО заметил одну фичу..это проичходит только если юзать бряки... если просто трейсить с самого начала, то все ок..

Mario555 :: WELL пишет:
цитата:
Значит будем ждать следующую версию


Халявщики... :)

Mario555 :: По поводу 1.3.
Мусор разбросаный по интиту - это бывшие jmp’ы. При прохождении этого мусора срабатывает обработчик исключений, который сравнивает адрес где произошло данное исключение с адресами в таблице:
.............
00E79D98 FF 8E 01 00 2C 48 7C 73 яЋ.,H¦s
00E79DA0 52 B9 00 00 2C 48 7C 76 R№..,H¦v
.............
команда была тут - 00418EFF FFBB ??? ; Unknown command
когда адрес найден, то берут соответствующую ему циферку (2C 48 7C 73) и что-то с ней делают - а именно высчитывают определённые байты и записывают их в стек, там и будет выполнен jmp, например так:

0012FAEC -0F84 E2932E00 JE AlfaCloc. 00418ED4
0012FAF2 68 018F4100 PUSH 00418F01
0012FAF7 C3 RETN

А место где произошло исключение выглядит так:

00418ED4 MOV EDX,EBX ; сюда выполнится jmp
00418ED6 MOV EAX,DWORD PTR DS:[4EA860]
00418EDB CALL AlfaCloc.00418ADC
00418EE0 CMP EBX,DWORD PTR DS:[4170F4]
00418EE6 JE SHORT AlfaCloc.00418F01
00418EE8 MOV EAX,EBX
00418EEA CALL AlfaCloc.004033D8
00418EEF MOV EBX,EAX
00418EF1 MOV EDX,EBX
00418EF3 MOV EAX,DWORD PTR DS:[4EA860]
00418EF8 CALL AlfaCloc.00418AF4
00418EFD TEST AL,AL
00418EFF ??? ; Unknown command == тута ошибка :)
00418F01 XOR EAX,EAX ; сюда попадём, если не выполнится jmp

Вообщем надо разобраться что означают цифры типа «2C 48 7C 73», и тогда можно будет попробовать вернуть jmp’ы на место.

PS армадилу никому не поминает ?! :))))))

PPS Упс... оказывается там не только jmp’ы крадутся, но ещё и call’ы... выполняются они так
0012FAEC 68 9A8F4100 PUSH 418F9A ; адрес куда вернёмся после выполнения
0012FAF1 68 388B4100 PUSH 418B38 ; а сюда call
0012FAF6 C3 RETN

ZX :: Mario555
А на счет импорта 1.3 ничего не желаешь сказануть?

Mario555 :: ZX пишет:
цитата:
А на счет импорта 1.3 ничего не желаешь сказануть?


Дык в моём туторе по 1.3 «lite» про импорт всё расписано, а в «full» импорт устроен также, как и в «lite». Кста ссылку я уже давал... и ты вроде этот тутор читал...

Mario555 пишет:
цитата:
Вообщем надо разобраться что означают цифры типа «2C 48 7C 73»


Похоже на то, что «2C 48 7C 73» и т.п. это просто пошифрованные смещения от начала другой таблицы. А вот в этой другой таблице уже более интересные вещи:

............
00E7D31C 02 04 02 59 CA E8 00 00 YКи..
............

02 - тип эмулируемого действия (jmp/call/ещё что-то, похожее на безусловный jmp), соответственно бывает три значения.
04 - тип jmp’a, тоесть 04h+80h=84h - je и т.п. (80h - const)
02 - длина спёртой команды (исп. для расчёта адреса на который перейдёт прога при не выполнении jmp или выходе из call). Бывает ессно 02, 05, 06.
59 - фиг знает...
CA E8 00 00 - адрес (без ImageBase), куда направлен jmp/call

ZX :: Mario555
Я взял ту же прогу, что и в туторе, сейчас только и начал ковырять. Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.

Mario555 :: ZX пишет:
цитата:
Оказывается, что запись джампов идет не из цикла создания, а простым копированием памяти из уже созданных в другом месте джампов. Так что описанный в туторе бряк на память не работает, и толку от него никакого.


Ага, щас... Ессно нужно не первое срабатывание бряка... Вначале «простым копированием из памяти» идёт запись «заготовок», тоесть так
00406710 FF 15 C1 FA 51 B1 8B C0 FF 15 F7 50 C2 BE 8B C0 яБъQ±‹АячPВѕ‹А
А потом уже туда будут писаться правильные(для аспра) адреса джампов...
00406710 FF 15 F8 03 E2 00 8B C0 FF 15 BC 05 E2 00 8B C0 яшв.‹Аяјв.‹А
Но если ты даже этого не понимаешь, то наверно тебе с 1.3 рановато связываться...

PS кста адреса мест записи всегда будут 00xx7847 00xx7943 и т.д.

ZX :: Я тут вот что нарыл, аспр создает в одном месте чистую таблицу импорта и потом ее использует для создания переходников. Интересный вопрос навязывается - а если ее прикрутить к проге, что получится. Таблицу я тебе по мылу скинул.
Mario555 пишет:

цитата:
Ага, щас...


Эт точно, толь меня проглючило иль я не знаю. Только что таким способом попробовал и тут же на процедуре создания переходников. Хотя я ее уже вдоль и поперек излазил :) , у меня все таки такое чувство когда я на нее смотрю, что тут можно обойтись меньшими переделками в проге, и чем дольше я ее изучаю тем больше хочется ее урезать.

Jonson :: 2RideX or 2MC707

У меня тоже есть программенция (предположительно с ASProtect 1.3) Нельзя к вам напроситься на пробование в распаковке стриппером 2.11 (или на тестирование стриппера версии 2.11 ).
Тока беда в том, что я ее тока мылом могу выслать (размер ~130 кб)...

Жду ответа




FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на...



FEUERRADER OllyDbg detection Посмотрите это. Имеет ли сей прием право на жизнь? :)
SLV :: Чё-то не качается. Наверное nm перегружен

SLV :: Опа, у меня аватар «человеческий».
for i:=1 to 3 do writeln(«Ура!»)

Dragon :: FEUERRADER

seg002:004011B9 push 0 ; lpWindowName
seg002:004011BB push offset aOllydbg_0 ; lpClassName
seg002:004011C0 call ds:FindWindowA

По классу окна значит ищешь. В принципе можно, ведь поменять имя уже созданного класса нельзя. Придёться разработчикам настройку сделать, как в iceext, где имя сервиса выбырать можно.

KLAUS :: Я может не понял, эт для того чтоб OLLY отрубать?
Ну так он её же и трайсить нормально...может не понял просто для чего!

Dragon :: Бывает такое, запускаешь прогу и видишь что-нибудь типа «обнаружен отладчик, работать ни хрена не буду», вот для чего это надо. Хотя можно и вырубить olly - GetWindowThreadProcessId + TerminateProcess.

FEUERRADER :: Dragon
Реализация простая, поэтому для разработчиков может пойти как анти-отладочный приём, к тому же это по-моему единственный способ найти олю запущенной в системе, т.к. защита от IsDebuggerPresent уже есть. Надеюсь топики кряклаба Солод не читает :)

KLAUS :: FEUERRADER
Ну если пргша будет уже загружена в OLLY, то можно будет спокойцнор трайсить ( пока она не запустится)!!

ZX :: FEUERRADER пишет:
цитата:
Надеюсь топики кряклаба Солод не читает :)


Не переживай, читает. :)

Mario555 :: FEUERRADER пишет:
цитата:
единственный способ найти олю запущенной в системе


Не единственный... посмотри например протектор SoftDefender.
А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

GL#0M :: Mario555

Это точно, помню ещё статейка какая-то была на болгарском про обноружение оли...

RideX :: FEUERRADER
Ещё можно убить процесс через ф-ции TlHelp32, по имени файла.

Aster!x :: › А насчет твоего способа, так уже давно есть патч для оли, который меняет имя главного окна.

Сие реализовано в новой версии плагина HideDebugger ;-)

Mario555 :: Aster!x
Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Aster!x пишет:
цитата:
Сие реализовано в новой версии плагина HideDebugger ;-)


И когда сие творение можно будет потестить ?

PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Aster!x :: › Может посмотриш SoftDefender ? там что-то серьёзное с debug detection... убивает олю и себя даже просто в случае их одновременной работы :(

Если там какие-то антитрассировочные фишки то вряд ли что-то можно сделать, если поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)

› PS кста не знаешь случаем что там в оле со сменой имени ? почему она как минимум плагины не грузит, а то и сама виснет при изменение имени exe...

Это к автору OllyDbg, я сам был удивлён когда попробовал переименовать exe’шник.

› И когда сие творение можно будет потестить ?

Не знаю, нужно ещё доделать мессаги об ошибках, то бишь сочинить их на аглицком, что-то я никак не соберусь ;-)

XoraX :: Aster!x пишет:
цитата:
сочинить их на аглицком, что-то я никак не соберусь ;-)


дык швыряй сюда, толпа переведет :D

nice :: Сейчас с парсером разберусь, и хочу написать крякми_олли_детектор.
Понабрал изи разных статей, там будет около 10 шагов примерно :)

Парни а про переименование оли, вы не пробовали посмотреть ехе, я нашел там прямое вхождение простым поиском
ollydbg.exe (у меня 0050F780)
Кажется корень зла там ;)

RideX :: Aster!x
Надо же, как я угадал с ТулХэлп, не зная что Оля не переносит другого имени , хотя, как я понял, никто об этом не знал :)

Aster!x пишет:
цитата:
поиск процесса через Toolhelp32 API, то это будет пофикшено в следующей(их) версиях плагина ;-)


Действительно, вполне может пригодиться :)

Mario555 :: RideX пишет:
цитата:
хотя, как я понял, никто об этом не знал :)


Это давно было в ACPRotect... Process32First и Process32Next.

Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

PS хотя если поменять название «OllyDbg.exe» в таблице экспорта самой Оли и в таблицах импорта плагинов, то и присутствие OllyDbg.exe в папке будет не обязательно.

Aster!x :: › Хех плагины экспортируют функции из OllyDbg.exe так что его в папке нужно оставлять по-любому, а вот если его копировать и переименовать, то всё будет работать прекрасно. Блин, как оказывается всё просто было :)

Если действительно так, то Olly не нужны никакие другие защиты кроме как против IsDebuggerPresent ;-)

Aster!x :: Проверил, действительно работает вроде ;-), всё выкидываю из плагина противообнаруженческие фичи и релижу новую версию ;-)

RideX :: Только что проверил, всё так и есть как сказал Mario555 , всё работает :)))

Aster!x :: Только вот странно, Pulya всё-равно прибивает Olly, с переименованным exe’шником, даже не знаю, придётся наверно противотерминатную фичу оставить.

Mario555 :: Aster!x пишет:
цитата:
Pulya всё-равно прибивает Olly


У ACPR кроме проверки имён есть ещё одна подлянка, в смысл которой я там до конца и не въехал... функция Process32Next возвращает не только PID самого процесса, но и PID процесса который его инициализировал (в данном случае PID Olly) а вот как он опеределяет, что Olly - это не какой-нить там explorer.exe - это непонятно... (хотя может привелегии процесса смотрит или прям так по имени и проверяет - если не explorer, то убить нахрен).

PS кста прибивается любая прога (соответствующего статуса ессно) инициализирующая ACPR, а не только Olly.

Aster!x :: › возвращает не только PID самого процесса, но и PID процесса который его инициализировал

Точно, я как-то не обращал на это внимание, нужно будет всё-таки пофиксить, тогда не придётся экзешник переименовывать.
Вот оно:

typedef struct tagPROCESSENTRY32 {
DWORD dwSize;
DWORD cntUsage;
DWORD th32ProcessID;
DWORD th32DefaultHeapID;
DWORD th32ModuleID;
DWORD cntThreads;
DWORD th32ParentProcessID;
LONG pcPriClassBase;
DWORD dwFlags;
char szExeFile[MAX_PATH];
} PROCESSENTRY32;

th32ParentProcessID
Identifier of the process that created the process being examined. The contents of this member can be used by Win32 API elements.

Bad_guy :: Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра... собственная разработка. Ну уж извините за хвастовство. кстати библиотечка коммерческая и приватная - никому не раздаю :)

AlexZ CRaCker :: Bad_guy
Раз уж крэкеры пишут защиту чтобы её снимать , тогда хоть обходные пути оставляй

Aster!x :: › Гы, у меня библиотечка есть которой пользуются уже несколько разработчиков, так она сечёт примерно 20 крэкерских тулз поиском в памяти по окнам, по имени файла, по ключам реестра...

Против лома нет приёма... (как там дальше? ;-)
Проверять реестр, сканить папку Program Files - глупо, хотя и не удобно бороться с такими методами обнаружения но можно ;-)




SIM Бряк в dll в Ollydbg? Как брякнутся в dll если ее нет на EP проги в...



SIM Бряк в dll в Ollydbg? Как брякнутся в dll если ее нет на EP проги в executable modules. Пишу bpx ‹адресс в dll› - оля пишет нет такого адреса (он потом появляется после загрузки этой dll)

Вопросик не по теме: как еще можно получить EIP в EAX кроме
call $+5
pop eax
Mario555 :: Options--DebuggingOptions--Events--Break on new module (DLL) -- при установленном флажке olly будет останавливаться на загрузке каждой новой либы.
Или попробуй просто бряк на LoadLibraryA.

SIM :: Mario555
Спасибо, первый совет помог.




User Помогите плиз Я в этом деле начинайщий, поэтому есть небольшая...



User Помогите плиз Я в этом деле начинайщий, поэтому есть небольшая проблемка. Поблемма такая, программа работает три минуты, потом отрубаеться. Но отрубаеться не просто так, а по нажатию на кнопку ок msg окна, вылетающего после трех минут использования программы. Я подумал что если убрать это nag окно, то она будет работать исправно. Но только найти вызов этого окна в коде я не смог, т. к. программа написанна на Visual Basic, во вторых там много мсг окон и не подписанно их содержание. Пробовал найти W32dsm’ом, OLLYDBG’ом и никаких незультатов. Подскажите пожалуйста как можно в моем случае найти вызов msg окна, что бы его отключить.
[RU].Ban0K! :: User
Радость моя :) Надо таймер искать а не какойто там наг :)

ZX :: User
Надо сначала посмотреть к какому классу относиться наг, если это месагбокс, то ловить его появление через апи, которые его могут вызывать

[RU].Ban0K! :: ZX
VB? И что ты там через наг найдёшь? Инициализацию таймера через метр кода???

User :: Наг определяеться как msgbox, ну а как можно поймать таймер? И как мне определить какой именно? Науврядли он там один.

ZX :: User
ловишь месаг, а выше смотришь почему он вызывается, там и на переменную таймера выйдешь.. хотя она нафиг не нужна будет скорее всего, а нужен будет переход который прыгает через этот месаг.

User :: а можно как то по содержанию msg’шку найти? А то там этих мсг сообщений штук 20 точно, что мне каждую проверять?

ZX :: User
Ну, поставь бряки на все эти месагбоксы и жди какой сработает.

bi0w0rM[AHT] :: Если там просто мессага, то rtcMsgBoxUser пишет:
цитата:
Я в этом деле начинайщий, поэтому есть небольшая проблемка. Поблемма такая, программа работает три минуты, потом отрубаеться. Но отрубаеться не просто так, а по нажатию на кнопку ок msg окна, вылетающего после трех минут использования программы. Я подумал что если убрать это nag окно, то она будет работать исправно. Но только найти вызов этого окна в коде я не смог, т. к. программа написанна на Visual Basic, во вторых там много мсг окон и не подписанно их содержание. Пробовал найти W32dsm’ом, OLLYDBG’ом и никаких незультатов. Подскажите пожалуйста как можно в моем случае найти вызов msg окна, что бы его отключить.


вскрой exe-файл в vbde, посмотри на форме таймер и в его свойствах адрес его процедуры. Потом ее в обычном дизассемблере или в exdec вскрывай по этому адресу.

bi0w0rM[AHT] :: ну это в зависимости от сборки(native/p-code) где вскрывать, вот!

User :: bi0w0rM[AHT]
точно, надо тк попробовать
Пасиба, в общем.

SLV :: User пишет:
цитата:
рограмма написанна на Visual Basic


В winice.dat добавь соответствующую строку (посмотри у Биоворма на сайте статья «Поиск окон в Васике»)

bi0w0rM[AHT] :: SLV пишет:
цитата:
В winice.dat добавь соответствующую строку (посмотри у Биоворма на сайте статья «Поиск окон в Васике»)


ах да! еще это... и не забудь, что vbde даст адрес не начала, а конца процедуры таймера(если вообще даст:)).




vasya FlashPlayer Plus 1.8; распаковка Мое почтение.



vasya FlashPlayer Plus 1.8; распаковка Мое почтение.
Есть сабж, 3.29MB(3,453,489 Bytes).
PEiD показывает, что он запакован ASPack 2.1. Попробовал распаковать. PE Tools-›Break&Enter, восстаналиваем первый байт, bpm esp-4, PE Tools виснет. И винда начинает вести себя крайне похабно. LordPE-›Break&Enter - вываливается окошко, с тем, что плайер заглючил и надо бы отправить отчет. Шо делать, отцы?
Ось: WinXP, SP1; SIce 4.3.1
Ara :: Попробуй OllyDbg. Аспак распаковать - как два пальца...




Cracker Win32Dasm v10 Млин.... какого Х.. васм не все жрет????????????????...



Cracker Win32Dasm v10 Млин.... какого Х.. васм не все жрет????????????????
Я мля прогу да delphi6 компильнул, решил код васмом разобрать - хрень!!!Ни Х.. происходит.....
Тока про DeDe и IDA не говорите ..... сам все знаю.....
SeDoYHg :: Cracker

Наверно мы телепаты%), что там у тебя нет так %). По идее должен воспринимать... а там хрен его знает :). Что хоть пишет?

Cracker :: Ваше ниче не пишет.... если че писал бы... я бы написал че он пишет!!!!!!
Просто жму открыть файл... указываю путь... и все.... 0 действий...

sanek :: Cracker пишет:

цитата:
Ваше ниче не пишет.... если че писал бы... я бы написал че он пишет!!!!!!
Просто жму открыть файл... указываю путь... и все.... 0 действий...


С W32dasm_ом такая хрень была и у меня только c Borland C++

Cracker :: И как с этим бороться?

nice :: Cracker
Может у тебя ехе заблокирован отладчиком ДеДе или чем то аналогичным?
Попробуй 93 версию + патчи = 10, взять можно на protools.cjb.net

sanek :: nice пишет:

цитата:
Попробуй 93 версию + патчи = 10, взять можно на


Кстати попробовал только что w32dasm9 без патчей - дизасемблирует, а w32dasmv10- виснет.
Почему???

SeDoYHg ::
sanek пишет:
цитата:
Почему???


спроси у разработчика :), мы же не телепаты :))))). Ну или под отладчиком поганяй :), узнай причину.

WELL :: Я вообще wdasm не юзаю...

MARcoDEN :: А чего тебе WDASM сдался? Есть более интеллектуальные тулзы, сам знаешь какие .

Cracker :: ТИПА IDA ??? Неохота по модему 30 метров качать!!!!!

Grim Fandango :: версия 10 не является оригинально, это левая поделка... а сам автор уже дааавно забил на Wdasm. Bratalarm forever!

SeDoYHg :: Cracker

Сходи в комп. клуб и скачай. У ИДы альтернатив нет. Все остальное суксь!

Grim Fandango :: SeDoYHg пишет:
цитата:
Сходи в комп. клуб и скачай.


или купи диск.. типа Навигатор Хакера... там такого полною

Mario555 :: Есть в header’е параметр SizeOfOptionalHeader указывает он размер от поля Magic до начала описания секций, так вот если этот параметр увеличить и соответственно переместить описания секций, то файл будет грузится нормально, а вот W32dasm’му он совсем не понравится ;) Кстати Olly тоже от таких выкрутасов будет не в восторге... она конечно прогу загрузит, но секции не считает и в WinMain не остановится.

SeDoYHg :: Grim Fandango пишет:
цитата:
или купи диск..


Я себе купил диск «Программисту на Визуал Си++» Так там было две версии ИДы, сайс, боундчекер и PEDump :).

Grim Fandango :: SeDoYHg пишет:
цитата:
«Программисту на Визуал Си++»


lol =)

SeDoYHg :: Grim Fandango

Это я так написал там было нормально написано, по английски :)

Grim Fandango :: нет, я вообще с содержания и названия улыбался. =)

SeDoYHg :: Grim Fandango

Это точно, я сам обрадовался, когда увидел содержимое диска :)

MC707 :: У меня тож такой диск был, я его покупал года 4 назад, там еще сайс 4 и ида 3.5 была.

SeDoYHg :: MC707

У меня две иды было :), 3.45 и 4.1.5 =)

Lawyer :: У меня была такая проблема. Она у меня заключалась в том что в пути к фаилы были русские буквы типа: C:\Мой документы\проги\варез\proga.exe
Я решил ее так. Скопировал прогу в корневой католо «С:\» создал папку с енглишь названием, и у меня все заработало... попробуй, может проблема в этом, хотя я могу ошибаться.

ufo_maniac :: про WinDASM 10 точно не знаю, но у версии 8.93 есть серьезное ограничение на длину полного пути к открываемому файлу. даже не 256 символов, а кажется 64.
так что я на 95% уверен, что если ты сделаешь как предлагает Lawyer, даже если ты не использовал русские буквы, всё покатит!

а вообще-то зря вы к етой проге с пренебрежением - для несложных случаёв имхо это идеальное средство.

ZX :: ufo_maniac пишет:
цитата:
а вообще-то зря вы к етой проге с пренебрежением - для несложных случаёв имхо это идеальное средство.


это для каких таких случаев? Я вот что скажу, кому лень разобраться с OLLYDBG тот юзает виндасм. И не надо народ вводить в заблуждение, виндасм умер и точка. Это теперь орудие ламера, пытающегося выглядеть крутым крякером. Потому как, ни один здравомыслящий из нашей породы сейчас в виндасм не полезет. Кто не любит OllyDbg и юзает айс и иду это тоже не полезут в виндасм, потому как ловить там нечего..

PS обидеть никого не пытался.

dMNt :: КГ/АМ

ufo_maniac :: черт его знает... при всем моем уважении...
да и не крякер я вовсе, а тестер. просто живу уже давно, тогда еще олли не было.
с вдасма начинал, и с диска его не сотру. иногда в нем сразу видно то, что в иде еще надо раскопать.
иногда он правильно показывает то, с чем она справляется слабо. на васме недавно такое прочел, звиняйте, ссылку не дам - лень искать, правда. и сам с таким сталкивался.
конечно он прочно устарел, и уже не оживет, но не собираясь никому ничего навязывать, считаю что наряду с другими тулзами его попользовать не вредно.

Grim Fandango :: ufo_maniac пишет:
цитата:
наряду с другими тулзами его попользовать не вредно.


согласен.




dmitry помогите кто понимает дизассемблер помогите кто может начинающему!



dmitry помогите кто понимает дизассемблер помогите кто может начинающему!
я дизассемблировал програмульку
нашел нужное место а там стоит
mov ax,4400
int 21
я понимаю что в ан=00. в al=44
но такой функции нет?
dMNt :: нее чувак, ты не прав
al=0 a ah=44

quote
«Функция 44Н (коды 0 и 1) либо устанавливает, либо
возвращает данные, которые MS-DOS использует для управления
устройством. Если AL равно 1 (установить), то DH должен
содержать 0.»

dmitry Re: dMNt :: Спасибо за ответ слушай объясни пож. зачем нужен W32Dasm
если я немогу ни код поменять ни по ссылке перейти
какой программой можно это сделать а есть такая программа
которая выполняет заданную в пошаговом режиме а ?

XoraX :: dmitry пишет:
цитата:
есть такая программа
которая выполняет заданную в пошаговом режиме а ?


есть, OllyDbg.
dmitry пишет:
цитата:
какой программой можно это сделать


код можно поменять в hiew.

dmitry :: мужикм помогите как я залез в этот W32Dasm
на меня обрушилось куче прерываний о которых я и не подозревал
кто шарит раскажите че это за прерывания
например int 03,fc,2f,e3,58,26,eb,fb,8b,00,3c,e8 и тд их здесь сотни
из этих я не нашел ни одну ни в одном справочнике

где можно найти справочник где все они есть??????????????

Дмитрий.

dMNt :: ищи справочник по прерываниям Ральфа Брауна (2тома)

хинт: номер ф-ции передается в ah

dMNt ::
btw не уверен что OllyDBG сможет с досовскими exe работать :)
нужено что-то типа TurboDebugger/DeGlucker/AFD/SoftIce for DOS/etc

Spiteful :: Неплохой справочник

SLV :: ТЕма прикольно называется =)

[RU].Ban0K! :: У меня есть самый лучший в мире справочник по прерываниям :)
Весит он 8 метров, в HLP... вот думал что... не нужен он никому и не стал заливать его в ex-book =)
p.s. Почему лучший? Там даже есть описание работы прерываний после того как их покоцают вирусники или проги .... =)
p.p.s. Эра MS-DOS уже давно прошла... думаю всё таки не стоит его заливать.... или как?

Mindb0t :: [RU].Ban0K!
Так залей его на инт, если не сложно (или на мыло кинь - Mindb0t sobaka yandex dot ru). Нужная вещь. Кстати, автор кто?

Ara :: Mindb0t пишет:
цитата:
Так залей его на инт, если не сложно (или на мыло кинь - Mindb0t sobaka yandex dot ru). Нужная вещь. Кстати, автор кто?


Во я бы посмотрел, как [RU].Ban0K! тебе 8 метров ны мыло заливает

WELL :: [RU].Ban0K!
Залей. Лишним уж точно не будет. Бывает, что и под досом что-то делать надо, кинешься, а доков нету...

[RU].Ban0K! :: Mindb0t

Interrupt List Release 61 Last change 16jul00
Copyright (c) 1989-1999,2000 Ralf Brown

Copied from Ralf Brown’s Interrupt List

Уж есль и буду заливать, то на сайт :)

nice :: dmitry
Не знаю, что утебя за W32DASM
у меня спокойно прыгает по ссылкам(стрелка вправо, возврат ESC)
есть плагин, который позволяет патчить без проблем лежал кажись на http://protools.cjb.net/

Ту пачку прерываний, что ты написал. СКОРЕЕ ВСЕГО НЕ правильно распознал, ИлИ ехе - пакованный

Mindb0t :: [RU].Ban0K!
Ладно. Спасибо :)

[RU].Ban0K! :: Вот он...
http://ex-book.int3.net/Other/all_interrupts.zip

Aster!x :: [RU].Ban0K!

А где 8 метров то?
all_interrupts.zip - 4.8 Mb

бара :: не верьте глазам своим
ah =44
al =00

и функция такая есть
на 21 прерывании вобще их до хрена....

берёшь древний 7-й Sourcer и дизасмишь - там тебе и описание будет функций. А ежели не будет - качаешь с инета талмут типа tech_help и иЩчешь тама номера функций, подфункций и прочей беды. Там в досе ентих приблуд до фени...

dMNt :: бара
ты опоздал малость

бара :: да, просто я первую страницу не заметил... Но всё равно дизасмить ms dos-овское лучше сурцером... 7-м...

[RU].Ban0K! :: Aster!x
Распаковка развеет все проблемы :) Я ж его не сжатый юзаю... так он 7.75 метров в HLP

Mindb0t :: [RU].Ban0K!
Спасибо.




MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking...



MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking DDeM. И вот возникнула одна идея: создать автоматический распаковщик. Я бы с радостью за это взялся, но знаний не хватает . Поэтому, уважаемые реверсеры, большая к вам просьба - возьмитесь за это!

PS. UnDDeM на сайте eoda.by.ru работает просто отвратно. В связи с этим потребность в автораспаковке DDeM’a возросла еще больше.
PPS. Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?
nice :: MARcoDEN
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить

Grim Fandango :: у меня сайт тот не открывается.

nice :: Grim Fandango
http://www.wasm.ru/tools/6/qunp.zip

Grim Fandango :: не, Найс, у меня есть QUnpack. Я про eoda.by.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?


Гон.

SGA :: MARcoDEN
прочти статью на сайте Рубанка http://int3.net/?page=art...1=reversing&p2=uncd&art=9 .
Этот DDem вообще не надо распаковывать.
Бывает ещё что сверху пакована Аспаком - Caspr тебе в руки.
А если и про инлайны в пакерах почитаешь. то вообще красота.

зы а qunpack тож рапакоыввает аспак, но DDem Нет

MARcoDEN :: nice пишет:
цитата:
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить


Эту тулзу я пробовал, но DDeM она не берет, да и некоторые модифицированные FSG-паковку. Если тебе интересно, могу забросить запакованный exe-шник на мыло.

MARcoDEN :: Noble Ghost
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?

nice :: MARcoDEN
Бросай для коллекции nicesc GaVGav yandex.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


А ты бряки как ставишь?

Grim Fandango :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


он наверное одними командами пробует... хотя хз, пусть сам скажет.

Mario555 :: MARcoDEN пишет:
цитата:
почему бряк на GetDriveTypeA в Олли не срабатывает


А у тебя ось какая ?

MARcoDEN :: Mario555
Ось - Win XP Pro SP1

Noble Ghost
Бряки ставлю через command bar: bpx GetDriveTypeA и т.п.

Дело в том, что сняв протектор, мы уберем и проверку CD. Вот почему автоматический распаковщик не помешал бы .

SGA :: MARcoDEN
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??

MARcoDEN :: SGA пишет:
цитата:
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??


Да, сам протектор открутил, причем достаточно просто. Зачем же делать дополнительно распаковку FSG, UPX? Во-первых, они тут совершенно ни причем. Во-вторых, последние версии DDeM’a поливаются ASPack’ом, который легко снимается тулзой AsPackDie. Вот после этого, когда загрузчик лежит в DDeMCod, пригодился бы автораспаковщик самого протектора. Если кому интересно, то я выложил экзешник сюда.

SGA :: MARcoDEN пишет:
цитата:
Зачем же делать дополнительно распаковку FSG, UPX


Я встречал DDEM пакованный и этим.
Можно Зафигачить простой seek and destroy универсальный патчик ddem, для распакованной игрушки.

Mario555 :: MARcoDEN пишет:
цитата:
Бряки ставлю через command bar: bpx GetDriveTypeA


bp GetDriveTypeA... ну или там просто нажми CTRL-G, введи GetDriveTypeA и там уже ставь бряк по F2 куда-нить в эту апи.

SGA :: анпак аспака и патч
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.
должен прокатить для всех игрушек.

MARcoDEN :: SGA пишет:
цитата:
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.


Не совсем понимаю что это. Скрипт?

nice :: MARcoDEN
Как я понимаю это цепочка байт ищещь верхнюю, меняешь на нижнию

SGA :: MARcoDEN
Это цепочка байт для так называемого seek and destroy патча. т.е Независимо от offset’a расположения этих байт, патч их найдёт и изменит. Надеюсь понятно что ** - оставить как было.

MARcoDEN :: Что ж, теперь понятно. Спасибо!

MARcoDEN :: SGA пишет:
цитата:
должен прокатить для всех игрушек.


Чего-то ни хрена не прокатывает

Noble Ghost :: Чет я забыл про эту тему.
MARcoDEN
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)

Сорри, тороплюсь, ухожу.

SGA :: MARcoDEN пишет:
цитата:
Чего-то ни хрена не прокатывает


и Для ТОй на которую здесь Ссылку Дал ???

MARcoDEN :: SGA пишет:
цитата:
и Для ТОй на которую здесь Ссылку Дал ???


Именно на ней и пробовал . В качестве seek&destroy патча использовал dUP [http://navig8.to/diablo2oo2].

Noble Ghost пишет:
цитата:
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)


А че делать тогда? Через Names Window брякать? Или как советует Mario555?

SGA :: MARcoDEN
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6. 63
06.48.D8.33.6A.**.**.**.
Это правилные байты.
Проверил и на твоей екзешке и на игрушке Call Of Duty. Работает.

НА старых ддемах ещё без Аспака как в игре Game Red Faction II v1.0.1
нужна така цепочка
E2.CB.02.46.EE.
61.63.FD.15.F2

Noble Ghost :: MARcoDEN пишет:
цитата:
А че делать тогда? Через Names Window брякать? Или как советует Mario555?


Когда как. Лучше делай как марио грит.

MARcoDEN :: SGA пишет:
цитата:
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6.63
06.48.D8.33.6A.**.**.**.
Это правилные байты.


Окей, еще раз спасибо! Только скажи откуда ты эти байты брал?

SGA :: MARcoDEN пишет:
цитата:
Только скажи откуда ты эти байты брал


http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)

MARcoDEN :: SGA пишет:
цитата:
http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)


Ясно




Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)



Mario555 Снова OllyDetect Так сказать «по мотивам одного пакера» :)
http://www.mario-files.newmail.ru/OllyFinder.exe
Таким образом можно искать произвольную строчку в процессе или вообще не строчку, а последовательность байт... такое не переименуешь.
PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ? Ребут-то оно покруче будет, чем просто убивать найденный дебугер ;)
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.
-= ALEX =- :: Mario555 пишет:
цитата:
PPS сейчас вот появилась у меня идея, как скрыть олли от таких штук.


ну ловить просто-напросто вызовы апи TerminateProcess. и смотреть на параметры передаваемые... или как ты там скрываешь .. :)

-= ALEX =- :: скачал файл, посмотрел исходник. интересно реализовано... заинтересовало, щас попробую написать антифиндер %)
ЗЫ ну ни как меня на олю не тянет, хоть убей... :(

test :: Mario555
А у меня твой OllyFinder уже не находит :(

Aster!x :: › PS Гм... если TerminateProcess применить к процессу \systemroot\system32\smss.exe, то винду кидает в синий экран - это только у меня такой лаг или так на всех компах ?

Ну и что? Можно и ещё к каким-нить системным процессам применить, но вот только зачем?
Если приложение не умеет уживаться с моим софтом или виндой то думаю стоит его кильнуть, пусть разработчики сами с ним играются.

Зы: отладчик третьего кольца беззащитен и способов его обнаружения можно придумать множество. А с TerminateProcess можно бороться и вполне эффективно, и это уже реализовано, теперь «Pulya» не может прибить Olly ;-)

Mario555 :: -= ALEX =- пишет:
цитата:
ну ловить просто-напросто вызовы апи TerminateProcess


Это не серьёзно, уж тебе-то, как автору протектора должно быть понятно, что главное - это не способ убивания процесса отладчика, а получение «dbg найден»/«dbg не найден», дальше уже можно делать всё что угодно...
Перехватывать тоже будет не просто, если вокруг проверки понаставить всяких rdtsc, DRx check и т.п.
К тому же такую проверку можно пускать отдельным Thread’ом с низким приоритетом, который будет постоянно проверять наличие отладчика (дампера или любой другой crack tool) во время работы основной проги.

test пишет:
цитата:
А у меня твой OllyFinder уже не находит :(


Что же ты такое сделал ? Единственный способ спрятать olly, который я вижу - это смена ImageBase, но ведь можно считать эту ImageBase и высчитать нужное значение параметра BaseAddress для ReadProcessMemory. Хотя вот если Olly Obsidium’ом пакануть...

Mario555 :: Aster!x пишет:
цитата:
теперь «Pulya» не может прибить Olly ;-)


А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Aster!x пишет:
цитата:
приложение не умеет уживаться с моим софтом


Если софт - это отладчики... Ребут всего лишь способ ответных действий на обнаруженную прогу...

test :: Mario555
Да нет. Просто у тебя нет проверки кода как в Arme вот и все.Хотя и в память где rep cmps можно напихать мусор и еще много чего.А вот твоя идея (Хотя вот если Olly Obsidium’ом пакануть...)как раз очень интересная.Да еще. кроме оли я ничего не использовал!

Mario555 :: Плагинам не понравилась Оля пакованая Obsidium’ом :( Без плагинов работает...

-= ALEX =- :: Mario555 только что закончил работу, написал OllyHider для твоего OllyFinder’a... :)
ЗЫ нет ниукого сдк по написанию плугинов для ольки, желательно на асме...

Aster!x :: Mario555
› А можно просто OLLYDBG.EXE переименовать в explorer.EXE эффект тот же :)

Мы не ищём легких путей поэтому будем дописывать плагин, чтоб не действовать таким грубым способом как переименование ;-)

test :: -= ALEX =-
masm_inc.zip - not tested если хочешь

-= ALEX =- :: test ну давай... мыло мое видно тут.

dMNt :: ну и мне киньте masm_inc.zip
вот сюда --› dmnt((AT))ledex D0T ru

PS: спасиба, пришло :)

-= ALEX =- :: test пасибо.

WELL :: Aster!x
А твой HideDebugger.dll обновился?
Если да, то где качнуть можно?

Aster!x :: WELL
Пока нигде нельзя качнуть, постараюсь в ближайшее время доделать messag’и и выложить в народ.

WELL :: Aster!x
Будем ждать

Mario555 :: -= ALEX =- пишет:
цитата:
написал OllyHider


Выложи где-нить.

test :: Mario555
Мне кажется что лучше наверно патчить системный модуль потому как с двумя процессами это не
пролезет.

test :: Вот попробовал с армой все вроде работает без rename ollyexe .Тока hbpx перестал работать..

test :: Извиняюсь. все в ОК! работает.Просто теперь на тот адрес проверки нет перехода после Process32First.

-= ALEX =- :: Mario555 пишет:
цитата:
Выложи где-нить.


вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)

newborn :: -= ALEX =- пишет:
цитата:
вот только появился в городе... вот выложил http://www.kpt.fatal.ru/OllyHider.exe.. сделано на основе 99% кода OllyFinder’a %)


Что то я не могу скачать, может кто переложит на другой сервак ?

GL#0M :: newborn
Известная тема с фаталом :(
http://kon.ldx.ru/OllyHider.exe

newborn :: GL#0M
Спасибо, этот фатал частенько стал падать...

Mario555 :: -= ALEX =-
Думал, что переименование в таком количестве приведёт к глюкам в работе Оли, но всё нормально работает :)
Хотя конечно можно поискать строчку (последовательность байт) которую нельзя переименовывать, но такая строка будет встречатся только один раз и её можно аккуратно переправить вручную.

Aster!x :: Mario555

Фигня все эти методы, я правда не смотрел но судя по обсуждению читаем память Olly в поисках сигнатур через ReadProcessMemory? если да то можно не париться, есть фича в новой версии HideDebugger, которая обломает вам эту возможность :-) , знаю знаю, что пора плагин в народ кидать, но вот обнаружился необычный глюк на винде FEUERRADER’а(XP sp2) с IsDebuggerPresent, придётся алго менять видимо, поэтому выход плагина задерживается, sorry.




FEUERRADER ASProtect 2.0 has been released...



FEUERRADER ASProtect 2.0 has been released http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)
DFC :: FEUERRADER пишет:

цитата:
Штампует как арму уже :)


Блин, запарил AS...

newborn :: FEUERRADER пишет:
цитата:
ASProtect 2.0 has been released


А как бы это добро скачать, мож кто поможет ? и выложит где небудь

FEUERRADER :: newborn
К вечеру, думаю, будет уже на васме - жди.

ilya :: когда же эта сука солод перестанет

Mario555 :: ilya пишет:
цитата:
когда же эта сука солод перестанет


А он не перестанет, он этим деньги зарабатывает...

-= ALEX =- :: весело. надо будет занятся им....

deep lamer :: -= ALEX =- пишет:
цитата:
весело. надо будет занятся им....


Сначала бы 1.31 осилил кто .. чего ж перепрыгивать то ?

GPcH :: FEUERRADER пишет:
цитата:
http://www.exetools.com/f...rum/showthread.php?t=4518
Штампует как арму уже :)


Солод мастер! Крут как всегда

-= ALEX =- :: deep lamer я лично уже его осилил без распаковки... так что смело перехожу на следующий уровень :)

AlexZ CRaCker :: -= ALEX =-
Когда справишся с v2, в about, в гритсах впиши солода! (Чтоб его инфаркт миокарда скосил)
---
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.

DFC :: AlexZ CRaCker пишет:

цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


Однозначно реагирует, и не токо на этом форуме. Еще в 2002-ом на реверсинг.нет я с этим столкнулся.

WELL :: Ну на васме уже можно скачать...

-= ALEX =- :: гы. солод-то молодец. но это тока с виду. код остался прежним %) итог - снова я пропатчил... нет чтоб ему заново весь код начальный переписать, именно код протектора и код распаковки... дак нет, какие-то извращенные ключики придумывает :) ну и флаг ему в руки...

Halt ::
-= ALEX =-

цитата:

так что смело перехожу на следующий уровень


Это не следующий уровень, а следующая серия в бееееесконечном бразильском сериале.
пошел смотреть

Danger :: Офтоп: Чувствую форум затихнет на время...

-= ALEX =- :: да я уже понял, что уровень тот же.... обидно :(

FEUERRADER :: Я что-то пропустил?
Где можно почитать/обучится патчиньем аспра нового?

DFC :: FEUERRADER .
Наврядли дождешься как и я...:(

ilya :: AlexZ CRaCker пишет:
цитата:
Похоже, всякие статьи по распаковке нельзя выкладывать. Слишком шустро AS реагирует.


мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз

Grim Fandango :: ilya пишет:
цитата:
мне тоже так кажется что он по этому ариентируется,а сейчас сидит на этом форуме
и судорожно ждёт когда загнут его защиту,напишут статью,а он в свою очередь
исправит ошибки и замутит навый релиз


Если бы и другие разработчики так делали, то жизнь бы малиной не казалась.

Aster!x :: -= ALEX =-
› дак нет, какие-то извращенные ключики придумывает :)

Твой патч устраняет возможную шифрацию кода?

Не нужно считать Солодовникова дураком.
Нормально заАСПротекченая прога ломается только с валидным ключём, так что только кардить ключики ;-)

Grim Fandango :: Aster!x пишет:
цитата:
› дак нет, какие-то извращенные ключики придумывает :)


Ну для него это наверное легче.

Halt :: Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили

Grim Fandango :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает - дожили


Го на protools.cjb.net. Смотри в новостях.

Halt :: Grim Fandango
спасибо

volodya :: ›Го на protools.cjb.net. Смотри в новостях.

Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.

Runtime_err0r :: На сайте автора (h**p://stenri.pisem.net/) оно как-то надёжнее
А вообще интересно, syd сумеет победить эту бяку или проект загнулся ???

Grim Fandango :: volodya пишет:
цитата:
Чепуха это все. Sten работает напрямую со мной, поэтому САМЫЙ новый IceExt всегда будет на wasm.ru или сайте автора.


иии? от того, что он с тобой работает на протулз его не будет? он там есть. вот и всё. =)

DFC :: Halt .
Вообщето со Sten’ом точно надо на прямую общаться :)

Grim Fandango :: DFC, так никто и не разъяснил про патчинг?

ilya :: Halt пишет:
цитата:
Нароод ПАМАГИТЕ где взять IceExt новый - старый уже не помогает


олька хорошо прячется

DFC :: Grim Fandango .

цитата:
DFC, так никто и не разъяснил про патчинг?


Grim, ты видишь ни кто, мало того удалили мой последний пост...:(

DFC :: Grim Fandango .
Ты знаешь, может не в тему...каюсь...честное слово...
Когда ты задавал вопрос по патчмейкерам...для коллекции, я не стал отвечать, негодяй я такой :)
Вобщем сходи на www.hanmen.com
Там есть такая фича - как PatchWise Free, мне этот патчмейкер нравится, я давно в нем работаю, двойной интерфейс, поддержка многих языков, ну и т.д. сам почитаешь :)
Плюс - абсолютно бесплатный :)

Grim Fandango :: Едрить тебя в перец. Чего молчал? =)))
Пасиб.

правда 2.5 метра имхо многовато.

Mario555 :: Гм... странный какой-то этот «новый» аспр.

MozgC [TSRh] :: DFC
Что у тебя удалили? Пост или тему? Какое было содержание?

DFC :: MozgC [TSRh] .
Да ладно, фиг с ним, в данном случае я не в обиде...если товарисчи зохотят ответить, то ответ дадут.

-= ALEX =- :: где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31... очень надо. да и вообще любые проги с аспром....

MC707 :: -= ALEX =-
а самому запаковать?

-= ALEX =- :: MC707 паковал, патчил... не интересно. охота дело сделать, т.е. прогу сломать :)

SIM :: -= ALEX =-
http://desofto.com/myproxy.exe 850kb

Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит

ZX :: SIM пишет:
цитата:
Не знаю какой версией аспра упакована, но AsLoad ее уже не патчит


она уже пропатчена и поломана недели три назад :)

SIM :: ZX пишет:
цитата:
она уже пропатчена и поломана недели три назад :)


Как раз 3 недели назад ее AsLoad патчил и Striper распаковывал, а щас ни тот ни другой и размер проги изменился (версия та же осталась)

GRADY$ :: Можеть кто знает как AntiDebugger ( ASProtector ) снять,
ато IsDebuggerPresent не берют...

SLV :: GRADY$ , www.xtin.org

GRADY$ :: SLV
Там только для старого ASProtector - а.

Ну всё же спасибо!

Halt :: Народ уменя IceExt 0.64 - непомогает от aspra последней версии, че делать-то
Debugger detected

sanniassin :: -= ALEX =- пишет:
цитата:
где бы хоть парочку прог встретиться с новым аспром, ну или хотябы с 1.31


ISO Commander 1.4 смотрел (ASPR 1.31)?

-= ALEX =- :: нет. не смотрел. гляну.

CReg [TSRh] :: Halt
цитата из version history:

цитата:
- I decided to turn off most of the antidebugging protection by default.
Use !PROTECT ON command to turn it on when you need it.


Halt :: CReg [TSRh]
Санкс конечно, но I speek deutch
немецкий тоесть.
где бы перевод взять?

-= ALEX =- :: перевод «Я решил вырубить нах все антидебагерские фичи по дефолту. Юзай !PROTECT ON , чтобы включить эту фичу, когда тебе это понадобиться...»

Halt :: Санкс учу англицкий язык

bi0w0rM[AHT] :: Распаковать аспр 2.0 вполне реально, распаковка ничем не отличается от других версий. OEP найти точно так же. Правда при юзании опции Emulate standart functions возникнут проблемы. дофига же функций аспр поспирал себе! Просто весь код из kernel32.dll выудил :) так что надо как-то новый плугин делать! в конце концов там все шаблонно! :)) // все делал в Olly
2-=ALEX=-: а ты опять через API запатчил или как в патчере - с добавлением новой секции и другими извращениями? :)

ilya :: а я вот с олькой запарился уже!аспр там где должен быть переход на оепв сегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
OEP найти точно так же


Там OEP то в принципе нет, оно по аспру размазано...

bi0w0rM[AHT] пишет:
цитата:
так что надо как-то новый плугин делать!


Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Какой ещё плагин ? Где ты там iat в аспре нашёл ?

Да, и самое главное - каким образом ты смог восстановить (или проэмулировать выполнение) stolen code ?


стоп, не шуми! :) лучше вышли мне свою пакованную прогу.

ilya :: Mario555 пишет:
цитата:
Там OEP то в принципе нет, оно по аспру размазано


так и я про тоже.
ilya пишет:
цитата:
а я вот с олькой запарился уже!аспр там где должен быть переход на оеп всегда выкидывает не на оеп а чуть ниже и причём каждый раз на разные адреса.


я с этим аспром *аебался уже!

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
лучше вышли мне свою пакованную прогу.


А зачем ?
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...
Потом уже запаковал другую прогу (PEBrowsePro), так вот её аспр уже по полной программе поимел :)
Этот PEBrowsePro на wasm’е есть, так что можешь оттуда скачать и сам запаковать. И наверно уж PEBrowsePro не единственная такая прога, которую аспр паковать умеет ;)

bi0w0rM[AHT] :: ааа!! я то паковал кракми, а ты сам аспр копал. Там-то мало че поделаешь, раз все обфускано. ты это имел ввиду?

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Просто я вначале тоже запаковал какую-то прогу (все опции защиты проставил), а аспр чего-то там матюгнулся во время запаковки, и в результате получилась прога, которую я минут за 5~10 распаковал...


вот!! и че ты делал с импортом?

ilya :: извеняюсь что не удержался
вот как я распаковывал crackme

Загружаем программу в OLLYDBG,
Нажимаем Shift+F9 29 раз и оказываемся здесь:

00926807 C700 7F0677B9 MOV DWORD PTR DS:[EAX],B977067F ‹--здесь стоим мы
0092680D FB STI
0092680E 2D F8868BEF SUB EAX,EF8B86F8

Снимаемся с Access violation.Ставим брейкпоинт(F2) на адрес 00926815
и нажимаем Shift+F9.Теперь идём по коду программы по F8

00926878 2945 F8 SUB DWORD PTR SS:[EBP-8],EAX
0092687B E8 18CFFFFF CALL 00923798

.
Нажимаем F7 несколько раз и оказываемся здесь

00B50000 BB 9A35A007 MOV EBX,7A0359A ‹--здесь стоим мы
00B50005 E8 10000000 CALL 00B5001A

Если сейчас нажать F8 то программа запустится а нам это
не надо.Поэтому нажимаем F7 на адресе 00B50005.И долго
идём по F7 пока не окажемся здесь

00B501A1 83E8 60 SUB EAX,60 ‹--здесь стоим мы
00B501A4 F2: PREFIX REPNE:
00B501A5 EB 01 JMP SHORT 00B501A8
00B501A7 F2: PREFIX REPNE:
00B501A8 2BC3 SUB EAX,EBX
00B501AA 5C POP ESP
00B501AB FFE0 JMP EAX ‹--переход на ОЕП
00B501AD 72 23 JB SHORT 00B501D2
00B501AF 37 AAA
00B501B0 0000 ADD BYTE PTR DS:[EAX],AL
00B501B2 0000 ADD BYTE PTR DS:[EAX],AL
00B501B4 0000 ADD BYTE PTR DS:[EAX],AL
00B501B6 0000 ADD BYTE PTR DS:[EAX],AL

по адресу 00B501AB переход на бешенный оеп и он всегда РАЗНЫЙ!!!

bi0w0rM[AHT] :: кстати, в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata... тоже самое было в альфаклок и в нем тоже все обфускано было.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
в самом аспре 2.0 есть секция JCLDEBUG на ряду с .data и .adata


В самом аспре ASPack ;)

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
В самом аспре ASPack ;)


да что ты говоришь! :))

deep lamer :: Насколько я понял, aspr защищает импорт .exe по разному, в зависимости от какого-то условия (не опции). И если условие не выполнилось, то в aspr’е можно указать кажись «force adv. import protection».
Так вот если кому-то удалось распаковать его за 5 минут, то это от того, что юзался старый импорт (не advanced) + OEP
не был защищен. Есть догадка, что OEP при старом импорте вообще не защищается

bi0w0rM[AHT] :: deep lamer
старо защищенный импорт, говоришь? то есть импорт, который можно восстановить плугином и трейсером? неее. в моем кракмисе OEP тоже не защитился, мне это подозрительно было - вроде врубал опцию спертых байтов! так импорт там не старый. там почти все функции kernel32 сперты из него самого, полная эмуляция их короче! и тут плагин конечно же не помог, ну и трейсер соответственно. а в случае с полным obfuscation’ом(как в PEBrowse) лучше как -=алекс=- найти способ запатчить.

я такой obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны. Но адреса первых процедур(как там в делфе - Application.Initialize, Run и пр.) там были такие же, а в аспре вроде нет! надо бы еще смотреть.

Mario555 :: deep lamer пишет:
цитата:
юзался старый импорт (не advanced) + OEP не был защищен


Дык я об этом и говорю, только вот почему аспр так странно пакует - это не понятно...
Прога, которую аспр хреново защитил была обычная дельфи, а аспр выдал «File is probably already packed/protected!», и при этом запаковал со старым импортом (ну там конечно были переходники, но это правилось парой nop в цикле формирования iat), OEP было незащищено и даже размер файла неизменился.

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
я такой obfuscation видел в ACProtect


Ну в ACProtect краденые байты выполняются в секции протектора, так что там это не проблема.
В аспре 1.30 тоже была obfuscation, но там краденые байты выполнялись хоть и вне exe, но обычным образом, а с версии 1.31 RC 05.18 они стали выполнятся через функцию интерпритатора - тоесть псевдокод :(

deep lamer :: Mario555 пишет:
цитата:
аспр выдал «File is probably already packed/protected!


Аа.. ну это то логично - уже запакован, значит импорт и OEP не пакуется и не защищается. Наверно aspr неправильно определил

цитата:
obfuscation видел в ACProtect - там тоже первые байты с OEP размазаны


Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет

цитата:
через функцию интерпритатора - тоесть псевдокод :(


Да, какая-то мутная функция :( Хотя, в принципе, должно быть возможно ее всю (вместе с dll аспра) вырезать и вставить в последнюю/нокую секцию, поменяв у dll адрес загрузки на правильное значение

-= ALEX =- :: bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.

Mario555 :: deep lamer пишет:
цитата:
Не, в ACProtect попроще все будет. Окромя OEP, можно защитить неограниченное число функций, вот блин гимора будет


В аспре тоже можно... там в папке Examples лежит много всяких гадостей включая callmark UserBuffer, а про него в readme:

цитата:
The code fragment from this mark to the end of this function will be erased and replaced on the polymorphic analogue. ASProtect will change its content throw emulation (like for the EntryPoint Protection), so it will be impossible to restore or even to understand the work principles of the original code.


ну и про саму EntryPoint protection:

цитата:
this version EntryPoint protection uses a Virtual Machine, which makes the removal or recovering of original code practically impossible


bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] насчет патча, никаких извращений, никаких секций etc. чисто инлайн. 233 байта. писал в HIEW.


извращения там по-любому есть. :)

bi0w0rM[AHT] :: 2-=ALEX=-: к примеру об извращениях - скажи, сколько раз твой патч перенаправлялся из аспра в твой код? :))

-= ALEX =- :: bi0w0rM[AHT] пожалуйста 4 раза.

bi0w0rM[AHT] :: охх :) 4 раза еще нормально. а ты там что ли checksum подтасовал или что? уж немного то поделись плззз!

-= ALEX =- :: bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...

-= ALEX =- :: :) мне кстати идейка восстановления CRC пришла чуть ли не во сне, прям как менделееву :)

Mario555 :: Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.
А вот с долбаным интерпритатором все гораздо сложнее... основа его функции находится в dll аспра, но оттуда идут обращения ещё к одной странице памяти...

bi0w0rM[AHT] :: -= ALEX =- пишет:
цитата:
bi0w0rM[AHT] запаришься checksum подсовывать, там дохренища проверок на валидность файла. так что единственный способ это привести файл в первоначальный вид... ну а там уж дело техники...


и ваще, куда ты вогнал 233 байта? Везде, где много нулей, аспр проверяет, причем он шарит не по памяти процесса, а по самому файлу.

bi0w0rM[AHT] :: Mario555 пишет:
цитата:
Импорт в 2.0 восстанавливается точно так же, как и в 1.31, тоесть со скриптом 30 секунд на формирование iat.


это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?

Mario555 :: bi0w0rM[AHT] пишет:
цитата:
это ты имеешь ввиду в случае без обфускивания, когда аспр говорит, что типа файл уже packed/protected?


Нет, это в случае где изначально нет iat, тоесть с максимальной защитой импорта.

-= ALEX =- :: bi0w0rM[AHT] вообще-то не все проверяет аспр... границы секций не проверяет, бери туда и пиши... а вообще пиши хоть куда, CRC ж потом восстановишь :)

rok :: Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.

bi0w0rM[AHT] :: rok пишет:
цитата:
Прошу прощения за то, что вытащил эту тему. Но не мог бы кто выкинуть ASProtect 2.0 на все общее скачивание, а то на exetoolz тольки при наличии регистрации.


wasm.ru.....

bi0w0rM[AHT] :: var nick=new Array(’DarKSiDE’,’Danger’,’бара’,’EGOiST[TSRh]’,’M ozgC [TSRh]’,’SerGik’,’Ри’,’Mafia32’,’Styx’,’specz’,’[C hG]EliTe’,’bUg.’,’Grim Fandango’,’MC707’,’odIsZaPc’,’Kerghan’,’-= ALEX =-’,’Mario555’,’dMNt’,’KLAUS’,’Runtime_err0r’,’ily a’,’GL#0M’,’[RU].Ban0K!’,’ViViseKtor’,’AlexZ CRaCker’,’DillerXX’,’XoraX’,’WELL’,’CReg [TSRh]’,’FEUERRADER’,’RottingCorpse’,’SLV’,’CHEST’ ,’Halt’,’GPcH’,’TITBIT’,’sanek’,’Bad_guy’);

AlexZ CRaCker :: Прикольно

Grim Fandango :: ээээ, это что такое?

SGA :: люди на форуме, у которых есть аватары.

bi0w0rM[AHT] :: дада :))) пароль я знаю.

The DarkStranger :: мдя темку то закрыли похоже ы мдя так и не разобравшись с protect oep алЯ вирт машина
в опревых oep не размазанно и вся главная ветка легко востанавливается во вторых а че сехи отубили в этом аспре ??? ну нету чтоли seh хиадер или чето там ???
странно я с этим больше всего в 1.3 долбался даже прогу писал ....

Mario555 :: The DarkStranger пишет:
цитата:
вся главная ветка легко востанавливается


Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ? :)) Хотя вот написать аналог этой функции и подсовывать ей только специфичные для каждой проги данные было бы наилучшим вариантом...

The DarkStranger пишет:
цитата:
а че сехи отубили


Угу, они видать работу проги сильно тормозили.

The DarkStranger пишет:
цитата:
долбался даже прогу писал ....


Гм... я функцию обработки и таблицы из аспра рипнул и обработчики на них перенаправил.
А как там вообще можно прогу написать ? ведь в таблицах есть «левые» адреса... или ты анализатор кода написал ?

The DarkStranger :: Mario555 пишет:
цитата:
или ты анализатор кода написал ?


угу
Mario555 пишет:
цитата:
Как думаешь, что быстрее делать - восстанавливаеть байты или просто сдампить всю функцию и прилепить её к exe ?


востановить все байты
Mario555 пишет:
цитата:
Угу, они видать работу проги сильно тормозили


хз хз .....
в общем мое имхо надо делать так чтобы после распаковки файл стал как до упаковки !!!

Mario555 :: The DarkStranger пишет:
цитата:
востановить все байты


Ну не знаю, у меня на прикрепление секций уйдёт 10~20 минут, а байты восстанавливать явно дольше, хотя конечно это красивее и правильнее.
Функция вообще мутная какая-то... вот например за что в ней цикл отвечает ?






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS