Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



gRad2003 Про UnPECompact У меня такая роблемка:



gRad2003 Про UnPECompact У меня такая роблемка:
PEiD показал: PECompact 1.68 - 1.84
Воспользовался я UnPECompact 1.31. Он просто повис.
UnPECompact 1.32 распаковал нормально, только полученный файл не запускается, выдаётся ошибка:
Ошибка при инициализации приложения (0xc00000005) ...
В чём тут дело?
Есле в UnPacker-е, то где взять другой?

MozgC :: Попробуй Generic Unpacker Win32
Ну или сам учись распаковывать. Всю жизнь все равно не сможешь пользоваться автоматическими распаковщиками. А такая ошибка - это когда либо что-то не так в первоначальном дампе, либо что-то с таблицей импорта.

Kerghan :: А ProcDump по-твоему для чего сделан

gRad2003 :: ProcDump тоже некую ляпу выдал




RideX Чем это упаковано? http://www.aidagw.com/liubasik/liubasik.exe



RideX Чем это упаковано? http://www.aidagw.com/liubasik/liubasik.exe
Размер: 296 кб

PEiD её не определяет, OEP находит как 0006F0A0, но с этим OEP ImpREC не может восстановить импорт. В дампе у системных *.dll обрезаны начальные буквы, например kernel32.dll -> ....el32.dll
Эта прога, конечно, не имеет никакой ценности, но что-то подобное я видел раньше вроде в ChipTuning Pro, вполне реальная коммерческая прога для настройки инжекторов автомобилей.
dragon :: ASPack 1.06b.
Вот почему PE Tools надо пользоваться...

RideX :: Е-моё :)))
Спасибо.




FEUERRADER PEiD 0.9 Ну, как Вам PEiD 0.9?



FEUERRADER PEiD 0.9 Ну, как Вам PEiD 0.9?
У меня он определят Borland Delphi только через Hardcore метод. Хотя 0.8 все нормально делал.

Свежий PEiD 0.9 тут - http://www.mesa-sys.com/~snaker/peid
MozgC :: у меня тоже. Но в остальном поточнее чем 0.8

Bad_guy :: А у меня и 0.8 не определял делфю - только через хардкор. Так что 0.9 почти ничем не отличается от 0.8, но во всяком случае уж получше чем PE Sniffer из PE Tools, а то тот только по фиксированным байтам из EP всё пытает определить, а заменишь 1 байтик и он уже не просекает вообще ничего.




gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение



gRad2003 Бряк на инструкцию Можно ли в SoftICE ставить бряк на выполнение некоторой инструкции,
например на выполнение команды jmp eax .

dragon :: Как раз вот это нельзя сделать...

Broken Sword :: Впринципе можно заделать что то типа BPX EIP if (dword *EIP=код команды jmp AX), но комп просто умрет )

Guest :: Broken Sword если ему надо пусть пробует, авось.
gRad2003, BPX EIP if (dword *EIP=код команды jmp AX) - единственное решение.

freeExec ::
цитата:
BPX EIP if (dword *EIP=код команды jmp AX)


а точно бряк будет на EIP, или один раз не текущее значение?

dragon :: Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Broken Sword :: конечно, вы правы. ну тогда поднять флаг T и сделать bpint 1 if (dword *EIP=код команды jmp AX) :)

MoonShiner :: гы:))

gRad2003 :: >> Правильно, бряк будет один раз. В таких случаях трэйсерами пользоваться надо, в OllyDbg такой есть.

Можно чуть подробней, как это сделать?

freeExec :: Это он прикалывается :) Вобщем так зделать нельзя, покрайней мере чтобы это не раздражало

dragon :: Меню debug -> Set condition

gRad2003 :: Далее Command is one of пишу JMP EAX.
А дальше нажимаю F9 и она пастоянно прерывается на какомто месте, не связанным с EAX

MozgC :: У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...

gRad2003 :: >> У меня смутное подозрение, что ты так хочешь OEP найти =)) По-нормальному надо учиться а не так...
Ты почти прав...
Я OEP нашёл с помощью PEiD. Далее я так понимаю надо остановиться перед JMP-ом на этот OEP, а не на нём. Как бы это провернуть.

И ещё, можно ли узнать, какую последнюю инструкцию выполнил SoftICE, т.е. не мою команду в строке снизу.

dragon :: А чё за протектор то? Вообще проще ставить bpm x, или проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

gRad2003 :: ASProtect 1.2x [New Strain]

А что обозначает:
проследить когда байты на OEP расшифруются и заменить на EB FE(jmp $).

dragon :: Ну раз так, то прочитай мою статью на CrackLab’е(ISO Commander), или на xtin.org есть статья подобная, там в подробностях рассказывается, как находить спёртые байты(как ни странно, тоже про ISO Commander). А заменять байты на OEP на EB FE катит только в Armadillo 3.xx

BSL//ZcS :: 2 gRad2003 : Бряк на выполнение инструкции поставить можно в trw. У него есть чудная команда BP. Ей можно адрес вообще не указывать, поставив только условие. В этом случае он именно трассирует программу пошагово, сверяя условие. Тормозит при этом страшно... ;) Подходящее условие тебе уже подсказали.

Да, всё это удовольствие только под 9x.

Дальше: узнать откуда произошёл переход на какое-то место можно поставив в айсе на него хардверный брейкпоинт типа bpm адрес x. Когда айс на нём брякнется, он тебе сообщит Last branch from EIP и Last branch to EIP.

gRad2003 :: Так.
Рапаковка ASProtect 1.23: я нахожу OEP с помощью PEiD. Ставлю бряк:
bpm OEP x
Потом смотрю Last branch from EIP и уже на ето ставлю бряк. Сработало. А там оказывается некий CALL а не JMP на OEP.
В чём моя ошибка?

freeExec :: возможно не правельно определился, да и вообще почемубы тебе с ОЕР дамп не снять.

gRad2003 :: >> почемубы тебе с ОЕР дамп не снять
т.е. я останавливаюсь на самом OEP и далее
a eip
jmp eip
ProcDump - снял dump.
Далее ImpRec. Ничего не изменяю, жму
IAT Autosearch
Get Imports (там вроде всё YES)
Fix Dump
Сохранилось
После ProcDump -> PE Editor меняю Entry Point на тот OEP.

При запуске получившегося : программа допустила ...

Что-то ещё надо было сделать?

dragon :: А байты то спёртые нашёл? Если да, то запусти через OllyDbg, там видно будет, где глючит.

MozgC :: блин gRad2003 фигней ты занимаешься. Почитай с десяток статей по распаковке ASProtect и постоянной пробуй что написанов статье. И все поймешь. А то что ты делаешь это как-то через жопу все.

gRad2003 :: Умеет же ж народ культурно на три ласковые буквы посылать ...

MozgC :: Если ты про меня, то не обижайся, я не посылай, я просто говорю как есть. Ты лучше прислушайся. Не изобретай велосипед =)

Nitrogen :: MozgC
Он не велик изобретает, а пытается сделать _быстро_.. как бы "нахаляву".. оеп за него peid нашел, дамп еще кто-нибудь снимет, импрек с импортом поможет :).. а зачем вообще дебагер
p.s имхо спертые байты.. по-этому и валится




Kerghan NeoLite У меня, вообщем, вторая испытательная версия. А фишка вот в...



Kerghan NeoLite У меня, вообщем, вторая испытательная версия. А фишка вот в чем, пакует он прогу, но когда ее запускаешь, но выдает тебе мессегу с предложение посетить ее сайт или запустить прогу. Ну этот "баг" исправляется легко, нужно лишь занопить процедуру вызова этого окна. А вопрос вот в чем, можно ли написать "универсальный патч", который бы фиксил все упакованные им проги.

Испытал на пяти прогах: байты для замены везде одинаковы, смещение относительно EP равно 957h.
freeExec :: Не знаешь как из РЕ вытащить ЕР?
*(*(3с)+40) помойму так

.::D.e.M.o.N.i.X::. :: freeExec пишет:
цитата:
Не знаешь как из РЕ вытащить ЕР?
*(*(3с)+40) помойму так


Могу скинуть исходники на Делфях, а на VC++ нету:(. Маленький PE просмоторщик со всеми фишками.

Kerghan :: freeExec пишет:

цитата:

Не знаешь как из РЕ вытащить ЕР?



Без понятия, меня это как-то раньше не очень интересовало.

.::D.e.M.o.N.i.X::. пишет:

цитата:

Могу скинуть исходники на Делфях



Буду очень благодарен. kerghan@pisem.net

Runtime_err0r :: > А вопрос вот в чем, можно ли написать "универсальный патч", который бы фиксил все упакованные им проги.
А через Find&Replace не пробывал ?

Kerghan :: Runtime_err0r

цитата:
А через Find&Replace не пробывал ?


И куда это впихнуть? И что я искать буду? Если патч через Abel делать и диапазон адресов побольше указать, то он параллельно еще пару десятков байт меняет.

ЗЫ о, я тут, смотрю ты статейку по neolite написал, ща почитаю.

Kerghan :: Runtime_err0r
Отличная статейка, хотел сегодня с ним до конца разобраться, да видно не судьба :)

.::D.e.M.o.N.i.X::. :: Kerghan пишет:
цитата:
Буду очень благодарен. kerghan@pisem.net


Скинул.

Kerghan :: .::D.e.M.o.N.i.X::.
Получил. Спасибо.

Zero :: Ну вот таже самая возня что и у .::D.e.M.o.N.i.X::.’a : "А вопрос вот в чем, можно ли написать "универсальный патч"" - можно.
"который бы фиксил все упакованные им проги."???
Я так понял на Neoliite?

Bad_guy :: Рассказываю подробно безо всяких исходников, может кому еще интересно...
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Далее.. ой, блин проще написать самому этот патчер... Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset < VSize) and (VEP - VOffset >= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.

Вот так все хитро. Можно написать и проще, но в этом случае могут быть ошибки при поиске EP Offset (REP). Может кто знает как проще REP искать, так мне было бы интересно. Хотя вот хитрый способ: можно грабить из PEiD’a, а потом его принудительно закрывать, хотя алогритмец то там такой же будет (я имею ввиду в самом Peid).

.::D.e.M.o.N.i.X::. :: Zero пишет:
цитата:
Ну вот таже самая возня что и у .::D.e.M.o.N.i.X::.’a


У меня такой возни нет. Есть возня с VB прогами - это да, а с патчем - no problems.

Kerghan :: Bad_guy пишет:

цитата:
ой, блин проще написать самому этот патчер


если не влом зафигачь, а то у меня от исходника .::D.e.M.o.N.i.X::.’а уже крыша постепенно отъезжать начинает.

.::D.e.M.o.N.i.X::. :: Kerghan пишет:
цитата:
если не влом зафигачь, а то у меня от исходника .::D.e.M.o.N.i.X::.’а уже крыша постепенно отъезжать начинает.


У меня почему-то не отъехала А исходник не мой, а e!MiNENCE team.

.::D.e.M.o.N.i.X::. :: Вот такие пироги

.::D.e.M.o.N.i.X::. :: Sorry, проверяю регистрацию.

.::D.e.M.o.N.i.X::. :: Во, пошла родимая!!!
P.S. Модератор может удалить эти сообщения, че-то я перепил.

Kerghan :: .::D.e.M.o.N.i.X::.
Пахать-то прога пашет, но исходник компиляться вообще не хочет, ему видители kol.dcu не хватает.

Runtime_err0r :: Kerghan
Короче, я не понял в чём там проблема с Find&Replace - вот сделал тут универсальный патч, скачай и проверь, у меня работает без проблем.
http://www.vmu.newmail.ru/NeoLiteP.rar

Kerghan :: Runtime_err0r
ништяк, работатет отлично, тока не подскажешь, где ты такой патчер взял.

Runtime_err0r :: > ништяк, работатет отлично, тока не подскажешь, где ты такой патчер взял.
Где взял, где взял ? Сам сделал
Если нужны подробности - пиши на runtime-err0r @ newmail.ru
А вообще-то лучше распаковать pecomp.dll и пропатчить его (чем я сейчас и занимаюсь )

Bad_guy :: Runtime_err0r пишет:
цитата:
А вообще-то лучше распаковать pecomp.dll и пропатчить его


Кстати, свежая мысль ! А то мы что-то глупости выдумываем - каждый экзешник патчить...

Kerghan :: Runtime_err0r
Говоришь, сам сделал? Может и кряк для WinRar’а на твоей
совести(WinRAR_v3[1].11_Universal_Crack)? :)

Короче разобрался я окончательно с поиск&замена.
Просто я абелем пользовался, а его лоадер две минуты грузил файл, а
потом выдавал ошибку, вот я и подумал, что он там такие же байты
нашел и их заменил, сволочь.
Щас патчер от yoda скачал, так что все ништяк.

ЗЫ pecomp.dll не рапаковал еще? Я бы и сам занялся, но OllyDbg его никак дебажить не хочет.

Runtime_err0r :: Зацените свежее решение
http://members.tripod.com...team/files/NeoLite200.zip

Kerghan :: Нифига не сработал

Runtime_err0r :: Kerghan
Какая у тебя OS ???

Kerghan :: ХеРь

ЗЫ ты же вроде над dll’кой извращался

Runtime_err0r :: Kerghan
Походу, крякнутый EXE’шник только под Win9X
dll’ку пока распаковать не удалось что-то я делаю не так, а вот что именно - не пойму

Kerghan :: Runtime_err0r
Ну ладно, удачи тебе. Че придумаешь, пиши. Шас в коде твоего exe’шника покапаюсь, может чего нарою.




digger Unknown packer!!! помогите разобраться с прогой...



digger Unknown packer!!! помогите разобраться с прогой...
PEiD 0.9 говорит Win32 PE Unknown
в peeditore следующие секции:
.text ; .rdata ; .data ; .rsrc ; Have ; a nice ; day! ;
вот такие секции
в рестораторе все ресурсы просматриваются
подскажите что делать с прогой
как распаковывать...
MoonShiner :: Да итить вас по периметру!!!! Линка кто давать будет???

digger :: Для MoonShiner: прога называется Pattern Maker ver. 4
где взять не знаю сам у френда взял

MoonShiner :: Нихрена не нашел, сам ищи линка и посмотрим.

dj :: Для MoonShiner:
Посмотри здесь : http://www.hobbyware.com/support_v4.htm
Пакет весит где-то 6 метров.

freeExec :: ИМХО если Ре1Д не определил, то найти автоматический унпак врятли представляется возможным, а знание названия при при ручной распаковке не особо ценно

Bad_guy :: ...Вот и первые жертвы, надеющиеся только на PEiD.
"Инженер, умеющий считать только на калькуляторе - не инженер".

Что касается программы, то если она упакована, то ресурсы там вряд ли есть - посмотри в Рестораторе - они должны быть попорчены. + ни одной текстовой строки, которая есть в интерфейсе в коде не будет. Если же строки есть и ресурсы все доступны - то в чем вопрос - дизассемблируй и поехали...

.::D.e.M.o.N.i.X::. :: Bad_guy пишет:
цитата:
помогите разобраться с прогой...
PEiD 0.9 говорит Win32 PE Unknown
в peeditore следующие секции:
.text ; .rdata ; .data ; .rsrc ; Have ; a nice ; day! ;
вот такие секции
в рестораторе все ресурсы просматриваются
подскажите что делать с прогой
как распаковывать...


Но изменять ресурсы нельзя:((( Виндовоз говорит, что прога выполнила недопустимую операцию и т.д. и т.п. Сталкивался я с такой херней. По-моему это Soft какой-то там протектор. Грузишь в айс и тупо идешь по коду F10, после того как востановиться импорт, там тупо идет прыжок на OEP.
P.S. Правда в новой версии там переходники создаются, так что в ImpRec не восстанавливается около 2-3 функций. Их в айсе мона посмотреть.

MoonShiner :: Седня вечером докачаю - гляну




Kirill Softlocx 5.7 Я тут прогу ломаю(Имя: Caddy++ Electrical(Электротехника)



Kirill Softlocx 5.7 Я тут прогу ломаю(Имя: Caddy++ Electrical(Электротехника) 3.8; Вес: 30Mb; Цена:~3500 Евро). Она защищена Softlocx (юзает файл Softlocx5.ocx Билд 5.7.0.0) : 30 дней + функц. ограничения.
Вроде как функциональность восстановил, а 30 дней чё-то не получается:
Перевёл часы на год вперёд - статус "EXPIRED", на год назад - статус "ERROR". При этом она никакой "messagebox" не выкидывает и ни как не ругается. Просто При загрузки проектов и/или создании новых, она не вставляет в свой главный Tree-View ноды, которые вставляла в 30 дневном триале. Соответственно затею убить эту проверку на "ERROR" или "EXPIRED" статус при зугрузки проекта я посчитал врядли осуществимой. Переустановка и "откат" в WInXP не помогают (статус "Error"). Видимо она в какой-то файл записывала(до появления рег.статуса "Error") каждый запуск программы. Но файлмоном мне такой найти не удалсь.
Итак.
-Есть ли где-нибудь статьи по Softlocx?
-Если кто уже с этим сталкивался: в каком файле она хранит даты и времена запусков программ(ы)?
-Можно ли как-нибудь поставить бряки на вызов методов из OCX-файлов?
-Как дизассемблировать OCX файлы?(по-обычному в ИДЕ не получается)

Кому интересно и не лень качать 30 метров: http://www.caddy.ru/feedback.html (Там нужно заполнить форму и с вами свяжутся по e-mail)

.::D.e.M.o.N.i.X::. :: Скачай ftp://ftp.externet.hu/pub/mirror/sac/pack/unlocx.z ip и это
http://reversing.kulichki.../files/unpack/softunl.rar
Мож одна из них поможет (по идее даже триал убирают).

Kirill :: Ничто не помогло.
Кстати, забыл сказать эта прога ничем не пакована. PeID: "Microsoft Visual C++ 5.0/6.0 (MFC)"

Kirill :: Только что заметил, что написал неправильный адрес. Вот правильный: http://www.caddy.ru/request.html - там заполняешь некоторые поля и тебе высылают 27 метров на указанный е-mail.

Kirill :: Да. Я это сделал!!! Нашёл уязвимость softlocx5.ocx (5.7)(в других не смотрел). Таким образом нижеследующаяя информация окажется полезной не только тем кто ещё не сломал Caddy 3.8, но и всем тем кому предстоит столкнуться Softlococx5.ocx.
МИНИТУТОРИАЛ:
Вообщето я где-то в нете встречал All_SoftLocx_5_Protected_Software Unprotector by metamorpher но в моей версии softlocx5.ocx (5.7) он не захотел работать. Вобщем При проверке статуса зарегестрирован какой-то компонент или нет SoftLocOCx вызывает MultiByteToWideChar. При вызове её Один из параметров указывает на строчку которая в какой-то вызов будет ’EXPIRED’ или ’ERROR’ например. Её заменяем на ’LICENSED’. Всё. Этот компонент после данной проверки считается зарегестрированным. Я сделал так: сразу после его инициализации и распаковки в память (Он запакован) пишем по адресу 0700431F5 (где 70000000 - Image Base SoаftLocx) mov eax, offset ’LICENSED’. Это конечно не всегда безопасно, может надо только иногда записывать по этому адресу ’LICENSED’, например если там ’ERROR’ или ’EXPIRED’, но в моём случае всё прошло.
Всем удачи!




digger Krypto Analyzer распаковал вручную прогу запакованную aspack 2,11



digger Krypto Analyzer распаковал вручную прогу запакованную aspack 2,11
паспаковалось все удачно... затем запустил Krypto Analyzer
в PEiD он выдалследующее: CRC32::00255058::656a58
примерно знаю что CRC это проверка целостности
или че то в этом роде...
всетаки хотелось бы узнать что это значит...
и что делать если Krypto Analyzer находит что-то...
AV :: ну во-первых юзай лучше CryptoChecker (лежит внутри http://www.wasm.ru/tools/4/crypto.zip), а во-вторых, если crc тя так интересует - то почитай про него - http://www.wasm.ru/docs/5/crc.zip. вопщето частенько после подсчета црц идет банальный je/jne - так шо не парься, все просто ;-)

AV :: да, кстати - crc 16/32 (cyclic redundancy code) - это просто подсчет контрольной суммы по апределенному алгоритму :)




MAD помогите расспаковать ASProtect 1.23 RC1 Короче решил я попробывать...



MAD помогите расспаковать ASProtect 1.23 RC1 Короче решил я попробывать крякнуть программку. И тут взял проверил через peid чем запокована ,вот он мне выдал
ASProtect 1.23 RC1 -> Alexey Solodovnikov . Вот тока чем его теперь расспаковать ? Пробывал пару расспаковщиков не фига.
Люди подскажите чем можно открыть ?
Kerghan :: руками

Runtime_err0r :: Stripper 2.03 - http://www.is.svitonline.com/syd

.::D.e.M.o.N.i.X::. :: Runtime_err0r пишет:
цитата:
Stripper 2.03


Гавно често говоря, лучше версией 1.35

Kerghan :: Stripper хрен берет [New Strain]

MozgC :: Kerghan Kerghan, берет, не всегда, но берет. Примерно в половине случаев, если там нет особо уж сильных заморочек. По-моему как-то раз даже взял самую последнюю версию аспра... или я путаю. Но new strain иногда берет, это точно.

EGOiST[TSRh] :: ней страйн всегда берет но тока 2,05

nice :: EGOiST[TSRh]
Неужели есть такая?
На сайте 2_03(public)

MozgC :: EGOiST[TSRh]
ICQ проверь, я уж замучался ждать =(

Kerghan :: MozgC
распаковывать то распаковывает, но прога потом запускается на десятую долю секнды. Я уже три проги распаковывал - без эффекта. Может у кого такая хрень тоже была.

MozgC :: Kerghan
Хз у меня все ок. Не всегда но факт есть факт.




den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая



den Помогите доломать Alchemy Network Monitor 4.9.7 или 5.х Есть такая программка Alchemy Network Monitor 4.9.7, «поломаная»(не до конца) tEAM-LUCiD. В ней осталась не работающей функция загрузки сохранненого файла настроек(юзается ф-я mfc OnOpenDocument), при попытке загрузить файл-настроек , выдается NAG скрин=( , пытаюсь восстановить данную ф-ю. Подскажите пожалуста в каком направлении копать.....
ЗЫ: брякаться на наг-скрине пробовал... не помогает
maybe руки не прямые.. =(
Kerghan :: если функция вырезана под чистую, то это болты :(

den :: дык, в том то и дело, что при вызове ф-ии OnOpenDocument(она есть в импорте),
каким-то образом выводится окошко НАГ’а (зис фичез вор ин регистеред версион онли =\ )...

Kerghan :: ты бы ссылочку дал или на мыло мне скинул kerghan@pisem.net

тока если больше полутора метров на мыло слать не надо

MoonShiner :: Да запихни файлик в ИДУ, найди этот тухлый наг, просмотри кроссрефы на него и все.

Kerghan :: MoonShiner

цитата:
maybe руки не прямые.. =(


ты уверен, что он сможет это сделать

den :: собсно прога h**p://www.demvar.lv/soft/sistema/monitor.exe

дык, про кроссрефам на НАГ в иде полазил и в si потрейсил.. побрякался.... НАГ могу нахрен убрать.. там несложно, а вот оживить ф-ю, которая загружает файл настроек не могу.
PS: прога запакована asprom (исследовал уже распакованную прогу)

MozgC :: Kerghan пишет:
цитата:
MoonShiner

цитата: maybe руки не прямые.. =(

ты уверен, что он смо


А МунШайнер тут причем ?



Guest123 UPX? Подскажите, вот нахожу в файле upx:
421FBE 61 POPAD
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
PeID говорит OEP: 4061EE
как это просчитывается? 421fC4 - 35ee?
я, что то не пойму...

И вот еще:
После распаковки ReTools получался дамп, который, не мог изменить ImpRec 1.62+
Только, когда я с помощью LordRe сделал дамп, я его смог изменить.
Почему, неужели ReTools не коректно дамп создает???

freeExec :: Вообщене стоит доверять всяким ПЕИД, хотя для УПХ наверняка найден верно. А джамп помойму относительный, ты посмитри что Айс показывает

Guest123 :: freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...

.::D.e.M.o.N.i.X::. :: Guest123 пишет:
цитата:
freeExec
OllyDbg показывает то же самое
этот джамп я в Hiew нашел, мне интересно как просчитать, я в калькуляторе пробовал вичитать, прибавлять все равно не тот адрес получается???
Как он узнвет "куда" прыгать, как я ноимаю FFFF в начале это -, то есть прыжок ближе к началу файла...


Грузишь в айс, потом ставишь bpx getprocaddress, F5, F12, потом смотришь чуть ниже и видишь
что-то типа:
61 POPAD
E92A42FEFF JMP 4061EE
Вообще-то мне сдается, что ты не тот прыжок нашел. Проверь как я тебе написал через айс.

MozgC :: А я честно скажу я не знаю почему так =)
Можете помидорами бросаться =)

Kerghan :: MozgC
ты это к чему?

Guest123 :: Господа тот самый прыжок!!!
Я раньше уже ковырялся с UPX да и 000000 там их много после последней инструкции....
Я свой файл запаковал и думаю «дай ручками распакую», распаковал, и решил одну длл уже не свою распаковать, а эта DLL есть upx+ручками модификация, мне и понадабилось узнать какой OEP, а там такая же бяка ff ff 3a 22???

MozgC :: Kerghan
К тому что стыдно мне что я точно не знаю. Вот и думаю, щас будете смеяться надо мной, кричать «ламер! ламер! » и помидорами бросаться =)

Kerghan :: MozgC
ламер! ламер!

лови помидоры

MozgC :: мде...

Kerghan :: мда

freeExec :: Кхе-кхе ты по этому джампу на Ф8 жал? И вообще этот джамп в прочессе работы программы правится, а ХИЕВ показывает то что в файле находится.

MozgC :: Хехе, реально сказал.

BSL//ZcS :: Мужики, вы чего?

Блин. Времени нет нифига, работа и всё такое, на форумы давно уже не пишу, только просматриваю изредка. Но этот топик - это просто нешто какое-то. И здесь, и на васме. :(

2 Guest123:

Всё на самом деле гораздо проще.

Во-первых, ты неправильно понимаешь формат отрицательных чисел. На писюках они в дополнительном коде: грубо говоря, отрицательное число это - дополнение целого до единицы. neg(x) = not(x) + 1 Например, байт -5 равен (not(5) + 1) = (0FA + 1) = 0FB

Так что, 0FFFF35EE это не -35EE ни разу. Это -0CA12, у той же хьюшки в калькуляторе можешь посмотреть.

Во-вторых, ты неправильно понимаешь формат машинного кода команды перехода. При такой записи:
421FBF E92A42FEFF JMP 0FFFF35EE
421FC4 0000
к адресу следующей за джампом команды (421FC4) надо прибавлять не то, что тебе пишет дизассемблер (он это один раз уже сам проделал), а смещение взятое из самой команды.

В коде E92A42FEFF это последние четыре байта в обратном порядке: 0FFFE422A.
Набрав в том самом хьюшкином калькуляторе 421FC4+FFFE422A ты легко получишь адрес перехода - тот самый 4061EE.

В-третьих, это не баг Hiew. Это поведение неочевидно и неприятно, но вполне логично. А ты неправильно понимаешь формат записи адресов хьюшкиным дизассемблером. ;)

Локальные смещения в хьюшке показываются с точкой в начале. В том же upx-овском распаковщике двумя командами выше того popad есть безусловный переход в рамках секции, и у него точка есть. У этого перехода точки нет - из чего можно сделать вывод, что хьюшка, не найдя в файле секции, в которую попадает этот адрес, обрабатывает его как глобальный, а, поскольку файл пакованый, и данных в секции меньше, чем распакованном виде, глобальное смещение в файле вылетает за верхнюю границу файла и становится отрицательным.

Так что, с этим всё правильно, хотя, конечно, SEN мог бы как-нибудь обработать такие случаи. Свои глюки у хьюшки есть, но этот не из их числа.

А насчёт того, что тебе наговорили - не слушай их, они тебя плохому научат. ;) Адрес перехода на oep у upx-а зашит при упаковке и при работе не правится. Искать переход на oep как-нибудь ещё, в твоём случае тоже совершенно не обязательно - у большинства упаковщиков (не протекторов) этот переход находится на глаз, у upx-а он вообще идёт последней командой в секции распаковщика, в общем, ошибиться сложно. На васме тоже отличились: никаких четвёртых гигабайтов и нулевых колец в глобальном смещении по файлу быть не может, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.

Ладно, что-то я разошёлся. :) Опять, по своему обыкновению, наехал на всех подряд. :)

ЗЫ: Единственный, кто порадовал, это MozgC, который на этот раз, на удивление, занял совсем несвойственную ему позицию. ;))

nice :: BSL//ZcS
Пасибо за разьяснения, а то ламер-ламером, теперь понятно стало, сейчас по мучаю, что бы автомата добится

MozgC :: Позиция мне свойственна. Если я не знаю, то я говорю, что не знаю. Если я знаю, то говорю то, что знаю =)

MoonShiner :: Дааа... BSL//ZcS опять всех залошил и засрал:) Вдвойне обидно, что и ответно наехать нельзя, так как он прав:)

Runtime_err0r :: BSL//ZcS

цитата:
, и уж с imprec-ом на upx ходить, это похлеще, чем из пресловутой пушки по воробьям. ;) Большинство дамперов прекрасно справляется с upx-овским импортом самостоятельно.


Вот это, блин, новость !!!! Что это за дамперы такие интересно ??? Ни разу не видел, чтобы после дампа прога, запакованная UPX’ом работала на другом компе (на своём-то она, ясен бивень, пойдёт ). Так что либо MAKEPE в TRW2000 либо Revirgin’ом.

MoonShiner :: А у меня работала:) И до сих пор работает. Может имелся в виду какой нмть непорегенный аспак? Там уж точно импреком его колбасить - извращение.




Maestro Вопрос крякерам Господа, помогите взломать вот эту



Maestro Вопрос крякерам Господа, помогите взломать вот эту http://download.1stbeniso....net/download/arsetup.exe прогу и напишите, плиз, как вы это сделали. Третий месяц бьюсь, ничего не получается. Заранее благодарен.
MC707 :: А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...

MC707 :: А-а, вот. У нее проверка на срсшность...

Maestro :: MC707 пишет:
цитата:
А-а, вот. У нее проверка на срсшность...


И что это такое? И как с этим бороться. Поясните, пожалуйста. Хотелось бы это по-лучше знать. Буду премного благодарен.

Maestro :: MC707 пишет:
цитата:
А что ж в ней такого-то. Сейчас уже дизмю, по первым признакам ничего умного не придумано...


И что такое дизмю? Тоже хотелось бы объяснений.
Я не волшебник, я только учусь (С)

XoraX :: Maestro пишет:
цитата:
Третий месяц бьюсь, ничего не получается.


Как же ты бьешься?

XoraX :: Maestro пишет:
цитата:
Поясните, пожалуйста. Хотелось бы это по-лучше знать.


Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.

MC707 :: Для Maestro: Дизмю значит дизассемблирую (есть такая прога. ИДА называется . Можно и Win32dasm).
А проверка на срсшность это значит что прога проверят в себе (в ar.exe) СRС32 (а может и просто CRC, неважно)
и если она не совпадает выдает Что-то типа МессаджБокс, но это не он, иначе SoftIce его поймал бы, я пробовал.

Maestro :: XoraX пишет:
цитата:
Как же ты бьешься?


Обчитался всяких статеек, некоторые с примерами. Накачал полезного софта, такого, как: w32dasm, Soft-ICE, Hiew. И начал по-тихоньку пробовать разные маленькие программульки ломать. Парочку сломать удалось, а вот на этой (см. выше) споткнулся. Ну MC707 сказал что-то там про CRC. Я пока еще с этим не знаком.

И как я писал уже выше - я не волшебник...

Maestro :: XoraX пишет:
цитата:
Чтобы узначть - читай статьи. Тебе сейчас все объяснять с нуля никто не будет.


Во-первых, «дизмю», как я уже выяснил - слово жаргонное. Т.е., поскольку я новичок, я не мог его слышать раньше. Обычно все, с кем я общался на тему дисассемблирования, так и говорят: «дисассемблирую». Во-вторых, не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками?

MozgC [TSRh] :: http://www.xtin.km.ru/files/faq.html

MC707 :: Maestro пишет:
цитата:
не могли бы Вы дать несколько (чем больше, тем лучше) ссылочек с полезными статейками


http://cracklab.narod.ru/

XoraX :: наверное я отстающий, тоже первый раз слово дизмю слышу... только по звучанию догадался....

MC707 :: Ну вы блинваще даете. Это ж так просто : диз(ассе)м(блиру)ю

MozgC [TSRh] :: надо тогда говорить «д» или «дю» так короче, удобнее произносить.
Например: я сейчас дю прогу.

MozgC [TSRh] :: Или «ди», беря пример с DeDe, там же Decompiler = De, а у нас дизассемблер будет «ди».

MC707 :: я п д п. отв з-ра

Diezel :: Эй крякеры да вы вообще от вопроса отошли, тут вас просят помочь взломать прогу, а вы тут такое ему колбасите, а еще крякерами называетесь, даже Мозгс .

Maestro :: Diezel пишет:
цитата:
а еще крякерами называетесь,


Вот такой у нас неотзывчивый народ пошел. Лишь поглумиться и выставить себя крутыми в той или иной области знаний. Ох-хо-хо... Ну хоть спасибо, что без внимания не оставили, как на другом форуме.

-= ALEX =- :: Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»

-= ALEX =- :: Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....

Maestro :: -= ALEX =- пишет:
цитата:
Первое, что пришло в голову на этот сабж - «а шнурки тебе не погладить....»


Если ты внимательно читал мое первое сообщение, то наверное, ты должен был понять, что я прошу помочь сломать эту прогу, и прошу помочь разобраться, как это делается. Т.е., мне нужно, чтоб меня научили ломать такую защиту, которая реализована в этой проге.

Maestro :: -= ALEX =- пишет:
цитата:
Эх новички, почитали б вы столько статей, сколько я, как новичок, прочитал..... тогда бы с дурацкими вопросами, типа, что такое ДИЗАССЕМБЛЕР, CRC не лезли.... все же для вас написано - читайте....


Статей я прочитал довольно много, и уже протые защиты ломать умею. А по поводу дурацких вопросов, мне в частности не было понятно ЖАРГОННОЕ слово «дизмю». А ты вот знаешь, что называют у мотоцикла «Урал» «горшком»? Наверняка не знаешь. Потому что это тоже жаргонное слово, которое употребляют в разговоре рокеры, и не многие простые граждане знают, что оно означает. То же самое и тут... А по поводу статеек, ну если ты такой продвинутый, делись ссылочками, а я посмотрю, что за ссылочки. Можть я их уже читал.

UnKnOwN :: Для Maestro: Та на крак лабе все прочитал, что то не верится...

XoraX :: Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается. Ты сам то посмотри на нее, оцени ситуацию сюда пиши уже конкретный вопрос, если что-то не понятно.

Гость :: Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.

Maestro :: Гость пишет:
цитата:
Может тебе не парится пока с этой программой. Там ребята поработали на славу. Там тебе и CRC32 и MD5 и SHA.


Единственный более-менее рациональный ответ. Остальное - такая лажа. Ну народ пошел, никак не хотят помочь ближнему своему. БУРЖУИ, блин!!!

Maestro :: XoraX пишет:
цитата:
Maestro, @!#$ ты пойми, никому не охота качать прогу для того, штобы тебе объяснить как она ломается.


Так бы и сказал, что лень. Кстати, фраза типа «никому не охота» - это говорит о том, что здесь либо все такие же чайники, как и я (а я не отрицаю, что я чайник, всему приходится учиться, и даже прибегая к помощи других), либо все настолько крутые (шоб они все отсырели ), что прям куда деваться. Короче, хрен с ней с программой, мне уже и так кряк на нее прислали, хоть и галимый, но все же лучше, чем ничего. Просто для общего развития хотелось узнать, принципы построения защиты, которая применена в этой проге, и методы взлома такого рода защиты. Увы, не получилось...

Maestro :: UnKnOwN пишет:
цитата:
Для Maestro: Та на крак лабе все прочитал, что то не верится...


Спасибо, почитаю посиду на досуге.

-= ALEX =- :: Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми

Maestro :: -= ALEX =- пишет:
цитата:
Maestro иди на другой форум, где тебе программу взломают да и еще расскажут.... здесь обращаются с конкретными вопросами, а не с такими бесталвковыми


Слушай, если ты такой умный, можть ты скажешь, на какой форум обраттиться? Я задал вполне нормальный вопрос. Что бестолкового в том, чтоб мне помогли разобраться в принципах защиты, примененной в данной программе? Ну я так понял здесь сидят типа крутые крякеры, можно сказать, старожилы всего крякерского люда. Ну что ж, извиняюсь за беспокойство, господа уважаемые старикашки. Сливки общества крякеров, хакеров и прочих умов. Простите, блин, что потревожил ваше стариковское общество инвалидов крякерства, намозоливших себе пальцы и задницы на этом деле. Больше я вас не потревожу.

ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.

-= ALEX =- :: Ниче парень раскипятился

Maestro :: -= ALEX =- пишет:
цитата:
Ниче парень раскипятился


Раскипятишься тут, когда хочешь по-нормальному, по-людски, а получается как всегда...

freeExec :: Maestro пишет:
цитата:
ДЛЯ АДМИНА (МОДЕРАТОРА и т.д.): выкидывай меня нах с этого форума.


Я слишком ленив, ты уж как нибудь сам выкенся

Maestro :: freeExec пишет:
цитата:
Я слишком ленив, ты уж как нибудь сам выкенся


Да ПУУУУУУУУУУУУУК!!! Вам всем в ухо!!!

MC707 :: Не ну че правда на чувака набросились?

MC707 :: Я - то хоть посмотрел че за прога (начал копать, потом описал че нашел и плюнул. Влом копаться)

freeExec :: А мы обычно пропускаем первый пункт

MozgC [TSRh] :: Diezel пишет:
цитата:
а еще крякерами называетесь, даже Мозгс .


А я че крайний чтоли я ее не смотрел, и вообще нигде нет правил чтобы только по теме писать, если никто не против то пишем что прикольно или интересно даже если не по теме. Что насчет помочь, то значит либо не сломали либо не смотрели. Ваше дело маленькое - ждать. А мы уж если посмотрим - отлично, не посмотрим - ну и не обязаны. Еще что насчет цитаты, то я думаю название крэкер не определяется тем что человек пишет на форуме в какой-то конкретной теме.
Чтоб на меня гнали - как освобожусь - посмотрю, я тоже работаю и тоже свои дела есть, уж извините.

MozgC [TSRh] :: Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.

1) Никто не обязан никому помогать.
2) Гнать на того кто задает вопрос тоже не надо, все когда то что-то не знали и спрашивали.

Исходя из этих двух пунктов можно понять что никто не виноват, все хорошие и так и должно быть. Один задает вопрос, другой либо на него отвечает (помогает) либо нет, это его право. Какую-то я лажу написал, но в общем смысл ясен - не надо ругаться.

Прогу седня-завтра скачаю и посмотрю.

Kerghan :: MozgC [TSRh]
че то нехорошие воспоминания нахлынули
Maestro
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м

MozgC [TSRh] :: Kerghan пишет:
цитата:
че то нехорошие воспоминания нахлынули


Не понял, какие?

MozgC [TSRh] :: Скачал я и посмотрел прогу, пропатчил сначала прогу, но там какая-то проверка, может CRC32 и в общем прога не шла, но я это тоже пропатчил и прога пошла... Что рассказывать? Не знаю че вы тут суетились так с ней. И MD5 и SHA я тут не увидел, может не туда смотрел правда, но говорить что там MD5 и SHA основываясь только на PEiD тоже не дело. Во всяком случае мне пофигу, прога пропатчена и работает.

MozgC [TSRh] :: Пока не забыл:

453E4D: setz cl -› xor ecx, ecx
inc ecx

Если проблема была только в проверке контрольной суммы то я написал что менять. Почему? Да просто сначала поставил бряк на createfilea, запустил прогу, и раз 20 жал F5 пока не увидел что функция вызывается с именем нашего пропатченного exe файла в качестве параметра (чтобы это увидеть после срабатываения бряка жмем db *(esp+4) ) после чего пошел тупо трейсить по F10 обращая внимание на условные переходы, нашел какую-то проверку, она была не похожа на CRC но явно что-то проверялось. Я в ней не стал разбираться, подумав что если что потом вернусь и буду уже конкретно смотреть и пофигарил дальше по F10, через какое-то небольшое время увидел странную инструкцию cmp что-то, что-то и потом setz cl, вообще такие редкие инструкции как setz я видел при проверке регистрации или еще чего только раза 3-4 и всегда это оказывалось действительно то что я искал. Поэтому я не задумывась после этой инструкции засунул в cl еденичку, ну типа флаг ZF выставлен значит, потом было видно что скорее всего значение cl использовалось в последующих коллах (это значение сохранялось в esi и дальше уже использовалось для проверки), но я не стал разбираться и побоявшись нажать F5 (не был уверен что это то что нужно) пофигарил дальше по F10 ища проверку на глаз, профигарив экранов 5, я оказался в функции createwindowexa, подумав что это появляется ненавистный messagebox (появляющийся при запуске пропатченного файла) я сначала расстроился, но заветную F10 не отпускал и через несколько секунд увидел что прорисовывается главное окно. Радостно нажал F5 увидел запустившуюся прогу, проверил запись, ограничений не было. Пошел написал предыдущее сообщение на форуме, после чего побоявшись что рано хвастанул на всякий случай пропатчил exe и увидев что прога успешно запускается пошел сюда и написал ЭТО.
Ну в общем вот так, может кому будет интересно почитать как на самом деле патчилась прога, все таки наверно интереснее чем в статьях типа измените этот байт на этот и прога запуститься, конец статьи =)

Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.

MozgC [TSRh] :: Если кому интересно почему я поставил бряк на createfilea то я просто понял что проверяется файл на диске после того как мои бряки bmp на пропатченные участки памяти ни разу не сработали...

Maestro :: MozgC [TSRh] пишет:
цитата:
Прочитал остальные сообщения, мде... Ребят харэ гнать друг на друга. Уясните себе два пункта.


Да началось-то все с того, что один крендель (не помню кто, но и неважно) написал, мол, что-то там, типа »...я посмотрел заголовок и подумал: «может тебе еще и шнурки погладить?»». Вот это меня и огорчило, и разозлило. Когда просишь людей помочь в конкретной ситуации, а тебе «вежливо» отказывают подобным образом, это кого хочешь разозлит. Ну а в отстальном все в порядке. И как ты писал, что каждый имеет право задать вопрос, и каждый оставляет за собой право либо ответить, либо нет, это так оно и есть, и я этого не отрицаю, а даже поддерживаю. Но грубости не терплю!!!

Maestro :: Kerghan пишет:
цитата:
просто прогу ты неподходящую выбрал. качать 2.6 метра за свой счет качать согласись не очень то приятно. если хочешь, чтобы помогли, лучше выбирай проги до 1м


Да. В этом смысле я не подумал... Это я тут на работе с 512 кб/с сижу качаю, а многие действительно сидят дома и качают на обычных модемах, на полудохлых АТСках. Ну собссно, на этих ребят я и обижаться не могу. Сам таким был. На стареньком модеме 28800 сидел всю ночь скачивал по тем временам последнюю четвертую версию Интернет Эксплорера.

Maestro :: MozgC [TSRh] пишет:
цитата:
Щас пойду оформлю патч, завтра могу выслать кому надо,посмотрите какие байты там сменяться и дальше сами будете разбираться.


Буду очень признателен, если ты мне перешлешь и сам патч, и краткое описание, как ты и что пропатчил (какие байты, где и т.д.)

UnKnOwN :: MozgC [TSRh]
а ты свои патчи чем мутиш, патчером каким то или АСМ.?

MozgC [TSRh] :: У Нас есть Reliz Studio прога для быстрого создания крэк-архива. Там буквально за минуту создается архив с понятным названием включающий в себя nfo, file_id.diz и сам патч или кейген, причем патчи тоже создаются этой же прогой. В ней выбираются два файла: исходный и пропатченный и она патч создает. Вещь просто удобнейшая. Можно прикрутить к ней оболочку любого патча, т.е. с любым интерфейсом.

freeExec :: Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал. Там вообще как-то интересно пустая строка сравнивается со 100 строчками какого-то мусора. Только не ясно пустая строка должна остаться, или там как-то из кода появляется текст.

MozgC [TSRh] :: Есть такой раздел программ «геморойные для крэкера проги». Вот она одна из них ее не то что код подобрать, пропатчить то нелегко. Я бы мог конечно месяцок посидеть подумать над кодом, но че-т неохото =)

Maestro :: MozgC [TSRh] пишет:
цитата:
У Нас есть Reliz Studio прога для быстрого создания крэк-архива.


А не могли бы вы поделиться сей прогой? На мыло, плиз: algaranin@cb.rsce.u

MozgC [TSRh] :: Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.

infern0 :: Для freeExec: а это скорее всего из ключа вычисляется MD5 или подобное, и потом сравнивается с той сотней значений, которые автор захардкодил. Это не подбирается - реально только ввести ключ, посмотреть что получается и заменить одну из тех строк на свою. Тогда дальше ничего ломать не надо (скорее всего).

Maestro :: MozgC [TSRh] пишет:
цитата:
Сорри но прога приватная, только для TSRh, я бы поделился, но обещал не распространять.


ну ладно тогда... Жаль конечно, но как грится: хозяин - барин.

freeExec :: В том-то и дело что строкас которая наверно долэна содержать мои данные пуста :(

MozgC [TSRh] :: Значит наг убирается так:
В файле:
2569D: 33 С0 -› 40 90
Т.е. заменяем xor eax, eax на inc eax и процедура проверки будет всегда возвращать не 0. Как я нашел процедуру проверки? Я уже писал. Останавливаюсь на EP по F10 иду пока не натыкаюсь на колл, в котором всплывает наг. Запоминаю колл и после перезапуска проги захожу в него и нем иду по F10 пока опять не натыкаюсь на колл, в котором всплывает наг. Опять перезапускаю прогу и уже вхожу в этот колл и так углубляюсь пока не нахожу именно нужный колл, который надо пропустить. В данном случае было что-то типа

call proverka
test eax, eax
jnz no_nag
call nag
nonag:
.................

Вот то что я вверху написал заменить это как раз находится в конце процедуры проверки. Читать до тех пор пока не будет понятно =)

Про проверку целостности я написал, осталось ограничение в 30 секунд. Конечно может прийти вопрос «А на что ставить бряк?» - А ни на что. 30 сек это 30000 мс, это 7530h и в файле нам надо искать последовательно байт 30 75. В файле таких было не много и одно из них было 81 F9 30 75 00 00 что ни что иное как cmp ecx, 7530. Т.е. сравнивается сколько прошло времени, дальше идет плохой переход, который я занопил:

3F8F1: 0F 8F 6E 09 00 00 -› 90 90 90 90 90 90

Готовый патч брать тут:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack-tsr h.zip

Maestro :: MozgC [TSRh] пишет:
цитата:
http://tsrh.crackz.ws/all.recorder.1.9.6.crack- tsr h.zip


Че-то он тут не берется...

MozgC [TSRh] :: freeExec пишет:
цитата:
Да ну патч это ИМХО не интересно, вот ты лутше бы код подобрал.


Ну иногда патч единственный реальный способ или способ который позволяет сломать за приемлимое время даже если возможен не только патч. Вспомним AdMuncher и кейген =)

MozgC [TSRh] :: Для Maestro:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.

Maestro :: MozgC [TSRh] пишет:
цитата:
А это форум блин пробелы лишние втыкает. В пути не должно быть пробелов.


СПА-СИ-БО!!! Попробую дома разобраться, что к чему.

Maestro :: Всем откликнувшимся БОЛЬШОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!

Кстати, а как поставить брекпоинт на dll-шку? Ситуация такая: скачал из инета плагин для Soud Forge. При запуске плагина в теле Sound Forge, вылетает окошко с регистрацией. В Soft-Ice я так и не нашел, куда надо воткнуть брекпоинт, чтобы потом как-то предпринимать дальнейшие действия. Есть ли какие-либо методы для взлома подобных плагинов и какими прогами это лучше делать?

MozgC [TSRh] :: А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?

MozgC [TSRh] :: Ну можешь сделать так, посмотреть Entry Point этой dll, потом запускаешь свой sound forge он подгружает эту dll. Ты в любой проге типа PETools, LordPE, ProcDump смотришь по какому адресу загружена эта длл в теле главного процесса. Прибавляешь к этому адресу EP длл, выделяешь адресное пространство нужного процесса и ставишь бряк на полученный адрес, после чего вызываешь плагин. СофтАйс прервется и ты уже дальше иди по телу dll как хочешь и смотри че там происходит. Я так плагин к ФотоШопу ломал.

MozgC [TSRh] :: И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?

Maestro :: MozgC [TSRh] пишет:
цитата:
А на что бы ты поставил брейкпоинт если бы это была не dll а отдельный самостоятельный exe?


Ну, скажем так, в Soft-Ice, когда набираешь команду addr, высвечиваются все процессы, точнее программы, загруженные в данный момент, в том числе и тот ехешник, который я, допустим, собираюсь ломать. Поковыряв в Wdasm32 этот ехешник, я нахожу ту точку, где надо ставить брекпоинт, далее в софтайсе с помощью команды addr активирую свой ехешник и ставлю брекпоинт. И далее уже чисто логически, или по большей части интуитивно ковыряю. Таким макаром, я смог поломать Wave Corrector v.2.1, AKoff Music Composer ver.1.45, и еще пару мелких программулек (щас не вспомню уже). А плагин в софтайсе не виден, как отдельный процесс, вот у меня и возник вопрос. Возможно что и несколько глупый...

Maestro :: MozgC [TSRh] пишет:
цитата:
И еще Maestro ты извини, но я так понял уровень у тебя невысокий, так может не стоит лезть на проги типа All Recorder и дллки всякие к SoundForge’у. Может стоит начать с прог попроще?


Да чайник я, чего уж там. Ну пробовал я проги попроще ломать, ломаются собаки, да еще как. Единственно, я пока еще не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно. Пока... Т.е. особо не разглядываю, как там и чего, а просто при срабатывании брекпоинта, пользуюсь стандартным набором команд софтайса («горячие клавиши», просморт значения всех подряд регистров и т.д.), и, если защита легкая, то нахожу искомое. Но с более сложными защитами сложнее. А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею. В библиотеке вряд ли есть книги по крякерству, хакерству и другим подобным занятиям. А в и-нете тож ене так уж и просто что-либо найти, особенно, когда не знаешь, как правильно поставить вопрос перед посковиком (Яндексом например). Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.

freeExec :: Бряк на ЕР тебе не чего не даст. Там лишь обработчик сообщений, а бряк надо бы на экспортированные функции ставить.

freeExec :: Maestro пишет:
цитата:
не умею свои кейгенераторы и патчи писать, потому что проги я ломаю по большей части интуитивно


Если сломал то патч написать можно, и от способа взлома это не как не завист.
Maestro пишет:
цитата:
(«горячие клавиши», просморт значения всех подряд регистров и т.д.)


да и мы также, разве что макросы давно написали.

MozgC [TSRh] :: Maestro пишет:
цитата:
А для поднятия уровня, нужна литература соответствующая, а где ее брать - понятия не имею.


На начальном и среднем этапе для поднятия уровня нужна просто постоянная практике, и когда что-то не понятно спрашивай где-нить. Все само собой начнет полуаться по мере набора опыта. Сначала ты интуитивно меняешь переходы, потом придет понимание почему так, потом начнешь разбираться уже в самих процедурах и т.д.

Maestro пишет:
цитата:
Мне бы статеек каких подробных, с примерами, с описанием программ и т.д.


Ты на каком форуме находишься? На форуме крэклаба. На этом же сайте есть боле 100 статей, не знаю как ты их мог не заметить. И не надо говорить что статьи не такие или еще что. Да многие статьи не прелесть, но все как-то по ним учились же.

MozgC [TSRh] :: freeExec пишет:
цитата:
Бряк на ЕР тебе не чего не даст


В случае если плагин показывает наг (в моем случае например так и было) то бряк на ЕП даст все что нужно. Останавливаешься на ЕП дллки и попиздил по F10 пока наг не встретишь, там увидишь процедуру проверки, патчишь ее и все.




vins еще вопрос что делать если peeditor пишет что программа Read Only, в...



vins еще вопрос что делать если peeditor пишет что программа Read Only, в смысле в секциях не поковыряешься???
MC707 :: 1. Прога запущена сейчас
2. Занята другой прогой, напр hiew

vins :: и еще что за Armadillo 1.xx - 2.xx-›Silicon Realms Toolworks
это PEiDv 0.8 наябидничал, и как это убрать

MC707 :: Ну ты спросил.....
С пакерами вообще дружишь?
Есть такой packer, Armadillo называется. Зайди на краклаб и почитай.

vins :: да знаю я что это пакер, меня интересует есть ли анпакер какой нибудь, armkill или как там его непомогает.ну или где описание по распаковке слить можно

MC707 :: Вообще-то универсальных анпакеров для него как я понимаю нет.
хотя попробуй
http://www.exetools.com/f...packers/win/armkiller.zip
http://www.exetools.com/f...unpackers/win/unarm13.zip
http://www.exetools.com/f.../unpackers/win/armdep.zip
http://www.exetools.com/f...ckers/win/armkiller12.zip
http://www.exetools.com/f...ckers/win/armkiller11.zip
http://www.exetools.com/f...ckers/win/armkiller13.zip
http://reversing.kulichki...es/unpack/dillodumper.rar - only for NT
но гарантии никакой что возьмут

vins :: кому не лень...
я тут программку достал странную. Она из пакета для проведения тестирования «Усатик» если у кого есть время может кто нибудь посмотрит, я скину.
непонятное в программе то что она ни чем не запакована (или PEiD ошибается), но в секциях charcteristics С0000040 wdasm конечно не прет.я прбовал менять на Е0000020, эфект тот же. я думаю что каждую программу (а их в пакете 3) по отдельности так править не станут.
кому интересно
размер exe 700кб, полностью 5Мб.

MC707 :: Для vins:
Ну давай, попробуй, скинь, я посмотрю

vins :: ты ни чего не забыл, ну типа mail’а или еще чего

MC707 :: кнопку »email» видишь в моем сообщении?

vins :: теперь да, лови

MC707 :: Слушай у меня тут аутлук глючит, отправь еще раз, но в зипе.

vins :: лови, тока я там кажется 2 раза отправил

MozgC [TSRh] :: vins пишет:
цитата:
и еще что за Armadillo 1.xx - 2.xx-›Silicon Realms Toolworks
это PEiDv 0.8 наябидничал, и как это убрать


В твоем случае это значит - «даже не пытайся меня распаковать и сломать» =))

MC707 :: Я сначала удивился, думал что-то неизвестное попалось
Потом присмотрелся - уж больно на упх смахивает. И точно. Походу 0.80 или где то в этом районе.
PEiD вообще выдает Win32 PE Unknown.
Вот!

MC707 :: В запакованном виде 688 килограмм весит а в распакованном 2.2 метра
(слышали бы меня физики )

vins :: и как ты ето чудо в упхе распоковал

MC707 :: Вообще способов куча.
1. Ручками. Дамп + ImpRec...
2. Исправляешь «неправильные» секции на UPX0 и UPX1 и прямо перед 401000 пишешь 1.23 UPX!.
Далее - upx -d ‹прога›
3. В нашем же банальном случае я воспользовался GUW32

MC707 :: Процедура проверки рег файла - 4EDF54
Проверка наличия и вывод нага - 4F18F5-4F18FC

vins :: спасибо, дальше я сам.

vins :: а где guw скачать можно? щас ищу ни одно ссылка не пашет

MC707 :: Так уж и быть - лови http://reversing.kulichki...et/files/unpack/guw32.rar

vins :: сенькью




FEUERRADER UPX -› SVKP Посмотрите, как можно легко из UPX 1.24 сделать SVKP...



FEUERRADER UPX -› SVKP Посмотрите, как можно легко из UPX 1.24 сделать SVKP 1.3.
Побочное действие - PEiD 0.91 только при hardcore scan говорит про SVKP.
Смотрите: http://feuerrader.ahteam....bin/load.cgi?Analyze2.rar [3 Кб]

Вывод: анализаторам верить нельзя.... :((
-= ALEX =- :: Ты мой исходник смотрел ? работает ? а то молчишь, хоть бы поблагодарил ;)

FEUERRADER :: -= ALEX =-
Твои сырцы смотрел, конечно... но, к моему сожалению, у меня они не работают :((
Падает с недопустимой операцией в непонятном месте. Если не в ломы - мыльни мне, у меня есть вопросы по коду (а то я мылил - ты не ответил). Например «pbytearray» - вообще такого компилятор не воспринимает. Может «array of pByte»?

-= ALEX =- :: OK, напишу как-нить на мыло....




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой),



Gloomy Eburg на блюдечке 4 - удаление нага Заколебал наг (окно с рекламой), которое появляется при запуске программы. Никто не пробовал его убрать? Сначала попробовал просто снести его из ресурсов, подредактировать чтобы само закрывалось - не получается, вываливается ошибка и программа закрывается. Под отладчиком тоже ничего не выходит - программа вылетает с сообщением об ошибке. Пробовал найти функцию создания нага и забить ее nop-ами - тоже не вышло - опять ошибка.
По показаниям PEiD 0.91 программа написана на Borland C++ 1999 г.в, но в это как-то слабо верится... Что же там за такая хитрая защита с обнаружением отладчика (OllyDbg)?

Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.
nice :: Gloomy
А ты бы ссылку дал...

MC707 :: Что ж ты так информативно прогу описываешь, ни что за прога, ни что-где-как, ни даже ссылки на нее...

UnKnOwN :: Gloomy пишет:
цитата:
Если кто-нибудь ковырял программу или можно что-то сказать по симптомам - подскажите пожалуйста, очень уж наг надоел.


Ковырял, ЧТО......?

MoonShiner :: В иду запихни и не мучайся... И ваще непонятно, че за проблема может быть с нагом...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
Ковырял, ЧТО......?


Eburg на блюдечке 4 наверно... наверно так прога и назвается...

UnKnOwN :: Для MozgC [TSRh]:

сорри, что -то тему завтыкал...

Gloomy :: Программа называется Екатеринбург на блюдечке 4. По-русски я не написал слово «Екатеринбург» потому что форум глюканул и стыдливо прикрыл гордое имя моего города дурацкими символами.
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести. Сама программа занимает целый диск так что ссылки дать не могу, тема рассчитана на людей, либо живущих в Екатеринбурге, либо туда приезжающих, либо просто на тех кто эту программу юзает.

MoonShiner :: Gloomy пишет:
цитата:
В ИДУ запихать не получится - там один запускной файл на 2 мега - мне столько не разгрести


Не понял этой фразы... Ты ж не будешь над всем кодом сидеть. Пройдешься по именам и найдешь подозрительную ботву...

angel_aka_k$ :: MoonShiner
я думаю ему проще будет 2 метра кода разобрать




Араб Неужели настолько крутая защита?



Араб Неужели настолько крутая защита? http://www.ice-graphics.c...932a3ce949884b5f122e2efbe
Авторы уж очень самоуверенные. Никто не хочет попробовать? Что ж там такого страшного?
MozgC [TSRh] :: Реально понты кидают, надо попробовать.

XoraX :: не, покруче видели. UPX + что-то вроде проверки целостности + выкидывает наг в виде месаги. месагу вроде отловил, надо поглубже копнуть....

MozgC [TSRh] :: Это ты про прогу эту? Я щас не могу посмотреть так как с инетом реальные напряги щас =(. Могу разве что кркэми качать всякие =)

XoraX :: да, про эту...

MozgC [TSRh] пишет:
цитата:
кркэми качать всякие


ну вот и релизь кейгены на крякмисы

MozgC [TSRh] :: Придется =)

.::D.e.M.o.N.i.X::. :: XoraX
Прога + DeDe = решение проблем:))) Только я вот не понял, это прога на каком-то гибриде написана Borland C++ и Builder получается, даже DeDe замешкался в определении, вопросов мне позадавал в виде «Compiler: BCB6 ?»

XoraX :: .::D.e.M.o.N.i.X::. , странно, peid не задумываясь сказал что BCB




-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для



-= ALEX =- ASProtect In-line Patcher как думаете, писать ли мне дополнение для своего патчера под Win98/Me ? Если писать, то подскажите мне, как получить права доступа к памяти kernel ? желательно чтобы был пример из вируса на asm...
Noble Ghost :: Переход на Ring0 в 9х виндах есть в исходниках на Wasm

Bad_guy :: А я думаю пока не надо. Лучше как следует доделать то, что уже есть. Наверняка там какие нибудь ещё есть заковырки...

MozgC [TSRh] :: А нах такой патчер будет если он в 9х не будет работать. Это не дело. Конечно надо чтобы и там и там работал. Попробуй у фанбита спросить как в 9х писать в системную область.

Kerghan :: нах не надо, я с bad_guy’ем согласен

MozgC [TSRh] :: Да вы че говорите то, как это нах не надо. Пользователей Win9x еще как говна. Нельзя от этого отказываться, да и вообще патч должен быть универсальным, а не то что только в НТ.

angel_aka_k$ :: фиг знает мое мнение вообще те кому надо могут сами распоковать а те кому не надо ........ кстате
MozgC [TSRh]
как ты расковырял арму признавайся

P.S. ‹- это я после битвы с армой пока что победителей нет борьба продолжается

GL#0M :: MozgC [TSRh]
Слушай, если ты armadillo распаковал, не мог бы посмотреть HyperSnap-DX http://www.hyperionics.com
А-то я пока не могу сам. Спасибо.

[RU].Ban0K! :: Ну блин мне и стриптера хватает, который тока под ХП пашет... я ради него винду свою убивать не буду... да и вторую ставить не охота... так что надо чтобы всё было как в лучших барделях Лондена... (там наверное всё под 9x пашет... )

.::D.e.M.o.N.i.X::. :: [RU].Ban0K! пишет:
цитата:
Ну блин мне и стриптера хватает


Если б он новый аспр брал:)))))

MozgC [TSRh] :: А я ее и не распаковал =) Допытывался как-то долго Драгона, потом забросил, времени мало в последнее время. Точнее не мало, а немного. А я только импорт там восстановил и все. Остальное просто не пробовал.

-= ALEX =- :: Короче то что есть всякие исходники, это все дерьмо... понял я все это, и решил сам все надыбать, нашел самый простой способ, без всяких там Vxd и подобного дерьма о котором все пытаються писать... Funbit’a я больше ни о чем спрашивать не буду, т.к. он из себя строит великого крякера и никогда не ответит на поставленный вопрос... Так что вскоре появиться продолжение патча.... Патч впринципе уже полностью универсальный, доработак пока не намечается....

-= ALEX =- :: Щас провел тестовые испытания.... работает и в win98 ! только пока я не стал мудрить, сделал по быстрому, по идеи мне надо бы найти первую экспортирующуюся функцию в dll, но так как влом было писать, да и нехота было разбираться, то сделал по быстрому. Так что теперь можно сказать что мой патчер полнофункционален !
P.S. Можете помочь мне, написать алгоритм поиска первой экспорт. функции...

infern0 :: Для MozgC [TSRh]: а хули там распаковывать ? есть прога для примера - могу step by step написать...

-= ALEX =- :: ВСЕ ! Теперь точно будет патч работать под всеми осями ! Вот файлик для тестирования : http://www.alex2kx.nm.ru/test_rc4_winall.zip
Патч теперь занимает 1766 байт ! Будут глюки пишите...

UnKnOwN :: Для -= ALEX =-: чё то не качается...

vins :: у меня DrWeb, Cracked_RC4.exe WIN.EXE вирусом пытается обозвать

RideX :: infern0 пишет:
цитата:
есть прога для примера - могу step by step написать...


Очень интересно было бы почитать

infern0 :: дык на примере какой проги писать ? и еще - будет черновик, т.к. писанина мне не удается обычно :)

-= ALEX =- :: короче, то что DrWEb обзывает файл как EXE Virus, в чем-то прав, т.к. я использовал некий движок вируса, хотя это так не назавешь...

DeMoNiX :: -= ALEX =- пишет:
цитата:
Crew member -› ??????????


Не везет тебе с командами...

-= ALEX =- :: ага ;)

-= ALEX =- :: Мож кто придумает и сделает оболочку для патч-генератора АСПРа на asm? Работоспособный патчген вышлю сразу...

Kerghan :: высылай, я попробую сделать (шутка)

Noble Ghost :: А что именно должно быть в оболочке?

freeExec :: Это смотря как ты собирал этот патч, можно ли его фигачить ко всем файлам без значительных изменений. Короче без взгляда на исходники трудно сказать. возможно половину придется перефигачивать :(

freeExec :: Следующим шагом, тебе надо научится находить API функцию ASProtect’a GetUserInfo, помойму так зовется, и возвращать офсет на имя введеное при кряке, получается что-то типа универсального кейгена. Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.

-= ALEX =- :: Ничего не надо писать, сам напишу. И еще скажу вам, ПАТЧ ПОЛНОСТЬЮ УНИВЕРСАЛЬНЫЙ, для всех прог одинаков....

RideX :: infern0 пишет:
цитата:
дык на примере какой проги писать ?


Не знаю, я думал у тебя есть что-то интересное на примете :)

RideX :: freeExec пишет:
цитата:
Ну а если она сможет сома распаковывать тело аспра и искать его сама, то ей цены не будет.


Да это вроде in-line патчер, он в запакованный файл дописывает или ты про перспективы? :)

-= ALEX =- :: Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....

RideX :: -= ALEX =- пишет:
цитата:
Да вы я смотрю ваще не понимаете принципа действия моего патча, придется рассказать....


...и Солодовников сразу заткнёт эту ДЫРУ :)

-= ALEX =- :: Короче, дело обстоит так. Всем нам известно, что для проверки CRC используется одна из api - MapViewOfFile, она возвращает указатель на выделенную память, где содержиться «карта» exe’шника. Сам факт что аспр проверяет файл на определенной длине, т.е. можно в конец хоть что писать, а также увеличивать размер файла, единственное надо исправить потом PE Header, короче мой патч, тот что в конце файла в своей секции, попадя в кольцо-0 пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи, и восстановление CRC, т.е. PE Header.... дальше ищется определеная сигнатура, по этому адресу файл уже полностью сформирован, и можно менять байтики по адресам в самой программе....

-= ALEX =- :: надеюсь Солодовников это не читает, хотя он не БОГ, и всегда можно сломать его защиту...

-= ALEX =- ::

Dr,Faust :: Читал тут тему быстро и не силльно вкурил что за патчер?
Я его вроде скачал, тока НОД 32 вирусом обзывает, пришлость его вырубить!
Так что он то делает, я в Аспре не шарю.....

freeExec :: Надо пример, АСП послед версии, который не кто не распоковал, лучше пусть будет сделан на заказ.
ЗЫ. Ограничен риальным периудом.

Alexey Solodovnikov :: -= ALEX =-, Да не, я частенько почитываю этот форум... Обязательно посмотрю твой патчер...

XoraX ::

DeMoNiX :: Alexey Solodovnikov
Zer0 кончай прикалываться:))))

XoraX :: -= ALEX =-,freeExec, у вас команда возродилась?

freeExec :: XoraX Не растраивай участников форума.

DeMoNiX :: DeMoNiX
Сейчас настоящий появится, гарантирую:))

DeMoNiX :: А вот AVP молчит на патч, видимо хреновый у него анализатор:)))

MozgC [TSRh] :: Кстати, после того как патчер доделается, надо бы будет почистить форум, нах нужны лишние хвосты. Чем быстрее он распространится, тем быстрее Солодовников ченить придумает.

DeMoNiX :: MozgC [TSRh]
А Солодовников с юмором оказывается:))) По-моему ему похер на то, что сделали отладчик аспра и In-line патчер:))) Пожелал (дословно) приятного ковыряния:)))

MozgC [TSRh] :: А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
А откуда он узнал про этот патчер ? Ты бы поменьше трещал про него.. тем более Солодовникову, если это он от тебя узнал..


Да пофиг ему на это, у меня такое очущение, что он из наших кругов:)))

nice :: MozgC [TSRh]
Я думаю эта «популярность» только дополнительную рекламу и как следствие доход ему дают.

MozgC [TSRh] :: nice
Ну насчет дохода, то мне кажется он себе тачку новую каждый месяц покупать может позволить =)

DeMoNiX
Не знай, пофиг ему там или не пофиг, может он просто себя так ведет. В любом случае он должен быть последним кто узнает об этом.

DeMoNiX :: MozgC [TSRh]
Да не, он уже давно за тачкой редко сидит, а возьмется что-то новое делать только тогда, когда наше новенькое будет популярно(вспомнить стрипера - он очень долгое время был популярен, а новый аспр вышел ой как не скоро:)

-= ALEX =- :: :) Давайте тогда конкретный пример мне, где стоит супер АСПР, я посмотрю.... Насчет антивирусников, действительно, распознают как WINEXE VIRUS, т.к. используется некий движок вируса, я об этом уже говорил, так что не надо бояться скачивать.... Мы тут щас с freeExec’ом пытаемся разобраться с API аспра, и замутить в патч, эмуляцию api aspr’a... В общем присоединяйтесь....
Команда наша не распалась, просто нет пока сайта...

-= ALEX =- :: Уже сделал оболочку для своего патчгена... Могу дать эту программу, протестить...

UnKnOwN :: Для -= ALEX =-:
Кинь мне на мыло...потестю

nice :: -= ALEX =-
А если файл прогнать через мутаторы?
Есть же программы которые видоизменяют код, без потери работоспособность программы, так,
что антивири спят.

-= ALEX =- :: nice, ну давай замутим, чтоб антивири не ругались

nice :: -= ALEX =-
Давай, мыло знаешь

Dr,Faust :: Засунуть бы монитор Солодовникову в !
@!#$ вот так вот бывший реверс поднялся, а изначально тоже взломом занимался, так что пишите протекторы :)

GL#0M :: -= ALEX =-
Мне тоже кинь.

[RU].Ban0K! :: Для -= ALEX =-:
... ну если это интересно...
У меня не пашет ничего из ар][ива test_rc4_winall.zip
Винда w98... может это из-за SI...

-= ALEX =- :: ну не знаю, у меня работает всё

-= ALEX =- :: хм.. внатуре не работает :( Причем любой файл пакованный RC4.... может быть ограничения этой версии АСПРа ?

-= ALEX =- :: Сегодня доделал свой патчер. Теперь поддерживаются все версии аспра начиная с 1.22, заканчивая 1.30 (на примере myproxy), а также патч работает во всех ОС...
Почему-то файлы, пакованные 1.23 RC4, вообще не работают в Win9x :) Будем считать, что это баг разработчика... Сейчас разбираюсь с API ASProtect’a... может кто пока поможет решить вопрос с антивирами ???

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

MozgC [TSRh] :: ALEX у меня 1.23 RC4 без проблем работают в Win9х. Попробуй переустановить.

GL#0M :: -= ALEX =- пишет:
цитата:
может кто пока поможет решить вопрос с антивирами ???


Не вопрос.

-= ALEX =- :: Ну дак давайте решим этот вопрос...

MozgC [TSRh] :: В общем в 98 винде после патча RC4 (на остальных не проверял просто) и попытке запуска пропатчеченного файла вылезает табличка «File corrupted, please run a virus check or reinstall the application» что переводится как «файл коррумпирован, пожалуйста убегите от чека вируса или переустановите аппликацию»... После этого все программы в винде запарывается, то бишь выполняют недопустимую операцию, и спасает только перезагрузка... Вот такие вот дела...

nice :: -= ALEX =-
А где взять файл, или это k Reget’y кряк?

Madness :: -= ALEX =-
Один вопрос по твоему патчеру:

›пишет по адресу MapViewOfFile, прыжок на часть файла, там идет восстановление затертых комманд в апи
А что если кто то вызовет MapViewOfFile раньше аспра?
(возможно это и есть причина вылета в 98, хотя хз)

MozgC [TSRh] :: Проверил я патч на своем самодельнозапакованном файле (RC4 build 08.24) - в 98 работает.
А вот когда патчу ProxyInspector, в котором аспр на глаз такой же абсолютно - в 98 не работает, происходит то что я написал выше... странно..

angel_aka_k$ :: -= ALEX =-
аспр тот что без иат и с веселым инитом http://fast-wss-2.port5.com/fastsubmit.exe
MozgC [TSRh]
кстате еси интересно можешь глянуть я этот аспр распаковал не знаю может просто еще круче есть а я не знаю :)))) ( хотя не сказал бы что сдесь все круто часа 3 трэйса и получаем идеально чистый иат вместе с jmp (iat offset) + нормальный инит )
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся
P.S. щас наверно начну статью писать а то кто то уже писал но там мало того что криво написал так еще и аспр без веселого инита был так что постараюсь пополней написать

freeExec :: Чето там уже и сайта нет :(

angel_aka_k$ :: ох черт ща поправлю к себе выложу щас

angel_aka_k$ :: http://www.angel-aka-ks.by.ru/fastsubmit.part1.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part2.rar
http://www.angel-aka-ks.by.ru/fastsubmit.part3.rar
разбил а то by.ru ругается

UnKnOwN :: Для angel_aka_k$:

А сайт у тебя крутой, молодец...

angel_aka_k$ :: UnKnOwN
да он в разработке ( в вечной :)))))) шутка мож всетаки после ниписания статьи под reversing заделаю покрайней мере надеюсь на это

UnKnOwN :: Для angel_aka_k$:
то-то я думаю что там не одна кнопка не работает...

UnKnOwN :: Для angel_aka_k$:

Ты когда статьи напишеш, присылай мне, я под Cracklabовский дизайн переделаю и Bad Guy отошлю...

angel_aka_k$ :: UnKnOwN
ок

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
будут проблемы спрашивай раскажу все можно в памяти сделать да еще в добавок над аспровым кодом поиздеватся


Щас пока времени нет, вот в начале декабря будет посвободнее, тогда и займусь 1.30, если че, у тебя поспрашиваю =)

MozgC [TSRh] :: PS. Сайтик охуенно смотрится.

-= ALEX =- :: }{@! всем. Этих аспров развелось столько, что и не знаешь почему глюк происходит.... Надо смотреть лично, а со слов я врятли что могу сделать. Насчет MapView.... Madness спрашивал по-моему... там чисто когда сама программа запускается вызывается один раз эта api, ну бывает два раза для XP, я сделал микро проверку, откуда вызывается api

-= ALEX =- :: И еще на последок... свой патчген я пока никому слать не буду, т.к. оказывается не все хорошо работает, да и вы я смотрю не слишком заинтересованы мне реально помочь (с API разобраться, от антивира избавиться и т.д. ). Получается делаю только для одного себя....

vins :: -= ALEX =-
я бы помог, если бы мог.
а с антивирами единственный метод справиться это модифицировать код, или зашифровать. почитай статьи про написание вирусов.

freeExec :: mera.net.ru/~freeexec/bin...orum/aas/trial.4.work.exe - не антивирус не ругается, не PEId не узнает :) сразу двух зайцев.
ЗЫ. криво написано потомучто прямо в хекс редакторе набирал, ктомуже помогло запутать эвристический анализ :)

angel_aka_k$ :: MozgC [TSRh

Madness :: -= ALEX =-
› Madness спрашивал по-моему...
По-моему тоже ;)

›ну бывает два раза для XP
А может быть и не 1 десяток раз, и не только для хп.

›я сделал микро проверку
Уболтал.

angel_aka_k$ :: сейчас писал начало статьи и могу сказать точно что нужна будет ваша помошь когда допишу нужно будет редактировать чтоб все понятно было и т.д. если мне поможите то статья получится хорошая так как я пытаюсь щас разжевать все в подробностях чтоб новичок смог аспр 1.3 с пол пинка распоковать !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
PS. Сайтик о @!#$ нно смотрится.


да токо под ревесинг заделать надо

MozgC [TSRh] :: Angel я мож тебе помогу с редактированием, свисти когда напишешь, заодно по твоей статье сам разберусь.
Совет: когда пишешь постоянно держи в себе мысль, что ты пишешь не для профессионалов, думай а поймет ли это среднячок и т.д., представь а понял бы ты это например когда еще мало аспров распаковал и был неопытным и вес такое. Во всяком случае хоть это и глупо звучит, но я когда статьи писал, так делал =)

angel_aka_k$ :: MozgC [TSRh]
попробую :)))))) вообще щас я как раз о этом думаю :))))) может потом тотурчик напишем по пакерам/криптерам к примеру можно будет вообще совместить статьи получится большой ман по распаковке :))))))))

angel_aka_k$ :: уже 3 старницы а еще только начало :))))))) мдя представляю какая статья получится в целом так как я еще мало чего описал да и еще дописывать буду картинки вставлять и так далее так что держитесь читать будет что
начитаетесь вдоволь да а если мы еще с мозгом совместим статьи то я думаю чтения про распаковку вам хватит на долго как говорится на просились
P.S. главно чтоб понятно было вот я об этом щас думаю постоянно блин так много описывать приходится да еще наверняка многое забуду потом буду дописывать блин целая книжка может получится прикиньте книга по аспру во солод то удивится
офф отпечатать ее во прикол будет 1 000 000 000 копий я представляю лицо солода

Kerghan :: angel_aka_k$
MozgC [TSRh]
нах большой? лучше пять маленьких напишите. Маленькие легче читать.

angel_aka_k$ :: Kerghan пишет:
цитата:
нах большой? лучше пять маленьких напишите. Маленькие легче читать.


а не получится так как про 1.3 очень много писать !!!! так что тут уж не как или статью смогут понять только опытные !!! а насчет большого мана так наоборот лучше новички будут под рукой всегда держать и еси че сразу смогут найти ответ на вопрос в статье
IMHO это хорошая мысль

Kerghan :: Я не конкретно про аспр говорил(разбивать его на несколко частей вроде как особого смысла не имеет)(хотя неплохо было бы хотя бы разбить её по разделам OEP, import etc.), а про то, что вы собираетесь соеденить аспр с пакерами, этож совсем другая опера. Лучше пускай будет серия статей про каждый пакер(или несколько, скажем pecompact&petite). Просто, когда БОЛЬШУЮ статью открываешь, читать её ВСЮ не возникает желания, а статью в страницу-две проглатываешь в момент. Но это мое субьективно чиательское мнение, делайте как хотите.

angel_aka_k$ :: Kerghan пишет:
цитата:
Но это мое субьективно чиательское мнение, делайте как хотите.


согласен идея с сливанием плохая !!! не будем сливать вобще я просто предложил я даже не говорил что мы будем сливать но щас дествитесльно я подумал и самое разумное будет делать маленькие статьи !!!

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
API разобраться


А нах тебе разжевывать? Я ж тебе исходники отладчика скинул, ты там посмотри как они отлавливаются, а вот с определением и эмуляцией придется самому... Хотя уже давно не видел прог с использованием API аспра, недавно только одна попалась в которой всего лишь 3 функи юзались.

АЛЕКС :: Привет всем ! не пугайтесь, это -= ALEX =-. У меня несчастье, винт полетел нахрен :(( Все данные у меня пропали, вот и не знаю, повеситься что-ли....

MC707 :: Для АЛЕКС: Сочувствую. Всяко бывает. А такие планы у тебя были....

АЛЕКС :: Щас попытаюсь восстановить данные....
P.S. блин пришлось новый винт покупать...

freeExec :: Че и исходников патчера не осталось :( Тогда ман всем надо вешатся

.::D.e.M.o.N.i.X::. :: АЛЕКС пишет:
цитата:
повеситься что-ли....


Зайди в сервисный центр - они тебе рубликов так за 200-500 все восстановят (правда хороший сервис-центр нужен). Могут и винт реанимировать за теже деньги.

-= ALEX =- :: Всё ок ! Все исходники восстановил, так что продолжаем тему :)

infern0 :: я вот тред читаю, но до конца не понял что есть этот патчер ? можно в двух словах принцип ?

-= ALEX =- :: блин, надоело уже писать, что такое мой патчер.... набор байтиков, который цепляется в конец файла, и патчит in-line аспротектную прогу... :)

infern0 :: что такое патчер мне объяснять не надо. а в чем прикол такой штуки ? проще распаковать и не парится. тем более что 70% т.н. защит после этого обламывается патчем одного дворда :)

-= ALEX =- :: А тем кто релизит, прикольно выкладывать распакованную/пропатченную прогу, которая весит примерно 1 мег, когда можно обойтись простым ~10Kb патчем ????

infern0 :: Для -= ALEX =-: патч внешний ? т.е. работает как лоадер/патч ? ты же про это нихера не написал а токо про байтики какие-то...

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
ты же про это нихера не написал а токо про байтики какие-то...


Писал он все, надо внимательней читать:)

-= ALEX =- :: Все я писал ! Если что-то не понимаешь, не пиши этого несколько раз...

MozgC [TSRh] :: infern0
Ну вроде все кроме тебя понимают че за патчер =)
PS. Как дела с тем чего 82 части и то что к тебе закачивалось. Закачалось?

-= ALEX =- :: что еще скажем ?

freeExec :: Хотим релиза !!!

-= ALEX =- :: :) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)

vins :: так ты толком скажи что тебе нужно и в каком виде, мы поможем.

freeExec :: Ну яж пример выложил, или он всятаки определяется?

nice :: -= ALEX =-
Винт востановил??? Если будут подобного рода проблемы, обращайся, телефон знаешь,
уменя есть подвязки в парочке фирм, даже если винт не детектится, 80% востановить
точно можно, если конечно ты не кувалдой его форматил

Ты объясни, что от антивирусников срывать, где, что взять???

-= ALEX =- :: nice Данные восстановил, а диск собираюсь выкидывать, перестал уже в биосе определяться....
Мой патчер определяется как exe virus, надо бы разобраться...

infern0 :: -= ALEX =- пишет:
цитата:
:) Давайте вы мне поможете с антивиром реальным исходником, тогда точно самые активные увидят релиз :)


вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
ps: сразу предупреждаю - мне не надо :)

vins :: -= ALEX =-
ты на чем этот патчер пишешь?

freeExec :: Странный вопрос, там же видно что на VB6, он библиотеку просит.

Madness :: infern0
›вот никак не пойму нафиг стоко рекламы если реально ты его никому не даешь ?
Ага, 8 страниц флейма и ничего более.
ЗЫ. аналогично.

freeExec :: Madness а ты сам-то че его добовляешь

Dr,Faust :: ЗАКРОЙТЕ В @!#$ ЕНЬ ЭТУ ТЕМУ! ФЛУДА МНОГО ТОЛКУ И СОВЕТОВ НОЛЬ!!!!!!

MozgC [TSRh] :: Ради такого дела как ASProtect Inline патчер пусть живет. Хотя можно ее пересоздать просто.

GL#0M :: -= ALEX =-
Попробуй FSG запаковать, мне помогало.

angel_aka_k$ :: не навижу blast короче поставил на чистую ось воть стал переписывать статью ( не понравилось мне начало ) так вот переписал почти все и тут меня шнурки позвали мол поди сюда разговор есть ну затянули меня на 2 часа трепу подхожу к компу и просто чутли не падаю в обморок тачка перегрузилась и все мои старания пошли коту под хвост воть щас сижу опять пишу мдя ........

.::D.e.M.o.N.i.X::. :: angel_aka_k$
А обновления для кого с сайта мелкомягких???
P.S. У нас тут по сетке вообще бушует со страшной силой! Пока XP ставил прилетел гадина. Даже обновление раз 5 качал, сволочь комп ребутил. Кстати когда я его выцепил, то у меня какая-то новая разновидность была - AVP уже не определял, хотя по кишкам оказалось тоже самое.

nice :: Мужики мой вам совет, поставте эту прогу и отключите этот DCOM нах,
у меня тоже какаято разновидность бушевала и заплатки не помогли,
тогда я с помощью этой проги отключил DCOm и живу спокойно :)
http://grc.com/files/dcombob.exe

-= ALEX =- :: Короче, сделал я шифровку и т.д. Патчер готов можно сказать... обращайтесь ко мне, дам патч, но не всем :)

freeExec :: Огласите весь список, пожалуйста.

-= ALEX =- :: щас .... freeExecnice Bad_guy MozgC [TSRh] UnKnOwN RideX Kerghan XoraX DeMoNiX GL#0M [RU].Ban0K! angel_aka_k$
Не обижайтесь, если кого не назвал...

MoonShiner :: А мне? :)

-= ALEX =- :: ok ! забыл просто, давно тебя в форуме не видел :)

freeExec :: Собирай все мыльницы, пихай их в писмо, и спамь всех :)

UnKnOwN :: Для -= ALEX =-:

Ждём, надеемся...

-= ALEX =- :: надейтесь :)
P.S. freeExec, я так и не понял зачем ты использовал SEH в шифровке моего патча, я не использовал SEH и все работает также...

freeExec :: Ты пришли я гляну как у тебя, у меня простой хор не прокатил :(

-= ALEX =- :: уже отослал...

angel_aka_k$ :: -= ALEX =-
а мне

LT :: а мне?

LT :: 2nice DCOM и так просто отключить :) галку снять кое-где, а по поводу заплаток так гуляет по инету эксплоит уже «намбер 3» вешает 2k/ХР намертво. Я вообще сканнером безопасности «Ретина» пользуюсь(сам же и подскажет что делать), они вовремя базу обновляют на всякую хню.

-= ALEX =- :: коллеги я решил выложить свой патчер публично.... скоро сможете сами скачать....

.::D.e.M.o.N.i.X::. :: -= ALEX =-
Интересно и где же?

-= ALEX =- :: http://www.alex2kx.nm.ru/aspr_patcher.zip

YDS :: Да Alex-у надо памятник поставить и сохранить его навеки в сердцах наших!!!

-= ALEX =- :: ;)

Madness :: -= ALEX =-
Некорректной твоя проверочка оказалась (3xFF которая проверяет), под 98 она приводит к прямо противоположному результату, аспр выкидывает сообщение, что триал скончался, а система дохнет, обращаясь к уже выгруженной программе. Под другими осями не проверял. Да и проще и меньше код можно сделать.
Триал который аспр сам ставит, я так понял, оно не фиксит? А наг?
Мож я невнимательно глянул, но когда пишешь в код аспра, затертую инструкцию, кажись, не выполняешь.

MozgC [TSRh] :: Madness ты бы подсказал что делать с косяком когда под 98 не работает, а то некоторые проги запарываются, при запуске аспр пишет что файл поврежден или заражен вирусом, после чего система дохнет полностью, ну ты наверно про то же говоришь. Насчет проще и меньше кода, если уж говоришь тогда бы и написал как проще и меньше, а то словами ему не поможешь. Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ? Я всмысле про то что зарегить прогу на аспровой защите должен крэкер, патчер лишь возможности для этого дает. А вот насчет того чтобы триал патчить, тут конечно баг, когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной, просто выводит что триал кончился. Вот это надо пофиксить. Есть идеи как? Я честно скажу не смотрел.

Madness :: MozgC [TSRh]
›ты наверно про то же говоришь.
Да, про это, после вылета проги, mapviewoffile остается пропатченным, а программы то в памяти уже нетуть, вот оно и падает.

›тогда бы и написал как проще и меньше, а то словами ему не поможешь.
Все вам расскажи :)
Ну например:

Почти самое начало:
.00BC26FC: E800000000 call .000BC2701
.00BC2701: 58 pop eax
.00BC2702: 8BD8 mov ebx,eax
.00BC2704: 83E805 sub eax,005
.00BC2707: 2500F0FF0F and eax,00FFFF000
.00BC270C: 83C005 add eax,005
.00BC270F: 8BF8 mov edi,eax

.00BC2704 - зачем? Далее ведь идет округление до 1000h, какая разница BC26FC или BC2701 до BC2000 округлять? Есть и еще что упростить можно.

›Триал который аспр сам ставит естественно не фиксит, это уж проблемы крэкера пропатчить или ты про что ?
Про то что сам аспр смотрит закончился триал или нет, хотя скорей всего можно пропатчить...

›когда триал кончается, то дело до проверки на зарегенность даже не доходит, прога просто выполняет совсем другую ветку вместо освновной
Я про это же.

›Вот это надо пофиксить. Есть идеи как?
Идея есть, на практике не проверял.

MozgC [TSRh] :: Че за идея? Знаешь почему прога в 98 вылетает и как исправить ?

Madness :: MozgC [TSRh]
›Знаешь почему прога в 98 вылетает и как исправить ?
Я уже описал все выше.

›Че за идея?
GetRunApplicationFunction должно помочь.

MozgC [TSRh] :: Madness пишет:
цитата:
Я уже описал все выше.


Ну так исправить то как, почему аспр подсекает что его пропатчили?

Madness пишет:
цитата:
GetRunApplicationFunction должно помочь.


Ясен пень, но ее надо найти еще, я не знаю как там у него все это контролируется, но не думаю что его патчер знает адреса этих API

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Ну так исправить то как, почему аспр подсекает что его пропатчили?


может востанавливать байты ???? после патчания, типа если прога доходит до этого места меняем байты, а потом все ставим на место, тода аспр не сможет просеч что его пропатчили

MozgC [TSRh] :: А че в ХР работает тогда?

[RU].Ban0K! :: В моей 9x не прёт...
.. попробовал в отладчике... тим вообще какое-то смешивание кода произошло... и OllyDBG повесился....

-= ALEX =- :: ну вы тут и тему замутили над моим патчем, я вчера посидел и доделал свой патчер, чтоб еще и триал убирал, пока тока месагу.... а вообще не надо тут писать что мол нихрена не работает, впринципе все работает но не доделано, т.к. вам влом мне РЕАЛЬНО помочь, только баги мои говорить.... у меня как у автора все будет работать, т.к. над каждую прогу я могу досканально просмотреть и подправить исходники, а если вы уж знаете как исправить то, что вы нашли, дак подскажите, а не обс№;№те мою прогу !

-= ALEX =- :: Madness, ты я смотрю очень умный, что ж ты тогда не написал подобного рода тулзу, да и вообще никто не писал до этого подобного, говорили даже, что и не возможно. Я решил сделать что-то, не зная самого ASM, по ходу изучил... И не надо тут говорить о каком-то упрощении, суть в другом, сделать in-line patch в запакованной аспром программе. Про код в самом начале, это я сделал второпях, чтобы уже зарелизить, и чтоб применить шифровку, опять чтобы антивиры не ругались. Тебе надо, оптимизируй что хочешь, только не надо тут пи@#$.
Про 3xFF, скажу, что я таким образом проверяю откуда был вызов MapViewOfFile, бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы, вот я и решил поставить микро проверку. По твоим словам она приводить к заканчиванию триала, по-моему это полный бред ! сам подумай почему... В общем если вы много знаете, пишите, я учту это...

Madness :: MozgC [TSRh]
›Ну так исправить то как...?
Проверку другую придумать.

›А че в ХР работает тогда?
dll в другое место грузится.

-= ALEX =-
›ты я смотрю очень умный
Какой уж есть.

›что ж ты тогда не написал подобного рода тулзу
А оно мне надо?

›бывали случаи когда в XP по непонятным причинам первый раз вызывался в дебрях системы,
Я тебе о том что эти случаи обязаны быть страниц много назад сказал, не видя самого патча.

›По твоим словам она приводить к заканчиванию триала, по-моему это полный бред !
Бред, это мои слова? Я описал реакцию аспра, а причина - твоя микро-проверка.

›cам подумай почему...
Аналогично.

›В общем если вы много знаете, пишите, я учту это...
Я написал предложения к патчу, а некоторые об$ирать начали...

MozgC [TSRh] :: Madness пишет:
цитата:
Я написал предложения к патчу, а некоторые об$ирать начали...


Кто?

Madness :: MozgC [TSRh]
›Кто?
Да была тут нездоровая реакция, забей, проехали.

-= ALEX =- :: ну давайте тогда что-то реаально придумаем, а не так одним словом, Madness я лично тебя не понял

infern0 :: патчер конечно вещь прикольная но толку ноль от него, т.к. триал заканчивается - и патчер заканчивается вместе с ним :)
Вот когда добавишь удаление триала, как это сделано в стриппере - тогда можно будет юзать...

.::D.e.M.o.N.i.X::. :: -= ALEX =-
infern0 хочет чтоб ты API аспра поковырял, посмотри исходник, который я тебе дал...

-= ALEX =- :: не смотрел еще, но впринципе сам нашел место прикольное где проверочка стоит. А вообще планирую заново весь патч переписать, а то некоторые люди, мягко говоря, ругаются на мой патч... Сделаю все по другому, идеи уже есть... но релизить как этот патч не буду, найдутся еще умники, которые обосрут тулзу...

infern0 :: Для .::D.e.M.o.N.i.X::.:
угу, именно так

infern0 :: -= ALEX =- пишет:
цитата:
еще умники, которые обосрут тулзу...


так всегда будет - а как ты интересно хотел ?

-= ALEX =- :: ладно забыли все.... буду баги исправлять :)

-= ALEX =- :: Ну че знаете способ убрать trial в теле аспра ?

infern0 :: Для -= ALEX =-: а зачем в теле ? ты же работаешь раньше кода аспра - ну так пропатч реестр - там тривиально достаточно все... Тогда аспр будет думать что у него вечные 30 или сколько там дней

-= ALEX =- :: так неинтересно делать.... седня вот переписал движок своего патча, теперь работает малость по-другому....

MozgC [TSRh] :: Да, имхо тоже это называется через жопу - в реестре ключи стирать =) Да искать их тоже не факт что найдутся, не всегда ведь они хранятся в ASProtect/SpecData а значит надо будет еще писать алгоритм поиска ключей в другом месте (забыл как называется). Имхо гемор + через жопу =)

-= ALEX =- :: короче, тирал мне удалось снять таким образом: ставлю бряк на regqueryvalueexa, потом прям в api пишу ret, так два раза, потом восстанавливаю затертуюу команду... отпускаю прогу на волю и она опять на 30 дней !, причем ключ сам куда-то девается :) Пытаюсь же такую же методику применить в своем патче, нифига :))

-= ALEX =- :: Закончил я сегодня работу над своим патчером, исправил баги, которые здесь были описаны: переделал малость принцип работы патчера, теперь он подправляет IAT в loader #3, и самое главное это то, что патчер теперь снимает триал защиту, а регить все-равно вам :) Все замечания/предложения писать тут....
http://www.alex2kx.nm.ru/aspr_patcher.zip

-= ALEX =- :: короче, я убираю ссылку на этот файл по нескольким причинам.... некоторые успели скачать, если что спросите у них...

Bad_guy :: Бля, ну ты молодец... Накой этот твой патчер, если его даже не скачать. Ну уж пришли по мэйлу что ли.

А что Фриэксек правда в армию ушёл, и кто в таком случае модератором(админом) форума хочет стать ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Чаще появляйся - мозгое...э-э-э-э...МозгС админ:)))

Bad_guy :: .::D.e.M.o.N.i.X::.
Не думаю. Хотя я не против дать Мозгу админский пароль. Пожалуй он самый активный форумчанин. Или фриэксек ему пароль передал ? (... Какая вечеринка ??? Почему мне не сказали ???)

GL#0M :: To All:
Кто патчер скачал, вышлите пожалуйста.
З.Ы. Всё все диски снёс. Я думаю вы меня поняли.

angel_aka_k$ :: GL#0M
лично я непонял :/

UnKnOwN :: А я успел скачать

UnKnOwN :: А я успел скачать

[RU].Ban0K! :: Для GL#0M:
... а нам ещё предстоит всё под PGP заклепать...

GL#0M :: angel_aka_k$
Ну, не понял так и не надо.
Хотя ты как раз должен был понять....
UnKnOwN
Кинь на мыло пожалуйста.

[RU].Ban0K! :: GL#0M пишет:
цитата:
Кинь на мыло пожалуйста.


Ссылка рабочая... только-что скачал...

GL#0M :: [RU].Ban0K!
А у меня что-то не качается...
Может кинешь?

angel_aka_k$ :: GL#0M
да шучу я понял я все

GL#0M :: angel_aka_k$
Шутник
З.Ы. Как думаете мне свой сайт прикрыть может пока?

MozgC [TSRh] :: Да ладно вам суетиться то, я смотрю тут аж до форматирования винтов дело доходит =))) Хыыы +)

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Угу и я о том же... Как занимались хобби так и занимайтесь...
P.S. Блин, а когда авторы будут нам платить за бесплатное исследование их защит???

Kerghan :: .::D.e.M.o.N.i.X::.
они нам передачки носить будут

UnKnOwN :: Для GL#0M: Напиши мне своё мыло я тебе кину, если конечно ты ещё не скачал

-= ALEX =- :: Короче надобы эту тулзу разместить на каком-нибудь сайте (на wasm например).... я тоже винт почистил :))

UnKnOwN :: Народ вы нагнали такого страху....

Усё, пощёл форматировать, хер чё получат эти гады

[RU].Ban0K! :: Для GL#0M:
Ушло... я до полфевраля ( :) ) закрыл сайт... во-первыХ там нет пока ничЁ... да и нех на него смотреть... :)

Да и вот странный ип... 80.250.180.250 может кто узнает по роутеру кто это такое...

[RU].Ban0K! :: Чёрт это близко ко мне... через дом... сволочи...

Kerghan :: [RU].Ban0K! пишет:

цитата:
Чёрт это близко ко мне... через дом... сволочи...


повезло

MozgC [TSRh] :: [RU].Ban0K!
http://www.ripe.net/perl/whois?80.250.180.250

angel_aka_k$ :: короче выкидываю комп в форточку буду на бумажке ломать и писать статьи

.::D.e.M.o.N.i.X::. :: angel_aka_k$
Ты посмотрел прогу, на которую я тебе указал???




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




debial Хрень какае-то...Ну и прога!!!! Скачал прожку Give Me too 2.20(500



debial Хрень какае-то...Ну и прога!!!! Скачал прожку Give Me too 2.20(500 килобайт). Там пакер какой-то.....4 секции:
1. .bss
2. .packed
3. .rsrc
4. .loader
PeID показал uknow paker. Подскажите как эту гадость снимать (не разу не стыкался с таким).
-= ALEX =- :: дак можно просто распаковать файл и всё !

-= ALEX =- :: щас гляну что за прога...

.::D.e.M.o.N.i.X::. :: debial
Пакер - Orien:)))

infern0 :: сразу вспоминается лозунг хекса - долой файловые анализаторы :))

infern0 :: сразу вспоминается лозунг хекса - долой файловые анализаторы :))

infern0 :: сразу вспоминается лозунг хекса - долой файловые анализаторы :))

-= ALEX =- :: infern0 хватит флудить....
А я просто взял да и распаковал этот пакер, все нормально распаковалось, только одна неизвестная апи в importrec не определилась, а так запускается.... но пишет, что типа нету сетевой карты у меня, хотя она есть :) в общем тут уже сказали, что это ORIEN, так что дальше сами...




Vlad CCGenerals от 7Wolf Сдампил прогу, импорт восстановил но она не работает,



Vlad CCGenerals от 7Wolf Сдампил прогу, импорт восстановил но она не работает, пишет ошибка приложения. Попробовал полазить в PEiD 0.9 - зашел в Plugins--›Krypto ANALyzer и увидел Blowfish (check2)):: 0000F938 :: 00410738. Че за хе.. не пойму, обясните, кто знает.
MozgC [TSRh] :: Данных маловатенько будет....

Vlad :: Всмысле?

Kerghan :: дык че тут не понятного, проверка целостности, алгоритм Blowfish. Раньше правда не сталкивался с такой фигней, так что, что означают цифры не знаю, видимо адресс проверки или че-то в этом роде

MozgC [TSRh] :: Вы че издеваетесь? Че можно сказать по этим данным? Помочь чтоли? не уверен. А blowfish там может быть где угодно. Я видел когда в прогах че токо не писали, и blowfish и md5 и shas в одной проге, однако на ломание это не влияло. Надо смотреть и думать, а не пугаться надписи в PEid. А фраза «Сдампил прогу, импорт восстановил но она не работает, пишет ошибка приложения.» ни о чем не говорит.
Это все равно что машина у меня сломалась. Помогите починить!




Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована



Vlad XtreamLok Скачал прогу под названием AudioStudio, а она запакована XtreamLok - так выдал PEiD, да и в PE присутсвует Xlok. Если, кто распаковывал помогите, разобраться с ней.
-= ALEX =- :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно

Runtime_err0r ::
цитата:
Скачал прогу под названием AudioStudio


Откуда скачал ??? Ссылку-то дай ...

Vlad :: Дело не в пакере, можно распаковать любой неизвестный пакер, ставь bpm esp-4 на EP проги, а там самое последнее срабатывание бряка приведет к OEP.... дальше как обычно
Для этого надо поставить бряк например на начало программы, а потом уже esp-4. При ставки бряка например на loadlibrary он выдает мне сообщение, что типа загружен дебегер или ..., сама она на VisualBasic. Скачал exe крякнутый (tsrh) открыл его LordPe и посмотрел на ImportTable, адрес для нее откуда взяли не пойму. В запакованной (000...), что-то типа такого, а в крякнутом (001D...). И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.

MozgC [TSRh] :: Vlad пишет:
цитата:
Для этого надо поставить бряк например на начало программы, а потом уже esp-4.


Alex сказал тоже самое.

Vlad пишет:
цитата:
И ещё на пойму, как можно сделать чтобы проги палившие отладчик не замечали его. IceExt она палит.


Попробуй новую версию IceExt’a - не факт что поможет, но может быть. Кто-то говорил что там улучшено скрытие айса, хотя армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...

MozgC [TSRh] :: Vlad пишет:
цитата:
При ставки бряка например на loadlibrary


Попробуй ставить бряк на конец апи, т.е. на ret
И попробуй менять bpx/bpm x

-= ALEX =- :: правильно тут говорят

Nitrogen :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..

Vlad :: эта случаем не тот протектор, где в папке с прогой валеяется файл с расширение .lock ?..
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------
Тот самый (AudioStudio.locked)

Nitrogen :: мдя.. запускаешь прогу..
дампишь то что есть..
сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
заменяшь эти 400h байт в .lock файле..
переименовываешь .lock в .exe..
типа все.. softwrap во всей красе..

метода by bishep&oxen // tsrh

Vlad :: сохраняешь 400h байт начиная с OEP сдампленного файла (оеп смотришь у .lock-файла)
-------------------------------------------------- -------------------------------------------------- ---------------------------------
Может я че то не знаю, но как их сохранить. Я первый раз с этим сталкиваюсь. Секция text там не полная.
VirtualSize: 001D1350
RawSize: 001D2000
Если я правильно понял ты имеешь в виду сохранить недостающию байты в секцию text. Как видно из VirtualSize и RawSize.

Nitrogen :: в hiew выделить блок.. сохранить блок.. вставить блок

Vlad :: Открыл я в hexworkshop сдампленный exe и крякнутый exe и сдамплинный audiostudio.exe (который типа запускает lock файл).
Смотрю с OEP в крякнутом exe и в моем сдампленном exe (который lock) и т.д. exe, в крякнутом байты и во всех этих exe файлах совершенно разные. Ни хрена не помю че за херь.
P.S. Ща попытаюсь разобраться. Бл... завтра в школу.

infern0 :: MozgC [TSRh] пишет:
цитата:
армадилло с максимальной защитой от отладчика все равно видит софтайса даже с последним IceExt’ом...


херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.

MozgC [TSRh] :: infern0 пишет:
цитата:
херня это, знаешь как она видит - openservicea(«NTICE») и если упешно то кричит приздец @!#$ айс нашла. Брякаешься на опенсервис и имеешь ее куда захочешь.


Ну факт в том, что арма все таки видит айс+айсэкст =)




MozgC [TSRh] ASProtect Patcher Начинаем тему заново.



MozgC [TSRh] ASProtect Patcher Начинаем тему заново.
В общем 1 пост сильно не по теме - предупреждение. Второй - бан.
Kerghan :: MozgC [TSRh]
походу придеться открыть новый форум «ASProtect In-line(or Out-line) by -=Alex=-»

MozgC [TSRh] :: Kerghan без обид, первое предупреждение. Я и многие другие заходят на форум и когда видят новые сообщения в теме то хотят увидеть там что-то новое ОБ ОБСУЖДАЕМОЙ ТЕМЕ, а не что-то там от косяка. Первая тема разросласб до 20 страниц. По теме там было страницы 3-4. Вторая тема моментом разрослась до 7 страниц, по теме там 1 страницы. Давайте не будем флудить тут. Если нечего сказать по теме - не говорите. На это сообщение тоже отвечать не надо.

-= ALEX =- :: Скажу по теме.... щас буду коврять прогу пакованную ASProtect 1.30, на которую мой патч не сработал. При быстром осмотре узнал, что mapviewoffile не вызывается :( поэтому пишет «corrupt file etc»

MozgC [TSRh] :: Может новый какой-то аспр? Как называется прога на которой не сработал ? Насчет corrupt file тоже самое было и с ProxyInspector но в принципе тогда дело было в mapviewoffile а тут ты говоришь что он не вызывается... странно я ни разу не видел чтобы в аспре не вызывалась mapviewoffile, Аспров 1.30 я только 3 смотрел, но там работало....

mnalex :: Я предыдущие форумы читал бегло и не все, из-за флуда. Вопрос. Насколько я понял этот патчер ломает AsProtect 1.2 1.3 и т.п. А как насчет 1.2х ? Его он берёт?

Kerghan :: mnalex
да

-= ALEX =- :: а не проще проверить ? я думаю что должно, т.к. принцип остался тот же...

-= ALEX =- :: MozgC [TSRh] В том то и дело, что нету там MapViewOfFile.... у меня вообще бряки в последнее время не срабатывают :( но дело в том, что при создании IAT для loader#3, там в списках MapViewOfFile нету :) Но зато подозрительные ReadFile, SetFilePointer etc, короче будет время я еще посмотрю...

F :: Может ктонибудь это чудо кинуть на мыло =) а то я из прошлых постов так линк и не мог найти на патчер
f4y@mail.ru

MozgC [TSRh] :: -= ALEX =- кинь и мне плиз, надо пропатчить ProxyInspector, а патчер твой че-то не могу найти у себя, хоть и помню что качал. Или давайте мне я выложу на tsrh.crackz.ws.

UnKnOwN :: у меня лежит http://www.unknown-ua.nm.ru/apnew.rar 28 кб.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Может новый какой-то аспр?


это тот по который я говорил тот про который пишу :)

-= ALEX =- :: angel_aka_k$ Расскажи в чем особенность этого АСПра...

-= ALEX =- :: Давайте подумай над названием моей тулзы... Обновил патчер, сделал поддержку тем XP... спасибо DeMoNiX’у ;)

-= ALEX =- :: ... мне тут syd прислал полностью ту прогу, на которой мой патчер не сработал.... щас буду ковырять

angel_aka_k$ :: -= ALEX =-
короче 3 апи поковерканы так что их просто не узнать весь прикол в том что допустим getprocaddress возращает адрес апи допустим getmodulehandlea а последущая процедура смещает этот адрес так что получается getprocaddress !!! это я например написал так как щас точно не помню с какой апи смещение до getproc идет что еще нового короче все мы знаем что есть набор jmp ов которые указывают на iat offset пример jmp (iat offset ) ну а в IAT offset сами знаете что так вот после аспра получается call/jmp (aspr ) !!!! IAT offset вообще нету еще из нового теперь на начало апи бряк не поставишь (аспр палит) исковеркан инит ехе тоесть все мы не раз видели такую картину :
push ebp
mov ebp,esp
......
первый call
xor eax,eax
а в первом call :
push ebx
mov ebx,eax
.......
call getmodule
mov eax,[xxxxxxxx]
........
call куда то
....
call на инит а в нем цикл где из определенного адреса берутся адреса для прыжков на дальнейшию иницилизацию так вот после аспра такая картина

мусор
xor eax,eax
:) это не все там где был getmoule такая картина
мусор
mov eax,[xxxxxxxx]
........
call куда то
......
call на инит а в нем все тот же цикл только он не работает !!!! так как в eax заносится не адрес проги а адрес аспра а в нем аспровый цикл те кто ковырял 1.23 RC3 то узнают его те кто не ковырял просто изучите процедуру на которую мы попадаем при bpm esp-24 и сразу поймете. вобщем в цикле на инит расшифровываются адреса проги тоесть в eax попадает зашифрованный адрес потом он смещается делится и в итоге в eax попадает нормальный адрес проги и аспр кидает прогу на него потом возврат идет опять на цикл и поновой расшифровываем адрес и опять прыжок и т.д. ( в 1.23 это было зделано для того чтобы спрятать mov eax,xxxxxx подсказка xxxxxx расшифровывается 1 раз !!! ) так это что касается инита что еще нового ? да помему нечего защиту от айса я не ковырял так как iceext спасет SEH вообще не встретил может они где то и есть но я не думаю что они стали другие ( xor eax,[eax] ) проверки на sice 2 одна на exeption ведет вторая где то в глубинах что то с памятью я просто другим способом это дело обошел вроде все если что то упустил то не значительное если не понятно обьяснил то ждем нашу статью ( я & MozgC ) задержка в написание произошла из за армадилы 3.40 я тут два дня в ней разбирался и распоковал саму её и прогу ей пожатую :))))) полностью разобрался в ней интересный криптор особенно наномиты класно аргонизованны мне понравилось

-= ALEX =- :: Короче я нашел способ пропатчить этот «новый» аспр.... только пока такие проги «редкость»

UnKnOwN :: Re: -= ALEX =-

Напиши чё за прога просто интересно чё за новый aspr....

Небось уже 1.4 дядя Солод выпустил ???

-= ALEX =- :: прогу наверное не получиться показать, т.к. она авторская, syd ее сделал... вот он ее запаковал каким-то 1.30 аспром, там по-другому идет проверка CRC, т.е. полиморфным кодом генерятся адреса апи (MapViewOfFileA,CreateFileMappingA,GetModuleFileNa meW)...

angel_aka_k$ :: -= ALEX =-
для меня лично проще распаковать этот аспр и не парится тем более что распаковка занимает максимум 30 минут ( с IAT долго возится ) а потом файл без пролем можно ломать при чем как обычно триал отпадает сам так что это луче чем пачить его :) а нащет генерации апи я же говорил что наверняка что то забыл я видел эту генерацию :))))))))) просто забыл упомянуть о ней так как подругому обошел это :) и как то не заморачивался нащет crc хз не смотрел мне оно не надо я все что нужно зделал в памяти jmp [iat offset] получил и секцию с адресами апи и все мне собственно для анпака не чего больше и не добыло поэтому crc я не смотрел :))))))))))

MozgC [TSRh] :: angel_aka_k$
А по-моему за алексовым патчером ближайшее будущее. У меня подозрение что такими тесмпами аспр скоро станет одним из самых геморных протекторов и распаковать его будет долго и не просто... Уже щас видно как он вживается в дельфи программы. У меня плохое предчувствие что через какое-то время аспр и программа будут как одно целое...

Madness :: MozgC [TSRh]
›через какое-то время аспр и программа будут как одно целое...
И борланды встроят его в компиллер...

MozgC [TSRh] :: Madness пишет:
цитата:
И борланды встроят его в компиллер...


Лол, реально =)

angel_aka_k$ :: MozgC [TSRh]
ну тыж мня знаешь я не ищу легких путей :)

MozgC [TSRh] :: Да я тоже патчером воспользовался пока только один раз для ProxyInspector’a, другое дело когда в упор не можешь распаковать или в будущем когда возможно это будет проблемой... Вот тогда на помощь и будет приходить патчер. Тем более патчер - более чистый способ, вместо того чтобы релизить например 1-2Мб cracked.exe можно зарелизить 20Кб патчик - удобно.

-= ALEX =- :: сделать патчер не проблема. я и этот новый аспр пропатчил, дело в подходе к реализации... так что кому распаковать легче, а кому и пропатчить :)

mnalex :: 1 Делаю:
aspr_patcher.exe -› AtClock.exe (PEid -› ASProtect 1.23 RC4 Registered)
2 Результат:
AtClock.exe (PEid -› ASPack / ASProtect x.xx -› Alexey Solodovnikov)
Старт -› Вылет :(
W32Dasm (Ver 8.93++) -› Вылет :(
??? Вот из дыс ???

Хренотень - тень отбрасываемая хреном на что либо :)...

MozgC [TSRh] :: Какая версия ATCLock?

Kerghan :: mnalex
кажется было что-то подобное вроде с ArtCursor

MozgC [TSRh] :: -= ALEX =-
Действительно при патче ATClock v 1.1 build 120 возникает ошибка, точнее не при патче, а при попытке запустить пропатченный файл. Если надо могу кинуть AtClock.

-= ALEX =- :: посмотрим...

-= ALEX =- :: патч мой работает нормально, дело в самой проге, он просто берет и закрывается :(

-= ALEX =- :: ATClock v 1.1 build 120 мож кто поковыряет, мне эта прога понравилась, но что-то вылетает она. Тестируйте вместе с моим патчем...

MozgC [TSRh] :: -= ALEX =- пишет:
цитата:
Тестируйте вместе с моим патчем...


Используй вместе с моим крэком =)

Madness :: -= ALEX =-
Возможно размер проверяет (и там не дураки сидят)...

-= ALEX =- :: да вроде размер не проверяет, там что-то вылетает при апи аспра, или я туплю ?

UnKnOwN :: -= ALEX =- пишет:
цитата:
ATClock v 1.1 build 120


а, где можна взять ???

Дайте ссылку, если не влом...

-= ALEX =- :: короче там проверка стояла по адресу 00542074, там надо поставить EB... Щас буду с регистрацией разбираться




Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb)....



Mario555 Помогите с распаковой Не получается распаковать AltDesk (307 kb). Peid пишет «ASProtect 1.23 RC4 Demo». Перед переходом на OEP есть команда «REP STOS BYTE ...» , если это выполнение краденых байт, то как их найти.

PS: Stripper’ом не распаковывается.
Madness :: Mario555
Скорее это затирание этих самых байт.

angel_aka_k$ :: Mario555
push ebp
mov ebp,esp
sub esp,0c
mov eax,00413120
OEP 004131e8
IATRVA=00418000
IATSIZE=00000500

Mario555 :: angel_aka_k$

IATRVA=004180c8
IATSIZE=000003b8

Дык откуда байты то взялись (как найти ?).

OEP 004131e8 ??? - это почему.

Я вписал эти байты, поставил OEP 004131e8, но дамп всё равно виснет.

MozgC [TSRh] :: Ставлю на Angel_aka_k$ =)

angel_aka_k$ :: MozgC [TSRh]
:)))))
Mario555
хочешь узнать откуда байты хорошо no problemmmm
bpx mapviewoffile
2 срабатывание в теле аспра
ф11
bpm 0012ffa0 ( аля esp-24)
и изучаем дешифратор адресов а там глядишь и байты найдутся
и вопросы отпадут
а зависание хехе ты IAT востановил ??? LOL
P.S. файл распаковывается за 2 минуты

Mario555 :: angel_aka_k$ пишет:
цитата:
дешифратор адресов


Это куча «живого кода» ? Ты в статье о «antivirus stop 5» не стал описывать как найти адреса (а жаль, что не стал). Я ваще не понимаю как там можно что-то найти.

angel_aka_k$ пишет:
цитата:
IAT востановил ???


Делал так:

Call c32f00
Call c3313c ‹----- занопил
Mov EDX, [EDI]
Mov [EDX], EAX

Там EDX = 4180c8,
Потом f 4180cc l 1000 0,
После цикла создания Iat вернул на место Call c3313c, и сдампил после Call [eax].

Где ошибся?

Дык где дампить-то надо, после Call [eax], или перед getmodulehandle (как antivirus stop 5) ?

MozgC [TSRh] :: Дампить можно где угодно, можешь на начале спертых байт, можешь перед прыжком на спертый колл.
В частных случаях дампять после создания импорта и проверки CRС...
Если дампишь после создания импорта то надо дампить не после call [eax] а после выхода из этой процедуры, в которой находится call [eax].
Там же так
jmp вверх
popad
call xxx ‹-- тут внутри сех и call [eax]
...... ‹--- А тут дампишь.

Но так дампят - только когда дамп не работает (если его сдампили на оеп) в остальных случаях надо дампить на ОЕП. Я обычно дампил на рете в конце мусора.

Mario555 :: Sorry, я просто статью не до конца дочитал, и полез спрашивать.

Как искать адреса всё равно не понял (особенно как их в куче мусора за 2 минуты найти...).

MozgC [TSRh] :: Mario555 для дельфи прог можно особо не искать. Прочитай статью Hex’a «новые варианты». Там он описывает как найти эти спизженные байты для дельфи прог. Работает в 3х случаях из 4х. Для этого случая тоже. Так что прочитай и поймешь.

angel_aka_k$ :: IMHO проще 1 раз понять этот дешифратор чем обламыватся 1 раз из 4
Mario555
разбери код на который ты попадаешь при bpm 0012ffa0 и сразу все поймешь там спертые байты кстате в статье о stop я писал как найти последний байт так что внимательней !!!!
вобщем дамп снимай на getmodulehandlea
потом импорт надо востанавливать !!! а не просто сдампить и пытатся заставить прогу работать короче после занупивания цикли прогу и востанавливай импорт не пугайся там будет много мусора ты просто среди него найди адресса аспра и отресолвь их остальное showinvalid и сute fink’s и все если зделаешь все правильно файл будет работать

Mario555 :: angel_aka_k$ пишет:
цитата:
востанавливай импорт


С импортом всё было OK, висло на Call Dword ptr xxxxxx (в дампе xxxxxx было 000000) , в оригинальной проге в xxxxxx было 407b28, поменял Call Dword ptr xxxxxx на Call 407b28 и прога запустилась.

Пытаюсь распаковать подобные проги, чё то пока не получается. Хоть версия аспра и одна, а всё по разному.

angel_aka_k$ :: Mario555
не знаю че ты там на косячил у меня все ок запускается без правки dword

MozgC [TSRh] :: angel_aka_k$
Я так понял он дампил после создания импорта, когда еще API аспра не выполнились и не выбрали способ запуска программы, т.е. не записали адрес дальнейшего выполнения в ту ячейку.

angel_aka_k$ :: MozgC [TSRh]
наверно :) хз его трудности я посмотрю на него кода он чуток посложнее прогу возьмет :)

Mario555 :: angel_aka_k$ пишет:
цитата:
я посмотрю на него кода он чуток посложнее прогу возьмет


??? Я и с этой-то, как видишь, справиться не мог. И распаковывать ёще только учусь.

angel_aka_k$ :: Mario555
я тебе даю понять что ты не научишся распаковывать до тех пор пока не начнешь вникать в то что делает критор/пакер/протектор !!!! разбирайся !!!!! изучи дешифратор изучи посторение переходников и жизнь твоя станет легче !!!!

Mario555 :: У меня опять проблемка: ftp://listsoft.ru/pub/8431/artefactsetup.zip (3,5 MB), какой-то словарь-переводчик. Тот же ASPR, распаковался вроде нормально. При запуске дампа появляется наг, а при нажатии на «продолжить» прога висла (примерно так же, как в статье о «antivirus stop 5» ), потом висла ещё где-то (не помню адрес); если это всё подправить, то она запускается (можно открыть MainScreen), но при нажатии на любой пункт меню (на иконке в трее), опять падает.

OEP: 00047B24

push ebp
mov ebp, esp
mov ecx, 00000016

PS: Если я криво распаковал, то почему она запускается ?

PPS: Архив с EXE и Dll весит 280 кб.

angel_aka_k$ :: Mario555
хехе это апи аспра !!! так что смотри как в оригенале читай статьи и глядишь получится :)

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
PS: Stripper’ом не распаковывается


Stripper 2.07 берет даже Aspr 1.3:)))

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. \
У меня стриппер 2.07 даже инит не восстанавливает, не то распаковать нормально...




8ung HELP! Помогите, плиз.



8ung HELP! Помогите, плиз.
Заинтересовался структурой самого заголовка exe файла. Вроде бы во всем разобрался, но одно не могу понять.
Например:
OEP = 1335E
Image Base = 400000
Тогда почему в ХЕКС-редакторе(любом) адресс точки входа не 1335E,а 475E(показывает Win32Dasm, причем этот адрес правильный)? Как это вычисляется?
Mario555 :: OEP или EP ...
Offset или RVA ...

.::D.e.M.o.N.i.X::. :: 8ung
Есть физический адрес (работают hex редакторы), а есть виртуальный (их видишь в дизассемблере). Win32Dasm показывает сначала виртуальный, а потом физичический (слева направо внизу). Почитай лучше статью о PE файлах: http://emanual.ru/download2/1663.html

8ung :: В том-то и дело, что 475E - физический адрес!
Но PIED и ему подобные программы показывают 1335E!

8ung :: .::D.e.M.o.N.i.X::.
http://emanual.ru/download2/1663.html - Читал уже

MozgC [TSRh] :: 8ung пишет:
цитата:
Но PIED и ему подобные программы показывают 1335E!


PEid и подобные ему программы показывают либо относительный виртуальный адрес (RVA) OEP либо просто виртуальный адрес (VA) OEP. Почти каждому виртуальному адресу соотвествует физический адрес в файле на диске, но они могут не совпадать, из-за различных смещений секций программы. Т.е. если например RVA OEP = 50000, то не обязательно что байты лежащие на OEP будут находится в файле по смещению 50000 относительно начала файла.
Как тебе уже сказал Demonix, WinDasm показывает в строке состояния сначала виртуальный адрес (по этому адресу данная команда будет в памяти) а затем физический (по этому адресу относительно начала файла данная команда будет в файле на диске)
Панимэ мэнэ? Я вроди па руске напесал все, папанятнаму.

8ung :: MozgC [TSRh]
Спасибо!!!
Вот именно это меня и интересовало.




-= ALEX =-



-= ALEX =- }{ Не хотите поковрять интересную прогу http://www.ultrafxp.com/adownload/ultrafxp.exe (1.3 мега)
Защита больно уж крутая...
Runtime_err0r :: -= ALEX =-

цитата:
Не хотите поковрять интересную прогу http://www.ultrafxp.com/adownload/ultrafxp.exe (1.3 мега)
Защита больно уж крутая...


По-моему там SVKP
Madness ломал - спроси у него

-= ALEX =- :: ага :)

-= ALEX =- :: › По-моему там SVKP
Че за пакер-то ? где можно почитать про него....
а лично копался в этой проге, защита показалась пока средней, но сам факт, что я нашел в теле пакера ACProtect... а сам файл не определяется PEiD как какой-нить пакер.... + для защиты создается dll’ка.... в общем хрень какая-то...

Madness :: -= ALEX =-
›Че за пакер-то ? где можно почитать про него....
http://www.google.com/sea...a&num=0&ie=utf-8&oe=utf-8

Интересная защита, распаковать не главное :)

UnKnOwN :: Особенно отсюда :

Madness пишет:
цитата:
Че за пакер-то ? где можно почитать про него....
http://www.google.com/sea...a&num=0&ie=utf-8&oe=utf-8


продажа трактора запчасти МТЗ 82УК ...
Высококачественные запчасти и гусеницы
для дорожно-строительной техники.

Совсем не в тему....

-= ALEX =- :: UnKnOwN тебя что проглючило ? ссылка вроде нормальная...

UnKnOwN :: Для -= ALEX =-

не не проглючило, просто ты ниже посмотри там такой бред написан....

XoraX :: LOL

-= ALEX =- :: увидел уже LOL

.::D.e.M.o.N.i.X::. :: Насколько я знаю эту защиту придумали крякеры, в том числе и ребята с Unpacking Gods:))

-= ALEX =- :: .::D.e.M.o.N.i.X::. я уже догадался, вернее мне сообщили...




MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому



MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому пригодиться =)
Читайте пока на www.xtin.org и оставляйте свои комментарии.

PS. Это не самореклама, это Kerghan посоветовал здесь написать чтобы новички узнали.... =)
Kerghan :: MozgC [TSRh]
то-то же

ЗЫ а про in-line так и не написал...

mnalex :: Kerghan
А про ИнЛайн - рано еще, ты сам то посмотри сколько всего в одну статью впихнул, так и запудриться можно будет... Вот начнет работать над следующей - вот тогда и про Риал настругает ;)) !

MozgC [TSRh] :: Kerghan
Я просто посоветовался с моими «бета-тестерами» =), и они сказали что и так информации больно много для одной статьи и трудно будет еще что-то впитать. Все сказали, что лучше все-таки разделить инфу и про инлайн-патчи написать в отдельной статье. Я в принципе согласен, только вот писать уже ничего неохото =)

mnalex :: MozgC [TSRh]
Нераслабляйся!!!! Что жа нам простым смертным (или если хошь Телу) тогда делать, если Мозг расслабиться?? ;)

YDS :: Нормально, так держать. Предлагаю не застывать на этом, а двигаться к более сложным вещам (завершить можно примером написания кейгена для армадиллы с наномитами )

nice :: MozgC [TSRh]
Толковая статья!
ИМХО для новичков лучше не придумаешь!

MozgC [TSRh] :: Спасибо за отзывы. Надеюсь вы искренни =)

MC707 :: Я тож много нового узнал

nice :: MozgC [TSRh]
А что там за защита в ExeStelth, которая не дает сдампить лордом нормально, ре формат корявый?

nice :: MozgC [TSRh]
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...

Runtime_err0r :: У меня рацпредложение по поводу ExeStealth:
1. OEP прекрасно находит плагин GenOEP для PEiD;
2. Дампить можно плагином Pedump для TRW2000

MozgC [TSRh] :: Runtime_err0r
Не, я не люблю всякие плагины автоматические, а TRW не пользуюсь, да и PETools тут справился...

Runtime_err0r :: MozgC [TSRh]
И тем не менее _http://www.zone.ee/Runtime_err0r/MozgC.rar

Ещё один способ (для прог на Delphi) - в DEDE: Tools -› Dump active process -› Get RVA entry point

P.S. Ты теперь админ ? Почему у меня рейтинг обнулился ? верни взад !!!

MozgC [TSRh] :: Runtime_err0r
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)

MozgC [TSRh] :: А че кстати в архиве?

Runtime_err0r :: MozgC [TSRh]

цитата:
А че кстати в архиве?


Страшный вирус - «Новый_Год_2004.EXE» Шучу - распакованный крякмис моим методом.

цитата:
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)


Ты что, хочешь сказать, что у меня 6 постов ??? Ню-ню Ты же админ - разберись в чём дело, к тому же не я один жалуюсь.

nice :: Runtime_err0r
У еня почему то, деде не дает сдампить :(

-= ALEX =- :: бывает такое, если с ресурсами плохо...

.::D.e.M.o.N.i.X::. :: Runtime_err0r
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))

Runtime_err0r :: nice

цитата:
У еня почему то, деде не дает сдампить :(


Всё правильно не надо им дампить - жмёшь Get RVA Entry point, находишь OEP, потом грузишь в TRW ставишь бряку на 4504D4, после срабатывания вводишь PEDUMP, потом импорт восстанавлиывешь в 2000/XP как описанно в статье.

.::D.e.M.o.N.i.X::.

цитата:
Раньше все было @!#$ ись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Ну что же, придётся 2 года потерпеть

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Харэ бля гнать ок? Это были проблемы у всех форумов борда.ру, когда они че-то там меняли, так что не надо на меня валить.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Ты что, хочешь сказать, что у меня 6 постов ???


Я хочу сказать, что
MozgC [TSRh] пишет:
цитата:
Я его не обнулял тебе


Runtime_err0r :: MozgC [TSRh]

цитата:
Я хочу сказать, что
цитата: Я его не обнулял тебе


А я и не говорил, что это ты обнулил я просил разобраться, почему такая хе$#я происходит.
По-моему твоя обязанность как администратора форума следить за такими вещами, или я не прав ???

XoraX :: а вообще, может переехать на дрйгой движок?
типа Invision Board, его очень хвалят.
Может найдется желающий поднять это дело....

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
я просил разобраться


Такие «просьбы» приказным тоном меня не прикалывают.

MoonShiner :: Да отъебитесь вы от человека! эка невидаль - рейтинг обнулили... Если бы у меня обнулили - заметил бы через месяц в лучшем случае.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сразу бы и сказал... а то впадлу и лень... займись как-нить для народа.

MozgC [TSRh] :: А че так нельзя догадаться что это не я обнулял? Мне че больше делать нефига как обнулять? На крайняк можно сначала меня было нормально спросить а не гнать на меня бочку.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да тебя хуй пойми, сам виноват. Сначала людей подъебываешь, а потом в случае чего все на тебя ведь идет. Так что не подъебывай и мы будем ласковыми:)

Runtime_err0r :: MozgC [TSRh]
OOPS !!! Теперь нормально Спасибо !

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Не знаю, что тебе показалось, но я никого не подъебывал и не собирался даже подъебывать.

Aragon :: MozgC [TSRh]
А ты не мог бы статью где нибудь выложить в chm формате?

UnKnOwN :: Народ хватает гнать на MozgC [TSRh] , ВАМ что больше не @!#$ делать что ли !!!

Для Aragon , а статью я выложу в этом формате, а потом дам ссылку, это конечно если MozgC [TSRh] разрешит ...

Всех с Наступающим Новым Годом !!!

MozgC [TSRh] :: UnKnOwN
Я не против. Только содержимое оставляй байт в байт. Т.е. если у меня написано какое-то слово, то и в .chm он должно быть тоже написано =) Ну ты понял...

mnalex :: РебРята, Я вот тут читаю - читаю чо вы тута малюете, и вот чо понять немогу, а причем при этих разборках статья????
Статья действительно написана очень хорошо, и мне лично очень приятно, что есть люди которые думают нетолько о себе, но и о других, те кто думают о тех, кто только начал заниматься этим интересным занятием, и я сильно надеюсь, что это доброе дело неумрет только начав расцветать!!!!!
Ребята! Давайте нормально общаться!!! Харе гнать гнилой базар!!!!!!
ВСЕХ С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!!! И пусть прибудет с Вам Сила!!!!




UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая...



UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая печатает некие файлы, защита у неё в файле ДЛЛ, когда её установиш и запустиш то она создаёт файл текстовый в котором какието цифры (по ходу разобрался что за цифры, она берёт какието данные с диска С, наверно серийник или ещё что-то). Для того что бы зарегить прогу надо отослать автору этот текстовый файл, а он в свою очередь пришлёт некую ДЛЛ. Эту ДЛЛ надо кинуть в папку с прогой и всё прога зарегина.

Суть ограничения в том, что прога по истечении времени не даёт роспечатать файл (заблокированы кнопки печати).

Вопрос : как отучить прогу от этих приколов, хотя б чтобы печатала ?

P.S. Прога запакована UPX роспаковывается без проблем, небыло замечено проверки на СРК но если что то поменять в ней то она уже не запускается , если кинуть пустую ДЛЛ в папку с прогой то она скажет что возможно вы там форматнули что - то типа пришлите ТХТ автору снова... .
Какие будут предложения ???
Kerghan :: а че триал снять нельзя?

-= ALEX =- :: повеситься, шутка :) а на чем прога написана ?

UnKnOwN :: Kerghan пишет:
цитата:
а че триал снять нельзя?


а как, в реестре я чё то не заметил таких ключей, а где она свой триал держит я не знаю.

-= ALEX =- пишет:
цитата:
повеситься, шутка :)


Шутки у тебя блин...

-= ALEX =- пишет:
цитата:
а на чем прога написана ?


на Си

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
небыло замечено проверки на СРК


Интересно а как ты пытался заметить контрольной суммы? Надеюсь не с помощью PEid или других программ для поиска криптосигнатур? =)

UnKnOwN :: Прога весит 2,9 Мб
http://www.ukrblank.com/files/ukrblank.exe

Ктонить помогите разобраться

Хелп, Хелп...!!!




MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому...



MozgC [TSRh] Статья про распаковку для полных новичков готова! Может кому пригодиться =)
Читайте пока на www.xtin.org и оставляйте свои комментарии.

PS. Это не самореклама, это Kerghan посоветовал здесь написать чтобы новички узнали.... =)
Kerghan :: MozgC [TSRh]
то-то же

ЗЫ а про in-line так и не написал...

mnalex :: Kerghan
А про ИнЛайн - рано еще, ты сам то посмотри сколько всего в одну статью впихнул, так и запудриться можно будет... Вот начнет работать над следующей - вот тогда и про Риал настругает ;)) !

MozgC [TSRh] :: Kerghan
Я просто посоветовался с моими «бета-тестерами» =), и они сказали что и так информации больно много для одной статьи и трудно будет еще что-то впитать. Все сказали, что лучше все-таки разделить инфу и про инлайн-патчи написать в отдельной статье. Я в принципе согласен, только вот писать уже ничего неохото =)

mnalex :: MozgC [TSRh]
Нераслабляйся!!!! Что жа нам простым смертным (или если хошь Телу) тогда делать, если Мозг расслабиться?? ;)

YDS :: Нормально, так держать. Предлагаю не застывать на этом, а двигаться к более сложным вещам (завершить можно примером написания кейгена для армадиллы с наномитами )

nice :: MozgC [TSRh]
Толковая статья!
ИМХО для новичков лучше не придумаешь!

MozgC [TSRh] :: Спасибо за отзывы. Надеюсь вы искренни =)

MC707 :: Я тож много нового узнал

nice :: MozgC [TSRh]
А что там за защита в ExeStelth, которая не дает сдампить лордом нормально, ре формат корявый?

nice :: MozgC [TSRh]
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...

Runtime_err0r :: У меня рацпредложение по поводу ExeStealth:
1. OEP прекрасно находит плагин GenOEP для PEiD;
2. Дампить можно плагином Pedump для TRW2000

MozgC [TSRh] :: Runtime_err0r
Не, я не люблю всякие плагины автоматические, а TRW не пользуюсь, да и PETools тут справился...

Runtime_err0r :: MozgC [TSRh]
И тем не менее _http://www.zone.ee/Runtime_err0r/MozgC.rar

Ещё один способ (для прог на Delphi) - в DEDE: Tools -› Dump active process -› Get RVA entry point

P.S. Ты теперь админ ? Почему у меня рейтинг обнулился ? верни взад !!!

MozgC [TSRh] :: Runtime_err0r
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)

MozgC [TSRh] :: А че кстати в архиве?

Runtime_err0r :: MozgC [TSRh]

цитата:
А че кстати в архиве?


Страшный вирус - «Новый_Год_2004.EXE» Шучу - распакованный крякмис моим методом.

цитата:
Я его не обнулял тебе. А с таким приказным тоном наврятли он «взад» вернется =)


Ты что, хочешь сказать, что у меня 6 постов ??? Ню-ню Ты же админ - разберись в чём дело, к тому же не я один жалуюсь.

nice :: Runtime_err0r
У еня почему то, деде не дает сдампить :(

-= ALEX =- :: бывает такое, если с ресурсами плохо...

.::D.e.M.o.N.i.X::. :: Runtime_err0r
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))

Runtime_err0r :: nice

цитата:
У еня почему то, деде не дает сдампить :(


Всё правильно не надо им дампить - жмёшь Get RVA Entry point, находишь OEP, потом грузишь в TRW ставишь бряку на 4504D4, после срабатывания вводишь PEDUMP, потом импорт восстанавлиывешь в 2000/XP как описанно в статье.

.::D.e.M.o.N.i.X::.

цитата:
Раньше все было @!#$ ись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Ну что же, придётся 2 года потерпеть

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Раньше все было заебись, а теперь когда Мозгое...МозгС стал админом все полетело куда-то:)))


Харэ бля гнать ок? Это были проблемы у всех форумов борда.ру, когда они че-то там меняли, так что не надо на меня валить.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Ты что, хочешь сказать, что у меня 6 постов ???


Я хочу сказать, что
MozgC [TSRh] пишет:
цитата:
Я его не обнулял тебе


Runtime_err0r :: MozgC [TSRh]

цитата:
Я хочу сказать, что
цитата: Я его не обнулял тебе


А я и не говорил, что это ты обнулил я просил разобраться, почему такая хе$#я происходит.
По-моему твоя обязанность как администратора форума следить за такими вещами, или я не прав ???

XoraX :: а вообще, может переехать на дрйгой движок?
типа Invision Board, его очень хвалят.
Может найдется желающий поднять это дело....

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
я просил разобраться


Такие «просьбы» приказным тоном меня не прикалывают.

MoonShiner :: Да отъебитесь вы от человека! эка невидаль - рейтинг обнулили... Если бы у меня обнулили - заметил бы через месяц в лучшем случае.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Сразу бы и сказал... а то впадлу и лень... займись как-нить для народа.

MozgC [TSRh] :: А че так нельзя догадаться что это не я обнулял? Мне че больше делать нефига как обнулять? На крайняк можно сначала меня было нормально спросить а не гнать на меня бочку.

.::D.e.M.o.N.i.X::. :: MozgC [TSRh]
Да тебя хуй пойми, сам виноват. Сначала людей подъебываешь, а потом в случае чего все на тебя ведь идет. Так что не подъебывай и мы будем ласковыми:)

Runtime_err0r :: MozgC [TSRh]
OOPS !!! Теперь нормально Спасибо !

MozgC [TSRh] :: .::D.e.M.o.N.i.X::.
Не знаю, что тебе показалось, но я никого не подъебывал и не собирался даже подъебывать.

Aragon :: MozgC [TSRh]
А ты не мог бы статью где нибудь выложить в chm формате?

UnKnOwN :: Народ хватает гнать на MozgC [TSRh] , ВАМ что больше не @!#$ делать что ли !!!

Для Aragon , а статью я выложу в этом формате, а потом дам ссылку, это конечно если MozgC [TSRh] разрешит ...

Всех с Наступающим Новым Годом !!!

MozgC [TSRh] :: UnKnOwN
Я не против. Только содержимое оставляй байт в байт. Т.е. если у меня написано какое-то слово, то и в .chm он должно быть тоже написано =) Ну ты понял...

mnalex :: РебРята, Я вот тут читаю - читаю чо вы тута малюете, и вот чо понять немогу, а причем при этих разборках статья????
Статья действительно написана очень хорошо, и мне лично очень приятно, что есть люди которые думают нетолько о себе, но и о других, те кто думают о тех, кто только начал заниматься этим интересным занятием, и я сильно надеюсь, что это доброе дело неумрет только начав расцветать!!!!!
Ребята! Давайте нормально общаться!!! Харе гнать гнилой базар!!!!!!
ВСЕХ С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!!! И пусть прибудет с Вам Сила!!!!

mnalex :: MozgC [TSRh]
nice пишет:
цитата:
Есть три момента, о которых я сам в своё время застревал:
1) UPX + Pe модифицированный, дампить дает, но результат получается не работоспособный,
надо править Ре перед дампом
2) Это конечно же ДЛЛ, я месяца 3 назад умер на распаковке, пришлось искать авторасп.
Релоки и т.п. Может утилиту написать, которая выбраную длл будет грузить, да и Int 3 подставлять?
3) Напиши в статье про Ре-верифер, отлично подказывает где ошибки в дампе...


А вот это дело - еслибы ты смог описать эти моменты для нас - ла... новичков ;) , не ну естественно не в этой статье, а в следующей (во вишь сколько материала нужного для продолжения) :))




vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23...



vins балной вопрос Можно ли оживить дамп, после издевательства ASProtect 1.23 RC4 DEMO или Registered над программой?
Как ето сделать, или что нужно почитать для этого.
test :: Можно. Восстановлением импорта и Stolen Bytes.

vins :: ладно, как восстанавливать импорт, ImpRec ни одной функции не находит?

-= ALEX =- :: протрассировать надо бы, тогда штук 8-12 не найдет, а дальше ручками или плагинчиками...

Kerghan :: ... или OEP правильный выставить

MozgC [TSRh] :: vins
А можно утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...

-= ALEX =- :: Для начала надо найти OEP, потом вписать в ImpRec OEP-ImageBase... Скоро, надеюсь, выйдет статья от МозГа, будем что вам почитать...

MozgC [TSRh] :: Просто такие вопросы... На них трудно да и не охото отвечать... Надо спрашивать что-то более конкретное. Типа «я прочитал статью, попробовал, но в таком-то месте не полачается то-то то-то. Что делать?» А расписывать тут тебе полностью статью по распаковке аспра никто тебе не будет. Без обид, конкретне просто надо спрашивать.

MozgC [TSRh] :: -= ALEX =-
Да пока в ближайший месяц наврятли. Может в начале февраля ченить напишу. А так я уже весь иссяк на написании статьи про распаковку для начинающих.

mnalex :: MozgC [TSRh]
Неужели так трудно писать, если знаешь как делать?

mnalex :: MozgC [TSRh]
Недавай Мозгу отдыхать!!! Энто плохо, говорят раскиснуть можно :( !!!!

Mario555 :: MozgC [TSRh] пишет:
цитата:
утрудить себя прочтением статей по распаковке ASProtect? Коих не мало уже в последнее время...


Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...

Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?

angel_aka_k$ :: Mario555
а че там читать то самому разве не разобратся если прога чего то хочет то почему ей это просто не дать я думаю номек понят :) посиди поковыряйся просто это насамом деле просто !!!! поэтому IMHO обьяснять тебе не кто не будет только если помочь но с нуля извени ..................

test :: Еще вопрос!А если функции экспорт по ординалу.Что в этом случае сделать чтоб прога
работала и в XP и 98 и др?

vins :: angel_aka_k$
Если бы все было просто то никто бы не спрашивал

vins :: -= ALEX =-
Можешь сказать чем отличаются программы пакованые ASP 1.23 RC4 demo и ASP 1.23 RC4 registered

-= ALEX =- Re: vins :: особо ничем ... может и вообще ничем не отличаются... тут смотреть надо, поковыряться в ней, может и найдешь отличия. Но чтобы они по разному распаковывались, такого быть не может.

MozgC [TSRh] :: Mario555 пишет:
цитата:
Это про ASProtect 1.23 RC4 DEMO их «не мало» ??? , я только две видел...


Ну блин как разница RC4 там или че. Если человек умеет распаковывать предыдущие, то он сможет и RC4 распаковать. Там чеисто спертые байты чуть сложнее восстановить, но Хекс в статье Новые Варианты эту процедуру нормально описал. Если же человек не умеет распаковывать предыдущие версии, то зачем ему сразу статья по RC4? Пусть учится на более ранних версиях. Что насчет статей, то много статей у Хекса, еще на крэклабе - статья про NetVampire, ISO Commander еще статья DiveSlip’a и т.д. Что вам мешает? Вы блин ленивые все просто. Возьмите прочитайте все эти статьи а там уже спрашивайте конкретно что не понятно - поможем без проблем. Но вам ведь лень найти и прочитать все статьи и поразбираться пару вечерков!

Mario555 пишет:
цитата:
Где можно почитать про восстановление API аспра (кроме статьи by Kola) ?


Я может не прав и не поймите за хвастовство, но я распаковал примерно 40 аспров и из них примерно в 5 надо было что-то делать с апи. И знаете что было это «что-то». Простое удаление вызовов этих апи или возврат нужного значения как максимум. По себе знаю что многие наслышались умных слов типа «эмуляция и восстановления апи аспра» и все. И думают что же там делать. А ничего не делать. Удалять ссылки на эти апи либо если после этого прога не работает корректно, то попробовать возвратить значение которое возвращает апи аспра. Например было
call aspr_api которая возвращала 1. Причем после распаковки вызов этой апи например приводит к косяку т.к. внутри происходит попытка обращения к телу аспра которого уже нет. Ну так блин замените этот call aspr_api на xor eax, eax, inc eax, nop, nop например. И будет как будто функция возвратила апи. Ну подмену адреса имени зарегенного пользователя я за эмулляцию апи не считаю. Все - это максимум что мне приходилось делать на моей практике. И все всегда работало.

vins :: а это, можно ли в ollydbg bpm esp-4 поставить

-= ALEX =- :: vins ты это у Kerghan’a спроси, он спец по ollydbg :)

nice :: vins
не корректно работает, пока не разобрался в чем дело...

Kerghan :: vins
там кажется другой алгоритм распаковки, есть парочка статей(арма, аспр), но они все на иностранном.

nice :: Kerghan
Есть перевод GLOOM’a
http://gl00m.fatal.ru/art/aspr13.html

vins :: еще вопросик
из-за чего может быть ошибка когда пытаюсь в ice сдампить программу IceExt’ом, пишет чето вроде expetition occured while dump memory to disk что ли.

vins :: а, если в ImpRec’е есть одна неизвесная функция , но нету GetProcAddress можно утверждатьчто эта функция и есть GetProcAddress?

Kerghan :: походу все-таки есть аналог bpm esp-4 в Olly.
в командной строке: tc esp==esp-4
пример:
tc esp==12ffc0
на upx сработало, значит сработает и на аспре ;)

nice :: Kerghan
У меня на UPX и esp-4 сроаботало :)
1) d esp-4
2) Бряк на обращение к этому участку памяти

Но с аспаком уже этот метот не прошел, не говоря про ExeStealth :(

Но все равно спасибо попробую...

MozgC [TSRh] :: vins
Нет, нельзя.

vins :: подскажите как правильно дамп в ice’е ImpExt’ом делать

vins :: ой IceExt’ом

MozgC [TSRh] :: Ты че собрался дампить то ?

vins :: вообще, или есть разница?

MozgC [TSRh] :: есть разница

MC707 :: А если аспр?

vins :: imprec показывает одну ниеизвестную функцию

push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00
pop ebp
retn 4

она нужна или можно ее удалить. программа была запакована ASPR RC4 DEMO

Madness :: vins
По адресу 00133a00 смотри что находится.

angel_aka_k$ :: vins
мдеееее головой не как не подумать эту апи надо наизусть знать
push ebp
mov ebp,esp
mov eax,[ed7e24] //dword value 00133a00 возращаем командную строку например ( c:\myfackinprog.exe)
pop ebp
retn 4
когда прога выходит там другая кострукция
типа
call - мы вышли отсюда
mov eax,esi - а вот здесь заносится версия и командная строка не используется она просто затирается
вобщем на первый взгляд это getcomandline НО если ее так и записать то прога свалится на ret уйдет в облака поэтому это getversionexa !!

angel_aka_k$ :: Madness
ты видно с дельфи прогами не часто встречался :)

-= ALEX =- :: angel_aka_k$ да ладно тебе, научи лучше меня импорт восстанавливать !

angel_aka_k$ :: -= ALEX =-
а че там востанавливать ты про 1.3 ??
( call [aspr] заместо jmp [ IAT offset ] это не самое крутое в аспре 1.3 )

MozgC [TSRh] :: Это FreeResource а не GetCommandLineA...

angel_aka_k$ :: MozgC [TSRh]
это getversionexa я те говорю !! я уже с этим долбался

MozgC [TSRh] :: А я говорю FreeResource =)

-= ALEX =- :: давайте до посинения поспорим :)

angel_aka_k$ :: -= ALEX =-
LOL

-= ALEX =- :: angel_aka_k$
LOL

Madness :: angel_aka_k$
›ты видно с дельфи прогами не часто встречался :)
А хто это? :LOL:

›поэтому это getversionexa !!
аспр(до 1.3) не трогает getversionexa, а только getversion.

99% MozgC [TSRh] правильно говорит.
Для 100% нужен список импорта что есть (только для проги на delphi).

-= ALEX =- :: я согласен с Madness и MozgC [TSRh] !!!

angel_aka_k$ :: иде лана уговорили просто если вставить getversionexa то будет пахать я проверял ;) так что тут уже дело принципа ставить freeresource или getversionexa так как в обоих случаях прога пашет нормально

Mario555 :: Насколько можно доверять плагину ?
Есть ли вероятность, что он неправильно определит функцию (вместо того чтобы оставить её неопределённой).

MozgC [TSRh] :: Канешна есть =)

Mario555 :: MozgC [TSRh] пишет:
цитата:
Канешна есть =)


Как тогда найти неправильно определённую функцию среди правильных (кроме как определять все вручную) ?
Плагин ошибается на какой-то определённой функции, или ошибка равновероятна с любой ?

MozgC [TSRh] :: Посоветую 2 способа:
1) Учиться определять функции вручную
2) Учиться делать так, чтобы аспротект заполнял таблицу импорта адресами реальных апи.

Не посоветую:
Пользоваться плагинами и т.д.

Что насчет ошибки, то она конечно не равновероятна, тем не менее на каких-то функциях и на разных версиях аспра плагины могут ошибиться.
В любом случае нужно обязательно учиться править это вручную.

vins :: короче что с этой ф что без нее не пашет.
выдает ошибку на том же месте. я так понял что эта ошибка появляется из-за попытки программы обратиться к коду аспра, потому что в оригинальной программе ставил бряк на то место где ошибка, и вылазила ошибка протект еррор 17.

MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41

Mario555 :: vins пишет:
цитата:
это Advanced Office XP Password Recovery pro 2.41


Или про Artefact Dictionary ...

vins :: Mario555
нет

MozgC [TSRh] :: vins пишет:
цитата:
MozgC [TSRh]
может поможешь распаковать, за одно и статью напишешь.
это Advanced Office XP Password Recovery pro 2.41


Нееее =) Я помню очень долго мучился с версией 2.30. Распаковывается то легко, а ломал я ее дней 4-5 ! Да и щас сессия, некогда...

vins :: MozgC [TSRh]
так мне как раз распаковка и нужна. у меня там глюки с проверками аспра.

-= ALEX =- :: vins нигде в теле аспра не ставь bpx, тогда не будет protection error’ов.. юзай bpm адрес x, эффект тот же ;)

vins :: -= ALEX =-
это я знаю, я не знаю как избавиться от кала этого адреса я пробовал нопить но там еще куча проверок кажется есть.

так может кто нить распакует, потом мне расскажет.

-= ALEX =- :: а ты можешь поточнее рассказать в чем прикол ? я вот допустим распаковывал этот registered вроде бы...

vins :: у меня peid написал Demo.
на счет прикола не знаю, но после того как я распаковал, сначали глюки были по адресу 0x00000010, там аспр над esi прикалвался, это я исправил, потом ошибка на eip 0x79062506, короче вызов адреса которого нету.
я не заю что делать.

test Re: vins :: Попробовал распаковать вроде все прошло без проблем,stolen bites нет, все шаблонно, правда неопределились 9 ф-ций плагин
ImpRec-а не сработал.Распаковывал по статье про CDClone.Конечно перевод из под переводчика ,но это лутше чем ничего!Если нужно будет - скажи.После анпака проверка какая то не дает запуск переход по адр 004017BA EB 19 JNZ SHORT aoxppr.004017D5 - cменил на jmp - все покатило!

vins :: test
у меня плагин только одну ф-цию не нашел. А ссылку на статью не дашь?

test Re: vins :: Ссылку на сайт дам когда найду.Пока вот http://user.rol.ru/~num11...20clonecd%20por%20ans.zip только без перевода, а статья на испанском.Я переводил через переводчик.Но распаковка 1-1.

Mario555 :: test пишет:
цитата:
все шаблонно


Угу...
А функция эта - GetModuleHandleA.
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.

-= ALEX =- :: Mario555 пишет:
цитата:
Странно вобще-то RC4 DEMO и без краденых байт, да и без «злобных» приколов.


Это зависит от того, поставил ли разработчик программы галочки нужные в ASProtect. В данном случае он не поставил галочку напротив защиты ОЕП




FEUERRADER новая секция Может кто-нибудь подкинуть дельфи-код по добавлению...



FEUERRADER новая секция Может кто-нибудь подкинуть дельфи-код по добавлению новой секции (и чтобы заголовок правился и RV, RS, ImageSize правились) в ЕХЕ и записи нескольких байт в эту секцию?

Мож у кого есть или кто сам писал такое?
MaDByte :: На wasm.ru есть в исходниках (на асме ;))

vins :: у меня исходники какого то криптора morphine есть, на delphi. могу скинуть, может там че найдешь.

XoraX :: vins , выложи куда-нить плиз.
тоже интересно посмотреть.

vins :: XoraX
давай тебе скину, а ты уж...

-= ALEX =- :: FEUERRADER переходил бы уже давно на асм...

XoraX :: vins , кидай

vins :: XoraX
отправил

bi0w0rM :: FEUERRADER пишет:
цитата:
Может кто-нибудь подкинуть дельфи-код по добавлению новой секции (и чтобы заголовок правился и RV, RS, ImageSize правились) в ЕХЕ и записи нескольких байт в эту секцию?
Мож у кого есть или кто сам писал такое?


Первый раз вижу вирмейкера, который на делфи свои аццкие штуки пишет

bi0w0rM :: Мне кое-кто из врагов сказал, что на меня есть компромат:

Оказываецца мои враги такие уроды ;)
КОМПРОМАТ

MC707 Re: bi0w0rM :: Ужжас! Беее-эээ

FEUERRADER :: Ладно, написал сам что хотел. Ща пишу «обманыватель PEiD». Думаю, как и мои последние RE проги, она будет приватная, т.е. только для друзей.

Всё равно, спасибо.

FEUERRADER :: Ладно, написал сам что хотел. Ща пишу «обманыватель PEiD». Думаю, как и мои последние RE проги, она будет приватная, т.е. только для друзей.

Всё равно, спасибо.

-= ALEX =- :: FEUERRADER а смысл такого «обманывателя», по-моему на этом сайте ламаков нету, все умеют на глаз определять пакер и тем более его распаковывать...

Kerghan :: FEUERRADER
ты бы обманыватель для армадиллы написал, прикольно бы было

XoraX :: действительно, зачем крэкерам обменывать Peid?
ты лучше напиши, потом укрась, сделай конфетку и продавай шароварщикам...
главное им впарить, что без Peid крэкер как без рук

FEUERRADER :: 2 -=ALEX=-: я не понимаю, ты чего кипишь поднимаешь? Я никого не называл ламерами... принимаешь всё на себя?

Да большинство крякеров всё-таки пользуется PEiD, это только профи не пользуются, а новички верят. Не думайте, что обманывать peid - это защита. Это просто можно считать одним из методов анти-отладки, что-то типа анти-сайсовых методов. Для реальной защиты этим пользоваться не стоит.

bi0w0rM :: MC707 пишет:
цитата:
Ужжас! Беее-эээ


Это ты про ёга???

Уроды, да??

MozgC [TSRh] :: Не ну чисто ради прикола можно из UPX сделать Xtreme Protector =)

FEUERRADER :: 2 MozgC: я о том же! А все так серьезно восприняли тему...

nice :: FEUERRADER
Да согласен с тобой, защита должна быть многоступенчетой.
А на счет Delphi, опять же DeDe он много чего может, если бы его на асме писали, времени бы раза в 3 больше ушло.

MozgC [TSRh] :: DeDe обломался в новом аспре....

nice :: MozgC [TSRh]
Не знаю, попробовал, у меня переживал,
Утилиты-›Дампить активный процесс и т.д.

MC707 Re: bi0w0rM :: Ага

-= ALEX =- :: FEUERRADER обманыватель peid только для «легких» пакеров, таких как upx и т.д. , т.е. где нету никаких проверок crc и т.д.... ладно, делай.... мож действительно буржуям впаришь...

MozgC [TSRh] :: nice
Когда ставится галочка «Protect Delphi-forms against decompilation» то DeDe в обломе. В твоем случае значит эта галочка не стояла.

-= ALEX =- :: MozgC [TSRh] не у всех пока такой последний аспр :)

Bad_guy :: Вот видишь FEUER какая реакция на антиpeid, теперь ты меня понимаешь ???

-= ALEX =- :: =)

Aragon ::

UnKnOwN :: Для -= ALEX =-

Прикольный аватар, честно ...

bi0w0rM :: 2All: сорри за оффтоп, но что такое NSK ??

Kerghan :: bi0w0rM
Новосибирск, что ж еще
хотя я не оттуда

-= ALEX =- :: =)

UnKnOwN :: Для -= ALEX =-

А так похож...

-= ALEX =- :: UnKnOwN пишет:
цитата:
А так похож...


Я то-ли похож ? ты меня видил ? :) :) 8)

UnKnOwN :: Да нет представил !!!!!

Kerghan :: UnKnOwN
только он еще в очках :)))))))))
...наверно

-= ALEX =- :: нет я не в очках,впринципе мне многе говорят, что похож, так что вы верно подметили




bi0w0rM SVKP 1.3 Кто сабж ковырял??



bi0w0rM SVKP 1.3 Кто сабж ковырял??
test :: по статье juan jose пробовал.Антидебаг,порча импорта,stolen bites,полиморф.Похож на аспр новый но посложнее для
неопытных вроде меня.

Runtime_err0r :: test
Дай ссылку на статью pliz

angel_aka_k$ :: bi0w0rM
давай ссылку на этот сабж посмотрим

Madness :: bi0w0rM
Ковырял, хз какую версию.

test :: Сейчас уточню!Вообщем анпак на примере Registry Medic,я потом пробовал по статье HEX-а SEPP не смог Там прога
автора(ов?) этогоже пакера круто защищена но HEX ее уложил,Если интересно на xing лежит с 2002 года а я сейчас
линк проверю и выложу а то там сайт обновлялся если что выложу где нибудь.

test :: Вот там статья после переводчика и оригинал.Я ничего не крректировал но разобрать можно.Иногда регистр AL переводит как букву «В» http://user.rol.ru/~num111/

bi0w0rM :: http://www.anticracking.sk

Лежит последняя версия. Я сам временно блин не могу исследовать - софтайс не пашет!

bi0w0rM :: Блин, а нет у кого нормального тутора? Перевод аЦЦтойный

angel_aka_k$ :: bi0w0rM пишет:
цитата:
Я сам временно блин не могу исследовать


и не надо не чего интересного не увидешь посмотрел я не каких сюрпризов не чего интересного .............. антидебуг с полиформом мы уже сто раз видели остальное все также только oep запарно искать

Guest :: гы...да оеп свкп прячет покруче аспра.... а дальше и вправду неинтересно...
всем H N Y

bi0w0rM :: А кто может свой нормальный тутор написать??

test :: Прошу прощения.Сейчас проверил.Stolen bytes не присутствует в SVKP.Так что желающие могут и по этой статье
попробовать.Так же рассматривается способ определения отсутсвующих функций!

bi0w0rM :: Можно в общих чертах объяснить, как до ОЕП добрацца? А то такой перевод кривой, нификак непонятно

Runtime_err0r :: bi0w0rM
Если он не ворует байты с OEP то проще всего добраться до OEP с помощью плагина для PEiD’а Generic OEP Finder

test :: Во-первых мы загружаем RegMedical.exe в olly и даем Run, или F9 чтобы видеть загружается

или есть какой-то трюк с antidebugging. Прога не загрузилась, используем, pluggin olly

IsDebugPresent, его устанавливаем в hide.
Снова загружаем прогу в отладчик.Скрывая присутствие дебагера прога загрузилась.

OEP – ищется с методом исключений. А именно, загрузив прогу в olly и активизировав pluggin

IsDebugPresent жмем Run, сработает excpecion ,жмем Shift + F9, столько раз,чтобы
Прога запустилась(считая число нажатий Shift + F9). Я думаю, что это – четыре(бывает и больше).

Теперь снова грузим прогу в отладчик и повторяем все снова .Снова в excpecion
жмем Shift + F9, но три раза,остановились на последнем исключении НЕ нажимая Shift + F9 смотрим

в View Memory, и мы помещаем бряк bpm on access в секцию CODE.

После установки bpm on access, проводим последнее исключение (жмем Shift + F9) и olly остановится

вот здесь: 08AFB181 LODS BYTE PTR DS:[ESI]

если мы посмотрим немного ниже мы можем видеть, что мы находимся в цикле, чтобы
не трейсить его, снимаем бряк bpm on access CODE и помещаем bpx в RETN, после
цикла. Так: …………..
08afb216 popad
08afb217 RETN - cюда
жмем Run, остановились на BPX . Сейчас уже мы пропустили цикл, так что снимаем bpx и давайте

снова помещать bpm on access в секцию CODE и снова Run:
И мы на OEP. 004debb8

bi0w0rM :: До двух часов ночи ковырял СВКП и OEP-таки накопал. Распаковывал специальный крякмис на асме с мессагбоксом, на который

навешан svkp. Естественно EP изначально был 00401000, но после SVKP там были одни ноли. Потом, после снятия дампа, там были

нужные байты. Это меня наводит на мысль, что SVKP ниче даже и не пакует, а скорее наоборот, но это скорее всего неправильное

утверждение, так как в проге на асме и сжимать нечего, надо еще делфу попробовать пожать. До OEP добраться в Olly не

получилось по тутору, совсем другая какая-то бодяга там, может версия у меня новее, т.к. самую свежую скачал. А вот с

софтайсом(+iceext) у меня получилось по bpm esp-4, несколько раз брякнецца и попадет на OEP. Дамп снял, все ОК, только с

импортом проблемы, почему-то процесс не отображается у некоторых Task-viewer’ов, например в ProcDump и в ImpREC(что важно), а

вот PE Tools и LordPE его видят. Еще почему-то LordPE дампить его не может, а PE-тулсы умеют. Как с этим бороться(с

импортом)? Можно конечно и пораньше сдампить - байты на OEP есть уже после первого срабатывания bpm esp-4, но я попробовал

!SUSPEND и софтайс упал :( мож еще попробую. Может EB FE поможет.

MozgC [TSRh] :: bi0w0rM
Посмотри насчет восстановления импорта на сайте у Хекса.

bi0w0rM :: Дык а там написано, как сделать, чтоб оно в таск-вьювере появилось?

Madness :: bi0w0rM
В импреке галочку поставь дебажные привелегии.

ЗЫ. че та нифига тег bold не работает в опере.

RideX :: 1) Поиски ОЕР:
ОЕР очень часто легче искать в дампе, когда-то на wasm.ru NEOx/[uinC] давал сборничек РЕ-файлов разных компиляторов, они могут помочь в поиске, а для Delphi программ ищите по сигнатурам в InitExe, потому что, например, ASProtect может украсть начальные байты с OEP, но только до этого call’а.

CODE:005E4D94 push ebp
CODE:005E4D95 mov ebp, esp
CODE:005E4D97 add esp, 0FFFFFFF4h
CODE:005E4D9A mov eax, offset dword_5E468C
CODE:005E4D9F call @Sysinit@@InitExe$qqrv ; Sysinit::__linkproc__ InitExe(void)

2) Импорт:
Проблему с восстановлением импорта не решил :( Рассматривал прогу Download Accelerator Plus 7.0 (http://www.speedbit.com/), SVKP 1.3x

Легко можно восстановить вручную или с помощью плагина SvkpIAT, функции, которые начинаются с адресов 00Сххххх, они имеют вид:

00C00001: jmp 00C00005
00C00003: xxxxxxxx
00C00005: push ebp
00C00006: jmp 00C0001A
...

00C0001A: mov ebp,esp
00C0001C: jmp 00Cxxxxx
...

Не восстанавливаются 4 функции с адресов 00BFxxxx:
00BF33FC
00BF5A78
00BF721E
00BF988B

Без них дамп не работает :(

MozgC [TSRh] :: Имхо надо по нормальному ОЕП искать а не по сигнатурам да и плагинами не пользоваться...

Madness :: RideX
›функции, которые начинаются с адресов 00Сххххх, они имеют вид...
Такие функции импрек сам может восстановить трейсером.

›Не восстанавливаются 4 функции
Если они идут подряд, то это функции из svkp_dll (мелкая, в ultrafxp оно называлось ultrafxp.dll).

MozgC [TSRh]
›да и плагинами не пользоваться...
А мне мой плагин к аспру нравится ;) Ни одного сбоя кста не было с полгода уже...

UnKnOwN :: Для Madness :

Какой плагин, если секрет, ещё и к аспру ???

Madness :: UnKnOwN
Импорт восстанавливать (обновленный стандартный плагин), старая версия есть на wasm.ru

UnKnOwN :: Madness

Понял спасибо...

Mario555 :: MozgC [TSRh] пишет:
цитата:
плагинами не пользоваться


Дык там штук 30 этих функций. Причем большинство такие как RideX написал, определяются не сложно, но долго и муторно.
Madness пишет:
цитата:
Такие функции импрек сам может восстановить трейсером


У меня почемуто их даже плагин не востанавливает (SVKP скачан сегодня).
Madness пишет:
цитата:
), старая версия есть на wasm.ru


А новая ?

Madness :: Mario555
›У меня почемуто их даже плагин не востанавливает
RideX привел вид функций, которые получаются спиранием куска кода с начала функций до первой неперемещаемой и добавлением всяких jmp и в конце прыжок на продолжение, по-моему мне тогда хватило trace level 1 (disasm).

›А новая ?
На wasm нету, он только переделан для импрека 1.6 (сменился интерфейс плагинов) и добавлено определение пары функций-переходников аспра.

XoraX :: Madness , дай пожалуста.

Madness :: XoraX
http://kpteam.com/index.php?show=tools
Скоро будет.
PS. [_b_] - не пашет.

XoraX :: ок, ждем

RideX :: Madness пишет:
цитата:
[_b_] - не пашет


Скоро будет ;), вот что пишут:
Вы можете вставлять картинки, если Ваш ранг от 50
Смайлики от 0, шрифты от 50, без антифлуда от 100

-= ALEX =- ::

-= ALEX =- :: круто




123 Всем привет Люди помогите плиз, попалась запакованная прога PeiD пишет...



123 Всем привет Люди помогите плиз, попалась запакованная прога PeiD пишет что она запакована WIN32 PE File – GUI, я распаковал ее Generic Unpacker Win32 но она почему то отказывается работать (она написана на Delphi)
-= ALEX =- :: народ, а WIN32 PE File – GUI это разве пакер ? по-моему это и есть WIN32 PE File файл, или я ошибаюсь ?

XoraX :: мде.. 123, рановато ты практикой занялся, почитал бы статеек, туториалов а потом...

MaDByte :: -= ALEX =- пишет:
цитата:
WIN32 PE File – GUI это разве пакер ? по-моему это и есть WIN32 PE File файл, или я ошибаюсь ?


WIN32 PE File – GUI это и есть WIN32 PE File, может просто замаскирован...

XoraX :: если еще кто-то не въехал, GUI - значит graphical user interface

-= ALEX =- :: ну вот я так и думал, просто малоли, лоханулся бы ... :)




F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал...



F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал ктонить а то по нету валяются кряки только до второй версии?
Mario555 :: После распаковки триал отвалился (почему-то вместе с функцией прятания от диспетчера задач...)

-= ALEX =- :: Mario555 дак ты дальше ковыряй...

MC707 :: Линк надо, чтоб что то сказать.

Gloomy :: Уже версия 3.01 есть. Смотреть тут: http://www.refog.com/files/keyspectpro_30.exe (1 Мб)

MC707 :: Не, я так не играю . Тут аспр 1.3 навешан. Я еще только учусь с ним разбираться...

-= ALEX =- :: MC707 главное чтоб там не было спизженной структуры, а так можно распаковать...

MC707 :: Мне IAT руками что-то не в кайф восстанавливать. А импрек не находит.

Mario555 :: MC707 пишет:
цитата:
А импрек не находит


Находит, только неправильно...
IAT FE168 size ~900 OEP 000EF1BB
Краденые байты:
PUSH EBP
MOV EBP,ESP
MOV ECX,7
NOP

MC707 пишет:
цитата:
Тут аспр 1.3 навешан


Это почему (как ты это определил) ?

-= ALEX =- пишет:
цитата:
главное чтоб там не было спизженной структуры


А шо это ?

XoraX :: Mario555 пишет:
цитата:
А шо это ?


это спижженые байты.

MC707 :: 2 Mario555: А глаза на что? Хотя бы PEiD возьми...
Mario555 пишет:
цитата:
Находит, только неправильно...


Дык я это и имел ввиду

-= ALEX =- :: XoraX пишет:
цитата:
это спижженые байты.


Неее братцы, это покруче будет ! Все наверное знают как выглядит начало к примеру дельфи прог... call’ы всякие и т.д. в пердпоследнем прога запускается.... дак вот эта вся структура в теле аспра щас с мусором находитья :) или :(

F :: Не знаю как насчет 3.1 а у меня при распаковке 3.0 возник вопросик:
Распаковываю Keyboard Spectator Pro 3.0 упакован ASProtect 1.23 Нашел OEP - 4EF1C4 нормально подправил импорт. Запускаю прогу вылетает ошибка Программа 1 вызвала ошибку обращения к стеку
в модуле 1.EXE по адресу 0167:004ef1c6.
Лезу смотреть что там за траблы :
4EF1C2 0000 ADD[EAX],AL
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:

4EF1C3 006A00 ADD[EDX+00],CH ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX
4EF1C9 JNZ 004EF1C4
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

Есть какиенить соображения?
И еще в этой проге когда искал OEP аспр часто использовал функции ReqQuery_кактотам_непомню (ну типа к реестру обращается) до полиморфного кода хотя в других прогах запакованных этой версией я что-то такого не видел? Что за хрень?

XoraX :: -= ALEX =- , гкхм.. это ты про последний аспр?

Serg :: F пишет:
цитата:
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:


А откуда ты этот код взял? Из проги? из аспра? или... ?
В Delphi такое часто встречается, например для выделения памяти
под локально объявленный буфер, заодно ее 0’м инициализирует..

br, Serg

-= ALEX =- :: XoraX да я про новый аспр

New beta version 1.3 is ready.

All options are in the beta state, so please report us about possible bugs.
We’re working on short keys version of ASProtect 2.0 too, so hope to see the
alfa version in about one month.

Thanks for your help! So now few words about new version:

It has few very important security options against manual unpacking:

1. New import table protection (protects automatically)

2. New options (Options Tab)

- Protect Delphi forms against decompilation
This options protect Delphi forms constantly in the memory,
so it’s impossible just dump all forms from memory when an
application is running.

- Improved EntryPoint protection
It’s old but improved option when a part of application -
(usually about few hundred bytes) is copied to the envelope’s
code and change its content thru emulation, so it’s not so easy
to restore the original code ever by hand.

- Emulate Exception Handlers
Very power option against manual unpacking - ASProtect removes some code from
protected application and put wrong opcodes on changed places. If the application
generates an exception (wrong opcode) ASProtect check its tables and handle the
exception then executes removed code in the memory and returns the control to the
application.

- Emulate Standard system functions
One more good option against manual unpacking - ASProtect just removes some common
functions from protected application and executes them in the envelope code.

3. New ASProtect envelope checks
In order to use new checks you need to insert one of two type of checks:

Type 1 - if ASProtect envelope was removed - it just generates an exception.
You can handle it and then do something awful.

Example for Delphi (see \Examples\Delphi\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
MessageBox(0,’Begin’,’’,0);
{$I DelphiCheck.inc}
MessageBox(0,’End’,’’,0);

Example for Visual C (see \Examples\VC\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
#include «include\aspr.h»

MessageBox(0,«Begin»,»»,0);
#include «include\cppCheck.inc»
MessageBox(0,«End»,»»,0);

Type 2 - this type works as a function that returns false if ASProtect envelope
was removed.

Example for Delphi (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
Function EnvelopeCheck: Boolean;
{$I DelphiProcCheck.inc}

//...

If not EnvelopeCheck then // .. do something awful

Example for Visual C (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
BOOL EnvelopeCheck()
{
#include «include\cppProcCheck.inc»
}

if ( !EnvelopeCheck() ) // .. do something awful

4. New code sections with CRC (for EXE files only !)
Very useful against loaders. So if you want to set additional CRC check for some fragment
of your code just insert a special markers at the begin and end of this code:

Example for Delphi (see \examples\delphi\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}

Example for Visual C (see \examples\vc\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~
#include «include\aspr.h»

#include «include\cppCrcBegin.inc»
// some code
#include «include\cppCrcEnd.inc»

NOTE! This version doesn’t support nested marks, so please don’t use
the code like this:

{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}
// some code
{$I DelphiCrcEnd.inc}

-= ALEX =- :: круто да ?!

Serg ::
цитата:
1. New import table protection (protects automatically)


Это, видимо, про новые переходники для API + бряки не ставятся на используемые аспр’ом API.

цитата:
- Protect Delphi forms against decompilation
- Improved EntryPoint protection
- Emulate Exception Handlers
- Emulate Standard system functions


Воо - а это кто-нибудь видел ??

br, Serg

-= ALEX =- :: ну я видел, раз уж написал :)

Runtime_err0r :: -= ALEX =-
Да ты никак ASPRotect покупаешь ?

Mario555 :: MC707 пишет:
цитата:
Хотя бы PEiD возьми...


Пишет что ASProtect 1.23 RC4 Registered.
А адрес Iat по getprocaddress найти несложно.

F пишет:
цитата:
Нашел OEP - 4EF1C4


Это не совсем OEP, оно без краденых байт. Кстати даже после вписывания этих байтов, прога запускаться не будет, там ещё править надо...
F пишет:
цитата:
когда искал OEP аспр часто использовал функции ReqQuery


Это как ты так искал ? Там же по Esp-24 всё легко находится.

-= ALEX =- :: Runtime_err0r я его произвожу :)

Serg ::

цитата:
Runtime_err0r я его произвожу :)


Не смешно. Ты живешь в Новосибирске, скорей всего по диалапу
в инет выходишь.. через «электросвязь Новосибрска» что на Орджоникидзе 18.
Никакой ты не автор, тем более не сотрудник.

br, Serg

F :: Mario555
OEP искал посредством прохода вручную сначала бряк на мапвиеооффайл или как его там потом бряк на гетпрокадресс )) ну а потом пешочком.
2 Serg а код приведен из когда запускаю подправленный дамп просто переименован как 1.exe

-= ALEX =- :: Serg блин какой ты умный, я аж поражаюсь. Мож ты и мой адрес скажешь ? и домашний телефон ? А вообще у тебя с юмором @!#$ во....

Mario555 :: F пишет:
цитата:
ну а потом пешочком


И сколь раз начинал этот путь заново?

MC707 :: 2 Mario555
Новый PEiD возьми с сайта автора.

F :: 2 Mario
немного раза 4 =)

Mario555 :: MC707 пишет:
цитата:
PEiD возьми


У меня PEiD v0.91 build 02.01.2004...
Да и вообще, какая на х** разница, что он пишет, если бы написал что это арма, тоже бы поверил?
Ты про 1.3 на xtin статью читал? В Keyboard Spectator Pro что нибудь подобное видел?
Это не 1.3, я бы его врятли распаковал, а с этим справился.

MC707 :: 2 Mario555
Я вообще-то с самого начала говорил, что на анализаторы надеяться не стоит. Первым делом сам смотрю чем прога пакована. А ПЕиД пользуюсь, чтоб версию уточнить. Статью читал. ХЗ может это и не 1.3. Просто сказал, что ПЕиД написал. Глупо, конечно, признаю.

-= ALEX =- :: peid этот не точный, пишет вот так 1.23 rc 4 - 1.3.8.07 :) причем без разницы на самом деле чем запаковано :) АСПР 1.30 пока редко встречается я его вообще в прогах не встречал, пока только он у меня :) там вооще труба полная




XPiS Восстановление CRC32 После успешного взлома программы (очень простого,...



XPiS Восстановление CRC32 После успешного взлома программы (очень простого, замена 1 байта) программа без предупреждений и
ошибок начинает работать глючно. Явная проверка CRC32, но она нигде не видна. Логично предположить, что
можно еще поменять какие-то байты для восстановление исходного CRC. Возможно ли это? Если нет, то подскажите,
как можно найти проверку CRC.
Kerghan :: XPiS
1. искать, где идет проверка и править je(jne) на jmp(nop)
2. Есть плагин к PEiD для восстановления CRC

второй способ я не испытывал

MozgC [TSRh] :: Что за программа? Ты уверен что там CRC32?

MaDByte :: XPiS пишет:
цитата:
как можно найти проверку CRC


Поставь бряк на тот байт, который поменял...

Guest :: crypto checker от alephz используйте...




Dmitry$ Как можно вылечить игры от Trymedia ? Вообщем проблема такова на...



Dmitry$ Как можно вылечить игры от Trymedia ? Вообщем проблема такова на сайте http://www.trygames.com/ лежит много давольно таки прикольных игр. Я скачал несколько и заинсталил. После того как я запустил появился Интернет эксплорер но без кнопок и адрессной строкию На странице открытой в нём мне предлогалось поиграть в эту игру 60 минут или же сразу её купить ну я разумееться выбрал поиграть. Игра мне очень понравилась и я в неё заигрался и кокраз проиграл этот час , после чего игра вылетела и появился опять браузер на странице которого было написано что типа триал кончился и чтобы про дожить играть заплатите 50 баксов :(
Я подумал что может сам смогу вылечить эту игру, и сразу стал проверять незапакован ли чем её ехе (проверял Peid’om 9.1) Peid написал «Nothing found [Overlay]» я так понял что файл запакован . В W32dsm ничерта не было кроме голого асм кода :( Я попробовал заменить ехе на крякнутый тойже версии с портала GameCopyWorld, браузер перестал выскакивать и игра вроде бы стала работать, но когда я попытался загрузить какой либо вариант игры то игра на экране «LOADING» на середине процесса загрузки вылетает :(
Народ если кто знает чем помоч отпешитесь пожалуйста......
Aragon :: Ща посмотрю, ответ я тебе уже завтра напишу.

Dmitry$ Re: Aragon :: хорошо , только если можно то лучше ответь на dmitrij@boldnet.lv...

Aragon :: Dmitry$
Че та я на сайт зайти не могу мож сылка битая, да не вроде игра большая если нет на мыло скинь aragon@pisem.net

Dmitry$ Re: Aragon :: Koroche ti sovsem tyda zajty nemozhesh ?

Dmitry$ :: s ssilkoj vse u menja rabotaet normalno,
a igra bolshaja no mogu datj prijamuju ssilku na nejo :
http://fe.trymedia.com/d/...z_gameaday/LOSVietnam.exe

Dmitry$ :: slushaj ja tibe poslal 2 pisma s fajlamy v pervom na 960 kb vo vtorom na 413 kb , ony mne obratno vernulys tipa nesmogly probytsija ...:(((((

Aragon :: Dmitry$
Попрубуй написать на Имятоже@list.ru

Dmitry$ Re: Aragon :: zhdi uzhe poslal....

MC707 :: Не подскажешь где взял peid 9.1?

Dmitry$ Re: MC707 :: http://www.mesa-sys.com/~snaker/peid/

MC707 :: Присмотрись-ка к версии

Dmitry$ Re: MC707 :: Извиняйте :) перепутал малёхо ....

Dmitry$ :: Aragon , nu che tam gluxo ?

Aragon :: Dmitry$

Там глухо, ищу игру по всем друзьям.
Я тебе ответ на мыло вышлю.

Aragon :: У кого есть игруха может покавырятся.Там что-то вроде аспра навешано.

Dmitry$ Re: Aragon :: da ja tozhe ctoto-takoje podumal ...
ok otve4aj togda uzhe na milo ... spasibo !




UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая...



UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая печатает некие файлы, защита у неё в файле ДЛЛ, когда её установиш и запустиш то она создаёт файл текстовый в котором какието цифры (по ходу разобрался что за цифры, она берёт какието данные с диска С, наверно серийник или ещё что-то). Для того что бы зарегить прогу надо отослать автору этот текстовый файл, а он в свою очередь пришлёт некую ДЛЛ. Эту ДЛЛ надо кинуть в папку с прогой и всё прога зарегина.

Суть ограничения в том, что прога по истечении времени не даёт роспечатать файл (заблокированы кнопки печати).

Вопрос : как отучить прогу от этих приколов, хотя б чтобы печатала ?

P.S. Прога запакована UPX роспаковывается без проблем, небыло замечено проверки на СРК но если что то поменять в ней то она уже не запускается , если кинуть пустую ДЛЛ в папку с прогой то она скажет что возможно вы там форматнули что - то типа пришлите ТХТ автору снова... .
Какие будут предложения ???
Kerghan :: а че триал снять нельзя?

-= ALEX =- :: повеситься, шутка :) а на чем прога написана ?

UnKnOwN :: Kerghan пишет:
цитата:
а че триал снять нельзя?


а как, в реестре я чё то не заметил таких ключей, а где она свой триал держит я не знаю.

-= ALEX =- пишет:
цитата:
повеситься, шутка :)


Шутки у тебя блин...

-= ALEX =- пишет:
цитата:
а на чем прога написана ?


на Си

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
небыло замечено проверки на СРК


Интересно а как ты пытался заметить контрольной суммы? Надеюсь не с помощью PEid или других программ для поиска криптосигнатур? =)

UnKnOwN :: Прога весит 2,9 Мб
http://www.ukrblank.com/files/ukrblank.exe

Ктонить помогите разобраться

Хелп, Хелп...!!!

Васек :: UnKnOwN
Если сможешь помочь, буду очень благодарен, у меня таже проблема, как ее сломать (суку), обычно все креки нашими умными хакерами делаються за несколько дней, а здесь темный лес!!! Если что будет скинь ссылку на teplolux@zmail.ru
С меня поляна!!!

Madness :: UnKnOwN
›Эту ДЛЛ надо кинуть в папку с прогой и всё прога зарегина.
›Суть ограничения в том, что прога по истечении времени не даёт
›роспечатать файл (заблокированы кнопки печати).
Я бы на месте автора в эту dll и вынес бы функции печати. Во время триала печатать то можно?

ЗЫ. Вроде был топик по этой проге.

UnKnOwN :: Васек

Если тебе нужен кряк к этой проге поищи в инете, MozgC [TSRh] её уже зарелизил, если что может я где выложу, если не найдёш...




DEMON Никак не могу придумать что делать! Нашел адрес вывода сообщения о...



DEMON Никак не могу придумать что делать! Нашел адрес вывода сообщения о неправильном рег.
коде, поставил бряк и попал в АЙС:
E88F690000 CALL 004B5528 ‹= здесь я оказался
8D45EC LEA EAX, [EBP-14]
E8BB670000 CALL 004B535C
8B45EC MOV EAX, [EBP-14]
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код но как его узнать?????? :-((
Помогите мне пожалуйста!!!!!!

MC707 :: Сылку надо. Тогда объяснить хоть чтото можно.

-= ALEX =- :: MC707 так неинтересно, надо на словах челу объяснить... заходишь и смотришь в регистры, ищешь введенные данные и т.д.

MC707 :: DEMON пишет:
цитата:
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код


Как в «сравнении» может генериться код, интересно мне знать?

odIsZaPc :: DEMON пишет:
цитата:
Нашел адрес вывода сообщения о неправильном рег.
коде, поставил бряк и попал в АЙС


Судя по твоим словам, ты в данный момент находишься в коде, который выполняется в случае неправильной регистрации - дальнейшее исследование смысла не имеет... если только не в дизассемблере. Делай ну хотя бы так: Вводи Рег.номер, ставь бряк например на GetDlgItemTextA, GetWindowTextA, hmemcpy. Потом выходи из аАйся и тыкай в окей (или что там у тебя) - прервешся по одному из этих breal point’ов. Тыкаешь F12 - выходишь из этой функции. Удаляешь все бряки. Далее ищешь в памяти введенный тобой серийник («s 0 L -1 «Serial»). Находишь его, ставишь bpm на первый его символ или на весь диапазон (bpr). Потом отпускаешь Айс. А вот дальше он будет прерываться много-много раз по этому Бряку - твой задача отследить где же происходит сравнение, а там неподалеку скорей всего и увидишь правильный SERIAL.
DEMON пишет:
цитата:
E88F690000 CALL 004B5528 ‹= здесь я оказался
8D45EC LEA EAX, [EBP-14]
E8BB670000 CALL 004B535C
8B45EC MOV EAX, [EBP-14]
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код но как его узнать?????? :-((
Помогите мне пожалуйста!!!!!!


* - есть сравнение байта лежащего по адресу EAX+01 c числом 29h. Если тут что-то и генерируется то только в E8BB670000 CALL 004B535C. Заходи в эту процедуру и трейси ее потихоньку, но, ИМХО, ты совсем не в том месте находишься т.к. (см. выше).

odIsZaPc :: Каждый делает по-своему...

MC707 :: odIsZaPc пишет:
цитата:
Каждый делает по-своему...


Именно! Так как ты написал - хороший способ, но имхо не самый лучший. Самый лучший для описания и для новичков.
Если я так буду делать - на поиск сериала уйдет час. Своими способами я это сделаю минут за 15. От проги конечно зависит, но я в среднем...

DEMON :: odIsZaPc
Спасибо тебе за совет, но я так уже делал. Ни@$ена не выходит.
MC707
Эта прога Adwansed RAR Password Recovery v1.1 RC2

А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))

DEMON :: ПРОШЛОЕ НЕ ЧИТАЙТЕ, ГОВНО какое-то!!!
odIsZaPc
Спасибо тебе за совет, но я так уже делал. Ни@$ена не выходит.
MC707
Эта прога Adwansed RAR Password Recovery v1.1 RC2
http://www.intelore.com/w...rar-password-recovery.exe

А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))

Madness :: DEMON
›А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))
1) Контрольная сумма участка = 29
2) Один из символов (первый если считать с нуля) = 29
3) Элемент какой-нить структуры = 29
4) Придумай сам.

odIsZaPc :: DEMON пишет:
цитата:
Эта прога Adwansed RAR Password Recovery v1.1 RC2


А готового кряка нет?

odIsZaPc :: MC707 пишет:
цитата:
Именно! Так как ты написал - хороший способ, но имхо не самый лучший. Самый лучший для описания и для новичков.
Если я так буду делать - на поиск сериала уйдет час. Своими способами я это сделаю минут за 15. От проги конечно зависит, но я в среднем...


Согласен - это для новичков.... Что посоветуешь ты?

MC707 :: Я ищу в коде то место, которое отвечает за регистрацию. Найти его достаточно легко, особенно если прога на дельфях

DEMON :: MC707
Да она на Дельфи. Розкажы что ты думаешь по этой теме. Как мне быть.

odIsZaPc
Готового нет я искал. Да и из-за етой проги все началось (хотел бы ломануть её сам) ;-))

DEMON :: 743D JZ 004AEBE7 ‹- Я думаю надо чем-то еог забить!!!!!!
6A40 PUSH 00000040

* POSS. STRINGDATA REF FROM DATA OBJ -› «Registration»

infern0 Re: odIsZaPc :: Если мы говорим о проге из серии Advanced ... passwordd recovery то во всех них одинаковый алгоритм проверки - от серийника считается MD5 hash и сравнивается с набором уже просчитанных хэшей жестко зашитых в прогу. Наиболее реальный способ взлома - это просчитать хэш от своего любого серийника и пропатчить прогу. Ессно там есть еще небольшая проверка целостности массива хэшей, но это оставим для самостоятельного поиска :)

DEMON :: infern0

цитата:
Если мы говорим о проге из серии Advanced ... passwordd recovery то во всех них одинаковый алгоритм проверки - от серийника считается MD5 hash и сравнивается с набором уже просчитанных хэшей жестко зашитых в прогу. Наиболее реальный способ взлома - это просчитать хэш от своего любого серийника и пропатчить прогу. Ессно там есть еще небольшая проверка целостности массива хэшей, но это оставим для самостоятельного поиска :)

Ну ты загнул. А на русском языке???

MC707 :: DEMON пишет:
цитата:
743D JZ 004AEBE7 ‹- Я думаю надо чем-то еог забить!!!!!!
6A40 PUSH 00000040

* POSS. STRINGDATA REF FROM DATA OBJ -› «Registration»


без кооментариев....

Пользуй прогу DeDe.

odIsZaPc :: MC707 пишет:
цитата:
Пользуй прогу DeDe.


Че-то DeDe его хреново распознает. UPX распаковывался вручную...

MC707 :: Дык распакуй сначала а потом в DeDe суй. Или дампь активный процесс.

DEMON :: MC707

Ну так поведай нам как его дампить?????!!!!!!!!

DEMON :: Я наверное дней пять парюсь!!!!!!!!!

odIsZaPc :: MC707
Так а я что делаю? Распаковываю, а потом в DeDe сую... и нихрена не декомпилит....

odIsZaPc :: DEMON пишет:
цитата:
Ну так поведай нам как его дампить?????!!!!!!!!


Не буду тут тебе расписывать как это сделать. Прежде чем за это браться, почитай статейку «Великого_Писателя [TSRh]»:
http://cracklab.narod.ru/doc/pkk.htm

MC707 :: odIsZaPc пишет:
цитата:
Так а я что делаю? Распаковываю, а потом в DeDe сую... и нихрена не декомпилит....


Значит либо глюк у тебя, либо не дельфя...

odIsZaPc :: PeiD показывает: «Borland Delphi Heuristic Mode»

DEMON :: Ща прочту межет и пойму в чем тут гвозди!!!




DEMON С чем «кушать» DeDe Вот установил DeDe.



DEMON С чем «кушать» DeDe Вот установил DeDe.
Запускаю жму Process(и все такое)-› Procedures-› Dissasemble proc.
А он мне Enter begin RVA -› ввожу 00400000, а он мне «RVA not in CODE section.», кто знает че туда надо писать???
Я думал ДеДе это дизассемблер!!!!
MozgC [TSRh] :: DEMON пишет:
цитата:
Я думал ДеДе это дизассемблер!!!!


Это и есть дизассемблер. Что насчет RVA, то 400000 это VA а тебе надо ввести 1000 скорее всего или RVA начала процедуры. Хотя у меня никогда не спрашивает этого и я вообще первый раз об этом слышу =)...

DEMON :: А как узнать «RVA начала процедуры»??? А то »...ввести 1000 скорее всего...» не помогает!!!!

MozgC [TSRh] :: У тебя в закладке Procedures перечислены все формы программы и процедуры используемые в каждой форме ?

DEMON :: Нет ничего там не перечислено?!

odIsZaPc :: DEMON
Как так? Странно...

XoraX :: DEMON
1. уверен, что открываешь дельфовый файл?
2. уверен, что файл не сжат?

DEMON :: XoraX
Да файл Дельфи, на всякий пожарный PEid тоже так говорит.
Да, не сжат. Я его розпаковал.

DEMON :: Я тут с ума схожу?????

MoonShiner :: Значит распаковал через одно место... Случайно не упх-ом был пожат?

DEMON :: Да UPX. Я его розпаковал по статье Mozg-а!!!
http://xtin.km.ru

DEMON :: MoonShiner




dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена...



dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена WDasm’у, просто оччень отличная (советую почитать описание :) )

но, как вы понимаете не все так просто ;)
прога хочет денюшек. Она запаковна, но это снимается. Но остаются ее внутренние проверки (почти как в аспре) т.е. код проверки ключа генерится в проге, заталкивается в стек и там исполняется.
вопщем мозги сломать можно.
предлагаю коллективно сломать :)

-= ALEX =- :: мда.... описаловка крутая ! ну для ламеров мож и сойдет...

Dred :: Вобщем ASPack2.12 в автораспаковщике неполучилось распаковать.
Ковырялся ручками. Сдампил процесс. Заменил точку входа(как в статье все делал короче).
Но дамп не хотит запускаться.
Открыл в Pied’e бороланд c++ 1999
Сунул в реставратор. Глядаю а ресурсы не все распаковались,
точнее там самое нижнее Version испорченый ресурс.

ПОСОВЕТУЙТЕ ЧТО НИБУДЬ
моГет выкинуть его можно? всмысле испорченный ресурс

odIsZaPc :: Dred
А импорт восстановил? И ты точно уверен что там именно ASPack? PeID мне ничего не пишет...

Kerghan :: odIsZaPc
то, что он не пишет не означает сто его там нет

dMNt :: да там похрен что за пакер, PEiD тоже обануть можно ;)
распаковываецца влет.. ReVirgin импорт как 2 (два) пальца восстанавливает
самое интересное потом начинаетца :)

test :: Stud_PE1.8 сразу определил.И импорт впорядке на OEP 00401480 › JMP SHORT dump.00401492. А что интерсное там?Это вроде
дизасм только,а WDASM еще и отладчик.

dMNt :: интересное в том, что снятие пакера это еще не регистрация программы
а там оно наворочено :)

-= ALEX =- :: dMNt ну ковыряйся, раз уж тебе эта прога понравилась, мне лично не охота скачивать ненужные проги... инету нету

odIsZaPc :: И че в этом DASM’е такого крутого? Хрень какая-то - еще и бабок требует...

XoraX :: и вообще, в соседнем топике IDA раздают, качай и наслаждайся.

Dred :: 2dMNt
Если не секрет как импорт восстановмть можно?
В статьях инфы маловато как мне показалось.
Ты все секции распаковал?
А то у меня чето не получилось.




DEMON Старая песня про UPX Не могу розпаковать SFX-архив упакованый UPX.



DEMON Старая песня про UPX Не могу розпаковать SFX-архив упакованый UPX.
Шо я тока не пробовал, прочитал с десяток статей на эту тему, но ничего не помогает.
Интерестная статья Mozg-а на http://xtin.km.ru привела меня ближе всех к розпакованой проге,
но и тут фигня, прога не запускаеться.
ОШЫБКА ПРИ ЗАПУСКЕ!!!!
Runtime_err0r :: DEMON
Ссылку давай, а вообще попробуй UPX Fix - скорее всего получится

MoonShiner :: DEMON пишет:
цитата:
SFX-архив


Это ты случаем не самораспаковывающийся винрар какой нить в виду имеешь? Дык, обломись, не получится. По крайней мере хотя бы в том случае, когда ты новую секцию (с импортом) приклепаешь.

odIsZaPc :: А зачем распаковывать SFX-архив??? Ты его ломать что-ли собрался? Он регистрации просит? =)

UnKnOwN :: DEMON пишет:

цитата:
Не могу розпаковать SFX-архив упакованый UPX.


А что так можно, не знал, ты меня конкретно удивил...

P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...

MoonShiner :: UnKnOwN пишет:
цитата:
Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...


Да не, имеется в виду, что если ты посмотришь на секции SFX-a, то увидишь секции, которые делает UPX. И PEid какой нить заявит, что это UPX.

Runtime_err0r :: UnKnOwN

цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...


А в чём проблема-то ? Файл Default.SFX из дистрибутива WinRAR им и запакован

-= ALEX =- :: Runtime_err0r правду говорит, я помниться сам эти Default.SFX делал, изменял по своему вкусу, а сам RAR архив по-моему в конец файла крепиться... не понял я вопроса, зачем sfx архив распаковывать ???

XoraX :: на сайте винрара можно скачать распакованный default.sfx...
это чтобы делать SFX-архивы со своим интерфейсом...

DEMON :: UnKnOwN пишет:
цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX


МОЖНО
Вот ссылка
http://www.artmoney.ru/artmoneypro706rus.exe
-= ALEX =- пишет:
цитата:
не понял я вопроса, зачем sfx архив распаковывать ???


Для того что-бы ломануть!!!

DEMON :: UnKnOwN пишет:
цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX


МОЖНО
Вот ссылка
http://www.artmoney.ru/artmoneypro706rus.exe
-= ALEX =- пишет:
цитата:
не понял я вопроса, зачем sfx архив распаковывать ???


Для тогочто-бы ломануть!!!

Kerghan :: DEMON пишет

цитата:
Для тогочто-бы ломануть!!!


удачи :)))))))))

-= ALEX =- :: DEMON а что ломать там ???

XoraX :: неужели народ все еще верит, что можно сломать запароленный RAR архив?

DEMON :: XoraX пишет:
цитата:
неужели народ все еще верит, что можно сломать запароленный RAR архив?


Я верю, но плохо!!!




UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая...



UnKnOwN Как заставить прогу роспечатать файл Короче есть прога которая печатает некие файлы, защита у неё в файле ДЛЛ, когда её установиш и запустиш то она создаёт файл текстовый в котором какието цифры (по ходу разобрался что за цифры, она берёт какието данные с диска С, наверно серийник или ещё что-то). Для того что бы зарегить прогу надо отослать автору этот текстовый файл, а он в свою очередь пришлёт некую ДЛЛ. Эту ДЛЛ надо кинуть в папку с прогой и всё прога зарегина.

Суть ограничения в том, что прога по истечении времени не даёт роспечатать файл (заблокированы кнопки печати).

Вопрос : как отучить прогу от этих приколов, хотя б чтобы печатала ?

P.S. Прога запакована UPX роспаковывается без проблем, небыло замечено проверки на СРК но если что то поменять в ней то она уже не запускается , если кинуть пустую ДЛЛ в папку с прогой то она скажет что возможно вы там форматнули что - то типа пришлите ТХТ автору снова... .
Какие будут предложения ???
Kerghan :: а че триал снять нельзя?

-= ALEX =- :: повеситься, шутка :) а на чем прога написана ?

UnKnOwN :: Kerghan пишет:
цитата:
а че триал снять нельзя?


а как, в реестре я чё то не заметил таких ключей, а где она свой триал держит я не знаю.

-= ALEX =- пишет:
цитата:
повеситься, шутка :)


Шутки у тебя блин...

-= ALEX =- пишет:
цитата:
а на чем прога написана ?


на Си

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
небыло замечено проверки на СРК


Интересно а как ты пытался заметить контрольной суммы? Надеюсь не с помощью PEid или других программ для поиска криптосигнатур? =)

UnKnOwN :: Прога весит 2,9 Мб
http://www.ukrblank.com/files/ukrblank.exe

Ктонить помогите разобраться

Хелп, Хелп...!!!

Васек :: UnKnOwN
Если сможешь помочь, буду очень благодарен, у меня таже проблема, как ее сломать (суку), обычно все креки нашими умными хакерами делаються за несколько дней, а здесь темный лес!!! Если что будет скинь ссылку на teplolux@zmail.ru
С меня поляна!!!

Madness :: UnKnOwN
›Эту ДЛЛ надо кинуть в папку с прогой и всё прога зарегина.
›Суть ограничения в том, что прога по истечении времени не даёт
›роспечатать файл (заблокированы кнопки печати).
Я бы на месте автора в эту dll и вынес бы функции печати. Во время триала печатать то можно?

ЗЫ. Вроде был топик по этой проге.

UnKnOwN :: Васек

Если тебе нужен кряк к этой проге поищи в инете, MozgC [TSRh] её уже зарелизил, если что может я где выложу, если не найдёш...




DEMON Никак не могу придумать что делать! Нашел адрес вывода сообщения о...



DEMON Никак не могу придумать что делать! Нашел адрес вывода сообщения о неправильном рег.
коде, поставил бряк и попал в АЙС:
E88F690000 CALL 004B5528 ‹= здесь я оказался
8D45EC LEA EAX, [EBP-14]
E8BB670000 CALL 004B535C
8B45EC MOV EAX, [EBP-14]
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код но как его узнать?????? :-((
Помогите мне пожалуйста!!!!!!

MC707 :: Сылку надо. Тогда объяснить хоть чтото можно.

-= ALEX =- :: MC707 так неинтересно, надо на словах челу объяснить... заходишь и смотришь в регистры, ищешь введенные данные и т.д.

MC707 :: DEMON пишет:
цитата:
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код


Как в «сравнении» может генериться код, интересно мне знать?

odIsZaPc :: DEMON пишет:
цитата:
Нашел адрес вывода сообщения о неправильном рег.
коде, поставил бряк и попал в АЙС


Судя по твоим словам, ты в данный момент находишься в коде, который выполняется в случае неправильной регистрации - дальнейшее исследование смысла не имеет... если только не в дизассемблере. Делай ну хотя бы так: Вводи Рег.номер, ставь бряк например на GetDlgItemTextA, GetWindowTextA, hmemcpy. Потом выходи из аАйся и тыкай в окей (или что там у тебя) - прервешся по одному из этих breal point’ов. Тыкаешь F12 - выходишь из этой функции. Удаляешь все бряки. Далее ищешь в памяти введенный тобой серийник («s 0 L -1 «Serial»). Находишь его, ставишь bpm на первый его символ или на весь диапазон (bpr). Потом отпускаешь Айс. А вот дальше он будет прерываться много-много раз по этому Бряку - твой задача отследить где же происходит сравнение, а там неподалеку скорей всего и увидишь правильный SERIAL.
DEMON пишет:
цитата:
E88F690000 CALL 004B5528 ‹= здесь я оказался
8D45EC LEA EAX, [EBP-14]
E8BB670000 CALL 004B535C
8B45EC MOV EAX, [EBP-14]
*80780129 CMP BYTE PTR [EAX+01], 29
743D JZ 004AEBE7 ‹=вывод сообшения оправильном
рег.коде.
Я думаю в * генериться правильный рег.код но как его узнать?????? :-((
Помогите мне пожалуйста!!!!!!


* - есть сравнение байта лежащего по адресу EAX+01 c числом 29h. Если тут что-то и генерируется то только в E8BB670000 CALL 004B535C. Заходи в эту процедуру и трейси ее потихоньку, но, ИМХО, ты совсем не в том месте находишься т.к. (см. выше).

odIsZaPc :: Каждый делает по-своему...

MC707 :: odIsZaPc пишет:
цитата:
Каждый делает по-своему...


Именно! Так как ты написал - хороший способ, но имхо не самый лучший. Самый лучший для описания и для новичков.
Если я так буду делать - на поиск сериала уйдет час. Своими способами я это сделаю минут за 15. От проги конечно зависит, но я в среднем...

DEMON :: odIsZaPc
Спасибо тебе за совет, но я так уже делал. Ни@$ена не выходит.
MC707
Эта прога Adwansed RAR Password Recovery v1.1 RC2

А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))

DEMON :: ПРОШЛОЕ НЕ ЧИТАЙТЕ, ГОВНО какое-то!!!
odIsZaPc
Спасибо тебе за совет, но я так уже делал. Ни@$ена не выходит.
MC707
Эта прога Adwansed RAR Password Recovery v1.1 RC2
http://www.intelore.com/w...rar-password-recovery.exe

А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))

Madness :: DEMON
›А насчет «сравнения», ну должно там чего-то с чем-то сравниваться!!! ;-))
1) Контрольная сумма участка = 29
2) Один из символов (первый если считать с нуля) = 29
3) Элемент какой-нить структуры = 29
4) Придумай сам.

odIsZaPc :: DEMON пишет:
цитата:
Эта прога Adwansed RAR Password Recovery v1.1 RC2


А готового кряка нет?

odIsZaPc :: MC707 пишет:
цитата:
Именно! Так как ты написал - хороший способ, но имхо не самый лучший. Самый лучший для описания и для новичков.
Если я так буду делать - на поиск сериала уйдет час. Своими способами я это сделаю минут за 15. От проги конечно зависит, но я в среднем...


Согласен - это для новичков.... Что посоветуешь ты?

MC707 :: Я ищу в коде то место, которое отвечает за регистрацию. Найти его достаточно легко, особенно если прога на дельфях

DEMON :: MC707
Да она на Дельфи. Розкажы что ты думаешь по этой теме. Как мне быть.

odIsZaPc
Готового нет я искал. Да и из-за етой проги все началось (хотел бы ломануть её сам) ;-))

DEMON :: 743D JZ 004AEBE7 ‹- Я думаю надо чем-то еог забить!!!!!!
6A40 PUSH 00000040

* POSS. STRINGDATA REF FROM DATA OBJ -› «Registration»

infern0 Re: odIsZaPc :: Если мы говорим о проге из серии Advanced ... passwordd recovery то во всех них одинаковый алгоритм проверки - от серийника считается MD5 hash и сравнивается с набором уже просчитанных хэшей жестко зашитых в прогу. Наиболее реальный способ взлома - это просчитать хэш от своего любого серийника и пропатчить прогу. Ессно там есть еще небольшая проверка целостности массива хэшей, но это оставим для самостоятельного поиска :)

DEMON :: infern0

цитата:
Если мы говорим о проге из серии Advanced ... passwordd recovery то во всех них одинаковый алгоритм проверки - от серийника считается MD5 hash и сравнивается с набором уже просчитанных хэшей жестко зашитых в прогу. Наиболее реальный способ взлома - это просчитать хэш от своего любого серийника и пропатчить прогу. Ессно там есть еще небольшая проверка целостности массива хэшей, но это оставим для самостоятельного поиска :)

Ну ты загнул. А на русском языке???

MC707 :: DEMON пишет:
цитата:
743D JZ 004AEBE7 ‹- Я думаю надо чем-то еог забить!!!!!!
6A40 PUSH 00000040

* POSS. STRINGDATA REF FROM DATA OBJ -› «Registration»


без кооментариев....

Пользуй прогу DeDe.

odIsZaPc :: MC707 пишет:
цитата:
Пользуй прогу DeDe.


Че-то DeDe его хреново распознает. UPX распаковывался вручную...

MC707 :: Дык распакуй сначала а потом в DeDe суй. Или дампь активный процесс.

DEMON :: MC707

Ну так поведай нам как его дампить?????!!!!!!!!

DEMON :: Я наверное дней пять парюсь!!!!!!!!!

odIsZaPc :: MC707
Так а я что делаю? Распаковываю, а потом в DeDe сую... и нихрена не декомпилит....

odIsZaPc :: DEMON пишет:
цитата:
Ну так поведай нам как его дампить?????!!!!!!!!


Не буду тут тебе расписывать как это сделать. Прежде чем за это браться, почитай статейку «Великого_Писателя [TSRh]»:
http://cracklab.narod.ru/doc/pkk.htm

MC707 :: odIsZaPc пишет:
цитата:
Так а я что делаю? Распаковываю, а потом в DeDe сую... и нихрена не декомпилит....


Значит либо глюк у тебя, либо не дельфя...

odIsZaPc :: PeiD показывает: «Borland Delphi Heuristic Mode»

DEMON :: Ща прочту межет и пойму в чем тут гвозди!!!




DEMON Старая песня про UPX Не могу розпаковать SFX-архив упакованый UPX.



DEMON Старая песня про UPX Не могу розпаковать SFX-архив упакованый UPX.
Шо я тока не пробовал, прочитал с десяток статей на эту тему, но ничего не помогает.
Интерестная статья Mozg-а на http://xtin.km.ru привела меня ближе всех к розпакованой проге,
но и тут фигня, прога не запускаеться.
ОШЫБКА ПРИ ЗАПУСКЕ!!!!
Runtime_err0r :: DEMON
Ссылку давай, а вообще попробуй UPX Fix - скорее всего получится

MoonShiner :: DEMON пишет:
цитата:
SFX-архив


Это ты случаем не самораспаковывающийся винрар какой нить в виду имеешь? Дык, обломись, не получится. По крайней мере хотя бы в том случае, когда ты новую секцию (с импортом) приклепаешь.

odIsZaPc :: А зачем распаковывать SFX-архив??? Ты его ломать что-ли собрался? Он регистрации просит? =)

UnKnOwN :: DEMON пишет:

цитата:
Не могу розпаковать SFX-архив упакованый UPX.


А что так можно, не знал, ты меня конкретно удивил...

P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...

MoonShiner :: UnKnOwN пишет:
цитата:
Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...


Да не, имеется в виду, что если ты посмотришь на секции SFX-a, то увидишь секции, которые делает UPX. И PEid какой нить заявит, что это UPX.

Runtime_err0r :: UnKnOwN

цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX...


А в чём проблема-то ? Файл Default.SFX из дистрибутива WinRAR им и запакован

-= ALEX =- :: Runtime_err0r правду говорит, я помниться сам эти Default.SFX делал, изменял по своему вкусу, а сам RAR архив по-моему в конец файла крепиться... не понял я вопроса, зачем sfx архив распаковывать ???

XoraX :: на сайте винрара можно скачать распакованный default.sfx...
это чтобы делать SFX-архивы со своим интерфейсом...

DEMON :: UnKnOwN пишет:
цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX


МОЖНО
Вот ссылка
http://www.artmoney.ru/artmoneypro706rus.exe
-= ALEX =- пишет:
цитата:
не понял я вопроса, зачем sfx архив распаковывать ???


Для того что-бы ломануть!!!

DEMON :: UnKnOwN пишет:
цитата:
P.S. Гон всё это, я только что попробовал, нельзя вообще запаковать SFX архив UPX


МОЖНО
Вот ссылка
http://www.artmoney.ru/artmoneypro706rus.exe
-= ALEX =- пишет:
цитата:
не понял я вопроса, зачем sfx архив распаковывать ???


Для тогочто-бы ломануть!!!

Kerghan :: DEMON пишет

цитата:
Для тогочто-бы ломануть!!!


удачи :)))))))))

-= ALEX =- :: DEMON а что ломать там ???

XoraX :: неужели народ все еще верит, что можно сломать запароленный RAR архив?

DEMON :: XoraX пишет:
цитата:
неужели народ все еще верит, что можно сломать запароленный RAR архив?


Я верю, но плохо!!!

-= ALEX =- :: DEMON лучше не верь, нифига у тебя не получиться. попробуй ради интереса создать два архивчика своих, а на один пароль поставь, пусть даже 1 символ. и сравни файлы полученные.... очень интересно !

MoonShiner :: XoraX пишет:
цитата:
неужели народ все еще верит, что можно сломать запароленный RAR архив?


я как то уже заикался (мож не наэтом форуме), что практически все сильные алгоритмы шифрования основаны на нерешенных проблемах теории чисел. Отсюда вывод - реши проблему и этот алгоритм тебе станет глубоко побоку:) Пример - RSA, факторизация чисел.
ЗЫ Что над этими проблемами бились лучшие умы в алгебре и теории чисел - говорить не буду:)

F Re: MoonShiner :: Зачем чтото решать. Нужно просто тупо брутфорсить, если пасс из цифровых символов то вполне реально. А если использовать распределенные вычесления например на локалке хотя бы с 5 компами то можно попробывать и символьные. Только я не видел прог которые это бы поддерживали

DEMON :: F пишет:
цитата:
Нужно просто тупо брутфорсить, если пасс из цифровых символов то вполне реально


Так, да реально!! А если там есть и буквы, то можно брутфорсить пока борода не выростет!!!

DEMON :: Да буду бросать ето дело!!!!




DEMON С чем «кушать» DeDe Вот установил DeDe.



DEMON С чем «кушать» DeDe Вот установил DeDe.
Запускаю жму Process(и все такое)-› Procedures-› Dissasemble proc.
А он мне Enter begin RVA -› ввожу 00400000, а он мне «RVA not in CODE section.», кто знает че туда надо писать???
Я думал ДеДе это дизассемблер!!!!
MozgC [TSRh] :: DEMON пишет:
цитата:
Я думал ДеДе это дизассемблер!!!!


Это и есть дизассемблер. Что насчет RVA, то 400000 это VA а тебе надо ввести 1000 скорее всего или RVA начала процедуры. Хотя у меня никогда не спрашивает этого и я вообще первый раз об этом слышу =)...

DEMON :: А как узнать «RVA начала процедуры»??? А то »...ввести 1000 скорее всего...» не помогает!!!!

MozgC [TSRh] :: У тебя в закладке Procedures перечислены все формы программы и процедуры используемые в каждой форме ?

DEMON :: Нет ничего там не перечислено?!

odIsZaPc :: DEMON
Как так? Странно...

XoraX :: DEMON
1. уверен, что открываешь дельфовый файл?
2. уверен, что файл не сжат?

DEMON :: XoraX
Да файл Дельфи, на всякий пожарный PEid тоже так говорит.
Да, не сжат. Я его розпаковал.

DEMON :: Я тут с ума схожу?????

MoonShiner :: Значит распаковал через одно место... Случайно не упх-ом был пожат?

DEMON :: Да UPX. Я его розпаковал по статье Mozg-а!!!
http://xtin.km.ru

DEMON :: MoonShiner




dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена...



dMNt HDasm вот по этому урлу hттp://hwl.pisem.net лежит отличная замена WDasm’у, просто оччень отличная (советую почитать описание :) )

но, как вы понимаете не все так просто ;)
прога хочет денюшек. Она запаковна, но это снимается. Но остаются ее внутренние проверки (почти как в аспре) т.е. код проверки ключа генерится в проге, заталкивается в стек и там исполняется.
вопщем мозги сломать можно.
предлагаю коллективно сломать :)

-= ALEX =- :: мда.... описаловка крутая ! ну для ламеров мож и сойдет...

Dred :: Вобщем ASPack2.12 в автораспаковщике неполучилось распаковать.
Ковырялся ручками. Сдампил процесс. Заменил точку входа(как в статье все делал короче).
Но дамп не хотит запускаться.
Открыл в Pied’e бороланд c++ 1999
Сунул в реставратор. Глядаю а ресурсы не все распаковались,
точнее там самое нижнее Version испорченый ресурс.

ПОСОВЕТУЙТЕ ЧТО НИБУДЬ
моГет выкинуть его можно? всмысле испорченный ресурс

odIsZaPc :: Dred
А импорт восстановил? И ты точно уверен что там именно ASPack? PeID мне ничего не пишет...

Kerghan :: odIsZaPc
то, что он не пишет не означает сто его там нет

dMNt :: да там похрен что за пакер, PEiD тоже обануть можно ;)
распаковываецца влет.. ReVirgin импорт как 2 (два) пальца восстанавливает
самое интересное потом начинаетца :)

test :: Stud_PE1.8 сразу определил.И импорт впорядке на OEP 00401480 › JMP SHORT dump.00401492. А что интерсное там?Это вроде
дизасм только,а WDASM еще и отладчик.

dMNt :: интересное в том, что снятие пакера это еще не регистрация программы
а там оно наворочено :)

-= ALEX =- :: dMNt ну ковыряйся, раз уж тебе эта прога понравилась, мне лично не охота скачивать ненужные проги... инету нету

odIsZaPc :: И че в этом DASM’е такого крутого? Хрень какая-то - еще и бабок требует...

XoraX :: и вообще, в соседнем топике IDA раздают, качай и наслаждайся.

Dred :: 2dMNt
Если не секрет как импорт восстановмть можно?
В статьях инфы маловато как мне показалось.
Ты все секции распаковал?
А то у меня чето не получилось.

GL#0M :: To All:
Да, там защита просто интересная, вам же это говорят...
Мы с dMNt уже несколько недель бьёмся...
Так что советую посмотреть, кому не влом...




fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не...



fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не являюсь, но вот попался мне продукт запакенный subj (ну очень надо)
Значит что я делал, последовательно:
1.PEiD нашел OEP
2. Запускал его под AsprDbgr1b , импорт разрешал, далал UnDipped, Erase dipe, Erase stolen bytes, отанавливался на
TempOEP и делал фул дамп PE Tools
3. не завершая AsprDbgr1b ImpRec’ом востанавливал Import и фиксил dump

наверно я ни х?* и неправильно делаю тк не работает (в чем моя ошибка?)

и второе

есть такая прога AsLoad by GlObAl & [NtSC] - позволяет уже после загрузки/раскриптовки пропатчить прямо в памяти
так вот в чем вопрос : когда им загружем обычную прогу - все работает, а вот как быть когда ехе’ шник защищенный aspr должен запускаться как сервис

мож у кого есть какие мыли, не сочтите за наглость вразумите =)
-= ALEX =- :: странно ты как-то прогу дампишь, каким-то AsprDbgr1b. Проще и намного интереснее делать все то же в сайсе, или в олли :)
а вот AsLoad by GlObAl это полная чешуя, отжило это дело уже давно, можешь мою статью почитать как сделать memory loader для аспра, там то же самое, что и в AsLoad , но так делать, не есть хорошо :)

Runtime_err0r :: fiNis
Ты вроде всё правильно делал, но вот мне таким макаром не одной проги распаковать не удалось
Сдаётся мне, что этот AsprDbgr1b работает только с какой-то одной версией ASPR’а
Кстати, а что за прога, если не секрет ? Может, у меня чё-нибудь получится ...

infern0 Re: Runtime_err0r :: а че, стриппер юзать религия не позволяет ?

fiNisoGR Re: All :: 2infern0
да я бы с радость но то что у меня есть:
stripper v2.03
(c) by syd, kiev, 2002-2003

16:13:52 - loading modules..
- ASPack 2.xx (v1.00, full release)..
- ASProtect 1.xx (v1.03, public release).. ‹--- вероятно есть и приватный, мож поделится кто

не берет ни фига:
! public release
! some files will be not unpacked
16:14:41 - can not unpack this file..

2Runtime_err0r
линка нет, есть только компакт, но прога еще помимо ASPR’a висит на железаке типа sentinel (с этим я мумаю справлюся- либо пропатчу =( либо простенький эмуль напишу)
выслать могу, но только в приватном порядке (сам понимаешь Developer ID .. можно попалиться)

2Lz
да во время дизасма я видел эту байду ... как пофиксить?

ps сори что под другим немного ником - мля пароль что то запарил

pps че то у меня проблемы с постингом - на всякий всем кто может помочь ICQ 580714

Lz [TSRh] :: Ну чего вы гоните на AsprDebugger?
Классная тулза - останавливает процесс на OEP, показывает Aspr API, фиксит импорт.
Правда мутированные краденные байты не восстанавливает - приходится выковыривать их руками.
В этом то вся и проблема у автора этого постинга :)
А дело-то осталось за малым...

Runtime_err0r :: Lz [TSRh]
То есть, он всё правильно делает, надо только Stolen Bytes руками поправить ? Х-м-м-м-м интересно, надо бы попробывать ...

fiNis
Скока весит прога-то ? Если не больше 2-х мегов, кидай на vmu @ newmail.ru

Lz [TSRh] :: Runtime_err0r
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!

MozgC [TSRh] :: Lz [TSRh] пишет:
цитата:
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!


У меня работает. А что у автора косяк из-за краденных байт это почти 100%. Да и что вы все хотите от AsprDbg, это ж вам не автоматический распаковщик, а лишь помощник, импорт чистый восстановить, адреса апи посмотреть... Этим и пользуйтесь

infern0 :: MozgC [TSRh] пишет:
цитата:
адреса апи посмотреть...


хм, интересно. А я и не знал...

MozgC [TSRh] :: infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?

Lz [TSRh] :: Ну и я про то же писал ...

fiNisoGR :: А вот я не впитал что такое Dip-table ?

GV returns to: 9C1A61
IAT Start: 4F317C
End: 4F393C
Length: 7C0
IATentry 4F31C8 = 9C17A4 resolved as GetProcAddress
IATentry 4F31CC = 9C1C64 resolved as GetModuleHandleA
IATentry 4F31DC = 9C1CD8 resolved as GetCommandLineA
IATentry 4F3270 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F32F0 = 9C1CC8 resolved as LockResource
IATentry 4F3334 = 9C1C8C resolved as GetVersion
IATentry 4F3350 = 9C17A4 resolved as GetProcAddress
IATentry 4F3360 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F3388 = 9C1CC0 resolved as GetCurrentProcessId
IATentry 4F3398 = 9C1CF0 resolved as FreeResource
18 invalid entries erased.
Dip-Table at adress: 9C7AB4
0 4CD0FC 0 4CD128 4CD144 4CD168 0 0 0 4CD07C 4CD0A8 4CD0EC 4CD0DC 0 ‹---
Last SEH passed. Searching for signatures. Singlestepping to OEP!
Call + OEP-jump-setup at: 9D72DD ( Code: E8000000 5D81ED )
Mutated, stolen bytes at: 9D7328 ( Code: 61EB02CD 20EB02CD )
Erase of stolen bytes at: 9D728C ( Code: 9CFCBFCB 729D00B9 )
Repz ... found. Skipping erase of stolen bytes. ;)
Dip from pre-OEP: 406B24 (Reached from: 9D729D)
Sugested tempOEP at: 4DA79F

infern0 :: MozgC [TSRh] пишет:
цитата:
infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?


про это. кстати - ссылкой не него (аспрдебаг) поделитесь ?

MozgC [TSRh] :: http://MozgC.com/AsprDbgr1b.zip
Токо может уже новее версии есть, я давно качал.




Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан...



Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан С++ ,а что запакована нет.
ВРХ на getwindowtexta и getdlgitemtexta - не срабатывают. Подскажите как найти процедуру проверки на зарегестрированность.
DEMON :: Yraevtys пишет:
цитата:
Подскажите как найти процедуру проверки на зарегестрированность


Найди место где виводиться сообщение о неправильном рег. коде и попробуй его пропатчить. Может получиться!!!

XoraX :: Yraevtys . а прогу не покажешь, да?

DEMON :: Ну покажы нам это детище программистов! Не забудь указать размер и приблизительно что она делает!!!!

odIsZaPc :: Yraevtys
bpx LocalLock
bpx GlobalLock

Yraevtys :: Прога Copy Expert v2.2.1 правда сейчас на сайте www.fadesoff.com есть уже v2.3 , а вообще Cpyexprt.zip -254kb и может делать копии с плохо читаемых CD например с фильмов заменяя плохие сектора не 00000 , а последним считанным сектором, это конечно если прога зарегестрирована. К ней есть много креков в интернете, но правда ни один не подходит.
Я нашел переход, который при замене флага сообщает об успешной регестрации, но потом в главном окне все равно пишет - не зарегестрирована. Как найти проверку на зарегестрированность и что там изменить - посоветуйте?

MozgC [TSRh] :: В версии 2.3 ASProtect...




Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда...



Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда может я не правильно пользуюсь ( upx -d file.exe file1.exe). Пробую остановится на ЕР, указанном в PEiD, прога не останавливается, а сразу запускается. Посоветуйте, как распаковать прогу? Поясните в » Запускаю программу. В отладчике пишу «addr NAME», где name - имя исследуемой программы (процесса), после этого пишу «bpm 12345678 x», где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.» - что означает EP (вместе с Image Base) ?

XoraX :: http://www.cracklab.narod.ru/doc/pkk.htm

Runtime_err0r :: Yraevtys
Что за прога ? Ссылку дававй !




Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их...



Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их использовать?
Почему адресс ЕР в PEid не совпадает с адрессом ЕР в Айсе после ’bpint 3’ ?
MozgC [TSRh] :: 1. PEid показывает RVA а в айсе VA
2. Доверять OEP Finder’у зачастую можно, но лучше всегда самому.




Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник...



Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник утверждает, что она написана на Borland C++, но попытка дизассемблирования заканчивается ничем -W32DASM попросту виснет, не выполняя никаких действий. Какие противоотладочные приемы применил автор и как с этим бороться. Притом прожные dll-ки дизасмятся на ура.
GL#0M :: Chirurg

Используй IDA и всё будет ок. И с exe и c dll. :)

Chirurg :: GL#0M
IDA - больно уж долго, мне еще когда-то работать и спать надо :)

GL#0M :: Chirurg

Да у виндасма просто глюк есть, если размер екзехи очень большой, то он его ваще не грузит. Может поэтому...
Да и насчёт долго ты не прав... сигнатуры на что даны? Подгружаешь и всё ок.
Ещё DeDe есть... Так что вперёд!

MoonShiner :: Chirurg пишет:
цитата:
IDA - больно уж долго, мне еще когда-то работать и спать надо :)


Ага... ИДА продизасмит 5 минут, но в итоге ты спать будешь дольше, чем если будешь ковыряться в каком нить дерьме... Поверь старому раздолбаю, который ценит сон превыше всего:)

XoraX ::

Kerghan :: Chirurg
OllyDbg

Destroyer :: Вопрос конечно глупый, но ... А где эти сигнатурки в IDA включаются? А то продизасмил dll-ку, а там почти ничего нет.

Chirurg :: Ну, ладно, некогда мне - дарю!
Программа USBTrafficLabEvaluation.exe найти можно на www.download.com
Хз для чего она нужна, но обратите внимание на цену - 2100 $
Это вам не конь начихал!
Притом размер проги - 4.4 мб
Т.е. 1 мб = 500 $!
Защита - evaluation 30 дней, отключены save
Краки не предлагать, она мне на ... не нужна




DEMON «ВНУТРЕННОСТИ» Привет, я думаю всем вам известна такая прога как...



DEMON «ВНУТРЕННОСТИ» Привет, я думаю всем вам известна такая прога как Dr.Web.
Недавно вышла новая версия 4.31, и тут подвох мой старый ключ перестал работать (пишет «Рег. ключ заблокирован»).
Вот ведь какие гады подумал я, по Инету лазит червь, а они пускают новую версию и блокируют все ключи!!!
Я полазил, поискал на разных серваках, нашел много но все ЗАБЛОКИРОВАНЫ.
Решыл буду патчить!! Первым делом взял PEiD он написал ASPack 2.12 -› Alexey Solodovnikov,
я розпаковал его и тут подвох!!!!
Запускаю розпакованный файл, он запускаеться и пишет «Cannot load engine»,
я жму ОК и он выключаеться.
Я думаю где-то внутри проги идет проверка на код упаковщика.
Кто знает че делать и как с етим бороться???
Z :: Посмотри проверку на CRC, я последни раз отловил с помощью бряка на MapViewOfFile, может еще и на ReadFile быть.

MozgC [TSRh] :: В общем как говорит Z попробуй для начала поставить бряк на CreateFile и ReadFile, и смотри читается ли ехешник и если читается то что потом происходит. Потом попробуй поставить bpm на какой либо адрес в памяти .exe например bpm 420000 и посмотри сработает ли он. Если сработает то это скорее всего подсчет какого либа вида контрольной суммы в памяти. Далее натрави PeID криптоанализатор на распакованный ехе, может быть он тебе покажет что там crc32.

Nick.Box.[HitU] :: А если уж сильно припрет - то я могу дать ключ валидный :)

DEMON :: Nick.Box.[HitU] пишет:
цитата:
А если уж сильно припрет - то я могу дать ключ валидный :)


Ты дай пожалуйса ключ, а я всеравно продолжу исследование. ИНТЕРЕСТНО однако!!

mail did_d#rambler.ru

MozgC [TSRh] :: =)

DEMON :: MozgC [TSRh] пишет:
цитата:
=)


Че ты Мозг смеешся???

MozgC [TSRh] :: Да над
А если уж сильно припрет - то я могу дать ключ валидный :)
=)

Nick.Box.[HitU] :: 2MozgC [TSRh]: а что здесь смешного-то?

DEMON :: Nick.Box.[HitU] пишет:
цитата:
2MozgC [TSRh]: а что здесь смешного-то?


Веселый наверное!!!!!!!!!!!

Runtime_err0r ::
цитата:
Запускаю розпакованный файл, он запускаеться и пишет «Cannot load engine»,
я жму ОК и он выключаеться.
Я думаю где-то внутри проги идет проверка на код упаковщика.
Кто знает че делать и как с етим бороться???


Сделай Inline-patch и не борись

DEMON :: Runtime_err0r пишет:
цитата:
Сделай Inline-patch и не борись


Ну ты загнул!! Знал-бы как его мутить не писал =(

XoraX :: DEMON , находишь нужное место в ехешнике, и пишешь там что-то типа

mov b,[000456789],0eb - это смена байта по 00456789 на EB

Kerghan :: XoraX пишет:
цитата:
mov b,[000456789],0eb - это смена байта по 00456789 на EB


Гы, хороший совет, только без прыжка на это место толку от него?
DEMON
поиши статью здесь(кажется 11я) http://www.int3.net/articles/

XoraX :: Kerghan . подразумевается, что спрашивающий догадается сделать так, чтобы эта команда в проге выполнилась


Runtime_err0r :: DZA Patcher делает автомотически, хотя при этом размер файла увеличивается, но проги этого обычно не «замечают»

XoraX :: но это неудобно, когда хочется создать «свой» патч...

DEMON :: Kerghan пишет:
цитата:
поиши статью здесь(кажется 11я)


Спаасибо! Будем искать!!!




DEMON С чем «кушать» DeDe Вот установил DeDe.



DEMON С чем «кушать» DeDe Вот установил DeDe.
Запускаю жму Process(и все такое)-› Procedures-› Dissasemble proc.
А он мне Enter begin RVA -› ввожу 00400000, а он мне «RVA not in CODE section.», кто знает че туда надо писать???
Я думал ДеДе это дизассемблер!!!!
MozgC [TSRh] :: DEMON пишет:
цитата:
Я думал ДеДе это дизассемблер!!!!


Это и есть дизассемблер. Что насчет RVA, то 400000 это VA а тебе надо ввести 1000 скорее всего или RVA начала процедуры. Хотя у меня никогда не спрашивает этого и я вообще первый раз об этом слышу =)...

DEMON :: А как узнать «RVA начала процедуры»??? А то »...ввести 1000 скорее всего...» не помогает!!!!

MozgC [TSRh] :: У тебя в закладке Procedures перечислены все формы программы и процедуры используемые в каждой форме ?

DEMON :: Нет ничего там не перечислено?!

odIsZaPc :: DEMON
Как так? Странно...

XoraX :: DEMON
1. уверен, что открываешь дельфовый файл?
2. уверен, что файл не сжат?

DEMON :: XoraX
Да файл Дельфи, на всякий пожарный PEid тоже так говорит.
Да, не сжат. Я его розпаковал.

DEMON :: Я тут с ума схожу?????

MoonShiner :: Значит распаковал через одно место... Случайно не упх-ом был пожат?

DEMON :: Да UPX. Я его розпаковал по статье Mozg-а!!!
http://xtin.km.ru

DEMON :: MoonShiner




DiggeR CRC KANAL в PEiD нашел



DiggeR CRC KANAL в PEiD нашел
CRC32::4B658::44B658
и сслыки на разные адреса
эти адреса объединяет
pop eax
mov dh,44
подскажите как избавится от проверки
XoraX :: ох, не доверяю я этому каналу...

mnalex :: XoraX
ИМХО недоверяешь - это твое дело, но подсказать то, вообще, могбы, а? Вопрос то - как избавиться от CRC...

Nitrogen :: ну а с чего ты взял, что crc юзается именно для проверки crc оригинальной программы?.. с таким же успехом юзается для регистрации..

p.s вопрос вообще некорректный..

-= ALEX =- :: некорректный вопрос, что блин значит подправить CRC ??? можно только, если значение CRC используется для дешифровки, подсунуть реальное значение..., или ваше убрать проверку, если CRC в дальнейшем нафиг не нужно




Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан...



Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан С++ ,а что запакована нет.
ВРХ на getwindowtexta и getdlgitemtexta - не срабатывают. Подскажите как найти процедуру проверки на зарегестрированность.
DEMON :: Yraevtys пишет:
цитата:
Подскажите как найти процедуру проверки на зарегестрированность


Найди место где виводиться сообщение о неправильном рег. коде и попробуй его пропатчить. Может получиться!!!

XoraX :: Yraevtys . а прогу не покажешь, да?

DEMON :: Ну покажы нам это детище программистов! Не забудь указать размер и приблизительно что она делает!!!!

odIsZaPc :: Yraevtys
bpx LocalLock
bpx GlobalLock

Yraevtys :: Прога Copy Expert v2.2.1 правда сейчас на сайте www.fadesoff.com есть уже v2.3 , а вообще Cpyexprt.zip -254kb и может делать копии с плохо читаемых CD например с фильмов заменяя плохие сектора не 00000 , а последним считанным сектором, это конечно если прога зарегестрирована. К ней есть много креков в интернете, но правда ни один не подходит.
Я нашел переход, который при замене флага сообщает об успешной регестрации, но потом в главном окне все равно пишет - не зарегестрирована. Как найти проверку на зарегестрированность и что там изменить - посоветуйте?

MozgC [TSRh] :: В версии 2.3 ASProtect...

Bad_guy :: Я ломал какую то версию, у меня остался только ключ, птому как прога мне совсем не понравилась, создай файл.reg ну и запиши туда и попробуй, ну а если и не получится, дизассемблируй ищи в листинге эти пути и так далее и тому подобное.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Fadesoft\Copy Expert]
«SmartAlg»=dword:22df6890
«Optimize»=hex:10,0c,17,c9,e2,2c,3f
«License»=«4054qk07mxcfc3»

odIsZaPc :: Yraevtys
По-моему Bad-Copy Pro лучше...

MozgC [TSRh] :: Ну че кто-нить ченить накопал по поводу версии 2.3? Мы тут с The DarkStranger’ом (блин как долго то ник пишется) покопали и пока глухо...

Runtime_err0r :: MozgC [TSRh]
Ну с распаковкой-то всё просто а вот дальше пока никак
какие там ограничения-то хоть ?

MozgC [TSRh] :: Да не важно какие ограничение, но зарегить никак =) Возможно вообще демка...

Mario555 :: Runtime_err0r пишет:
цитата:
какие там ограничения-то хоть ?


Не сохраняет настройки, некоторые опции недоступны... может ещё чё-нить...

The DarkStranger :: мдя уж MozgC [TSRh] прав я тоже копал ее вместе с ним там такое намученно !!!
короче мы думаем ( я и MozgC [TSRh] ) что это просто demo !!!

Mario555 :: The DarkStranger пишет:
цитата:
это просто demo


Странно... демо и аспр, прям как в анекдоте: презерватив, ещё презерватив... и главное никаких половых контактов...

В Help’е кста вот такая хрень:
1. Launch program. This dialog box will appear:
Click “Purchase”. This will launch your web browser which will open registration’s page. You can to pay via credit card, fax, postal mail, purchase order and phone. Our registrar is Regsoft. Fill in fields in appeared form. Soon you will receive the key.
2. Enter in this dialog box registration key you received by pressing “Key” button.

Yraevtys :: Спасибо за помощь. Прогу Copy Expert 2.2.1 я все-таки запустил.
Раскажите доступно как распаковать проги запакованные ASProtect и UPX.
Распаковщики только Dose работают или как?

MozgC [TSRh] :: Про UPX и другие простые упаковщики читай в моей статье, про ASProtect читай в других статьях это так просто не рассказать..




Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда...



Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда может я не правильно пользуюсь ( upx -d file.exe file1.exe). Пробую остановится на ЕР, указанном в PEiD, прога не останавливается, а сразу запускается. Посоветуйте, как распаковать прогу? Поясните в » Запускаю программу. В отладчике пишу «addr NAME», где name - имя исследуемой программы (процесса), после этого пишу «bpm 12345678 x», где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.» - что означает EP (вместе с Image Base) ?

XoraX :: http://www.cracklab.narod.ru/doc/pkk.htm

Runtime_err0r :: Yraevtys
Что за прога ? Ссылку дававй !




Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их...



Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их использовать?
Почему адресс ЕР в PEid не совпадает с адрессом ЕР в Айсе после ’bpint 3’ ?
MozgC [TSRh] :: 1. PEid показывает RVA а в айсе VA
2. Доверять OEP Finder’у зачастую можно, но лучше всегда самому.




Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник...



Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник утверждает, что она написана на Borland C++, но попытка дизассемблирования заканчивается ничем -W32DASM попросту виснет, не выполняя никаких действий. Какие противоотладочные приемы применил автор и как с этим бороться. Притом прожные dll-ки дизасмятся на ура.
GL#0M :: Chirurg

Используй IDA и всё будет ок. И с exe и c dll. :)

Chirurg :: GL#0M
IDA - больно уж долго, мне еще когда-то работать и спать надо :)

GL#0M :: Chirurg

Да у виндасма просто глюк есть, если размер екзехи очень большой, то он его ваще не грузит. Может поэтому...
Да и насчёт долго ты не прав... сигнатуры на что даны? Подгружаешь и всё ок.
Ещё DeDe есть... Так что вперёд!

MoonShiner :: Chirurg пишет:
цитата:
IDA - больно уж долго, мне еще когда-то работать и спать надо :)


Ага... ИДА продизасмит 5 минут, но в итоге ты спать будешь дольше, чем если будешь ковыряться в каком нить дерьме... Поверь старому раздолбаю, который ценит сон превыше всего:)

XoraX ::

Kerghan :: Chirurg
OllyDbg

Destroyer :: Вопрос конечно глупый, но ... А где эти сигнатурки в IDA включаются? А то продизасмил dll-ку, а там почти ничего нет.

Chirurg :: Ну, ладно, некогда мне - дарю!
Программа USBTrafficLabEvaluation.exe найти можно на www.download.com
Хз для чего она нужна, но обратите внимание на цену - 2100 $
Это вам не конь начихал!
Притом размер проги - 4.4 мб
Т.е. 1 мб = 500 $!
Защита - evaluation 30 дней, отключены save
Краки не предлагать, она мне на ... не нужна




DEMON «ВНУТРЕННОСТИ» Привет, я думаю всем вам известна такая прога как...



DEMON «ВНУТРЕННОСТИ» Привет, я думаю всем вам известна такая прога как Dr.Web.
Недавно вышла новая версия 4.31, и тут подвох мой старый ключ перестал работать (пишет «Рег. ключ заблокирован»).
Вот ведь какие гады подумал я, по Инету лазит червь, а они пускают новую версию и блокируют все ключи!!!
Я полазил, поискал на разных серваках, нашел много но все ЗАБЛОКИРОВАНЫ.
Решыл буду патчить!! Первым делом взял PEiD он написал ASPack 2.12 -› Alexey Solodovnikov,
я розпаковал его и тут подвох!!!!
Запускаю розпакованный файл, он запускаеться и пишет «Cannot load engine»,
я жму ОК и он выключаеться.
Я думаю где-то внутри проги идет проверка на код упаковщика.
Кто знает че делать и как с етим бороться???
Z :: Посмотри проверку на CRC, я последни раз отловил с помощью бряка на MapViewOfFile, может еще и на ReadFile быть.

MozgC [TSRh] :: В общем как говорит Z попробуй для начала поставить бряк на CreateFile и ReadFile, и смотри читается ли ехешник и если читается то что потом происходит. Потом попробуй поставить bpm на какой либо адрес в памяти .exe например bpm 420000 и посмотри сработает ли он. Если сработает то это скорее всего подсчет какого либа вида контрольной суммы в памяти. Далее натрави PeID криптоанализатор на распакованный ехе, может быть он тебе покажет что там crc32.

Nick.Box.[HitU] :: А если уж сильно припрет - то я могу дать ключ валидный :)

DEMON :: Nick.Box.[HitU] пишет:
цитата:
А если уж сильно припрет - то я могу дать ключ валидный :)


Ты дай пожалуйса ключ, а я всеравно продолжу исследование. ИНТЕРЕСТНО однако!!

mail did_d#rambler.ru

MozgC [TSRh] :: =)

DEMON :: MozgC [TSRh] пишет:
цитата:
=)


Че ты Мозг смеешся???

MozgC [TSRh] :: Да над
А если уж сильно припрет - то я могу дать ключ валидный :)
=)

Nick.Box.[HitU] :: 2MozgC [TSRh]: а что здесь смешного-то?

DEMON :: Nick.Box.[HitU] пишет:
цитата:
2MozgC [TSRh]: а что здесь смешного-то?


Веселый наверное!!!!!!!!!!!

Runtime_err0r ::
цитата:
Запускаю розпакованный файл, он запускаеться и пишет «Cannot load engine»,
я жму ОК и он выключаеться.
Я думаю где-то внутри проги идет проверка на код упаковщика.
Кто знает че делать и как с етим бороться???


Сделай Inline-patch и не борись

DEMON :: Runtime_err0r пишет:
цитата:
Сделай Inline-patch и не борись


Ну ты загнул!! Знал-бы как его мутить не писал =(

XoraX :: DEMON , находишь нужное место в ехешнике, и пишешь там что-то типа

mov b,[000456789],0eb - это смена байта по 00456789 на EB

Kerghan :: XoraX пишет:
цитата:
mov b,[000456789],0eb - это смена байта по 00456789 на EB


Гы, хороший совет, только без прыжка на это место толку от него?
DEMON
поиши статью здесь(кажется 11я) http://www.int3.net/articles/

XoraX :: Kerghan . подразумевается, что спрашивающий догадается сделать так, чтобы эта команда в проге выполнилась


Runtime_err0r :: DZA Patcher делает автомотически, хотя при этом размер файла увеличивается, но проги этого обычно не «замечают»

XoraX :: но это неудобно, когда хочется создать «свой» патч...

DEMON :: Kerghan пишет:
цитата:
поиши статью здесь(кажется 11я)


Спаасибо! Будем искать!!!




DEMON С чем «кушать» DeDe Вот установил DeDe.



DEMON С чем «кушать» DeDe Вот установил DeDe.
Запускаю жму Process(и все такое)-› Procedures-› Dissasemble proc.
А он мне Enter begin RVA -› ввожу 00400000, а он мне «RVA not in CODE section.», кто знает че туда надо писать???
Я думал ДеДе это дизассемблер!!!!
MozgC [TSRh] :: DEMON пишет:
цитата:
Я думал ДеДе это дизассемблер!!!!


Это и есть дизассемблер. Что насчет RVA, то 400000 это VA а тебе надо ввести 1000 скорее всего или RVA начала процедуры. Хотя у меня никогда не спрашивает этого и я вообще первый раз об этом слышу =)...

DEMON :: А как узнать «RVA начала процедуры»??? А то »...ввести 1000 скорее всего...» не помогает!!!!

MozgC [TSRh] :: У тебя в закладке Procedures перечислены все формы программы и процедуры используемые в каждой форме ?

DEMON :: Нет ничего там не перечислено?!

odIsZaPc :: DEMON
Как так? Странно...

XoraX :: DEMON
1. уверен, что открываешь дельфовый файл?
2. уверен, что файл не сжат?

DEMON :: XoraX
Да файл Дельфи, на всякий пожарный PEid тоже так говорит.
Да, не сжат. Я его розпаковал.

DEMON :: Я тут с ума схожу?????

MoonShiner :: Значит распаковал через одно место... Случайно не упх-ом был пожат?

DEMON :: Да UPX. Я его розпаковал по статье Mozg-а!!!
http://xtin.km.ru

DEMON :: MoonShiner




DOLTON ASPR Stripper - кудаж без него? Привет всем!



DOLTON ASPR Stripper - кудаж без него? Привет всем!
По обидной случайности не успел выкачать с офф сайта ver 2.07 (final) до его закрытия ...
Если вдруг кто оказался в рядах счастливчиков - большая просьба скинуть на dolton2002mail.ru
Заранее всем big thanks!
MozgC [TSRh] :: http://MozgC.com/stripper207.zip
Я не знаю какой это, final или не final но работает нормально.

DEMON :: MozgC [TSRh]
Дzzzякую тебе!!!

Runtime_err0r :: MozgC [TSRh]
Да ты никак доменом 1-го уровня разжился ? ну ты буржуй, однако

P.S. А Солодовников-то не дремлет, упырь

MozgC [TSRh] :: Runtime_err0r
Давно уже разжился =)

.::D.e.M.o.N.i.X::. :: Давно уже 2.11b есть:) Движок переработан и интерфейс другой.

-= ALEX =- :: .::D.e.M.o.N.i.X::. ][в@статься то зачем ?

Gloomy :: stripper просто уникальная программа! Скачал «Complete CD And DVD Writer 1.1» - довольно интересная штука, но оказалась запакована «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov». Нисколько не надеясь на успех открыл ее в stripper, ничего не настраивая тупо нажал «unpacking»... и Чудо свершилось! - получил распакованный, полностью рабочий файл! При этом триал в 5 дней исчез как страшный сон
Большой респект автору stripperа!

З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.

-= ALEX =- :: самая новая 1.30 build XXX, могу и ошибаться... а вообще я не втречал прог защищенным этим супермега протектором :)

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.


Он для 1.30, правда у меня не распаковал ни одного аспра 1.30 да и не удивительно, он даже таблицу инита не восстанавливал, интересно как прога должна была работать после такой распаковки, думаю что и еще косяки есть.

Runtime_err0r :: Gloomy

цитата:
З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.


То что выдаёт PEiD ещё не является абсолютной истиной кстати, скачай версию 0.92 - там новые сигнатуры добавились.

MozgC [TSRh]

цитата:
.::D.e.M.o.N.i.X::. пишет:
цитата: -------------------------------------------------- ------------------------------
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.
-------------------------------------------------- ------------------------------

Он для 1.30, правда у меня не распаковал ни одного аспра 1.30


А я им кучу прог распаковал он лучше, чем 2.07, т.к. грамотно эмулирует GetTrialDays и ExecuteApplication, поэтому сразу получаем на выходе рабочую прогу и не надо руками ничего эмулировать

цитата:
.::D.e.M.o.N.i.X::. ][в@статься то зачем ?


Точняк !!!

mnalex :: Runtime_err0r
Возможно он грамотнее распаковует 1.23, а ты попробуй 1.3...

mnalex :: Ребята, объясните мне, нафига делаються кряк проги, которые дают только избранным крякерам, т.е. тем кто и без этого спокойно распаковывает?
Для тестирования? Или просто из желания показать, что их уважают, а на остальных нас;%ть? Не, я понимаю, и неспорю, что эти проги делают умные люди, и я их естествено уважаю, но зачем страдать такой фигнёй, я незнаю и не понимаю...

nice :: mnalex
ИМХО всё это денег стоит...

Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe
http://www.apache-gui.com/files/apconf.exe

Andrey :: nice пишет:
цитата:
Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe


Какая же это 1.30, это допотопная 1.23, со стареньким импортом

mnalex :: nice пишет:
цитата:
ИМХО всё это денег стоит...


Хорошо, тогда ты хочешь сказать, что те у кого уже есть эта прога - заплатили автору? Фигня... Единственное, это то что если у него (автора) будут проблемы с чем либо - он может быть уверен, что эти люди постараються ему помочь всеми силами...

цитата:
Да я думаю мало кто здесь может 1_30 руками снять...


Интересно, а ты хочеш сказать, что stripper 2.11b есть у многих? Нет, он у этих «мало» и есть...

ИМХО, как я уже говорил - фигня это...

TriD :: Привет чесной компании!
Если у кого есть ASPR Stripper 2.07, намыльте пожалуйста, а то приведенная вначале ссылка не работает

P.S. Извиняйте за беспокойство, сам нашел на одном из тайваньских серверов.

Runtime_err0r :: mnalex , nice , Andrey

Да ладно вам спорить. По-моему syd прав, Солодовников-то тоже не лох, стоит только выложить версию stripper’а публичного доступа, и через неделю его уже можно будет положить в корзину
А так, насколько мне известно, у всех российских кракерских групп он и так есть, так что присоединяйтесь

mnalex :: Runtime_err0r пишет:
цитата:
так что присоединяйтесь


А как это сделать? Лично я непротив, тока кто меня возьмет?

Runtime_err0r :: mnalex

цитата:
Runtime_err0r пишет:
цитата: -------------------------------------------------- ------------------------------
так что присоединяйтесь
-------------------------------------------------- ------------------------------

А как это сделать?


Учиться, учиться и ещё раз учиться ... © Ленин

MozgC [TSRh] :: Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))

T0zik ::
цитата:
Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))


Скорей всего :) Да и тенденция однако - то что делает стриппер можно сделать вручную, в новом аспре появляются вещи, которые имхо не автоматизировать :( Перенос стрипером точки входа aka OEP эт конечно хорошо, а что он будет делать, если в OEP появятся зависимые от кода аспра фичи, т.е. если код OEP будет зависеть от кода aspr’а :( каюк - придется весь полиморф разбирать :(

mnalex :: Runtime_err0r
Что и делаеться :))

MozgC [TSRh]
Мои мысли высказал - вечно опережаешь, я подумаю - а ты уже скажешь :))




[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:



[ChG]EliTe Помогите с ASProtect’om PEiD определил его как:
ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
Я через OllyDbg способом из 26 нажатий shift+F9 нашел OEP... *Не зацикливая* программу а просто остановившись, снял Дамп... с помощю ImportREC восстановил таблицу... (почти все ImportREC восстановил сам + помог плагин для к нему для ASProtect v1.22) делаю затем Fix Dump....
Но после запуска дампа: «Инструкция по адресу 0x0048e889 обратилась к памяти по адр 0x00000004 память не может быть read» :(

Может это потому что Дамп снимал на незацикленной проге? Кстати а зачем ее вообще зацикливать? А если просто бряк на OEP ?
По поводу галочки «Add new section» в ImportREC? Нужна ли она? или надо RVA из Дампа брать?
P.S. хотя я и так и так пробовал...
MC707 :: Зацикливается только в айсе, чтоб прога дальше не убегала. Сайс же не параллельно с виндой работает.
[ChG]EliTe пишет:
цитата:
почти все ImportREC восстановил


а надо чтоб все.
Прочитай в доках краклаба статью -=ALEX=--а о распаковке этого аспра.

Если хочешь быстрее и не ручками (но не факт что правильнее) - возьми strripper 2.07f.

MC707 :: Да кстати не забудь еще и ОЕР правильно указать

XoraX :: еррор вылетает из-за спижженых байт, ты их не восстановил

MC707 :: XoraX
мде... че это я про них забыл?


[ChG]EliTe :: Что касаеться Импорта то я его ВЕСЬ восстанавливаю что не востановилось В самом начале то Плагин довостанавливает! Вообщем с этим все ОК! Как я понял.. :)

А вот что касаеться краденых байт, то действительно их не искал.. я думал они только в 1,3 версиях

[ChG]EliTe :: Люди добрые помогите со спертыми байтими разобраться.... точнее вернуть их на место... :)

Подскажите с чего начать, куда копать... Пользуюсь преимущественно Olly...

Помогите кто чем может...

Kerghan :: XoraX
MC707
вы че чуваки, пизженные байты кажись тока с 4ой бэтки начинаются , и уж во всяком случае в первой их ну никак нету

[ChG]EliTe
поробуй посмотреть в чем суть ошибки, отладчик он для того и сделан
может там чето типа mov eax,byte ptr [eax] а eax=0 или проверка целостности кода или еще хз че

MC707 :: XoraX
О, я ж грил

XoraX :: сорри, я честно гря не знал...

nice :: [ChG]EliTe
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит

dMNt :: я конечно извиняюсь , но где этот плагн там искать? я его не нашел

__cr__ :: http://kpteam.com/index.php?show=tools

Поисковики - это сила

[ChG]EliTe :: nice пишет:
цитата:
Плагин не востанавливает ф-ию FreeResource
Скачай с сайта www.kpnemo.ru плагин от Madness’a, тот всё востановит


1000 благодарностей! Офигеть! И правда все ОК!

Вот только как такое может быть ведь и без этого плагинка я все восстанавливал и ImportREC писал что мол все ОК! точнее «YES»!
Типа он восстановил но не правильно?




Python



Python_Max Странный UPX Сабж состоит в том, что PEiD и ему подобные показывают, что подопытная прога запакована UPX (а конкретнее «UPX 0.89.6 - 1.02 / 1.05 - 1.24 -› Markus & Laszlo»), но в то же время ни сам UPX ни другой unpacker, который может его распаковать, этого сделать не могут и говорят, что UPX’a там и близко нет.
Распаковать смог только ProcDump, но дизасмится распакованный вариант не хочет, а ResourceHacker говорит, что ресурсы нестандартные либо запакованы, хотя тот же PEiD после десяти секунд сканирования (долго однако) говорит, что Borland Delphi 3.0

Че делать-то? Хочу увидеть код программы...

ЗЫ: руками распаковать пробовал - после распаковки по аналогии с туторами дамп не запускается. Но посмотрел я в PE Editor’e тот дамп, который распаковал ProcDump, - он добавил туда еще одну секцию idata. Возможно поэтому его (процдампа) дамп запускается нормально, но, как уже сказал - не дизасмится (конца работы W32Dasm я не дождался).
XoraX :: анализаторы и обмануть можно... покажи файл

Python_Max :: http://www.hotrex.com/soko_pro.exe

Т.е. это инсталяха. А файл - главный exe-шник.

Вот блин, кажись я его даже не оттудова качал :/
Хотя размер сходится, это тот же файл.

WELL :: Лучше распаковывать руками, так надежнее.
Попробуй по такой схеме:
1) Ищешь OEP руками
2) Циклишь прогу (лучше в OllyDbg) на OEP’е
3) Дампишь (лучше с помощью LordPE)
4) Таблицу импорта восстанавливать попробуй ImpRec’ом и Revirgin,
т.к. бывает ImpRec восстанавливает криво (да и Revirgin бывает тоже).
В принципе такая схема обычно подходит для всех простых пакеров (типа ASPack, UPX).

Bob :: Python_Max
Ручками распаковывается все без проблем...
OEP 45e8b0
действу как сказал WELL

Python_Max :: WELL
Thx, я так все и делал, кроме восстановления таблицы импорта.

Bob
OEP я нашел первым делом.

Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/

Выбираю процесс (нераспакованный), ввожу OEP, а ImpREC говорит «Invalid OEP! It does not match in the process memory». А запускаю дамп и получаю - «Ошибка при инициализации приложения...». В самом дампе EP поставил равным OEP-ImageBase.

Что я делаю неправильно?
Может там (в ImpREC) рядом с OEP нужно еще ввести RVA и Size?
А как их узнать?

WELL :: Python_Max
Попробуй Revirgin http://wasm.ru/tools/6/revirgin.zip

Runtime_err0r :: Python_Max
Распакуй этим: _http://www.zone.ee/Runtime_err0r/upx.exe

-=atol=- :: Python_Max пишет:
цитата:
Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/


Юзай 1.6. У меня 1.4.2+ точно такое - же сообщение написал «Invalid OEP! It does not match in the process memory»

KLAUS :: «Invalid OEP! It does not match in the process memory»

Чтоб небыло ошибки нужно правильно указать RVA (если искать автоматом, то будут ошибки), запускай какой-нить Hex редактор (Hex Workshop - например), и в DUMP’e ищи такие (F3) - 1677F7BF, у меня выдался 100110 ( у тебя будет другой), в поле RVA вводи -100000, и в Imprec жми GetImport, потом удаляй всё где стоит NO (Delete Thunks)..и жми FIX DUMP.....и опля ВСЁ РАБОТАЕТ!!!

KLAUS :: Да , кстати там точка входа, это обманка типа jmp наделали на реальную точку...поэтому PEID так долго думает

-=atol=- :: OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

WELL :: KLAUS
А там вообще UPX ?

-=atol=- :: Имеется три секции:
V}«0 -1
^?91 -2
.rsrc -3

WELL :: А модифицироваными упсами с васма пробовали распаковывать ?
У меня был косяк с распаковкой упса со скрамберами, там ImpRec 1.6 не справился, а Revirgin помог.

KLAUS :: Да там балда была...UPX’ом зажата!

KLAUS :: Ну а сам их защищал, и потом распаковывал.....по идеи просто делаеш PE_rebuild и всё.
Ну меня ещё Imprec неразу не подводил...посмотрим что дальше будет!

Python_Max :: -=atol=-
› OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?

Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.
Ради любопытства зациклил прогу и сделал два дампа: один с помощью LordPE, другой - с помошью PE Tools. И проделал те же действия для обоих. В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось (к слову, у дампа LordPE даже не отображалась иконка).
Можно считать, что прога распакована, но редактор ресурсов продолжает гнать все тот же бред: »...it probably been compressed with an EXE compressor».
Это как понимать?

W32Dasm тихо умирает, а вот IDA хоть и предупреждает о том, что таблица импорта повреждена, но дизассемблирует довольно быстро (две минуты), хотя не могу сказать насколько правильно...

А к чему было сообщение о том, что там три секции?

Runtime_err0r
Из-за смайлика боюсь даже качать :)
Тем более я сказал, что UnPacker’ы его не берут. Или этот особенный?

Python_Max :: Хе! В опциях LordPE нужно было две птицы поставить!
Теперь таблица импорта восстанавливается нормально.

Runtime_err0r :: Python_Max
Этот особенный А вообще распаковывать UPX руками - это извращение, читай статью:
http://www.wasm.ru/article.php?article=packers2#8

-=atol=- :: Python_Max пишет:
цитата:
А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?


Да 5E8B0 это EP для дампа, а 45E8B0 это EOP для запакованной проги.Python_Max пишет:

цитата:
Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.


Незнаю у меня все нормально.
Python_Max пишет:
цитата:
В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось


И Lord_PE и Pe-Tools оба дампа получались рабочии.

KLAUS :: А мне вот вообще интерестно, вы вообще пробывали распаковать прогу самим UPX, предварительно в HIEW подправить секции!!

KLAUS :: Короче OEP -0005E8B0 !! Эт 100%
Заменяй секции на UPX0, UPX1 - и разпаковывай самим UPX, без всяких проблем, без всяких дампов..реальный файл занимает 1628

Python_Max :: В смысле имена секций???

KLAUS :: Короче в HIew, нажимаешь F9, выбераешь свой файл, затем F8›F6›F3›F3 и набираешь UPX0. затем Enter›F9 , стускаешься на вторую секцию и тоже самое только UPX1. Всё сохраняешь фаел, запускаешь UPX -d ...прога распакована




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот



Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю,...



XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю, защищенную последней армой, она не запускается..
пишет General Exctraction Error. Location ES1.
причем сайс неактивен и вообще ничего лишнего не запущено...

че за, кто знает?
UnKnOwN :: Аналогичная история, сам мечусь в непонятках,

если кто что знает опешите как и что и как сэтим бороться

Dred :: У меня тоже самое с Sothink SWF Decompiler -›

Прохожий :: В новой арме встроен высокоинтелектуальный детектор хакеров.

__cr__ :: Может они заюзали прием, о котором писал Bad_guy?
Т.е. поиск ярлыков и т.д.

MozgC [TSRh] :: Это защита от отладчика в версии 3.60. Если вкратце то обходится так:
bpx openservicea
bpm -1 dr0

Запускаете армадильную прогу и прерываетесь в OpenServiceA, F12 и ложите в eax 0, чтобы jz выполнился (сервис NTIce якобы не найден), потом будет сравнение eax с 424, прыжок должен выполниться. Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5. Прога запущена.

PS. Еще надо IceExt в реестре в двух местах переименовать во что-нибудь другое.
PPS. Странно что у вас эта ошибка идет первой. Обычно арма сначала пишет что найден отладчик и только после обхода OpenServiceA пишет ошибку ES1.

infern0 :: мозг правильно написал. только лучше всего взять iceext 0.60 и при установке указать дроугое имя. superdriver подойдет :)

MozgC [TSRh] :: infern0
Выложи плиз куданить версию 0.60, а то нигде найти не могу =(

AnteC :: 0.60 http://www.wasm.ru/tools/10/IceExt.zip

Mario555 :: У меня почему-то некоторые армадильные проги выдают сообшение о найденом отладчике даже когда сайс выключен...
Если в таких прогах поставить бряки (в Olly) на IsDebuggerPresent и OpenServiceA, то сначала сработает IsDebuggerPresent, потом OpenServiceA, затем опять IsDebuggerPresent и после последнего по-любому вылетает эта мерзкая месага.
Причем версии армы на этих прогах не последнии (это если верить Peid). Что там может проверять арма ?

Choba :: Если не трудно скиньте на choba@ua.fm IceExt 0.60

Choba :: уже сам нашел на http://stenri.pisem.net/

captain cobalt :: MozgC [TSRh] пишет:
цитата:
Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5.


Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...

infern0 :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...


херня все это. никаких последствий кроме нормального дампа в итоге не будет :) арма в принципе тупая до безобразия...

XoraX :: infern0 пишет:
цитата:
арма в принципе тупая до безобразия...


да, если разобраться в ней хорошо... напиши чтоли туториал хороший

MozgC [TSRh] :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:


Ну тебе лучше знать =)

infern0 :: XoraX пишет:
цитата:
напиши чтоли туториал хороший


на тему ?

GL#0M :: infern0

Распаковка армадиллы от А до Я. =)




DiveSlip MP3 Collection Manager. Скачать можно по ссылке



DiveSlip MP3 Collection Manager. Скачать можно по ссылке http://www.softodrom.ru/win/get.php?id=4690 (полметра)
Программа запакована (похоже на UPX, но PEiD не определил), в незарегистрированной версии музыкальная коллекция не должна превышать 500 песен, для регистрации необходимо ввести name и Code (20 символов). В принципе там все достаточно прото, но вот с помощью части кода (8 символов) определяется вызов процедуры, то есть если сократить, то:
eax=40D89CC7 xor *восемь символов вашего кода* xor 44C1D37A7
call eax,
Первое число, скорее всего зависит от введенного Name, но я регистрировался все время под одним и тем же ником. Последнее не отчего не зависит.
После введения Name и Code эти данные заносятся в реестр, а потом при следующей загрузки проверяются. В принципе все части кода хранятся в открытом виде, но вот эта часть никак не узнать.
Я над ней уже два вечера колдую, поэтому очень хочется сломать, но видимо сам не смогу...
XoraX :: вроде бы nice отламывал ее... спроси...

dMNt :: hxxp://ldx1.web1000.com/m...3cm.v0.992.keygen.KoN.zip

2 AnteC: стукнись в асю 1999389




Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка?



Гость ASProtect 1.23 Киберзащита или дешевая уловка? Только ручная распаковка? Поделитесь мнением!
-------------------------------------------------- ---
Есть у меня супер-пупер прога, упакованная ASProtect 1.23 RC4 Demo. Может кто-нибудь поделится своим опытом?
Python_Max :: http://cracklab.narod.ru/doc/arc4.htm

Гость :: Почитаю... Погодь... Немножко...

Гость :: На моей проге стоит защита от softIce’a
Система XP - где найти рабую фичу, чтобы s’ice не определялся?

-=atol=- :: Используй OllyDbg. Способ 26 нажатий Shift+F9
Фича есть IceExt называется

WELL :: Гость
Ну судя по топику http://cracklab.fastbb.ru...85-000-0-0-0-1078579627-0
Рулит Xtreme-Protector :)

Гость :: -=atol=- пишет:
цитата:
Фича есть IceExt называется


С этого места хотелось бы поподробнее, ну, где скачать, как хакать ею... А то все кратко так отвечают - я ведь не зря трачу свое время, вот и хочу найти ответы на свои вопросы

-=atol=- :: Гость пишет:
цитата:
ну, где скачать


Попробуй с wasm.ru или ftp.exetools.com или reversing.kulichki.ru стянуть

цитата:
как хакать ею...


Когда запустишь ее, в сайсе !help и все

Гость :: Благодарен! Ща попробуем...

[ChG]EliTe :: -=atol=- пишет:
цитата:
Используй OllyDbg. Способ 26 нажатий Shift+F9


Я дико извиняюсь но как то мне попадплась програмка запакованная ASProtect 1.23 RC4 и этот метод в Олли не сработал... :( я даже полностью затер с компа Soft Ice думая что все таки его она находит... но нет шаге на 8-10 (точно не помню) вылезал nag мол закройте дебаггер... :( Хотя еще раз извиняюсь может я и айс не доконца потер... вообщем небыло тогда времени разобраться в этом... Вот все хочу вернуться к той проге... Тем более что уж очень просили...

Если кто меня в этом разубедит буду очень благодарен...

Гость :: Установил IceExt - пишет что все Ok! просит перезагрузку...
Перезагрузил
.....хорошая программа...
----------------------------------------
Ничего не вышло! проги asprotect’овские не запускаются!
----------------------------------------
This protected program cannot be run of debugger
---------------------------------------
Короче, в чем вся фишка, что не так делаю???

[ChG]EliTe :: Так сказать P.S.:
Все статьи и примеры относительно айса, скажите а ктонить в Олле ASProtect 1.23 распаковывал? Поделитесь опытом плз..

Гость :: Сначала скажи где Олле взять да сколько весит..если не затруднит :(

[ChG]EliTe :: Гость пишет:
цитата:
Сначала скажи где Олле взять да сколько весит..если не затруднит :(


ВЕСЬ СОФТ ЕСТЬ НА reversing.kulichki.net в том числе и Оля :)

WELL :: Гость пишет:
цитата:
Сначала скажи где Олле взять


http://home.t-online.de/home/Ollydbg/

Гость :: Теперь пишите про Ollydbg - качаю

-=atol=- :: Прочитай http://gl00m.fatal.ru/art/aspr13.html

Гость :: Неплохо!.. Я щас..

[ChG]EliTe :: -=atol=- пишет:
цитата:
Прочитай http://gl00m.fatal.ru/art/aspr13.html


Да читал уже.. впринципе все ОК! Кроме краденных байтов :( Вот с ними как раз и трабл-з... ИМХО в статье уж очень обще про это написано

-=atol=- :: http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти

[ChG]EliTe :: -=atol=- пишет:
цитата:
http://cracklab.narod.ru/doc/arc4.htm там хорошо написанно как краденые байты найти


Да спасибо.. и это читал но там опять же на примере айса... а мне хочеться в Olly .... Ведь распаковывают же люди при помощи Оли, а не Айса....

Гость :: [ChG]EliTe пишет:
цитата:
http://gl00m.fatal.ru/art/aspr13.html


Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»
-------------------------------------------------- -----------------------
Что-то Plugins-›Command line-›Command line я там не видел нигде!

WELL :: Гость пишет:
цитата:
Что-то Plugins-›Command line-›Command line я там не видел нигде!


А у тебя какой Olly ?

-=atol=- :: WELL пишет:
цитата:
А у тебя какой Olly ?


Command line это плагин для ollydbg

Гость :: 1.09d
Где взять плагин этот

WELL :: -=atol=-
Да я знаю, что плагин.
Я оли с васма качал: там commandline уже был

Гость :: Это што ли http://home.t-online.de/home/Ollydbg/plug108.zip?

Гость :: А как его примастачить к Olly?

WELL :: Гость
Глянь тут http://wasm.ru/toollist.php?list=9

Гость :: Спасибо!

Гость :: Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются

Гость :: Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce
Help!

-=atol=- :: tГость пишет:
цитата:
Установил IceExt, перезагрузил комп - проги все равно обнаруживают SoftIce


Какой у тебя IceEx?
Гость пишет:
цитата:
в директорию с Olly - что дальше? плагины то в ней не появляются


Plugins\Command Bar\Show/Hide Command Bar

Гость :: -=atol=- пишет:
цитата:
Какой у тебя IceEx?


---
v.0.42

-=atol=- :: Качай 0.60 или 0.57. Они скрывают сайс от Asprotect

Гость :: -=atol=- пишет:
цитата:
Качай 0.60 или 0.57. Они скрывают сайс от Asprotect


Подскажи адрес (желательно точный и на v0.6)

[ChG]EliTe :: Гость пишет:
цитата:
Скопировал
-CmdBar.ini-
-CmdBar.dll-
в директорию с Olly - что дальше? плагины то в ней не появляются


В настройках путь к плагинам прописал?

[ChG]EliTe :: Гость пишет:
цитата:
Есть тема:
017F5934 8BC1 MOV EAX,ECX
Теперь, после установки BreakPoint’а (F2), нажмите F9 (Запуск) и мы прервёмся на нашем BP

7. Что теперь?? Мы пройдём весь путь по F8 / F7(Trace Into)??!!
Конечно... НЕТ!!
В Olly есть хорошая функция, коммандная строка.
В меню, выберем Plugins-›Command line-›Command line
Теперь мы можем написать комманду трассировки с условием!
Да! В Olly есть комманда Trace! Вызывается - TC - Trace Condition
Она выполняется пока не будет истины!
Так... Пишем в текстовом поле: TC EIP‹900000 и нажимаем [Enter].
В правом нижнем углу мы увидим: «Tracing»


Если тебя интересует именно поиск OEP то в Olly есть способ лучше писал о нем помоему MC707
после 26 (как правило) нажатий shift+F9 жмем Alt+m ставим бряк (F2) на строке где секция code жмем еще раз shift+F9 и мы на OEP!

Mario555 :: Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/

Гость :: [ChG]EliTe пишет:
цитата:
В настройках путь к плагинам прописал?


Все в порядке, разобрался!
[ChG]EliTe пишет:
цитата:
Если тебя интересует именно поиск OEP


Меня не столько интересует один только OEP, как «экономия денег» за счет взлома программ - ведь если я и все остальные начнем покупать эти лицензии, ключи, то
что же получится? Будем пахать день и ночь ради покупки какого-там ключа?
---------------------------------------------
я все о больном...
---------------------------------------------
извините за откровенность...
---------------------------------------------
Вобщем, надо мне сломать прогу, запакованную ASProtect’ом v1.23 RC4 DEMO, с детектом на софтайс, с trial’ом, ограниченными функциями.
Уже написал MozgC в его форуме «Кому нужен крэк - пишите ЗДЕСЬ и ТОЛЬКО ЗДЕСЬ!», но ответа пока не слышно...

Гость :: Mario555 пишет:
цитата:
Короче берёте OllyScript и готовые скрипты к нему, смотрите, как они работают и всё станет понятно.

http://ollydbg.win32asmcommunity.net/


Сайт то буржуйский...

[ChG]EliTe :: Народ поделитесь инфой (копался и вот набрел) про вот этоу вот тулзу: http://www.is.svitonline.com/syd/stripper.html
Реально? Работает? Что не доделывает? Что переделывает? :)
Сам еще толком не разбирался буквально 3 мин назад нашел...

Гость :: [ChG]EliTe:
РидМи прочитай :)

[ChG]EliTe :: Гость пишет:
цитата:
[ChG]EliTe:
РидМи прочитай :)


Первым делом прочитал.. Просто одно дело что написано (на заборе тоже...) и другое дело как оно на практике...

Гость :: Правда твоя. Иногда такое напишут, а на практике ноль

Гость :: Есть что-нь вроде IceExt под XP+SP1 чтобы мой SoftIce от глаз вредных программ скрывало? Желательно небольшое (по размеру(ссылка бы тоже не помешала(да инструкция по установке)))

-=atol=- :: Гость пишет:
цитата:
Подскажи адрес (желательно точный и на v0.6)


на ftp.exetools.com

Гость :: Есть что-нь другое кроме IceExt?

-=atol=- :: Нет

Гость :: Не может быть? Точно?

Гость :: Проблему со своей прогой я так и не решил. В Olly не получается, а сайс обнаруживается чем не попадя :(
Новый IceExt мне через мастдайный яндикс не удалось найти (да и качать то уже надоело и карман с деньгами не резиновый) Может есть что-нь, какой-нь способ, распаковщик, способный посилить этот долбаный ASProtect_1.23_RC4_DEMO???
Нервы уже сдают... HELP!

RavenFH :: Ну а чем тебе не нравится ручная распаковка, чтобы научится от силы часа два с пивком посидеть и все : )

bara :: есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....

Гость :: bara пишет:
цитата:
есть фича для автораспаковке - стриппер 2.07f
прекрасно всё распаковывает на счёт раз....


Где взять? (желательно точную ссылку_

Гость :: у меня ASPrStripperXP v1.35 не хочет распаковывать!
Пишет:
----------------------------------------------
20:51:52 - executing.. may take for a few minutes.. be patient..
20:51:52 - image base - 00500000
20:51:52 - dumping victim..
20:51:53 - processing import table..
ImportAddressTable RVA :00177230 - kernel32.dll
ImportAddressTable RVA :6e72656b - el32.dll
ImportAddressTable RVA :6c470d02 - obalunlock
ImportAddressTable RVA :73491006 - windowvisible
ImportAddressTable RVA :65471406 - tforegroundwindow
ImportAddressTable RVA :00177aa4 - shell32.dll
ImportAddressTable RVA :177ab800 -
20:51:53 - fixing import table..
----------------------------------------------
и «приложение совершило недопустимую ошибку(в смысле stripper)»
----------------------------------------------
вообще...

Гость :: Скачал ASPrStripperXP v.2.07f
Распаковал...
Запускаю...
:(
---------------------
Runtime error 216 at 00503F2E
---------------------
или (другой файл из той же проги)
---------------------
Runtime error 217 at 00668240

Гость :: Что дальше?

Runtime_err0r :: Гость
Как прога-то называется ? и где её можно скачать ?

FEUERRADER :: Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!

P.S. не подскажете, что такое dip-table? asprdbg этого не объясняет :(

Гость :: Прога - Antivirus Stop! v.4.10.12
Качай на официальном сайте (около 5 метров) или один exe-модуль, который я выложил тут
----------------
Буду благодарен любой помощи!

Гость :: FEUERRADER пишет:
цитата:
Я вообще любой аспр распаковываю только 3 тулзами: AsprDbg (мощная штучка), PE Tools, HiEW. И всё работает!


Может какой-нь мануал хороший от себя подкинешь?

Gloomy :: Гость
Программа вообще очень веселая - качал как-то с kpnemo.ru релиз от Madness - так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!». Так что кроме распаковки в ней еще полно жуков будет
Кстати монитор еще выложи - он тоже требует «лечения».

Тоже скачаю посмотрю может все вместе что-нибудь придумаем

Гость :: Gloomy пишет:
цитата:
Кстати монитор еще выложи - он тоже требует «лечения»


Я про это знаю, просто первое, что кинул было поменьше размером.
Скоро выкину. Подожди

Gloomy :: Гость
Stripper его спокойно распаковал. Правда распакованная программа с ошибкой вываливается - ну так это думаю сейчас прибьем - я когда WinOrganizer потрошил там то ж самое было.
Обнаружил интересную вещь - Scanner Edition - хорошая штука, пожалуй даже себе оставлю.

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Минут через 5 посмотри здесь (сканер)

FEUERRADER :: Гость
Пока вряд ли :)
Я просто хотел сказать, что и без айса всё можно делать. Только проблемы с мутированными спертыми байтами. Но, думаю мой aspr sbrec tool совершит революцию :)
Шучу... однако ж :)

Гость :: Gloomy
Искал через поисковик кряк и кейген - смотрю - люди ищут, ищут, а найти не могут. Нашел пару серийных номеров (которые не захотели работать), скачал прогу и решил капитально занятся ей. Будем надеятся, что все получится!
--------------------
Закачиваю вторую часть, посмотри здесь (сканер~800кило)

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Мне кто-то раз сказал, что этот антивирь - полное дерьмо!
Gloomy пишет:
цитата:
Scanner Edition - хорошая штука


Хорошо, что хорошие люди не перевелись!

Гость :: Че это мои слова дублируются? Или уже в глазах двоится после двух бессонных ночей :)

Гость :: FEUERRADER пишет:
цитата:
без айса всё можно делать.


Мне айс очень даже не нравится...

Gloomy :: FEUERRADER
Уже убедился что за дрянь эти байты-мутанты - это просто жуть какая-то - бедный отладчик (и я тоже ) едва успевает код анализировать

Гость :: Как успехи?

Madness :: Gloomy
›так эта зараза после пары обновлений саму себя посчитала за вирус и сообщает мне радостно: «Cracked version of Antivirus Stop!».
Сначала они мой ник за вирус посчитали :), потом уже умнее сделали, говорят после запаковывания нормально работает или если сканеру не давать память проверять (файлы сканировать правой кнопкой), монитор вроде не ругался.

Gloomy :: Гость
Пока что никак, копаюсь в «мутантах».

Madness
Может быть повторишь подвиг и зарелизишь антивирь еще раз? Ты его уже ломал, опыт есть

Гость :: Glommy
скачал вторую часть?
---------------------------
Вообще мне пора на покой (у меня уже 23-20, а завтра рабдень)
Во сколько коннектишся завтра?
---------------------------

Гость :: Кстати, вот ключ

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

который, правда не открывает недоступных возможностей, но позволяет в течении 30 (а может и 40 дней - не считал)
не любоваться предложением купить stop! а после говорит, что истек trial-период
А также посмотри вот это

Гость :: ЭТО - это какая-то лицензия, что ли, где-то в рунете откапал на прошлой неделе

Gloomy :: Гость
Вторую часть скачал.

To All
Кто еще ковыряет антивирь и кто скачал полную верию, дистрибутив с сайта - есть странная проблема:
1. Распаковываем stopm.exe stripperом
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3 - тут у меня программа вылетает. А это всего-лишь функция добавления меню! Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?

Гость :: Gloomy пишет:
цитата:
Проверьте у кого полный дистрибутив может в этом месте прога не будет вылетать?


Проверю!

Гость :: Тебе бы тоже не помешало качнуть полную версию

Madness :: Gloomy
›Может быть повторишь подвиг и зарелизишь антивирь еще раз?
Не вижу смысла, может быть когда финал 5-ой версии выйдет...

›может в этом месте прога не будет вылетать?
Там в паре мест, насколько я помню, была проверка аспрового импорта.

WELL :: Похоже защита от взлома единственное более-менее сильное место в этом антивире :)
Я специально эту версию проверил.
Ничего в Stop’e не изменилось: 1 jmp туда-обратно в вирусе и Stop сходил в сад...
Видать не зря он Stop.

Gloomy :: Madness
А есть способы ее опознать? Очень странно что программа вылетает из-за какого-пункта меню

Madness :: Gloomy
push offset CopyFileA
mov eax, ds:off_AAAAA
call eax

ds:off_AAAAA:
pop ebx
pop eax
mov eax, [eax+2]
mov eax, [eax]
push dword ptr [eax]
pop dword ptr [eax]
jmp ebx

Гость :: WELL пишет:
цитата:
Видать не зря он Stop.


Видать потому что на delphi написан

Гость :: Gloomy:
-При распаковке в стриппере какие ставил опции?
-Чем отлаживаешь (сайсом или олли)?
-Разобрался с меню?
--------------------------------
щас займусь делом :)

Gloomy :: Гость
При распаковке все оставил по дефлоту. Отлаживаю в OllyDbg. Глюк с меню можно пофиксить просто заNOPив вызов функции, но потом все равно еще много ошибок. Нашел статью про более старую версию программы, изучаю.

Гость :: Спасибо за ссылку на статью, тоже сейчас почитаю

Гость :: По дефолту?:
------------------------------------
process import & fixup data
rebuild resourses & clean up dump
truncate sections
-----------------------------------
И еще. При загрузке stopm.exe (распакованного) в ollydb выпадает такая вещь
----------------------------------
module ’_stopm.exe’ has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifying.Please keep it in mind when settings breakpoints!
OK
---------------------------------
Все вопросы к тому:
ты пишешь:
-------------------------------------------------- ---
...
2. Ставим бряк на 0055E700 - к этому моменту прога уже распакована.
3. Ставим по адресу 0055E6F0 команду ret чтобы прога не вылетала с ошибкой
4. А теперь самое интересное - ставим бряк на 005BFDF3
...
-------------------------------------------------- ---
А у меня при открытии в той же опять таки olly все адреса начинаются с 007480000!?

Гость :: Статья к тому же чего-то не открывается...

Gloomy :: Гость
›› Ставим бряк на 0055E700
Правильно пишу - ты перед запуском проги перейти на этот адрес и поставь бряк а потом запускай прогу.

›› Статья к тому же чего-то не открывается...
Попробуй зайти с главной страницы http://cracklab.narod.ru

Гость :: Решил проблему со статьей

MC707 :: Может вам лучше посмотреть, как прога работает в аспре и как - без него?..

Gloomy :: MC707
С Аспром работает нормально, не глючит. Без Аспра после распаковки глючит, над фиксить.

Гость
Если ты внимательно прочитал статью то там написано что у антивиря можно только открутить триал и убрать наг, закрытые в демонстрационной версии опции не открыть. Стоит ли его распаковывать когда тот же триал обходится очень легко и без всякой распаковки?

Гость :: Gloomy пишет:
цитата:
тот же триал обходится очень легко


Что ты имеешь в виду?

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

MC707 :: Gloomy пишет:
цитата:
С Аспром работает нормально, не глючит


Дык найти причину и устранить. А то вы фигней страдаете. Смотрите что в стеке, что в регистрах, и тп

Гость :: Я прочитал статью. В триале нет проверки архивов и почтовых баз! Мне кажется это важной функцией.
Кстати, не помню чего я такого делал вчера с этим антивирем, но сегодня в наге он мне показал, что осталось 30 дней до регистрации вместо 26 или 27!
Где бы взять регномер (чтоб открыть все функции)?

Гость :: MC707 такой умный? Может сам сломаешь :)

MC707 :: Гость
Гы. Надо мощным экстрасенсом быть, чтоб урезанную демку сломать. К сожалению я к ним не отношусь

Gloomy :: MC707
›› Смотрите что в стеке, что в регистрах, и тп
Там кода 4,5 Мб - все их прошагово проходить и записывать все регистры? А проходить придется именно весь код полностью потому что ошибки валятся в самых неожиданных и непредстказуемых местах. Если «есть способ лучше» (с) пожалуйста расскажи, я такого способа не знаю.

›› тот же триал обходится очень легко
Скачай с http://kickme.to/inqsoft программу «Die,ASProtect,Die!» - она обнулит триал у любой проги, закриптованной аспром

›› Где бы взять регномер (чтоб открыть все функции)?
У разработчиков (за бабульки ясен пень)

Копаю код и «чем дальше в код тем больше багов» (с) - ошибки льются нескончаемым потоком, чем больше фиксишь тем больше ошибок. Немного улучшил ситуацию совет Madness по нахождению апрового импорта но все равно в целом ситуацию это не улучшает

MC707 :: Gloomy
Смотреть не все регистры а только в тех местах, где прога валится. Сам я эту прогу качать не собираюсь и вообще, смысл с демкой бороться?

Gloomy :: MC707
›› а только в тех местах, где прога валится
После чего программа тоже валится но уже в другом непредсказуемом месте

›› смысл с демкой бороться
Тоже об этом задумался - по уже затраченному времени получается что распаковка совершенно себя не оправдывает. От триала можно избавится с помощью «Die,ASProtect,Die!», а для удаления нага можно просто загрузчик написать - если писать на АСМе то не больше 2 Кб будет. А главное при этом не будет приколов типа «Обнаружен вирус - cracked version of Antivirus Stop!».

Гость
ИМХО, MC707 прав - цель взлома не оправдывает трудозатраты. Мое дальнейшее участие будет ограничиваться только написанием загрузчика для удаления нага - если это конечно понадобится.

Гость :: Glommy
А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Я пробовал - полный ноль... Я сам такого не ожидал!
Gloomy пишет:
цитата:
за бабульки ясен пень


Порядка 300 рубликов стоит эта бага! Может с мира по нитке насобираем?

Гость :: А еще надо заплатить этим буржуям, чтобы с другими своими секретами защиты не делились :)

Гость :: А может свой антивирь написать :)

Гость :: Скачал тут одну прогу, решил ее похакать да и себе оставить (Wallpaper Sequencer называется, trial, demo одним словом)
Скачал... Проверяю PEiD’ом... Чуть не офигел:
ASProtect 1.23 RC4 Demo -› Alexey Solodovnikov
...

Gloomy :: Гость
›› А ты пробовал эту прогу обрабатывать Die,Asprotect,Die! ?
Пробовал, прекрасно обнуляет триал

›› Может с мира по нитке насобираем?
«Это же не наш метод!» (с) Наш метод это упереть ключик у зарегистрированного юзера

››Чуть не офигел
Привыкай, едва ли не каждая 3-я прога защищена аспром

Гость :: Какой у тебя Die,Aspr,Die? у меня v2.1
Где он нашел эти ключи? Или какие ты поставил опции (дефолтовые?)?

Гость :: Гость пишет:
цитата:
Наш метод это упереть ключик у зарегистрированного юзера


кого-то приметил :)

Gloomy :: Гость
У меня версия 2.2. Я просто ищу и сношу под корешок все найденные ключи - прога работает отлично и ничего лишнего не удаляет, только то что нужно.

Гость :: А как насчет написания лоадера? Сделаешь, кинь в мыло!

Gloomy :: Гость
Иш ты какая софтина хитроя - даже окно нага и то с извращениями. Ничего, победим Как напишу лоадер пришлю мылом.

The DarkStranger :: мдя а статью прочитать наверно не судьба ..... что 4 стоп что 5 там одна лажа .... все просто снимается и пашет потом на ура все дело не в этом !!! в опревых это не ДЕМО !!! это просто прога с зашифрованными фичами тоесть если вводишь в рег поле ключь то он используется для расшифровки зашифрованных функций
вообще есть ключи к stop не помню какой версии то ли 4 то ли 5 можно попробовать взять ключь и им расшифровать функции потом все это дело подправить в ехе и усе почему я предлагаю расшифровку .. ? на одном из форумов писали что при вооде сернума в stop прога его принемает и работает ДО того как ее не перезапустишь тоесть перезапускаешь и прога опять анрег вот собственно можно и попытатся сделать полностью рабочую версию ..... кому не лень ковыряйтесь

Гость :: The DarkStranger пишет:
цитата:
кому не лень ковыряйтесь


Что, самому лень?

Гость :: Glommy, есть у меня регномер к этой версии, но он в rarархиве а на архиве том password стоит.
Если нужно могу кинуть на мыло. Пробовал подобрать пароль с помощью Advanced Archive Password Recovery 2.11 - не получилось (пишет мол версия архива слишком свежая, он такие типа не поддерживает!)

alex221 :: Я вот тоже решил написать криптор.. Круче армы..

Вот тогда всем куськина мать и наступит!!!!

:)))

T0zik :: alex221 пишет:
цитата:
Я вот тоже решил написать криптор.. Круче армы..


Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...

alex221 :: T0zik пишет:
цитата:
Уж лучше бы ДЕкриптор для армы, чтоб зря не кодить...


За декриптор деньги не содрать...

А на крутой защите можно неплохие бабки наварить..

Думаю там все будет жестко, чуть

IF kernel32.IsDebuggerPresent() == 1 THEN

FORMAT C:\

END IF

:)))

Гость :: {!Хватит форум засорять ненужными словами!}

Gloomy :: Гость
Загрузчик написал но он все равно неправильный потому что закрыть окно нага никакак не получается, а ждать пока можно будет нажать на кнопку «Продолжить» слишком долго, гораздо быстрее будет нажать ее вручную. Спрятать окно и нажать кнопку так же не получается.
›› но он в rarархиве а на архиве том password стоит
А где ты брал этот архив? Если на каком-нибудь варезном форуме то поищи пароль там. Кинь архив пожалуйста в мыло - я попробую поломать его бутфорсом.

Гость :: Отправил...Жди...

Гость :: Gloomy- ты где пропал?
С очисткой триала я разобрался.
Чтобы убрать наг нужно ввести регномер

0lZl1LU3WZDir+Jdz+1ul6nGkkF0oX
ETxanCRw8hi/Pkpd/nvBvYY4s2hz6V
kOqtxxLM30YDl4scQ4mzlX19S7lWLs
hDyBZSqHnp2Qu2OOkgpwysmWuUKu3i
KsWpP+3HQ1zY3UpC4DjanMQBIa0L6P
bTkjOaEw7YH+SRMRbfrOlg=

...и каждые 30 дней чистить триал. Хотелось бы какой-нь другой способ...

Gloomy :: Гость
А чем этот способ не устраивает? Нага нет, триала тоже - не шибко напряжно планировщику дать задание каждый месяц запускать чистильщик А насчет покриптованных частей кода это надо у Madness поинтересоваться как он их фиксил и пофиксил ли вообще.

Гость :: Все же обидно без проверки архивов и почтовых баз

Madness :: Gloomy
Фиксил, без них только триала и не будет.




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.

Mario555 :: Появился новый PEiD 0.92 [ hxxp://peid.has.it ]

цитата:
Added support for external database, independant of internal signatures. Added PE details lister. Added Import, Export, TLS and Section viewers. Added Disassembler. Added Hex Viewer.
Added ability to use plugins from Multiscan window. Added exporting of Multiscan results. Added ability to abort MultiScan without loosing results. Added ability to show process icons in Task Viewer.
Added ability to show modules under a process in Task Viewer. Added some more detections.


XoraX ::
цитата:
Added support for external database


где бы ее взять? вдруг пригодится...

PalR :: Ресторатор 2ОО4 v3.О.1129 Full
http://www.hornet.ru/0214/d-res301.zip
http://www.hornet.ru/0214/d-res302.zip

PalR :: Кто не успел, тот опаздал:) Гы

Cigan :: PalR
Плиз выложи еще разок. Блин токо сегодня до форума добрался!!!

PalR :: Restorator 2004 v3.0.1129 Release: DiSTiNCT

-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res301.zip
-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res302.zip
русик
_http://www.apocalypse1.na...004_3001129retail_rus.exe
_http://www.4ru.info/rus/alexagf-Res301129Fr.zip

Cigan :: PalR
Большое бли спасибо!!! :)))

nice :: Обновилась: BETA 2 of OLLYDBG 1.10

is in the page of olly for download

http://home.t-online.de/home/Ollydbg/beta110b.zip

Vesrion 1.10b - second beta

Download v1.10b now - still raw, for troubleshooting only, includes plugin.h and sources of cmdline.dll that demonstrate usage of ODBG_Plugincmd().

There is a big useful new feature: OllyDbg now can debug standalone DLLs. Just drop DLL into OllyDbg and see what happens. A brief walkthrough is available here. Also new is a SEH chain window. Other changes:

A very useful option to remove analysis from selection (shortcut: Backspace);
Attach window is resizeable (and even maximizable);
New stack commands: push doubleword and pop doubleword;
Option to copy all registers to clipboard.

Removed bugs:

Assembler supports simplified form of IMUL: IMUL reg,const. This command is disassembled as IMUL reg,reg,const. One cannot search for IMUL using imprecise register (IMUL R32,CONST - use IMUL R32,R32,CONST instead). Reported by Alexandr Yakubtchik.
Disassembler used address size instead of operand size to decode size of immediate offset (JMP FAR ssss:oooooooo). Reported by Karel;

Tabs in source text in Disassembler comments and info pane were displayed as small rectangles. Now they are extended to at most 8 spaces. Reported by Karel;

ARPL was decoded with 32-bit size of operands (correct decoding is ARPL r/m16,r16). Reported by Karel;
OllyDbg now should correctly work in multi-monitor configurations, but I am unable to verify this. Please check! Reported by Roel Verdult;
2-byte INT 3 (CD 03) was processed incorrectly. Reported by roticv.
That’s all, enjoy and don’t forget to report bugs! Unfortunately I’m very busy now and cannot answer to you emails instantly, sorry. But, earlier or later, I’ll read then all :)

mnalex :: PalR
Во блин, прошлый раз неуспел, и в этот тоже :(, либо сайт глючит, либо за ~ ался :( - чото достучаться немогу... Ты еще неубирал?

AnteC :: все качается...

mnalex :: Угу, вроде стало нормально, а то чото немог :(

Mario555 :: Inno Setup Unpacker

http://innounp.sourceforge.net/

nice :: Mario555
Где раньше был :)

InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar

WELL :: Что-то http://hice.antosha.ru/AsprDbgr_build_104.zip не закачивается,
хотя http://hice.antosha.ru/is7unpack05.rar качнулся нормально.

AlexZ CRaCker :: stripper.exe - под ХР ункриптор вер 2.03
http://protools.anticrack...es/unpackers/stripper.zip

nice :: WELL
http://hice.antosha.ru/AsprDbgr_build_106.zip

AlexZ CRaCker
Уже давно 2_07
http://www.is.svitonline....om/syd/stripper_v207f.rar

Гость :: Дайте ссылочку на masm
(последней версии, ессно)

MC707 :: Гость пишет:
цитата:
Дайте ссылочку на masm


ftp://ftp.exetools.com

Только пасс с логином не спрашивай пожалуйста. На ихнем форуме найдешь

Гость :: Чего то не хочется на форум то их лезть..

PalR :: А нет ли у кого IceExt версии до 0.61

PalR :: Нет что л ни у кого??????????

PalR :: Мдя

ilya :: http://wasm.ru/tools/10/IceExt.zip эта 0.61

PalR :: Мне надо 0.6, 0.59, 0.58, 0.57 и т.д, но не 0.61

DOLTON :: PalR
Есть 0.57. Пиши мыло - пришлю...

PalR :: palrсобакаyandexточкаru
если больше метра лучше порубить.
сенкс




ilya FineReader 7.0 PEid показывает что упаковщика нет а при отладке...



ilya FineReader 7.0 PEid показывает что упаковщика нет а при отладке FineReader встаёт намертво.Кто нить знает что за *уйня(защита) и стоит она не мало 129$
RavenFH :: Там ниче такого, SEHов куча правда, часть импортируемых функций реализована через переходники, которые лежат в дллках, поковыряйся может че и нароешь, пока занят другим это так посмотрел мимоходом, попозже займусь.




Ссылку дай на кряк (через поисковик геморно)


Kerghan
Ссылку дай на кряк (через поисковик геморно)

Kerghan :: вроде на аспак не особо похоже
\Outpost Firewall\netstat.ofp :: Microsoft Visual C++ 6.0 DLL [Debug]
\Outpost Firewall\opst_ui.dll :: ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov
\Outpost Firewall\op_ctrls.dll :: Microsoft Visual C++ 6.0 DLL [Debug]

на мыло скину

Гость :: Чем сканил?

Гость :: После кряка все равно показывает, что незарегеная она, 30 дней осталось

Kerghan :: peid 9.2

---
а руки тебе на что? возми да исправь

Гость :: peid v0.9 (где взять новый?)
pe sniffer v3.2b

Гость :: Kerghan пишет:
цитата:
а руки тебе на что? возми да исправь


Значит триал все же снят? просто надпись осталась? что-ли

UnKnOwN :: Гость пишет:
цитата:
peid v0.9 (где взять новый?)


http://peid.has.it/ туточки он...

ZX :: Kerghan пишет:
цитата:
на мыло скину


И мне на мыло Z010X at yandex.ru плиззз!

-= ALEX =- :: я бы может и посомтрел если размер был бы в 10 раз меньше...

ZX :: Kerghan
Спасибо! Хотя не от этой версии, но тоже можно взять на заметку engine.dll, шесть байт патча, хм...

RavenFH :: -= ALEX =- пишет:
цитата:
я бы может и посомтрел если размер был бы в 10 раз меньше...


Возьми не пожалеешь :)

Гость :: RavenFH пишет:
цитата:
Возьми не пожалеешь :)


Действительно, хорошая вещь.

infern0 :: Kerghan пишет:
цитата:
кстати, проверка через dll идет, а она под аспром, так что удачи


по секрету скажу что для отлома сей поделки надо всего лишь распаковать dll стриппером и положить поверх оригинальной. ВСЕ :)))

Гость :: infern0
фишка еще та:
зарегестрирована на: unknown
тип лицензии: пожизненные обновления
как теперь кряк то сделать?

ZX :: Гость пишет:
цитата:
фишка еще та:
зарегестрирована на: unknown
тип лицензии: пожизненные обновления
как теперь кряк то сделать?


Не вздумай лепить кряк пусть народ подзаработает, все ж программеры! Всем есть хочется, тем более прога хорошая!

infern0!

Ну ты монстр!

Гость :: А чем вы секции аспровские вычищаете? а то распакованная dll’ка в два раза почти увеличилась?

Гость :: ZX пишет:
цитата:
Не вздумай лепить кряк пусть народ подзаработает, все ж программеры! Всем есть хочется, тем более прога хорошая!


Я чиста для себя, ну может кто еще сердечно попросит... 8)

ZX :: Гость пишет:
цитата:
А чем вы секции аспровские вычищаете?


Там их уже нет, пакуй UPX-ом и все дела - 350кб.

infern0 :: ZX пишет:
цитата:
infern0!

Ну ты монстр!


собственно говоря это не моя идея :) Я только поделился. по бооольшому секрету. Больше никому !

Гость :: Надо будет что-ли программерам этим написать. продукт то действительно неплохой - обидно будет за ребят

Slavon :: Да, с моим инетом (~5-6 Kb\sec) её хер скачаешь

Гость :: Slavon
это чистотвое дело, т.к. прога то уже сломана!




ZX Во блин... Даж не знаю,с какой стороны подойти к этой штуке.



ZX Во блин... Даж не знаю,с какой стороны подойти к этой штуке.
http://www.ergosolo.ru/do.../full010404/Solosetup.exe, 4.4 метра. стоит не дорого 150 руб. но не в этом счастье.
Отладчики не любит, неизвестно что к ней прицепили, вроде не пакована, ида грызет уже полчаса, но походу ничекго хорошего еще не нагрызла. Мож кто встречался с подобной защитой?
WELL :: ZX
Она пакована UPX-Scrambler
Распаковывай руками или попробуй модифицированным UPXом с васма.

ZX :: Она вроде не пакована, потому что ида всю секцию кода опознала, но к проге какая-то фигня прикручена, навороты от отладчика, импрека, дамперов и т.д.

ZX :: Это новая версия от 01.04.04г. ребята прикололись по полной программе.

WELL :: ZX
Посмотри PEiD’ом и увидишь чем пакована.

WELL :: Да это 100% UPX.
Ты в ольку загрузи и посмотри на код.
Я уже распаковал.

ZX :: Ща погодь мож у меня PEiD не тот.

ZX :: Тока, что взял с васма, он не знает что это за фигня и на UPX это хоть убей не похоже

WELL :: ZX
Блин. PeID 0.92
Замечательно распаковывается upx-ripper’ом.
Возьми его с васма.

WELL :: У тебя версия exe-шника какая ?
8.1.1.1

ZX :: 8.1.1.2

WELL :: Ты попробуй http://www.wasm.ru/tools/6/upx-ripper.zip
А в папку с ним положи нормальный или модифицированный UPX 1.24 с именем upx.exe

ZX :: У всех секций виртуальный размер равен актуальному. Во как. Какой же тут UPX?

ZX :: WELL пишет:
цитата:
А в папку с ним положи нормальный или модифицированный UPX 1.24 с именем upx.exe


Нифига говорит не пакован.

WELL :: ZX
Ты попробовал как я тебе сказал ?

ZX :: Да пробовал!

WELL :: ZX
Скинь мне exe-шник на 12 собака netman.ru

ZX :: А ты откуда сливал?

WELL :: ZX
Оттуда же. В смысле с офф.сайта.
1-го числа качал. Кидай ехе-шник на мыло.

ZX :: Сейчас

bUg. :: PEiD говорит что написана на крестах шестых.

WELL :: Ну что, отправил?
А то мне уже с работы сваливать надо
А дома я буду только завтра вечером

ZX :: Скинул

ZX :: bUg. пишет:
цитата:
PEiD говорит что написана на крестах шестых.


это я и без PEiD вижу, но вот он этого у меня не видит.

bUg. :: ZX пишет:
цитата:
это я и без PEiD вижу, но вот он этого у меня не видит


ты скань хардкором.

ZX :: bUg. пишет:
цитата:
ты скань хардкором.


Да не в этом суть. Что на нее навесили?

-= ALEX =- :: блин, вот так посмотрел, что тут пишут... ваще нафига вам определять чем прога запакована, да еще и спорите тут. Важно ее распаковать....

ZX :: -= ALEX =- пишет:
цитата:
блин, вот так посмотрел, что тут пишут... ваще нафига вам определять чем прога запакована, да еще и спорите тут. Важно ее распаковать....


Чтоб знать - что ожидать от этой штуки, что-то я совсем уперся...

-= ALEX =- :: ZX пишет:
цитата:
Чтоб знать - что ожидать от этой штуки


А трудно на код посмотреть или PEiD тебе напишет все особенности защиты, в каких местах править и т.д...

Runtime_err0r :: ZX
А ты не проверял, ключи, сгенерированные кейгеном от Nitrogen’а подходят ?

Kerghan :: -= ALEX =-
да ты че не знал??? У него есть такая фича, теперь в версии 9.2 он распаковывает арму и xprotect, а также убирает наг, триал и восстанавливает всю функциональность. В версии 9.3 я слышал будет фича, которая будет из демо делать полнофункциональную прогу и исправлять все даже неизвестные разработчику баги

-= ALEX =- :: Kerghan слухай не знал, вот я дурак, парюсь тут. Пошел PEiD юзать...

ZX :: Runtime_err0r пишет:
цитата:
А ты не проверял, ключи, сгенерированные кейгеном от Nitrogen’а подходят ?


Да вот в этой проге прикол такой:
она мне дала ввести код при регистрации, ну сам понимаешь введен блаблабла... теперь клавиша зарегить сейчас уже не подсвечивается пытался ее разблокировать - на NITROGENA не реагирует, так и отладчиком ни одним к ней подойти не могу, только любой бряк и привет семье звоните на деревню дедушке. И что это за инструкция такая, звиняйте за непросвещенность, LOCK INT 3 или LOCK INT 1, после них отладчик кумарится в кернеле.

ZX :: Да дело не в том чтоб кряк сделать - впервой с такой защитой сталкиваюсь! Пришли попросили сделать кряк на версию 7.0, ну я как дельный думаю скачаю поновей (7.0 сразу распотрошил) и упссс... натолкнулся на что-то незнакомое. Дело не в том чтоб ее себе зарегить она мне не нужна - я и так печатаю быстрей чем говорю(учился, правда, на другой проге). Окажите помощь в изучении этой защиты, не обязательно эта прога, мож еще где встречается, но склоняюсь к тому что это программеры прикололись, хотя защита явно навесная(не пакер).

WELL :: Дааа... Видать разрабочики Solo через день новые версии релизят
День запакованые, день распакованые, день закриптованные.........
ZX
Я файл так и не получил.

ZX :: WELL
Ну сейчас тот получил?

WELL :: ZX
Получил.
Да, файлик явно не тот. Я толком еще не смотрел, но секции с именами tyoq7omz и pww3uox0 это весело
Завтра гляну.
8.1.1.1 заломал, теперь 8.1.1.2 буду ковырять

WELL :: ZX
Короче посмотрел я твой файлик.
Намудрили они там чего-то. Всякой лажи понавпихивали (типа SEH-ов).
Хотя толку от этого мало
Вообще проца проверки находится по адресу 0040173F.
И проверяется прога на зарегеность в разных местах 9 раз.
И после каждого вызова этой функции обычный условный переход
Можно, конечно, подправить переходы во всех 9-ти проверках.
Но лучше исправить саму процу проверки
В общем исправляй:
00405230 push ebp
на
00405230 ret
То есть 55 на C3.
Вроде всё пашет

ZX :: WELL
Спасибо за помощь, но хотелось бы знать - как ты туда дошел, я через эту кучу сегов пройти не смог, чем ты пользовался? Не прошу подробного описания, так вкраце, плиз. Заранее благодарен. :)

WELL :: ZX
Да, там олька гонит.
Я дебагером из IDA 4.5 пользовался и Soft-Ice’ом.
В айсе бряк на getwindowtexta при вводе кода.
Ну а потом нашел процу уже через иду.
Вот и все




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




nice PEid92 Написано: обновился



nice PEid92 Написано: обновился
PEiD v0.92 Build date: March 29, 2004
http://www.absolutelock.d...n/files/releases/PEiD.zip
nice :: На 6 сигнатур больше стало :)

UnKnOwN :: nice пишет:
цитата:
На 6 сигнатур больше стало :)


И то хорошо

-= ALEX =- :: а там мой протектор есть :)

MC707 :: -= ALEX =-
ну да?? уже?

-= ALEX =- :: :) извиняюсь, это вопрос-шутка был :)

Bad_guy :: -= ALEX =-
А ты его попробуй зарелизить и в 0.93 увидишь и свой протектор.
...даже мои StealthPE и HidePE уже в нём.

Mario555 :: Bad_guy пишет:
цитата:
...даже мои StealthPE и HidePE уже в нём.


А твоего StealthPE в базах антивирей ещё нет ? :)

Bad_guy :: Mario555
Был в AVP, но я выпустил новую версию. Теперь вы можете выбирать... Да, кстати флажок «только чтение» теперь не прокатит

Slavon :: Я меня стоит Win98 и при запуске требует MSVCP60.DLL :( Где её можно скачать???

XoraX :: ёпанафрот, ты надоел глупыми реквестами!
filesearch.ru

KLAUS :: А можно гденить глянуть, по каким сигнатурам он определяет пакеты/протекторы??

[ChG]EliTe :: XoraX пишет:
цитата:
Где её можно скачать???


Я ща у nice моду возьму...
2 nice а че универсальный, а главное правильный и полезный ответ:
www.yandex.ru/www.gg.ru

KLAUS :: Slavon

У меня тоже 98, но чёт он ничего не просит!!

fuck it :: Bad_guy
а де скачать твои проги StealthPE и HidePE ?

AlexZ CRaCker :: fuck it
http://bgcorp.narod.ru/stlpe20.zip
http://bgcorp.narod.ru/hidepe10.zip
Я брал отсюа. Ты спросл бы где скачать крэк (шаровара, однако...)

Bad_guy :: AlexZ CRaCker пишет:
цитата:
Ты спросл бы где скачать крэк


А крэк слабо сделать ?

KLAUS :: А где нить есть, по каким сигнатурам он проверяет??




MaZaFaKeR Минимальный набор... Минимальный набор софта для исследования...



MaZaFaKeR Минимальный набор... Минимальный набор софта для исследования программ для новичка?!.. Что лучше, кто чем пользуется?!.
Подскажите, форумчане! ;)
bUg. :: MaZaFaKeR
смотри топик «новичкам сюда».

WELL :: MaZaFaKeR
Заказывай диск от CRACKL@B
А так Soft-Ice, IDA, Hiew, OllyDbg, LordPE...

KLAUS :: MaZaFaKeR

Читай статьи «Для новичков», там всё написано!!

MozgC [TSRh] :: MaZaFaKeR
Для начала я вроде пользовался только SoftIce, WinDasm и Хекс-редактором (мне нравитcя Hex WorkShop)
Фактически этого может хватить в первые пару недель. На данном этапе тебе нужна гора статей. Читать и пробовать, читать и пробовать.

AlexZ CRaCker :: MaZaFaKeR
http://cydem.org.ua/pars....bengaly_tut&conf=12&lev=3

dMNt :: незабываем также про hiew
я без него как без рук

Kerghan :: вот весь софт, который нужен. В порядке частоты использования:
OllyDbg, Hiew, PEiD, LordPE, Imprec, Registry Studio, Restorator, HexEditPlus

XoraX :: Kerghan пишет:
цитата:
В порядке частоты использования


если так, то peid должен быть на 1-м месте.. ;)

Kerghan :: XoraX
не, я чисто если вижу, что запакована хз чем, тогда смотрю чем именно

KLAUS :: XoraX
Нужно хотя бы несколько анализаторов, т.к. из-за популярности PE-ID его можно и обмануть!

MaZaFaKeR :: ВСЕМ ОГРОМНОЕ СПАИБО !!!




bUg. Added some signature for PEiD 0.92 Added some signature for PEiD 0.92....



bUg. Added some signature for PEiD 0.92 Added some signature for PEiD 0.92. Par example:
-PECompact 2.0beta/student version
-WinASM Studio
-PESpin v0.3 -› cyberbob
-SVK Protector v1.32
...

The newest packer that PEiD cannot detect is PECompact 2.0beta. You can add the follow sign into you
userdb.txt
or you can download this file and overwrite.
(by exetools).
WELL :: bUg.
Ну и стоило ли ради этого топик создавать?

bUg. :: WELL
не знаю?
наверное стоило, не многие об этом знают.




MaZaFaKeR Конвертик, мутафака... :] Господа, прошу помощи:



MaZaFaKeR Конвертик, мутафака... :] Господа, прошу помощи:

Программа: Конвертик v1.3 (Share)

Данная прога (как показал PEiD) упакована АСПаком версии 2.11. Стриппер без проблем распаковывает. Далее скармливал ДеДе, но никак не могу разобраться что к чему (читал туторы)... Подскажите, что делать далее... И возможно ли её закейгенить?..

Скачать: http://www.softtr.narod.ru/Down/Konv1_3.rar
Размер: ~500кб
Всем заранее огромное спасибо! ;)
ZX :: Попробуй вот это:
ZX@ZX.ZX
K1.1-20562

CReg [TSRh] :: Я написал кейген. Там простой алгоритм: проверяется, есть ли ’@’ в имени, затем считается сумма кодов символов до ’@’ и после. Потом умножаем и складываем. Получаем число. Полный серийник для имени выглядит так: K1.1-число , где число - то, что мы посчитали.

WELL :: MaZaFaKeR пишет:
цитата:
Данная прога (как показал PEiD) упакована АСПаком версии 2.11. Стриппер без проблем распаковывает. Далее скармливал ДеДе, но никак не могу разобраться что к чему (читал туторы)... Подскажите, что делать далее... И возможно ли её закейгенить?..


Вообще, чтобы написать кейген, нужно более-менее хорошо знать асм.
Кейген - это не просто патч. Если ты только начал читать туторы, то тебе, пожалуй, рановато за кейгены браться. Лучше подучи асм, тогда все пойдет намного легче.

ZX :: WELL пишет:
цитата:
Лучше подучи асм, тогда все пойдет намного легче.


Совершенно согласен, судя по предидущему топику познания в асме мягко сказать небольшие, поэтому я выложил ключ, чтоб человек не мучился

MaZaFaKeR :: Знания АСМа у меня почти никакого, но это дело времени и желания, а того и другого хоть отбавляй!
Да, кстате, не всё понял из ваших ответов... Меня интересует что где подправить и т.д. Сорри, новичёк в этом деле!
Ну всё равно Всем большущее спасибо!

ZX :: Почитай тутор dMNt про создание кейгена - там именно такой случай описан

WELL :: MaZaFaKeR пишет:
цитата:
Меня интересует что где подправить


Чтобы кейген написать править ничего не надо

infern0 :: Короче - поле Email оставляешь пустым, в поле Пароль пишешь «Error» без кавычек, первая большая. И все.

Runtime_err0r :: CReg [TSRh]

цитата:
Я написал кейген.


Ну и где он ? Что-то я на вашем сайте его не вижу

MaZaFaKeR
Насчёт кейгена - не знаю, я когда-то релизил к ней серийник, без распаковки и без DEDE: вводишь e-mail и код от балды, в дебаггере ставишь bpx hmemcpy (работает только под Win9X ) жмёшь F12 несколько раз (14 по-моему), и начинаешь трассировать, проверяя состояния регистров, пока не дойдёшь до такого места:
0167:004E74CB CALL 0045B250
0167:004E74D0 MOV EAX,[EBP-0C] ‹ твой e-mail
0167:004E74D3 POP EDX ‹ твой серийник
0167:004E74D4 CALL 00490600 ‹ проверка
0167:004E74D9 TEST AL,AL
0167:004E74DB JZ NEAR 004E75CA

Заходишь в call по адресу 4E74D4 (F8) и опять трассируешь, пока не дойдёшь до:
0167:00490638 CALL 004904B4
0167:0049063D MOV EAX,[EBP-0C] ‹ правильный код
0167:00490640 MOV EDX,[EBP-08] ‹ твой код
0167:00490643 CALL 00404ABC
0167:00490648 JNZ 0049064C
0167:0049064A MOV BL,01
0167:0049064C XOR EAX,EAX

Вот и всё

CReg [TSRh] :: Runtime_err0r пишет:
цитата:
Ну и где он ? Что-то я на вашем сайте его не вижу


Я уже две недели пишу кейген к одной очень интересной программе. Там самодельная криптография, поэтому очень много работы. Мало того, что функция проверки там на 9 страниц A4 12 шрифтом (я распечатал себе листинг, чтобы удобнее было с ним работать), так там еще куча неявных проверок - просто части кода (то есть часть расшифрованного кейфайла), сохраняются в разных глобальных переменных. Поэтому там еще проверка по всей программе размазана. Сейчас я закончил работу, связанную с крипто, осталось теперь разобраться, что надо получитьь в конце и с неявными проверками. Я дал сам себе обещание ничего не релизить, пока не доделаю кейген к этой программе. Да и вообще не очень хочу ломать русский софт, тем более что идея автора Конвертика мне понравилась.

MaZaFaKeR :: Огромное спасибо всем за содействие в изучении данной утилиты! ;)

nice :: CReg [TSRh]
Как то ты говорил тутор напишешь keygen_vs_crypto?
Стоит ждать? Интересно было бы почитать, я пока ничего подобного в сети на русском не видал...

CReg [TSRh] :: nice пишет:
цитата:
Как то ты говорил тутор напишешь keygen_vs_crypto?


Хм, ну вообще я не совсем так говорил :)
Я могу написать, только сейчас со временем большие проблемы.
А в сети кое-что есть, причем весьма неплохо, можно начать с этого (статья от EGOiST’а, а поэтому на русском):
http://xtin.km.ru/view.shtml?id=128

nice :: CReg [TSRh] пишет:
цитата:
Хм, ну вообще я не совсем так говорил :)


:)

CReg [TSRh] пишет:
цитата:
А в сети кое-что есть, причем весьма неплохо, можно начать с этого (статья от EGOiST’а, а поэтому на русском):
http://xtin.km.ru/view.shtml?id=128


Спсибо, как то пропустил ;)

Но всё же один хорошо-много лучше :)

Может подскажешь программку не сильно жесткую, что бы потренироваться?

CReg [TSRh] :: nice пишет:
цитата:
CReg [TSRh] пишет:
цитата: Хм, ну вообще я не совсем так говорил :)
:)


Я ведь действительно не так говорил :) Если хочешь, то могу воспроизвести свои слова точно так, как они были произнесены ;)

nice пишет:
цитата:
Может подскажешь программку не сильно жесткую, что бы потренироваться?


А на какой крипто-алгоритм? Их много разных
Вот ссылка на программу с RSA: http://www.topeesoft.com/products.htm
Как раз вокруг Topee CD Ripper и разгорелся спор о рипперстве
Посмотри ее, и ты также убедишься в том, что там получить серийник просто поискав его в памяти не представляется возможным.

Gollum :: CReg [TSRh] пишет:
цитата:
Вот ссылка на программу с RSA: http://www.topeesoft.com/products.htm


Судя по тому, что говорил Мозг, там не всё так легко... он же вроде неделю её кейгенил? и не один...

CReg [TSRh] пишет:
цитата:
... Topee CD Ripper ...


Название у неё, как раз подходящее

CReg [TSRh] :: Gollum пишет:
цитата:
Судя по тому, что говорил Мозг, там не всё так легко... он же вроде неделю её кейгенил? и не один...


Мозг ее вообще не кейгенил. Мозг с Неро кейгенили Audio MP3 Find 1.2.
А этот Topee CD Ripper я за часик примерно закейгенил. Может чуть больше. Просто не мог понять, что это за алгоритм :) А потом увидел нечто, и сразу закейгенил
Хотя случай не самый тривиальный.

Gollum :: CReg [TSRh]

Да, ошибочка вышла... сорри.
Ладно, нужно будет попробовать, закейгенить...
Если что, можно будет к тебе обратиться с вопросом?

CReg [TSRh] :: Gollum пишет:
цитата:
Если что, можно будет к тебе обратиться с вопросом?


Конечно :) Только когда RSA кейгенишь, то там уже не сильно интересно, если знаешь, что это за алгоритм и приватную экспоненту. Лучше сам попробуй.




Chirurg Сам себе не верю! ASProtect 1.2 Подскажите, пожалуйста: может ли...



Chirurg Сам себе не верю! ASProtect 1.2 Подскажите, пожалуйста: может ли такое быть или глюки у меня?
Взялся поломать прожку, так, для разминки. Цена у прожки внушает - от 228$ до 500$.
PEiD показал, что она упакована ASProtect 1.2. Да, забыл, ограничения - 30 дневный триал.
Распаковал stripper-ом и... все! Она работает при переводе времени на 10 лет вперед (распакованная). Упакованная, как и положено, говорит: Sorry! Trial period has expired!
Ну, вытер в хекс редакторе слова о триале, теперь она гордо работает, как настоящая. А я приготовился переходы вычислять...
Такое бывает? Или кака-та подлость задумана авторами за такие деньги?
Чего-то не верится, что бывают такие краки!
RottingCorpse :: Если у проги нету соответствующей функцинальности для такой цены - значит автор просто себя переоценивает :)

RottingCorpse :: Урл дай плз :)

Chirurg :: RottingCorpse
Да, разговор не за функциональность, прога неплохая. Разговор за защиту.
Это прокси сервер InetShaper v1.0.1, валялся у меня на винте, когда-то скачивал с http://www.softpile.com/I...ols/Download_06778_1.html.
До времени, руки до нее не доходили.
За теперешние версии ничего не скажу, не слежу за ними, может уже поумнели...

Chirurg :: Sorry, про цену наврал. Она гораздо больше!!! 2500$!

RottingCorpse :: Да навряд западло будет... :)

RottingCorpse :: Не верю :) !!!!!!!!!

Gloomy :: Бывает иногда такое когда прога стоит больших денег а ломается за пару минут. Пример - Pro Crowl, стоит $695 и патчится 2 байтами.
Вот бы ее разработчики мне за взлом премию прислали, хотя бы 20% от цены

З.Ы. А еще бывает что прога не обращает внимания на дату а подсчитывает сколько времени она наработала от запуска до закрытия.

Chirurg :: Gloomy пишет:
цитата:
З.Ы. А еще бывает что прога не обращает внимания на дату а подсчитывает сколько времени она наработала от запуска до закрытия.


Обращаю ваше внимание на этот абзац:

Chirurg пишет:
цитата:
Она работает при переводе времени на 10 лет вперед (распакованная). Упакованная, как и положено, говорит: Sorry! Trial period has expired!


Gloomy :: Бывает так что прога при запуске запускает внутри себя таймер и считает сколько пройдет секунд до того как она будет закрыта. Число секунд при этом пишется в укромное место. И когда сумма отработанных программой секунд превысит заданную разработчиком границу прога вырубится.
Если в ней применена такая система подсчета времени триала то на системное время и его переводы туда-сюда ей глубоко наплевать - она считает себе секунды и не пикает до поры до времени.

RottingCorpse :: А что было бы интересно, если бы Вместо аспра там была армадила или XProtect?

Mario555 :: Chirurg пишет:
цитата:
Такое бывает?


А что тут странного ? если в проге для проверки времени и т.п. используются только апи аспра, то после распаковки в ячейке, куда аспр записывает количество дней до expire, останется константа, и таким образом триал «отвалится». Хотя IMHO красивее вписать имя юзера, тогда и дополнительно ничего править не надо... в about уже будет registered to.

RottingCorpse пишет:
цитата:
А что было бы интересно, если бы Вместо аспра там была армадила или XProtect?


И в чём смысл вопроса ?

ZX :: Gloomy пишет:
цитата:
то на системное время и его переводы туда-сюда ей глубоко наплевать


Во-во я ломал прогу у которой секунды тикали около двух часов! Таймера не нашел, сэмулировал GS и пропатчил там сям, но так и не разобрался со способом проверки времени. Хотя прога до сих пор исправно пашет.

MozgC [TSRh] :: Че-то вы ни о чем разговариваете... Это вполне нормально, часто бывает навешивают аспр и все. Распаковывешь прогу и все, правда обычно еще надо пару байтиков пропатчить. Но в общем тут обычная ситуация, не вижу повода для каких-то подозрений и беспокойств.

WELL :: Gloomy пишет:
цитата:
Бывает так что прога при запуске запускает внутри себя таймер и считает сколько пройдет секунд до того как она будет закрыта


Chirurg
Короче запускай свою прогу в автозапуск и через n дней (часов) все узнаешь.

SLV :: Chirurg пишет:
цитата:
http://www.softpile.com/I...ols/Download_06778_1.html


Да она 4.1 метра весит Мне такое не скачать

[ChG]EliTe :: Согласен с MozgC чего тут странного то? Или я че то недопонял? Триалов у которых застывает таймер после снятия Аспра полным полно...




MaZaFaKeR t0 CReg [TSRh] ... ... В продолжении темы «Конвертик, мутафака...»...



MaZaFaKeR t0 CReg [TSRh] ... ... В продолжении темы «Конвертик, мутафака...»
Крег, в ^ теме ты писал, что закейгенил данную утилиту. Не мог бы ты поделиться сорцом кейгена? Чисто для ознакомления, не для рипа. Я новичёк в этом деле, хотелось бы знать алгоритм генерации... ;)
maza@nc.ru
Kerghan :: а на мыло это все написать нельзя было?

CReg [TSRh] :: Kerghan пишет:
цитата:
а на мыло это все написать нельзя было?


Моего мыла здесь нет.

MaZaFaKeR
Вечером вышлю - сейчас убегаю :)

Runtime_err0r :: CReg [TSRh]

Ну раз уж пошла раздача, то можно и мне на Runtime_err0r-АТ-KpTeam.com

P.S. Релизить не буду

ZX :: И так разбиваем мыло на две части до и после собаки обозначим StrDO и StrPosle
CODE:00490503 lea eax, [ebp+var_8]
CODE:00490506 push eax
CODE:00490507 mov ecx, ebx
CODE:00490509 dec ecx
CODE:0049050A xor edx, edx
CODE:0049050C mov eax, [ebp+var_4]
CODE:0049050F call sub_404BD0
CODE:00490514 lea eax, [ebp+var_C]
CODE:00490517 push eax
CODE:00490518 mov eax, [ebp+var_4]
CODE:0049051B call sub_404970
CODE:00490520 mov ecx, eax
CODE:00490522 lea edx, [ebx+1]
CODE:00490525 mov eax, [ebp+var_4]
CODE:00490528 call sub_404BD0
CODE:0049052D xor eax, eax
CODE:0049052F mov ds:dword_4EDB34, eax
CODE:00490534 mov eax, [ebp+var_8]
CODE:00490537 call sub_404970
CODE:0049053C test eax, eax
CODE:0049053E jle short loc_490557
CODE:00490540 mov ebx, 1
Здесь складываем часть строки до собаки
Цикл на паскале выглядит так:

For I := 1 to Length(StrDo) do
SumDo := SumDo + Ord(StrDo[ I ])

CODE:00490545 loc_490545:
CODE:00490545 mov edx, [ebp+var_8]
CODE:00490548 movzx edx, byte ptr [edx+ebx-1]
CODE:0049054D add ds:dword_4EDB34, edx
CODE:00490553 inc ebx
CODE:00490554 dec eax
CODE:00490555 jnz short loc_490545
CODE:00490557
CODE:00490557 loc_490557
CODE:00490557 xor eax, eax
CODE:00490559 mov ds:dword_4EDB38, eax
CODE:0049055E mov eax, [ebp+var_C]
CODE:00490561 call sub_404970
CODE:00490566 test eax, eax
CODE:00490568 jle short loc_490581
CODE:0049056A mov ebx, 1
Здесь складываем часть строки после собаки

For I := 1 to Length(StrPosle) do
SumPosle := SumPosle + Ord(StrPosle[ I ])

CODE:0049056F loc_49056F
CODE:0049056F mov edx, [ebp+var_C]
CODE:00490572 movzx edx, byte ptr [edx+ebx-1]
CODE:00490577 add ds:dword_4EDB38, edx
CODE:0049057D inc ebx
CODE:0049057E dec eax
CODE:0049057F jnz short loc_49056F
CODE:00490581
CODE:00490581 loc_490581:
CODE:00490581 imul eax, ds:dword_4EDB34, 6Fh умножаем сумму до собаки на 6F

Key := SumDo * 6F;

CODE:00490588 mov edx, ds:dword_4EDB38
CODE:0049058E add edx, edx
CODE:00490590 add eax, edx

Key := Key + 2*SumPosle;

Все теперь вывод Ключа :

WriteLN(IntToStr(Key))

Так как сам писать кейгены не могу, то пришлось рипнуть это дело у создателей сайта /softTR narod ru/

CReg [TSRh] :: Так мне слать или нет? Тут вроде написал все ZX. Правда мой кейген «is written in pure win32asm» :)))

ZX :: Ну дзен он и в африке дзен
Я думаю размеры особо отличаться не будут, конечно, в относительных величинах.

CReg [TSRh] :: имхо паскаль - это не дзен :)
Переходи на асм :)

RottingCorpse :: fortran - реальный дзен.... аж в нирвану хочется ...

ZX :: CReg [TSRh] пишет:
цитата:
Переходи на асм :)


У меня проекты большие, на асме нужны наработки, а у меня их на асме нет, хотя естественно когда есть время всегда стараюсь впихнуть процю на асме, но оно не всегда бывает! Я в принципе делфёй доволен, ну этот быстро, удобно, можно ужать код не хуже чем в сях(ну чуть хуже ) со спидом само собой не спорим, но какие щас процы? Разницы не будет заметно. А вот скорость написания продукта и вследствии этого оборот уе покрывают все минусы. Так что могу поспорить, ну а дзен это для души!

SouL :: CReg [TSRh] пишет:
цитата:
Так мне слать или нет? Тут вроде написал все ZX. Правда мой кейген «is written in pure win32asm» :)))


Ну если идет расдача, то если не трудно вышли мне. art_a(at)bk.ru:)

CReg [TSRh] :: Так а нах, если все тут написано?
Вы мне назовите объективную причину :)

Dred :: Обьективная причина(несостоявшегося крякера ) - нех..ра не ясно чо там ваще написано, буть то хоть асм(там я знаю пару команд ) или Delphi (вот я ее как раз и мучаю с февраля где-то ).
Вот буду колдовать с кодом - всмысле разбираться.

2 Kerghan если не трудно и сюда плиз -› crack2000@list.ru

Кстати никому не надо игруху весит 96 килобайт, а графика как в Doom3
наверно на асме написана но Peid говорит чо нечего не найдено....
может она упакована чем то?

Runtime_err0r :: CReg [TSRh]

цитата:
Так а нах, если все тут написано?
Вы мне назовите объективную причину :)


Шли, не жмись! То что тут написано я и так в IDA могу посмотреть, а мне интересно взглянуть на твой «pure win32asm»

ZX :: Блин... что хоть там не ясно, вы чё издеваетесь?
Писал же специально - человек сказал, что асм плохо знает нк на делфях все разжевано или это непонятно:

И так разбиваем мыло на две части до и после собаки обозначим StrDO и StrPosle

StrDo := Delete(StrEMail, pos(’@’, StrEMail), 100); наверняка у вас мыло меньше 100 знаков(ну по-приколу)
StrPosle := Delete(StrEMail, 1,pos(’@’, StrEMail));

дальше - убираете асмовский листинг и вот вам кейген, да и еще В самом начале надо считать строку StrEMail и обнулить SumDo и SumPosle.
ну хоть это вы должны сделать сами.
Во блин...

CReg [TSRh] :: Короче разослал всем, кто просил. Не знаю, зачем это все вам, но мне не жалко.
Только если чего, про кредитсы не забывайте.

CReg [TSRh] :: И вот еще, забыл: не выкладывайте нигде в инете этот кейген.
Я не хочу нанести вреда автору «Конвертика». Поддержи отечественного производителя! :)
Тем более, идея хорошая.

Runtime_err0r :: CReg [TSRh]
Получил - спасибо !

цитата:
И вот еще, забыл: не выкладывайте нигде в инете этот кейген.
Я не хочу нанести вреда автору «Конвертика». Поддержи отечественного производителя! :)
Тем более, идея хорошая.


Поздняк я же писАл, что давно уже серийник зарелизил ...
а кейген выкладывать не буду, раз обещал.

MaZaFaKeR :: CReg [TSRh], большое спасибо! Риппать не буду! ;)




SLV Можно ли в «подправленной» програаме восстановить CRC? Я видел исходники...



SLV Можно ли в «подправленной» програаме восстановить CRC? Я видел исходники прог, генерирующих 2 файла с одинаковой CRC. Возможно ли обратное действие?
fuck it :: тебе надо поменять CRC ?
это проще простого :)
т.к это есть сумма байт, то тебе надо дописать в конец файла такие байты, что бы при сложении все оригинальный CRC неизменился. если самому влом писать, есть плугин для PEID.

SLV :: fuck it пишет:
цитата:
плугин для PEID


А ссылочки не найдётся???

MC707 :: http://peid.has.it

А вообще мало какие проги подсчитывают свою общую crc. Обычно считается crc либо секции либо участка кода.

SLV :: MC707 пишет:
цитата:
А вообще мало какие проги подсчитывают свою общую crc


А Nero, Штирлиц IV. А также много других...

P.S. Спасибо за ссылку...

WELL :: fuck it
Кинь урлу на плугин

WELL :: Ой Пока текст набивал урлу дали

MC707 :: WELL
Гы. Этого плагина отдельно нет. Влом скачать весь ПЕиД чтоль? Как будто такой большой...
Не выкладывать же для тебя специально этот плагин

SLV
Это вопрос?

AlexZ CRaCker :: fuck it пишет:
цитата:
т.к это есть сумма байт, то тебе надо дописать в конец файла такие байты, что бы при сложении все оригинальный CRC неизменился


А вот и нет. Не рулит.

Noble Ghost :: AlexZ CRaCker пишет:
цитата:
А вот и нет. Не рулит.


А что не так? CRC -- это результат деления числа на многочлен в поле GF.




ixin Как загрузить в прогу в СофтАйс???? Смотри название темы!!! помогите,...



ixin Как загрузить в прогу в СофтАйс???? Смотри название темы!!! помогите, уже даже отчаялся!!!
WELL :: ixin
через symbol loader

ixin :: ну хорошо заходим в loader32.exe на панели инструментов кнопка открыть --› открываем, а затем что????

nice :: ixin
Почитай фак(MozgC & FEUERRADER):
http://cracklab.narod.ru/doc/faqversion10.htm
Этот лоадер ни фига не работает

ilya :: ixin пишет:
цитата:
ну хорошо заходим в loader32.exe на панели инструментов кнопка открыть --› открываем, а затем что????


запускаешь Symbol Loader , заходишь File-›Open...выбираешь нужную прогу , заходишь в Module-›Load и в появившейся табличке жмёшь ok , дальше должен выскочить softice

ixin :: ilya пишет:
цитата:
запускаешь Symbol Loader , заходишь File-›Open...выбираешь нужную прогу , заходишь в Module-›Load и в появившейся табличке жмёшь ok , дальше должен выскочить softice


Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!

sanek :: ixin пишет:
цитата:
Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!


то, что нет отладочной информации не есть ошибка сайса, просто програмер снял галку при компиляции(наверно)
Ты прочитай, что лоодЕр тебе пишет, в уголку должно быть написано сайс активен, да и его настроить нужно перед использованием
Откройте на редактирование файл winice.dat, который находится в той же
директории что и SoftIce, и уберите точку с запятой со следующих строк:
; ***** Examples of export symbols that can be included for Windows 95
*****
;Change the path to the appropriate drive and directory
EXP=c:\windows\system\kernel32.dll - убрать;
EXP=c:\windows\system\user32.dll - убрать;
EXP=c:\windows\system\gdi32.dll - убрать;
Проверьте путь к файлам kernel32,user32,gdi32, он должен соответствовать
вашему (Актуально в случае если windows ставилась в каталог отличный от
C:\WINDOWS).
Эта операция нужна, для того чтобы при отладке программы при вызове
системных функций вы увидели имя вызываемой функции, а не какой-то call
[xxxxxxxx].
это я взял из одной статьи, если есть автор этой статьи то без обид.

dMNt :: а еще лучше использовать из LordPE/PEtools фишку break’n’enter

ViViseKtor :: А я пользуюсь лоадером от SYD’а, который в комплекте со стриппером.

ilya :: ixin пишет:
цитата:
Да всё окей, вот только при нажатии туда, в лоадере пишется:
1.еррор: нет отладочной информации
2. софт айс не выскакивает, а открывается только приложение, которое я хочу отладить!!!
Вот такая, млин, фигня!!!


скорее всего прога запакована

CReg [TSRh] :: ViViseKtor пишет:
цитата:
А я пользуюсь лоадером от SYD’а, который в комплекте со стриппером.


Согласен, это удобно. Я тоже им пользуюсь.

WELL :: ixin
А ты для какой именно цели хочешь прогу в айс загрузить?
Может тебе проще в олли будет?
Ну и проверь не запакована ли прога (например PEiD’ом).




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




Gloomy Кто-нибудь изучал WebTrafficGuru? Взялся изучать WebTrafficGuru (1,8...



Gloomy Кто-нибудь изучал WebTrafficGuru? Взялся изучать WebTrafficGuru (1,8 Мб). Можно ли найти правильный серийник или даже сделать кейген? Пока просто откручиваю ограничения но хочется все-таки серийник...
Кто ее смотрел подскажите плз откуда начинать поиск правильного серийника, в проге явно используются хеши, PEid нашла MD4 и MD5.
ilya :: я чёто не пойму , в таких прогах как написал Gloomy чуть выше серийник вообще никогда не узнаешь ???

Gloomy :: Если защита написана грамотно (сдается мне что в данном случае так оно и есть) то найти серийник будет весьма затруднительно если вообще возможно т.к. хеш это функция которую нельзя развернуть в обратную сторону т.е. из хеша получить серийник. Но в некоторых случаях (как например со скандальной прогой Topee CD Ripper) можно даже кейген написать.

ilya :: Gloomy
смысл там по ходу дела таков :прога проверяет регистрацию когда нажимаешь на кнопку register когда хочешь зарегистрировать сайт
мои действия : bpm 654321 - это адрес кот я ввёл в окне регистрации ,потом в проге нажал на register чтобы зарегистрировать сайт , и прервался , потом шел я по F10 в айсе до 00507150(здесь походу начинается генерация серийников) и когда я оказался примерно в пятый раз на 00507150 я сделал d eax и увидел в дампе чуть выше серийник 67F97A1430BDB5380B2108A55
итог:PIN 04CB6093DE832B98616DEAA37
Serial 67F97A1430BDB5380B2108A55

CReg [TSRh] :: Gloomy пишет:
цитата:
Кто ее смотрел подскажите плз откуда начинать поиск правильного серийника, в проге явно используются хеши, PEid нашла MD4 и MD5.


Gloomy пишет:
цитата:
то найти серийник будет весьма затруднительно если вообще возможно т.к. хеш это функция которую нельзя развернуть в обратную сторону т.е. из хеша получить серийник.


Но если там в таком виде применяется хеш, то вообще будет только фиксированное количество серийников. А они там явно по Hardware ID (PIN). Так что здесь хеш не так используется.

Gloomy :: Спасибо всем за ответы!
Раз 20 проходил мимо места, указанного ilya и не замечал правильного серийника

ilya :: Gloomy пишет:
цитата:
Раз 20 проходил мимо места, указанного ilya и не замечал правильного серийника


ставь bpx 0050715E когда прервешся долби d eax и поднимай окно данных регистра eax (т.е долби по стрелочке вверх) там будут серийники

Gloomy :: ilya
Спасибо, все нашел, серийник работает. Закейгенить похоже не выйдет - слишком много кода чтобы можно было запихать его в кейген. Сделал две версии: одна с серийником, вторая со снятыми вручную ограничениями - обе пашут нормально.

ilya :: Gloomy пишет:
цитата:
Закейгенить похоже не выйдет


да и прога ещё какаято хитрожопая




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




musulmanin Exploit Приветствую!



musulmanin Exploit Приветствую!
У меня к вам небольшой вопрос:
Здесь занимается кто-нибудь поиском уязвимостей в программах???
ОТЗОВИТЕСЬ плиз......

RottingCorpse :: А зачем?

WELL :: musulmanin
Ты скажи что тебя конкретно интересует.

SLV :: Вообще тема интересная. Я например знаю, что с помощью ф-и DeviceControl можно повесить ZoneAlarm. А вообще exploit-ы пишут(в основном) под разные оси (с багами). Так что посмотри в поисковике, например, про BufferOverflow.

musulmanin :: Значит ситуация такая:
Есть сеть на 150 машин и у всех стоит чат...
Мне необходио найти уязвимость в чате...Это же тоже в какой-то мере относится к крэкингу....Лучшего ресурса в сети я пока не нашел(где собиаются много умных людей )
Я поднимал этот вопрос на НСД http://nsd.ru, но там мне никто не смог помочь....Может вы мне чем-нибудь поможете....

bUg. :: musulmanin

какой чат?

musulmanin :: http://www.kilievich.com/FChat_4_5_7.zip

musulmanin :: Во всех туториалах(по переполн. буфера) описывается поиск уязвимостей,в исходниках
ну вот типо того(взято из статьи):

«owerflow.c»
#include ‹stdio.h›
#include ‹string.h›
int test(char *big)
{
char buffer[100]; // переполняемый буфер
strcpy(buffer,big);// собственно само переполнение
return 0;
}
int main ()
{
char big[512];
gets(big); // получение текствой строки-сюда-то мы и передаем наш
шелл
test(big); // вызов уязвимой функции
return 0;
}

....А чтобы найти в exe необходим дебаггер и дизассемблер...Конкретный вопрос стоит вот какой: «Как мне определить уязвимость в программе и с какого места мне ее вообще начинать искать....?»
Спасибо вам!!!

bUg. :: musulmanin
Смотри дельфовские уязвимости

vins :: Попробуй начать с того, что узнай что тебе конкретно надо: повесить чат, запустить cmd( с правами, с которыми работает чат) или еще что то. Потом посмотри какие протоколы он использует, дальше найди какойнить эксплоит (более подходящий, посмотри _http://www.securitylab.ru/25224.html) узнай какие функции чат использует и действуй.
Наверно понятно

musulmanin :: bUg.
Так я же др. вопрос задал...
Как мне вообще найти УЯЗВиМость и определить по какому адресу она находится?
Ну там при вводе сообщения и отправке его пользователю....Например в функциях read & write или что-то в это роде...

musulmanin :: Не забрасывайте топик плиз....
Помогите мне

bUg. :: musulmanin
yandex.ru

Styx :: www.google.ru

WELL :: musulmanin
Методом проб и ошибок. Пробуй создать ситуацию, когда в переменную отправляется значение больше, чем размер этой переменной.

WELL :: musulmanin пишет:
цитата:
Ну там при вводе сообщения и отправке его пользователю....Например в функциях read & write или что-то в это роде...


Ищи в дизассемблере процы отправки сообщений и анализируй. Либо ты должен знать асм, либо методом тыка

vins :: musulmanin
А ты вообще эксплоиты когда нибудь писал?. Если нет то думаю сначала надо научиться использовать уязвимости а потом их искать, поправьте если я не прав.
Возьми HexEditPlus 2.3.0.0 (http://www.download.ru/se...ml?c=31&p=1&q=HexEditPlus) там при передаче в командной строке параметра ›255 символов происходит переполнение. Попробуй через него запустить cmd.

vins :: sorry ссылка неправильная

musulmanin :: Круто у вас тут...Я ещё ни на одном форуме не видел столько ответов,за 1 день...Респект крэклабу
Значит так:
Вопрос о том,что мне необходимо сделать с уд.пользователем--это уже дело шелла....А щас пока надо найти место,куда можно будет запихнуть этот шелкод и передать на него джамп....
Ребята....покажите пожалуйста на реальных примерах....

Тема ведь интересная....Может вы со временем создадите раздел «Уязвимые программы и эксплоиты к ним(от CR@CKLAB) »

ZX :: musulmanin пишет:
цитата:
ема ведь интересная....Может вы со временем создадите раздел «Уязвимые программы и эксплоиты к ним(от CR@CKLAB)


Вряд ли наверное, хотя решать модераторам, хакинг подразумевает воровство конфиденциальной информации, а нам, со мной скорее всего согласятся, важнее другое - исследование чужого кода на ПРЕДМЕТ ЕГО ИЗМЕНЕНИЯ, неважно в каких целях, и совершенствование своих навыков в этой области.

musulmanin :: ZX
А если просто «Уязвимые программы(без эксплоитов) »???
С целью, показания авторам программ их ошибки....

ZX :: musulmanin пишет:
цитата:
С целью, показания авторам программ их ошибки....


Пусть присылают сырцы - посмотрим, а так, смысл какой, в чем интерес?

musulmanin Re: ZX :: А интерес в том,чтобы другие люди тоже знали как это все происходит...

musulmanin :: Давайте дружить....
Вот с чего я начал:
Посмотрел FChat запакован Аспаком...AsprStripperXP без проблем распаковал...PEid говорит,что написан на Делфи...Грузим его в DeDe.....Вот тут я призадумался и решил обратиться к вам за помощью....Бессмыслено листать весь код....
Какие функции наиболее уязвимы?
Или предложите свой алгоритм исследования...


ZX :: Ну во-первых, если происходит переполнение буфера то это по-любому сбой программы, или она виснет или завершается или продолжает работать с ошибками.
Подаешь на вход проге неимоверно большой длины данные и смотришь на ее реакцию, если сбоев нет, с переполнением буфера все впорядке. Вот и все - если будут сбои в работе проги тогда заходи, а пока по-моему разговаривать не очем, кому охота с подобным возится если нет личной заинтересованности. Удачи. :)

ZX :: musulmanin пишет:
цитата:
другие люди


Те которые будут лАмать чаты?

musulmanin Re: ZX :: ZX
Почему ламать чаты?
«Другие люди»---имеется ввиду те же программисты,которые хотят защитить свое ПО...
Я тебе разве давал намек на хакинг?
Я же оправдался в своем предложении: «Уязвимые программы и эксплоиты к ним(от CR@CKLAB)»....

musulmanin :: За все время использования была ошибка(только непомню какая)...вылетал наг с просьбой: завержить приложение или отправить письмо автору об ошибки. А переполнения не наблюдалось...(наверно я плохо смотрел)
Люди.....если вам несложно,помогите мне с возникшей проблемой...
FChat


musulmanin :: Вот например:
http://www.securitylab.ru/44678.html

bUg. :: musulmanin пишет:
цитата:
Какие функции наиболее уязвимы?


например посмотри GetWindowTextA и т.д.

[ChG]EliTe :: musulmanin пишет:
цитата:
Вот например:
http://www.securitylab.ru/44678.html


А ты сам то эту статью читал? Понимаешь про че там? Можешь примерно описать что там написано и реализацию в общих чертах?
И главное про какую там ос идет речь?

musulmanin Re: [ChG]EliTe :: Что за вопрос?
[ChG]EliTe пишет:
цитата:
А ты сам то эту статью читал?


Наверное читал,раз кинул на форум...если это ещё можно назвать статьей...
[ChG]EliTe пишет:
цитата:
Можешь примерно описать что там написано и реализацию в общих чертах?


А что тебе описывать? Там только описывается,в каком месте автор программы совершил ошибку...
[ChG]EliTe пишет:
цитата:
И главное про какую там ос идет речь?


Какое это имеет значение???Я показал лишь пример уязвимого чата...

И вообще... с темы блин съехали
Я же прошу вас помочь по-человечески...
WELL,vins и остальные....куда вы подевались?

musulmanin :: Люди....не молчите пожалуйста....

[ChG]EliTe :: Я просто хочу понять что ТЫ именно понимаешь под програмной уязвимостью (и понимаешь ли вообще)
Судя по ответом выше... результат не утешительный особенно на последние 2 вопроса и ОСОБЕННО на последний...
Если для тебя нет раздницы для какой OS прога то извини.... ни чем помочь не могу...

musulmanin :: ...дожились....
Судя по твоим вопросам я себя ощущаю полным идиотом... ...Ты пытаешься меня подколоть?...Думаю не получится...
И что ты прикопался к ОС?
Я всю жизнь сижу в окнах,а для сплоитов использую эмуляторы nix’a....Cygwin,UWIN....
Я вообще прошу помощи разобраться мне в исследовании программы...
А если ты не хочешь помогать,то лучше не засоряй топик своими вопросами...

Noble Ghost :: musulmanin пишет:
цитата:
Я всю жизнь сижу в окнах,а для сплоитов использую эмуляторы nix’a....Cygwin,UWIN....


Ты хоть раз в жизни писал эксплойт? Вопрос важный, тк если не писал, то с тобой пока что рано разговаривать. Весьма важно понимание основ.

musulmanin :: Noble Ghost пишет:
цитата:
Ты хоть раз в жизни писал эксплойт?


нет,не писал, только готовые использовал...Вот поэтому и надоело чужое юзать....Хотел свое что-нибудь замудрить,но видишь, как ситуация складывается херово....все затихли,никто не хочет помогать...
Noble Ghost пишет:
цитата:
. Весьма важно понимание основ


А доков на эту тему в инете мало...некоторые статьи нашел тут: http://www.security.nnov.ru/ и тут http://dchack.net/
Ну сам понимаешь,теория есть теория,а практика есть практика.
Будьте любезны... не забрасывайте топик...давайте прожолжим исследования FChat’a

P.S.
леопольд прости нас...а?
прости...леопольд!
РЕБЯТА....ДАВАЙТЕ ЖИТЬ ДРУЖНО!

Noble Ghost :: Ты пойми, просто так помогать тебе мало кто возьмётся: катастрофическая нехватка времени -- основная проблема всех крякеров. Ты попытайся сам во всём разобраться. И пусть у тебя это отнимет много времени, зато ты получишь ОПЫТ, а это главное. А если появятся конкретные вопросы, то заходи -- поможем.

musulmanin :: Noble Ghost
Спасибо тебе за совет...
Думаю так и сделаю...ещё раз спасибо!!!

[ChG]EliTe :: LOL Как я и думал.... Интуиция меня не подвела...

musulmanin :: [ChG]EliTe
Молодец!
Так деражать....
Ты под словом «думал»,имел ввиду,что мне никто не поможет?
С твоей стороны это выглядит просто смешно...




sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить...



sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить слыхал про енто

http://bgcorp.narod.ru/product.htm
Gloomy :: Никогда о таком не слышал

MC707 :: Gloomy
Я тоже Бэд_Гая не знаю :)

SeDoYHg :: ›››Stealth PE «убивает» инструменты взломщика при запуске на компьютере взломщика
Чтобы это значило? А то я боюсь себе его закачать для испытаний

MC707 :: SeDoYHg
Правильно, бойся!

-= ALEX =- :: SeDoYHg ты видать в танке... короче тулзу эту написал Bad_Guy :) Действительно, после запуска этой проги у тебя не будут работать потом, если я не ошибаюсь, PEiD и LordPE, у меня по-моему только они не работали...

MaZaFaKeR :: -= ALEX =-, точно в танке...

bUg. :: В БТР’е

odIsZaPc :: на камазе :)

Kerghan :: хе-хе
названия секий заценить не забудь

SeDoYHg :: -= ALEX =-
MaZaFaKeR
bUg.
odIsZaPc

Да знаю чьих рук это дело =). Мне просто было интересно, что и каким способом убивает этот протектор.

Я не в танке, я на К-701 (кто не знает это самый мощный трактор СССР, да и в мире тоже). Поэтому со мной не шутить, задовлю всех

MaZaFaKeR :: SeDoYHg пишет:
цитата:
Мне просто было интересно, что и каким способом убивает этот протектор.


Да, это действительно интересно...

MC707 :: SeDoYHg пишет:
цитата:
что и каким способом убивает этот протектор


Руки, мозгами

KLAUS :: Но, проги убиваются, но когда их вновь проSETUP всё тип тип!!

SeDoYHg :: Судя по ответам, кроме -= ALEX =- и Bad_Guy, этот протектор не кому не интересен .

KLAUS :: Да не, кстати угарная вещица....ещёб денежку, да и исх....вообще здраво бы было!!

ViNCE [AHT] :: Да это больше пакер чем протектор... там шифрация простым xor’ом...

Bad_guy :: ViNCE [AHT] пишет:
цитата:
Да это больше пакер чем протектор


Вообще то я называю это скрэмблером (для себя).

ViNCE [AHT] :: to Bad_Guy: Не обижайся... Скрэмблер, так скрэмблер :)




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!

RottingCorpse :: Мда..... собственно говоря распаковывается руками без особых проблем, с ресурсами - то же самое.

WELL :: MaZaFaKeR пишет:
цитата:
Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел


Ну вот, а ты сразу возбухать...

RideX :: MaZaFaKeR
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?

WELL :: RideX пишет:
цитата:
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?


Чтобы About пофиксить

SeDoYHg :: RideX

Он тебе как и меня пошлет куда подальше, лучше не спрашивай.

MaZaFaKeR :: Господа , Эбаут править я не собираюсь!
Меня интересует распаковка и работа в распакованном состоянии!

WELL :: MaZaFaKeR
Обычно ресурсы для взлома не нужны.
Если только у кнопок свойства enabled отрубать

MaZaFaKeR :: WELL , я хотел распаковать прогу и чтобы она распакованная работала и ресурсы были в норме!
Поверьте мне, не для взлома или рипа я об этом просил!




WELL Навесная Защита ? Исследую прожку. Ничем не запакована. Написана ХЗ на...



WELL Навесная Защита ? Исследую прожку. Ничем не запакована. Написана ХЗ на чём.
PEiD и PE Sniffer из PE-Tools ничего не говорят.
Ресурсы у ехе-шника какие-то странные. Есть Image, Icon и DABDUMP, в котором куча подразделов типа XXX001_RSC.
И самое главное. Прога активно юзает файлы C5ASCX.DLL, C5CLAX.DLL и C5RUNX.DLL из системной папки винды. Практически весь импорт ведёт в C5RUNX.DLL, причём функции типа Cla$MessageBox.
В версии C5RUNX.DLL написано «Clarion 5 Runtime Library».
Я как понял это что-то типа навесной защиты что ли? Может кто сталкивался с такой шняжкой?
KLAUS :: Эт ты под какой win нашёл эти DLL? Чёт нема у меня этих DLL

WELL :: Эти длл-ки с прогой устанавливаются. Я же говорю по ходу навесная защита.

TOR :: Возможно.Скинь ссылку если че.

WELL :: http://www.linksoft.ru/ там с главной страницы качнуть «Триумф-2003»

SeDoYHg :: ›› Ошибка! Программа «Триумф-2003»,файл triumph4.zip не доступен. Обратитесь в службу

Раз пять пытался качнуть, один хрен. Программа большая?

WELL :: Размер 2,4 Мб
Если никто не в курсе что там за ботва, то завтра постараюсь выложить.

nice :: WELL
Тогда бэйсик тоже навесная защита...
Это язык программирования такой, так и называется Clarion.
Ничего сложного в отвязывании такой программы я не заметил...

TOR :: Она качается,вот ссылка http://www.linksoft.ru/soft/triumph4.zip

SeDoYHg :: TOR пишет:
цитата:
Это язык программирования такой, так и называется Clarion.


Еще один «бейсик» Когда станут продвигать нормальные языки (ASM )

TOR :: TOR еще не докачал, а уже его грузят

WELL :: Да в принципе ничего сложного-то нету. Бряки в айсе ведут в длл-ку а потом и в ехе-шник. Просто интересен был сам ехе-шник. Вот в итоге и выяснилось, что язык программирования такой. Я раньше о нём не слышал...

RottingCorpse :: Да кларион это.... вон www.pisoft.ru тоже им балуется :)

WELL :: WELL пишет:
цитата:
Да в принципе ничего сложного-то нету.


Беру свои слова обратно
Вроде всё просто, всё понятно, но чет никак алгоритм генерации уловить не могу.
Пытаюсь закейгенить, но пока безуспешно
Те кто качал, не смотрели её?

WELL :: nice пишет:
цитата:
Ничего сложного в отвязывании такой программы я не заметил...


nice , а ты именно эту глядел, или другую тоже на Clarion’e ?
CReg [TSRh] Я заметил, что ты именно кейгенами увлекаешься, может тоже глянешь?
Народ, посмотрите




Edmos Masm! 1. У кого есть PETools 1.5.565.2004 просьба скинуть в мыльницу...



Edmos Masm! 1. У кого есть PETools 1.5.565.2004 просьба скинуть в мыльницу ник@bk.ru

2. Подскажите где можно скачать mams 5.0, то есть под ДОС

3. Чуть не забыл, маленький подарочек:
Для PE Sniffer
[StarForce Copy Protection System v3.03 (protect.dll)=E8::::::FF00000000000000::0000::0000 00::0000::00000000::000000000000::0000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000 000000000000000000000000]
[StarForce Copy Protection System v3.03=68::::::::FF25::::::::0000000000::::::::0000 0000::::::::::::::::00000000::::::::00000000:::::: ::::::::::00000000::::::::00000000:::::::::::::::: 00000000::::::::00000000::::::::::::::::00000000:: ::::::00000000]

Для PEiD
[StarForce Copy Protection System v3.03 (protect.dll)]
signature = E8 ?? ?? ?? FF 00 00 00 00 00 00 00 ?? 00 00 ?? 00 00 00 ?? 00 00 ?? 00 00 00 00 ?? 00 00 00 00 00 00 ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
ep_only = true
[StarForce Copy Protection System v3.03]
signature = 68 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? 00 00 00 00 00 ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 ?? ?? ?? ?? 00 00 00 00
ep_only = true
SeDoYHg ::

Edmos пишет:
цитата:
скачать mams 5.0, то есть под ДОС


MASM 5.10

Для DOS’a лучше TASM ну или MASM 6.1х

KLAUS :: Что верно то верно:
http://exetools.myrice.com/download/masm611.zip

Edmos :: KLAUS
404

Вариант попроще скиньте мне кто-нибудь link.exe из состава пакета Masm 6.11

Edmos :: Упсcc... Edmos()bk.ru

Edmos :: Что не у кого нет?

Gloomy :: Для ДОСа попробуй FASM - http://flatassembler.net/fasmw152.zip
ИМХО он удобнее

Создание файла для ДОС формата ЕХЕ:

format MZ
push cs
pop ds
mov ah,9
mov dx,hello
int 21h
mov ax,4C00h
int 21h
hello db ’Hello world!’,24h

Создание файла типа COM:

org 100h
use16
mov ah,9
mov dx,hello
int 21h
ret
hello db 13,10,’Hello world!$’

Отличная статья про FASM тут: http://wasm.ru/article.php?article=macrofasm

WELL :: Edmos
http://users.easystreet.com/jkirwan/pctools.html
http://www.dpgraph.com/assembly.html
Может что-то из этого подойдет?
Если нет, то вечером скину тебе link.exe

SeDoYHg :: Gloomy

Для ДОС’a один фиг, что MASM, что TASM, что FASM. А вот с окошками ситуация другая.

Gloomy :: SeDoYHg
FASM удобнее тем что он полностью виндовый (а не консольная жуть с километровыми параметрами командной строки с именами файлов формата 8.3 как в MASM) и отладка в нем проще.

SeDoYHg ::
Gloomy пишет:
цитата:
) и отладка в нем проще.


Разрешите непонять =). Чем проще? Команды они везде одни и те же.

Gloomy пишет:
цитата:
FASM удобнее тем что он полностью виндовый, а не консольная жуть


RadASM поможет. Ну, или чего-нибудь более продвинутое.

P.S. были времена когда в DOS’овском эдите тексты набивали. И не жаловались ;-). Как это было давно...

Gloomy :: SeDoYHg пишет:
цитата:
Чем проще?


Хотя бы тем что при ошибке компилятор сразу ткнет в ошибку в нормальном виндовом окне а не просто выдаст номер строки.

SeDoYHg пишет:
цитата:
RadASM поможет


Поможет, но в FASM удобнее, там сразу 2 в 1 - компилятор и редактор.

SeDoYHg пишет:
цитата:
были времена когда в DOS’овском эдите тексты набивали


А можно было вообще без редактора обойтись:

copy con win98die.com
Alt+235
Alt+254
Ctrl+Z
Enter
(для танкистов код на Ассемблере: «jmp eip»)

В результате получалась программа из 2 байт, при запуске которой Вин95, 98 и МЕ вешались наглухо, только ресет спасал Было время, я тоже застал его. Но это время безвозвратно прошло.

З.Ы. Помню я тогда очень любил дописать эти два заветных байтика в command.com

SeDoYHg :: Gloomy пишет:
цитата:
А можно было вообще без редактора


А помнишь дZенскую прогру debug. Вот это действительно низкий уровень.

Чего-то меня не туда потянуло =)

Gloomy пишет:
цитата:
компилятор сразу ткнет в ошибку в нормальном виндовом окне


RadASM то же ткнет куда надо, и скажет какая ошибочка.

А вообще то, выбор ассемблера это дело вкуса и привычки. Я слишком сильно привык к TASM’у в ДОС’e, а к MASM’у в Окошках. Хотя замечаю, что поклонников FASM’a все больше и больше. Видно не с проста ;-).

Gloomy :: SeDoYHg пишет:
цитата:
А помнишь дZенскую прогру debug.


С нее и начинал на х86 - больше все равно ничего не было.
Помню в 89 меня здорово отлупили когда я таким же «мега-кодом» повесил насмерть весь вычислительный комплекс в «институте физики и математики при ан ссср» Интересно что же там за комп был?

SeDoYHg пишет:
цитата:
поклонников FASM’a все больше и больше


Это просто потому что FASM рулит

Edmos :: WELL
Большое спасибо за ссылки. То что нужно.

Gloomy
Ух я не знал что в Fasm’е можно делать досовские проги. Скачал его тоже. Не привычно, но вроде рулит

SeDoYHg :: Gloomy

Где можно найти инфу по FASM’у на русском?

Gloomy :: Edmos пишет:
цитата:
но вроде рулит




SeDoYHg пишет:
цитата:
Где можно найти инфу по FASM’у на русском?


Хороший вопрос кстати, похоже что пока что нигде, есть только несколько статей на русском на wasm.ru. А все остальное: отличный юзергад идущий вместе с дистрибутивом компилятора и форумы по FASM только на ангельском Но посколькую развитие компилятора идет стремительными темпами а число его фанатов растет то можно надеяться на появление написанных на русском статей в самом ближайшем будущем
MASM ведь тоже далеко не сразу уважать начали, когда-то по нему тоже ничего кроме встроенной справки не было.

SeDoYHg :: Gloomy

Не родился еще Iczelion FASM’a

Gloomy :: SeDoYHg
А кто мешает тебе стать им? Пиши простые статьи, можно даже как у Iczelion но только на FASMе.

SeDoYHg ::
Gloomy пишет:
цитата:
А кто мешает тебе стать им?


Я сейчас «детишек» MASM’у учу. Некогда FASM’ом самому занятся.




Edmos IDA 4.5 - ERROR IDA-Pro



Edmos IDA 4.5 - ERROR IDA-Pro_Standard-4.5.1.770 с сайта команды AHteam не ПАШЕТ под XP PRO SP1.
MD5 и CRC-32 cамого архива.
MD5 : 1BF8BC4BC0AB6137F2EEA0497FA5C381
CRC-32 : 8EDE0C07
Может я криво скачал ? Для меня сливать 30 Мб не хухры-мухры, а 3 часа.

Была у меня версия 4.3 там просто в файле idagui.cfg поменять хоткей у OpNumber.
И все работало, а тут просто:
The Interactive Disassembler - обнаружена ошибка. Приложение будет закрыто.
Приносим извинения за неудобства..
АААА... Не навижу... Я уж не знаю что делать! И переменные среды поставил
на %SystemRoot%\TEMP. И все ровно GPF. Токо не надо отправлять на оф. сайт.
Может кто встречался с этой проблемой и ее поборол. Народ ПОМОГИТЕ!
Edmos :: Кому оно надо PEiD обновился
http://peid.has.it/

Gollum :: Edmos пишет:
цитата:
Кому оно надо PEiD обновился
http://peid.has.it/


Что-то они забыли номер версии поменять

А насчёт вопроса, было у меня такое, но в чём дело я так и не разобрался... переставил систему...

WELL :: Edmos
У меня та же версия. Всё тип топ. Путь к папке temp: «C:\Windows\Temp».
Одно время она мне говорила, что мол обнаружена другая версия иды.
Но всё решилось перезагрузкой...
Видать придется тебе винду переставить...

sanek :: Edmos пишет:
цитата:

Кому оно надо PEiD обновился
http://peid.has.it/


Кстати легко распаковывает clab1.exe крякми#1 от BG
Предыдущая версия не распаковывала, по крайней мере у меня
Gollum пишет:
цитата:
Что-то они забыли номер версии поменять


А номер версии остался прежним V 0.92

Edmos :: Скиньте мне кто нить idag.exe.
Edmos()bk.ru

.::D.e.M.o.N.i.X::. :: Edmos
У тебя винда глючит. Все файлы иды запакованы ASpack, когда винда глючит или память, то выдаются такие ошибки, т.к. ASpack неправильно распаковывается - сам пробеги в отладчике и увидешь место, где вылазит ошибка. У меня такие траблы были - решились перезагрузкой тачки. Причем такие траблы были только с прогами на Delphi и Builder’e, упаковаными ASpack.

AnteC :: была такая же фигня вылечилась путем убивания в реестре ссылок на иду (причем таже история с версией 4.3)




Halt ASProtect 1.2x [New Strain] Народ помогите!!!



Halt ASProtect 1.2x [New Strain] Народ помогите!!!
Попалась на глаза прога ISO Commander 1.2 build 010 запакована ASProtect (см тему)- peid 0.8, pe editor 1.5 - показыват тоже), не могу распаковать - прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Но фишка в том, что там нет такой конструкции, а есть только
call xxx ‹-выхожу от сюда после bpx getprocaddress
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz
Как получить нормальную таблицу импорта??
и 2 когда я на это забил, - просто загнал в Imgrec 1.6 - все восстанавливает кроме 1 функции в kernel32.dll - и грохает процесс
как узнать эту функцию (убить ее точно нельзя- процесс не запускается - 0x5), и почему процесс грохается.
Погодите, еще не все:)
Почему то я определяю OEP, но IMGREC на запакованом файле говорит что ничего не нашел по этому адресу. Хотя кострукция вида:
popad
call
где call:
pop edi
inc edi
push edi
ret
Я так полагаю что edi и есть адрес OEP, но PEID определяет совсем другой адрес, и по нему таблица находится. Объясните,плиз, где я облажался. Спасибо.

WELL :: Halt
А стриппер её не берёт?

SouL :: Ищи на cracklabe тутор Dragona - он для распаковки этой прожки все подробно написал.

KLAUS :: Halt

А зачем ты запакованный файл в Импренк суёшь?

SLV :: WELL пишет:
цитата:
А стриппер её не берёт?


А Caspr???

Madness :: Halt
›Но фишка в том, что там нет такой конструкции,
Смотри рядом.

›Я так полагаю что edi и есть адрес OEP
НЕТ. Там число пушится.

XoraX :: Madness пишет:
цитата:
KpTeaM.com


а где оно?

Madness :: XoraX
Переезжает.

Nav :: Распаковывал недавно прогу одну, используя тутор Alex’a.
У Alex’a тоже написано что должно быть два Call’a, но видимо прога была зажата с другими параметрами(сам AsProtect не юзал). Так вот, Alex и писал, что второй Call портит импорт и его надо занопить, в твоем же случае, скорее всего этой процедуры и нету.

И еще лучше дампить уже на OEP, иначе если следовать тутору Alex’a получим нули в импорте в некоторых местах, а если на OEP, то там уже будут сьемулированные функции. Но может это только в моем случае такое было?

Gollum :: Halt пишет:
цитата:
прочитал все FAQ на сайте - там надо найти
call xxx
call yyy
MOV EDX,[EDI]
MOV [EDX],EAX
JMP zzzzzzz


Ищи эти инструкции немного выше, ставь бряк на первый, F5, потомь нопь второй call, F5, произойдёт ошибка, ничего не делай, а заходи в импрек и весь импорт будет чистый (система Win2k). Останутся тока переходники, о них читай в статье алекса...

WELL :: Импорт можно еще с помощью AsprDbgr’а восстановить




Grim Fandango PEiD v0.92 Build 03.05.2004 - More detections



Grim Fandango PEiD v0.92 Build 03.05.2004 - More detections
- Crash fix on (0 EntryPoint) DLLs
- Miscellaneous updates
- KANAL 2.6 (much better)

качаем
http://peid.has.it/
HANS KEEPER :: Регулярно обновляю :)

CReg [TSRh] ::
цитата:
- KANAL 2.6 (much better)


Действительно, очень значительные улучшения. Попробовал на нескольких десятках прог, стал определять у некоторых алгоритмы, которые там на самом деле есть. А предыдущий KANAL их не видел.
Советую скачать.

Gollum :: CReg [TSRh] пишет:
цитата:
Действительно, очень значительные улучшения. Попробовал на нескольких десятках прог, стал определять у некоторых алгоритмы, которые там на самом деле есть. А предыдущий KANAL их не видел.
Советую скачать.


Круто, действительно, круто... раньше des не определял, base64 тоже, cryptool рулить приходилось, а сейчас ваще классно. Perfect!!!

Grim Fandango :: ну вот ведь какай полезность и всем приятно

CReg [TSRh] :: Gollum пишет:
цитата:
раньше des не определял, base64 тоже


хм... :) сейчас правда иногда просто так base64 говорит :)

Gollum :: CReg [TSRh]

Да, да, я вот тоже сёдня на топпи сдриппере проверял, так для интереса, он мне тоже бэйс 64 показал, хотя там тока рса... может дело в том, что он аспаком был попакован до этого... не помню щейчас в какой секции он сигнатуры нашел




Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT (...



Halt SuperBpm for NT Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.
Или закинте на мыло

wraith_cs@list.ru

PS не сочтите за наглость.
Halt :: Спасибо всем кто откликнулся

Perch :: Halt.

цитата:
Не одскажите откуда можно скачать именно под NT ( Windows 2000 Sp2), а то везде под 9x, а еще одну систему ставить неохота, да и некуда.


Ты знаешь, вообщето для нормального реверсинга программ желательно как минимум иметь две системы...это мое мнение :)...ну смотри сам...
Вот качни от меня - http://toperch.hotbox.ru/superbpmfornt.zip

Perch :: Halt.
Хочу отметить, что ты немного не благодарный человек...
Вот смотри, ты затеял сразу 3 топика про AsPr, и прыгаешь по ним...хотя все можно обговорить и в одном...Возможно ты не внимательно читал статью от =ALEX=’а...но это твои проблемы, насчет неудачности выбора «оперируемого» я тебе написал...я чуть чуть добавлю...ты не смог найти то место, чтоб занопить call xxxxxxxx , чтоб более менее был получен импорт...Смотри, сначала ставишь бряк bpx MapViewOfFile, запускаешь прогу, брякаешся, нажми F12, и посмотри - в теле ты протектора или нет, если в какой нибудь DLL, то жми опять F5, а потом F12, и только когда ты в теле протектора, сбрасывай этот бряк и ставь бряк bpx GetProcAddress, затем токо одно нажатие F5, и после этого после 3-го нажатия F12 будешь в нужном месте, где тебе надо нопить тот самый call...не забудь вернуть его потом обратно, так как AsPr блюдет свою целостность...и т.д...вообще работать с AsPr’ом не благодарное дело, если покриптованы куски кода, то извини без валидного ключика солнца не видать...вот и делай выводы, удачи ;)

Halt :: Perch
Да...., с тремя темами я правда погорячился, признаю.
call’ы я эти уже нашел, понять не могу вроде делал как написано, но похоже их проскакивал. Как - сам удивляюсь.
Опишу как делал, может че не так:
nop’ил процедуру, затем не восстанавливая nop’ы шел по f12 дальше приходил на popad зацикливал прогу снимал дамп и таблицу импорта, начало которой определял после 2-го call (MOV EDX,[EDI] по содержанию edx-, ну это так проверить себя и ImportRec - получалось 71000). Таблицу импорта восстановил, вроде, функции тоже определил по примерам из статьи. Теперь пытаюсь определить OEP и вот сижу. Кстати сразу вопрос - после запуска Test_SuperBPM.exe на 2м нажатии f5(bpm esp-4) - прога грохается, чтоже это такое ?!
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней. (Кстати ASPack вроде распаковывал ручками без проблем)
Да и еще в проге нашел я конструкцию типа:
push epb
mov ebp,esp
add esp,-4c
mov eax, 945a30 - причем именно в таком виде, но по адресам что-то вроде 945b78 - вроде похоже на начало проги, но адреса на OEP явно не тянут, опять я че-то перемудрил? или наоборот?

Halt :: Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?
Я-то - нет, ну не дали мне медаль за окончание школы, а платно - сами понимаете, не каждому по карману.

test :: Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.

DZmey :: test пишет:
цитата:
Да сам научишся лутше!Вот это твой универ !А спецы здесь есть и статьи такие классные пишут.


Согласен %))) Преподы что надо %)

Perch :: Halt wrote:

цитата:
А насчет выбора именно этой проги - все что уменя «неправильто» работало я уже пох...л, извините :) крякнул (Н: Offline - который я считал верхом совершенства защиты, и еще кой-чего по мелочи, ввиде убирания Splash)
А ниодной проги запакованой ASProtect кроме этой небыло, вот и сижу с ней.


Вот, на мой взгляд, интересно тебе будет прога - http://www.elcomsoft.com/ambpr.html
размер около 500кб, кстати на этом сайте все проги упакованы AsPr’ом.
Интересна по двум моментам:
1. PEiD пишет ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov, но не правильно определяет OEP.
2. Stripper ее берет, но не видит спертых байт и соответственно OEP тоже не верный.
Вот если хочешь потренируйся ;)
Подскажу два момента - при выходе на OEP ставь бряк не bpm esp-4, а ставь bpm esp-24, раз 20-ть надо брякнуться по F5, пока не окажешься в протекторе, и затем еще один раз по F5, там и увидишь спертые байты - 38 байт.
Halt wrote:

цитата:
Да, кстати мте тут стало интересно, - вы все (ну кто здесь на форуме) на програмистов учитесь (учились) ?


Я - чисто самоучка.

бара :: Многие учатся в школе ещё только. Алекс вот божится, что только заканчивает школу...

Halt :: Perch

Нихрена себе програмка, 6 часов пялился в softice и ничего не сделал, окромя дампа и вроде определил RVA OEP - 43e0dc, IMPRec - там ничего не находит, то по getimport получает что-то похожее. А со спертыми байтами труба, так ничего найти и не смог, вроде что-то есть похожее по адресам 8833A9 и 880e90 но х.з.
Да и кстати откуда ты взял это esp-24, я так допереть и не смог. Да, ASProtect мне явно не позубам, надеюсь пока.

PS может кинешь на мыло wraith_cs@list.ru помошь поподробнее, жел-но с конкрктными адресами, понимаю что много хочу, но может заодно и статейка организуется для http://www.cracklab.ru




SIM ASPR 1.23 - 1.3? Помогите определить какой версией аспра упакована эта...



SIM ASPR 1.23 - 1.3? Помогите определить какой версией аспра упакована эта прога:
_http://srever.narod.ru/filez/MyProxy641.rar (434кб)
Сам в силу неопытности не могу понять. PEid пишет:
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov
Стриппер распаковывает но она потом не запускается (runtime error)
WELL :: SIM пишет:
цитата:
PEid пишет:
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov


PEiD вроде на все версии так пишет.
Надо руками распаковывать.
У nice’a тутор хороший есть http://hice.antosha.ru/Asprotect.rar

Kerghan :: SIM
это спецом ошибка сделана. Найди эту строку и исправь переход перед ней. Вроде так я делал, хотя патчер -=алекс=-’а тоже тянет

WELL :: Kerghan пишет:
цитата:
хотя патчер -=алекс=-’а тоже тянет


Где бы этот патчер взять :)

SIM :: Да пробавал я исправлять эту ошибку, дальше появляются еще и еще..., сомневатся стал что вообще когданибудь запустится...
А про патчер -=алекс=-’а мне тоже интересно

-= ALEX =- :: эх.. я смотрю опять эхо аспра... в свободное время подправлю патчер свой и выложу где-нить...

SIM :: Распаковал, прога падает на этой процедуре:
00403450 POP EDX
00403451 PUSH ESP
00403452 PUSH EBP
00403453 PUSH EDI
00403454 PUSH ESI
00403455 PUSH EBX
00403456 PUSH EAX
00403457 PUSH EDX
00403458 PUSH ESP
00403459 PUSH 7
0040345B PUSH 1
0040345D PUSH 0EEDFADE
00403462 PUSH EDX
00403463 JMP ‹JMP.&kernel32.RaiseException›
00403468 RETN

Я конешно поправил условные переходы на нее и прога заработала, но хотелось бы знать что это за гадость и почему прога может на нее прыгать

Ara :: WELL пишет:
цитата:
У nice’a тутор хороший есть http://hice.antosha.ru/Asprotect.rar


Дайте РАБОЧУЮ ссылку кто-нибудь. давно не был на форуме. кажись пропустил что-то

DOLTON :: Ara пишет:
цитата:
Дайте РАБОЧУЮ ссылку кто-нибудь


Ну не знаю, только что Оперой всё прекрасно скачал...

WELL :: Ara пишет:
цитата:
Дайте РАБОЧУЮ ссылку кто-нибудь


Это и есть рабочая

Ara :: Sorry. юзал Мозиллу, а эксплорером все скачалось.




SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В...



SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В этом крякми я сделал так, что файловые анализаторы не обнаруживают packer. AutoUnpacker-ы также не могут распаковать его. В ручную, я сам не смог его распаковать. Может кто-нибудь сможет... Брать можно отсюда.
sanek :: SLV пишет:
цитата:
Брать можно отсюда.


Чет не запускается!!!!!

Bad_guy :: Было просто:
Bad_guy
8RPZ-154JY-YAX76-E3SSX-J7ZA9
PEiD показывает «UPX» - так что не знаю в чём проблема. Ну что распаковать или не стоит ?

Bad_guy :: ...Даже обидно как-то - никто хотя бы средней сложности крэкми не хочет сделать. (бэсик не предлагать).

RideX :: SLV
Это у тебя новый тип крэкми? Наверное runme называется, кто сможет файл запустить - тот молодец :)))

бара :: извините за оффтоп, но как за***ли уже все эти крякми и тп
давайте хоть начнём ломать проги, к которым нет серийников и тп на кряк сайтах
фигли этот мазохизм - вам сам процесс удовольствия что-ли доставляет ?

Perch :: SLV.
А чего ты сделал один серийник под любое имя?

-= ALEX =- :: бля, задолбали честно гря эти крякми. че автор этим хочет показать, свою «глупость» ИМХО.
Bad_guy мог бы тебе предложить попозже alexprot crackme #3 :) :)

SLV :: Я поменял EP на пакованной проге. На новом EP был jmp на popad (т.е. на старый EP). У меня PeiD показала nothing found. Quick Unpack v0.4 final by FEUERRADER [AHTeam] распаковала, но прога не запускалась. Я распаковал олей, но прога тоже не запускалась. А ещё все стринги в exe-шнике заxor-ены и перед сравнением с серийником идёт мудёжная процедура «проверки» серийника. Следущие попробую сделать посложнее.

Snowbit :: Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!

sanek :: Snowbit пишет:
цитата:
Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!


Заработало под WIN98
А сернУм действительно один у меня такой же. Хоть на русском пиши имя
8RPZ-154JY-YAX76-E3SSX-J7ZA9
Вылетает месага: you reallywin! it is great!

ZX :: SLV пишет:
цитата:
А ещё все стринги в exe-шнике заxor-ены


Лучше бы ты серийник заксорил

Mafia32 :: Блин, ни хрена не запускается. (WinXP) Зря 150 кб качал...

DZmey :: SLV

Она и без распаковке не пускается ....

бара пишет:
цитата:
давайте хоть начнём ломать проги, к которым нет серийников и тп


Полностью согласен !!!

WELL :: SLV
Мог бы проверить под 2k/XP...

KLAUS :: Да короче, желающим чтоб она заработала под 2k/XP открываете (допустим в LORD-PE) за ходите в section и оставляете только первые три, а остальные удаляйте наХ**.....

SLV
Типа хотел замаскировать UPX
анализаторы не обнаруживают packer - сам глазами чтоли анализировал?

Mario555 :: -= ALEX =- пишет:
цитата:
alexprot crackme #3


Ждёмс... ;)
Жаль вот только сессия начинается - времени вообще нет...




Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту...



Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту прогу, прога конечно плохая но защита в ней это просто жуть какая-то! PEiD при общении с ней уходит в партизаны, нормально (если можно так выразиться) работает только один дампер PE Tools, сечется SoftIce, с помощью IceExt 0.62 удается его скрыть но только до первого перезапуска проги после чего она его опять-таки обнаруживает, с Олей прогу исследовать невозможно потому что Оля в итоге сдыхает от огромного числа исключений (Армадилла с Аспром нервно курят в сторонке), в SoftIce прогу тоже исследовать невозможно т.к. нужно будет постоянно перезагружаться, оба дизассемблера W32Dasm и IDA показывают чушь. Кстати любые мониторы файлов и реестра прога тоже безжалостно уничтожает, после установки нет никаких новых веток реестра.
Даже не знаю что придумать, все крякерские инструменты можно смело отправлять в трэш УРЛ вроде бы еще работает: http://216.158.130.132/gen/dm132.zip

Посмотрите плз, можно даже не ломать - просто жутко интересно что же это за зверюга такая - рукотворная (созданная самими разработчиками программы) или это все-таки какая-то неизвестная PEiD навесная защита? И как с такими зверями обращаться если еще где встретятся?
fuck it :: кул, если все так как ты сказал то эта кул !

SLV :: Она чем-то хитрожопым зрпакована (Corupt resourses)...

SLV :: Gloomy , а что за прога-то. Про что она, а то эта хрень отладчик детектирует и мне её не запустить (пока, надеюсь )

Gloomy :: SLV пишет:
цитата:
Corupt resourses


А ты как хотел чтобы тебе все ресурсы были? И что ты с ними будешь делать? Искать их в дизассемблере бесполезно там не код а ахинея. В Айсе кстати я пробовал ловить GetWindowTextA - поймал и в итоге вышел на адрес такого вида: 6C291DCC. ИМХО, даже для стека и памяти это многовато.

Не знаю для чего прога, в данном случае это неважно - защита гораздо интереснее.

Gloomy :: Мда, пошел уже пятый час с момента запуска простого скрипта:

Lagain:
esto
jmp Lagain

И до сих пор даже окно нага не появилось Возникают глубокие сомнения в полезности этой процедуры...

ZX :: Прикольная защита, конечно не такая страшная, но прикольная.

Gloomy :: ZX
Очень информативно Нормально сдампить и импорт прикрутить чтобы работала смог?

-= ALEX =- :: я тоже скачал, решил полностью весь код пройти, задолбался, столько циклов прошел полиморфных :)

Gloomy :: -= ALEX =-
И как успехи с прохождением кода? Прошел? В принцпе я даже дамп умудрился сделать (правда не на ОЕР а где-то неизвестно где, в районе проверки введенного серийника) и ресурсов в этом дампе живых много но вот с импортом (брал ОЕР 47CF8C, его показал PEiD) полный завал - там такая гора функций не обнаруживается что дизассемблировать каждую просто нереально, нужна какая-то автоматизация.

test Re: Gloomy :: Кстати если поставить бряк на FindWindowA то все понятно почему
Gloomy пишет:
цитата:
любые мониторы файлов и реестра прога тоже безжалостно уничтожает


Заодно и до OEP дойти быстрее можно.

ZX :: Gloomy
Я вчера просто посмотрел, сейчас вот решил занятся. Попробую импорт восстановить.

infern0 :: там самое прикольное - это ее определение айса. Когда это обходишь то сдампить на оепе уже не проблема. А вот с импортом пока тоже туго.

Gloomy :: Всем занятие нашел, все DarkMailer ломают

infern0 пишет:
цитата:
сдампить на оепе


А как до него дойти? Стандартный «bpm esp-4» не катит т.к. вызывается очень много раз.

ZX :: Да импорт это что-то.
Gloomy
А ОЕР я в PEiD посмотрел, как и ты. Потом когда распаковалось все вбил туда int 3, и приземлился уже там. Ну импорт это...
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...
ЗЫ Когда на ОЕР стоишь загляни в карту памяти (ужас) и какие-то намеки на UPX.

infern0 :: По адресу c00000 находится DLL защиты. Она выполняет всю инициализацию
импорта и расшировку секции кода. У нее подпорчен заголовок но это легко
лечится (четыре секции, границы определяются на глаз)
В ней каждая функция предваряется достаточно прикольным прологом.
Вот например экспортируемая функция SI_detection (на самом деле это фэйк -
просто вывод месбокса :)

code:00C02206 ; Exported entry 1. SI_detection
code:00C02206
code:00C02206 public SI_detection
code:00C02206 SI_detection:
code:00C02206 push eax
code:00C02207 jmp short loc_C0220D
code:00C02209 ; -------------------------
code:00C02209
code:00C02209 loc_C02209:
code:00C02209 jmp short loc_C02212
code:00C02209 ; -------------------------
code:00C0220B db 93h ; У
code:00C0220C db 7Ah ; z
code:00C0220D ; -------------------------
code:00C0220D
code:00C0220D loc_C0220D:
code:00C0220D call loc_C02209
code:00C02212
code:00C02212 loc_C02212:
code:00C02212 pop eax ; EAX = C02212
code:00C02213 add eax, 1Dh ; EAX = C0222F - начало обработчика SEH
code:00C02219 push eax
code:00C0221A xor eax, eax
code:00C0221C push dword ptr fs:[eax]
code:00C0221F mov fs:[eax], esp ; установка SEH
code:00C02222 mov eax, [eax] ; вызов исключения
code:00C02224 test [edi+ecx*4+0], ah
code:00C02228 pop eax ; тут после SEH получаем адрес
code:00C02229 xchg eax, [esp] ; исключения минус 3ch = c021e6
code:00C0222C retn

смотрим обработчик SEH

code:00C0222F sub_C0222F proc near
code:00C0222F
code:00C0222F _CONTEXT = dword ptr 18h
code:00C0222F
code:00C0222F push edi
code:00C02230 push ebp
code:00C02231 push ebx
code:00C02232 mov eax, [esp+_CONTEXT]
code:00C02239 mov ebp, [eax+_CONTEXT.Esp]
code:00C0223F mov ebx, 486262DEh
code:00C02244 xor ebx, 486262E2h
code:00C0224A mov edx, [eax+_CONTEXT.Eip]
code:00C02250 sub edx, ebx ; EIP = EIP - 3ch
code:00C02252 mov [ebp+4], edx ; запишем в стек
code:00C02258 sub [eax+_CONTEXT.Eip], 0FFFFFFFDh ; пропустим пару левых байт
code:00C02262 pop ebx ; для корректного выхода
code:00C02263 pop ebp
code:00C02264 pop edi
code:00C02265 push 0
code:00C02267 pop eax
code:00C02268 retn
code:00C02268 sub_C0222F endp

Т.о. после обработки сгенерированного исключения мы попадаем на реальный код процедуры
расположенный по адресу c021e6

code:00C021E6 sub_C021E6 proc near
code:00C021E6 mov eax, ds:dword_C2CBB4
code:00C021EB push esi
code:00C021EC push 0Dh
code:00C021EE mov esi, [eax]
code:00C021F0 call getErrorMessage
code:00C021F5 pop ecx
code:00C021F6 push eax
code:00C021F7 push 0
code:00C021F9 push ds:dword_C2CBB4
code:00C021FF call dword ptr [esi]
code:00C02201 add esp, 0Ch
code:00C02204 pop esi
code:00C02205 retn
code:00C02205 sub_C021E6 endp

Все остальные процедуры обрабатываются аналогично. Немного пристальнее взглянув видна следующая
система: берется процедура, перед ней ставится байт 0xe9 (что-бы наебать дизассемблер), в конце
добавляется отстой с SEH и все. Если идти с начала секции кода, пропуская лидирующие e9h то можно
легко ручками отметить все процедуры. А гуляя по коду жмем на call и нужная нам процедура будет
вверху. Пока так - продолжаю ковырять :)

infern0 / TSRh team

ps: как хоть протектор этот называется ?

pps: а еще нашел вот такие интересные строки:

"License from TimeHASP is expired"
"No TimeHASP found"
"No HASP found"
"No Fidus key found"

типа она и с донглами умее дружить или очередная подъебка :)

infern0 :: да - процедура определения айса начинается с адреса c0876a вроде...

Gloomy :: ZX пишет:
цитата:
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...


Ну я вообще-то никого не заставлял, дело чисто добровольное - не хочешь дальше копать так забрось ее, лучше своими делами займись.

infern0 пишет:
цитата:
ps: как хоть протектор этот называется?


Мне почему-то кажется что это вообще самодельная защита. Но если это какой-то новый криптор тогда стоит раскапывать его дальше чтобы знать как снять при необходимости.

infern0 пишет:
цитата:
типа она и с донглами умее дружить или очередная подъебка :)


Это вряд ли, с ней никаких драйверов даже нет.

Заметил интересную штуку: дамп что на ОЕР что просто так (вообще без отладчика) получается одинаковый - это меня глючит или это опять какие-то штучки защиты? Пытаюсь вручную восстановить импорт но судя по объему неопределенных функций это минимум на неделю. Нельзя ли как-то автоматизировать восстановление?

Чем добрался до кода - судя по листингу вроде бы IDA? Я уже заколебался все время перезагружаться чтобы SoftIce прятать а IDA файл не берет, анализирует немного и падает. Потыкал в настройки поставил режим чтобы как бинарник анализировала - вроде дело пошло но очень медленно, оставлю на ночь может что и получится. Какая версия IDA? У меня древняя 4.15 наверное потому и не работает

ZX :: infern0 пишет:
цитата:
ps: как хоть протектор этот называется ?


Да мне бы тоже хотелось это знать. Такого импорта я еще не видал. Там видать кроме импорта будут заморочки, еще какая-то беда с ресурсами. Не получается их перестроить в дампе, возможно заголовок файла испорчен, пока не смотрел.

ZX :: Gloomy пишет:
цитата:
Ну я вообще-то никого не заставлял


Так интересно же.
Gloomy пишет:
цитата:
Нельзя ли как-то автоматизировать восстановление?


Пытаюсь что-нибудь придумать

infern0 :: Gloomy пишет:
цитата:
Чем добрался до кода - судя по листингу вроде бы IDA?


дык я же написал - сдампил дллку поправил малек и грузанул в иду :)
в общем я спать - ну ее в сад эту защиту - никуда она не денется...

infern0 :: если я правильно понимаю то пропатчив эти единички на нолики можно спрятать от нее айс

code:00C09A8A mov [ebp+var_4], 1

code:00C09F93 push 1

Dr.Golova :: Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!

RottingCorpse :: А где еще применялось?

-= ALEX =- :: Dr.Golova хех, дак ты оказывается пакеры писал или пишешь... :)

infern0 :: если меня не обманули то это Tristana (c) DrGolova / RedPlait

.::D.e.M.o.N.i.X::. :: Dr.Golova пишет:
цитата:
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Варез еще никто не отменял:) Значит кто-то из своих либо сам пишет DarkMailer, либо «одолжил» разработчикам DarkMailer’а... В любом случае надо искать среди тех у кого он был на руках...

infern0 :: я так понял что все забили на этот протектор, да ?

Gloomy :: Никто не забыт, ничто не забыто - у меня вчера Инет кончился, не успел ничего написать в форум ИДУ оставлял на ночь но она все-таки повисла - видимо черезчур старая, не понимает приколов протектора Dr.Golova . Придется идти напролом и вручную восстанавливать импорт потому что злой Dr.Golova явно не поделится исходниками и не скажет как его восстановить.

Если кто дойдет до победного конца раньше хорошо было бы написать статью т.к. оказывается этот «Tristana (c) DrGolova / RedPlait» штука редкая, экзотичная но мощная.

RottingCorpse :: копаем потихоньку :)

ZX :: Копаем.

infern0 :: Разобрался с айсом - теперь прога его не видит. С импортом действительно весело, виртуальная машина рулит :)

-= ALEX =- :: infern0 странно, у меня прога всегда работает под отладчиком :)

infern0 :: а там прикол был просто... Кстати я импорт получаю чистые весь кроме user32.dll...

Gloomy :: infern0 пишет:
цитата:
виртуальная машина рулит :)


А в каких еще протекторах она еще применяется? Было бы очень любопытно взглянуть... Да и чисто теорию почитать не мешало бы...

infern0 пишет:
цитата:
импорт получаю чистые весь кроме user32.dll...


Плагин для Imprec писал или просто так само получается? У меня вообще завал с неопознанными функциями

ыыч :: Dr.Golova пишет:
цитата:
Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)
«В жестоком мире живем» :)

SLV :: ыыч , ты вроде забыл поменять раскладку (RUS/ENG)

ssx :: SLV пишет:
цитата:
ыыч, ты вроде забыл поменять раскладку (RUS/ENG)


ага, есть маленько :)

интересно, Доктор сюда снова зайдет?

infern0 :: Gloomy пишет:
цитата:
Плагин для Imprec писал или просто так само получается


само. ну ессно после небольшого патча.

Dr.Golova :: ыыч пишет:
цитата:
Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)


Немного доработанный.

ssx :: :) И как это интересно такая приватная вещь попала в дикую природу?




GOS Dede не может запустить программу... Поскажите в ч



GOS Dede не может запустить программу... Поскажите в чём дело? Вот ссылочка на программу: http://www.netbornmusic.com/pf/as/am.zip
Мне бы посотреть декомпилированный текст...
По моей информации она на D6 написана...
Только вот один нюанс: при нажатии на «Процесс» в Dede возникает ошибка:(
Подскажите пожалуйста как с этим справиться!!

Заранее благодарен, Oleg!
GOS@land.ru
-= ALEX =- :: GOS да проблем куча может быть... лучше делай так. запускай программу, потом DeDe -› Утилиты -› Дампить активный процесс... в списках процессов выберешь свою прогу... вот и все.

бара :: 1. Убедись что она не запакована протектором/упаковщиком.
2. Размер программы Пушкин указывать будет.
3. Никто на мыло тебе писать не будет - хлеб за животом не ходит....

SLV :: -= ALEX =- пишет:
цитата:
Утилиты -› Дампить активный процесс


Кстати, так можно и извращаться над пакованными прогами, не распаковывая их (если они делфийские)...

KLAUS :: GOS пишет:
цитата:
По моей информации она на D6 написана


А если её скачать и поглядеть, то на C++6

SLV :: Скачал! Microsoft Visual C++ 6.0

бара :: тогда забейте на DeDe.

SLV :: бара , ясное дело
GOS , бери W32DASM и/или IDA

GOS :: Большое спасибо за информацию!
Я не спец в ломании программ, потому и не всё так гладко.

WELL :: SLV пишет:
цитата:
Кстати, так можно и извращаться над пакованными прогами, не распаковывая их


Извращенец =)

DZmey :: WELL

Не не изврант, а любитель переделавать готовое =)

[ChG]EliTe :: GOS
Чудиться мне что у тя PEiD’a нет... Скачай обязательно!

DillerXX :: А оле можно повесить запущенный процес? (я в ней не мастер)

KLAUS :: DillerXX пишет:
цитата:
повесить запущенный процес


Если имеешь в виду зациклить , то да можно!»




Guest007 Advanced CATaloguer Господа!



Guest007 Advanced CATaloguer Господа!
Есть две хорошие программы для ведения
каталогов имеющихся дисков: Advanced File Organizer и Advanced CATaloguer
Общарил весь интернет, но так к сожелению и не нашел к ним кряков.

Может быть кто-нибудь в свободное время попробует их сломать попробует их сломать?

---

Advanced CATaloguer:
Advanced CATaloguer (ACAT) - convenient and powerful tool, which is used for cataloguing drives

and files. Using ACAT you can very simply and quickly solve the following tasks:
To define on what disk there is a necessary file.
To find the duplicates of files with their subsequent removal
To find out new, changed and removed files on your disks.
To facilitate performance of the following group operations: copying, moving and removal of

files.
To exchange your collections with the friends.
Сайт: http://www.evgenysoft.com/
Advanced CATaloguer 2.3.43 - http://www.evgenysoft.com/files/acatEnglish.exe (997 kb)
Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)

---

Advanced File Organizer:
Advanced File Organizer is a cataloger for all kinds of media are recognized by your Windows

system as drives. This includes diskettes, hard disks, CDs, DVDs, Memory Stick cards and other

storage devices. Advanced File Organizer can be your DVD organizer or CD organizer, if you want.

It helps to create a catalog of your disk collection. This catalog will help you easily find all

necessary files and folders without the need to insert any disks into the drive.
http://www.softprime.com/index.htm
Advanced File Organizer 2.3 - http://www.softprime.com/download/aforg.exe (1.37 MB)

[ChG]EliTe :: А какая Лучше?
и есть ли к Advanced File Organizer руссификатор?

На обоих прогах:
ASProtect 1.23 RC4 - 1.3.08.24 Если верить PEiD’y
Делаем ставки замерзнет ли триал просле распаковки?

Madness :: Guest007
›Общарил весь интернет
LOL

Advanced File Organizer 2.0 (Cracked EXE) - KpTeaM 13-03-2003
Advanced Cataloguer v.2.3b26 (Cracked EXE) - KpTeaM 10-10-2002
Может и по-новее версии были, не помню.

[ChG]EliTe
›Делаем ставки замерзнет ли триал просле распаковки?
Замерзнет конечно, вся проблема только в ключике волшебном.




DOLTON Action 2.2 Наш



DOLTON Action 2.2 Нашёл интересную программу в плане распаковки...Action 2.2 ~524 kb!
Кому интересно может попробовать распаковать...
PEiD пишет tElock 0.96 -› tE!, но там по-моему более поздняя версия...
После распаковки файл не запускается, после правки пары переходов вроде стал запускаться ,
но программа стала самопроизвольно закрываться через несколько секунд после старта...
XoraX :: DOLTON пишет:
цитата:
программа стала самопроизвольно закрываться


ну значит проверка по таймеру ;)

DOLTON :: XoraX пишет:
цитата:
ну значит проверка по таймеру ;)


Да, пару дней назад я скачивал версию 2.2, сегодня по данной выше ссылке скачал уже v2.25...
Так она даже запускаться не хочет после распаковки...
XoraX , может посмотришь прогу, объяснишь что к чему..
На самом деле программа не плохая, да и защита тоже, кстати...

DZmey :: DOLTON

А что за прога \\ размер ?

DOLTON :: DZmey пишет:
цитата:
А что за прога \\ размер ?


Action 2.25 \\ 524 kb!

WELL :: Можно попробовать поставить бряки на SetTimer

KLAUS :: Сама корка,эт то, что у меня прога после того как её раз запустишь, больше запускаться не хочет, только после reset.
Ну и проверка конт.суммы идёт, поэтому DUMP не хотит хапускаться

Halt :: А у меня вааще не запускается - в смысле еще не ломаная - испугалась свол..




V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то...



V0ldemAr распаковра Армы Вот Трабла есть, вроде распаковал сабж, но чего-то прога незапускается, просто загружается а потом без всяких месаг вылетает
врсия Армы, как пишет PEDI 1.хх-2.хх, помогите может у кого-то такое было. ??
бара :: возможно, что это защита уже софтовая проверяет CRC или размер где...

WELL :: Может попробовать поискать ссылки на ExitProcess или чего-нить в этом духе.
Может и правда проверка целостности кода...

V0ldemAr :: мда, наверно я че то не то сделал, сидел в Олли короче прога вирубается через это:
mov eax,[eax]
а в еах очень большое число то есть прога вылетает при доступе к памяти. :((
мда придется ещераз попробовать распаковать.
Кстати Очень странно что когда я пробовал ПеТулзами снимать дамп то провобще видавала Екзекюшн Еррор. :((

Mario555 :: V0ldemAr пишет:
цитата:
вроде распаковал сабж, но чего-то прога незапускается


А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...

V0ldemAr :: Блин, рас такий умный скажы в чем тут дело :) я вроде все сделал

MozgC [TSRh] :: Mario555 пишет:
цитата:
А ты как думал - в сказку попал ? :) Сейчас мало какие проги сразу после распаковки запускаются...


Да ладно, дофига прог запускаетмя сразу

infern0 :: Mario555 пишет:
цитата:
Сейчас мало какие проги сразу после распаковки запускаются


можно посоветовать пропатчить hands.sys... :))

.::D.e.M.o.N.i.X::. :: infern0 пишет:
цитата:
hands.sys


Поправочка: curvehands.sys :)

бара :: а может brains.sys

RottingCorpse :: ili straight_IZVYLINY’s_in_da_brain.sys :)

Mario555 :: infern0 пишет:
цитата:
можно посоветовать пропатчить hands.sys... :))


И что это интересно у меня с руками не так ?!

.::D.e.M.o.N.i.X::. пишет:
цитата:
Поправочка: curvehands.sys :)


Ну это вообще верх остроумия - ах*уенно смешно.

Или вы все не встречали прог с проверкой на распакованность ?! Мне последнее время в основном только такие и попадаются. Что Alfaclock, SIGuardian или Perl Editor - у кого-нить сразу после распаковки запустились ? а все проверки на наличие протектора в этих прогах мне просто приглючились ???

infern0 :: не лезь в бутылку - это злой крякерский юмор...

бара :: я вообще против таких нападок всегда был... Вообще не понимаю, почему на этом форуме некоторые считают, что имеют право посылать новичков на *** и подтрунивать над товарищами по цеху. Зачинщиков в баню короче. Семь суток чтобы не евши...

infern0 :: бара пишет:
цитата:
Зачинщиков в баню короче


ну вот один:

бара пишет:
цитата:
а может brains.sys


бара :: поймал поймал Так меня этот чёрт - RottingCorpse совратил на преступление Я ищо молодой и неопытный А он плохим словам тут учит...
Так я просто продолжил абстрактный ряд синонимов, не проэцируя их на персоналии...

V0ldemAr :: Мда, народ тут веселый, ладно
Короче никакой проверки там нет, это глюканул, кроме секции CODE, не востоновил DATA,
но єто ничего недало, всмысле прога дальше незапускается, но хотябы еррор выдает.
Короче сидел в Олли и нашол в чем глюк, глюк в том что импорт я невесь востоновил.
Вот пример функции из которою Импрек неопознал и я незнал что с ней делать и просто удалил:
01107018 push ebp
01107019 mov ebp,esp
0110701B sub esp,104
01107021 push esi
01107022 push edi
01107023 push 1132EC0
01107028 call [1126070] // = ntdll.dll/0218/RtlEnterCriticalSection
0110702E mov ecx,[1132CE4] // DWORD value: 003A9978
01107034 mov eax,[112B8C0] // DWORD value: 0001EED7
01107039 xor edi,edi
0110703B mov [1133640],eax // DWORD value: 000085D4
01107040 cmp ecx,edi
01107042 je short 01107057
01107044 mov eax,[ecx]
01107046 cmp eax,edi
01107048 je short 01107057
0110704A mov edx,[113363C] // DWORD value: F1100000
01107050 sub [eax],edx
01107052 add ecx,4
01107055 jmp short 01107044
01107057 mov ecx,[1133098] // DWORD value: 003A9928
0110705D cmp ecx,edi
0110705F je short 01107074
01107061 mov eax,[ecx]
01107063 cmp eax,edi
01107065 je short 01107074
01107067 mov edx,[113363C] // DWORD value: F1100000
0110706D sub [eax],edx
0110706F add ecx,4
01107072 jmp short 01107061
01107074 mov eax,[1133280] // DWORD value: 0112BC9C
01107079 movzx esi,word ptr [eax+12]
0110707D call 011224FD
01107082 mov ecx,[1133644] // DWORD value: 00000000
01107088 lea eax,[eax+ecx+7640005E]
0110708F push eax
01107090 mov eax,[112BAC0] // DWORD value: 00000212
01107095 add eax,esi
01107097 push eax
01107098 mov eax,[1133284] // DWORD value: 01100000
0110709D sub eax,esi
0110709F add eax,[112B8C0] // DWORD value: 0001EED7
011070A5 push eax
011070A6 call 01104074
011070AB mov ecx,[1133098] // DWORD value: 003A9928
011070B1 add esp,C
011070B4 cmp ecx,edi
011070B6 mov [ebp-4],eax
011070B9 je short 011070CE
011070BB mov eax,[ecx]
011070BD cmp eax,edi
011070BF je short 011070CE
011070C1 mov edx,[113363C] // DWORD value: F1100000
011070C7 add [eax],edx
011070C9 add ecx,4
011070CC jmp short 011070BB
011070CE mov ecx,[1132CE4] // DWORD value: 003A9978
011070D4 cmp ecx,edi
011070D6 je short 011070EB
011070D8 mov eax,[ecx]
011070DA cmp eax,edi
011070DC je short 011070EB
011070DE mov edx,[113363C] // DWORD value: F1100000
011070E4 add [eax],edx
011070E6 add ecx,4
011070E9 jmp short 011070D8
011070EB mov ecx,[1132CE8] // DWORD value: 003A3C28
011070F1 cmp ecx,edi
011070F3 je short 01107108
011070F5 mov eax,[ecx]
011070F7 cmp eax,edi
011070F9 je short 01107108
011070FB mov edx,[113363C] // DWORD value: F1100000
01107101 sub [eax],edx
01107103 add ecx,4
01107106 jmp short 011070F5
01107108 mov eax,[1133284] // DWORD value: 01100000
0110710D mov ecx,[112B8C4] // DWORD value: 0000714B
01107113 push edi
01107114 add ecx,eax
01107116 push dword ptr [112BAC4] // DWORD value: 000000D1
0110711C push ecx
0110711D push dword ptr [ebp-4]
01107120 call 011014AC
01107125 mov ecx,[1132CE8] // DWORD value: 003A3C28
0110712B add esp,10
0110712E cmp ecx,edi
01107130 je short 01107145
01107132 mov eax,[ecx]
01107134 cmp eax,edi
01107136 je short 01107145
01107138 mov edx,[113363C]
0110713E add [eax],edx
01107140 add ecx,4
01107143 jmp short 01107132
01107145 push ebx
01107146 xchg eax,edx
01107147 xchg dx,dx
0110714A xchg eax,edx
0110714B push edx
0110714C out dx,eax
0110714D pop ebp
0110714E xor dl,[ebp-7F]
01107151 or cl,[edx]
01107153 fild qword ptr [edx]
01107156 dec ebx
01107157 lahf
01107158 push ebp
01107159 mov esi,8D14C134
0110715E call 662E61AF
01107163 retn

Вот и все. Кто уже такоэ видел, и как боролся, подскажыте.

бара :: по арме Mario555 спец у нас и Feuerrader - у них туториалы про это есть да и опыт распаковки немалый... Так что рекомендую связаться с ним по e-mail и обсудить как выйти на поверхность из этого... нехорошей ситуации.

V0ldemAr Re: бара :: Да сенкс.
Но у Feuerrader-а тутор без КОПИМЕМ - а, и в туторе нет того что уменя попалось :(

Mario555 :: V0ldemAr пишет:
цитата:
Вот пример функции из которою Импрек неопознал


Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...

Mario555 :: бара пишет:
цитата:
арме Mario555 спец


Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...

V0ldemAr :: Mario555 пишет:
цитата:
Хм... а это вообще странно... арма вроде не эмулирует сис. функции и поэтому после правки «magic jmp» должна бы получаться чистая Iat...


Может что-то предложыш, а то я уже неделю парюсь, распаковал уже кучу своих прог упакованой армой негде нету такого :((

Mario555 :: V0ldemAr
У меня такого не было... все проблемы с импортом решались правкой «magic jmp» (ну это ессно кроме 3.7a - там с импортом повеселее сделано :)).

бара :: так туториалы видать безымянные которые мне прислали по её снятию не твои ? тогда понятно...

V0ldemAr :: Mario555 пишет:
цитата:
с импортом решались правкой «magic jmp»


это ти про jle XXXXXXXX

Mario555 :: V0ldemAr пишет:
цитата:
это ти про jle XXXXXXXX


Это я про тот, который определяет что писать в iat - адрес апи или переходник.

V0ldemAr :: Mario555 пишет:
цитата:
Это я про тот, который определяет что писать в iat - адрес апи или переходник.


Опа, а где эго искать неподскажеш??

Mario555 :: V0ldemAr пишет:
цитата:
Опа, а где эго искать неподскажеш??


Дык как обычно - бряк на запись в iat - попадёшь на цикл обработки импорта, ну а там уже смотри где и что записывается и куда jmp’ы направлены.

А ты вручную функции определял что-ли ???

ViNCE [AHT] :: Mario555 пишет:
цитата:
Э-э с каких это пор я по арме спец ? И тутор я по ней не писал и вообще мне арма не нравится... возни с ней много...


Марио, с тебя Олли-скрипт против армы!

musulmanin :: недавно нашел хорошие туторы по распаковки армы(и не только)...
http://www.hackemate.com.ar/cracking/

musulmanin :: ViNCE [AHT] пишет:
цитата:
Марио, с тебя Олли-скрипт против армы!


хорошо бы

V0ldemAr :: Mario555 пишет:
цитата:
А ты вручную функции определял что-ли ???


Угу, а что?

Mario555 :: ViNCE [AHT] пишет:
цитата:
с тебя Олли-скрипт против армы!


Не думаю, что возможно написать скрипт, который будет полностью снимать арму с copymem.

V0ldemAr пишет:
цитата:
Угу, а что?


Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.

EGOiST[TSRh] :: чета я щас тоже нарвался..с мэджик джампом не восстановилось ешо туча ф-ий..странно

V0ldemAr :: Mario555 пишет:
цитата:
Это ОЧЕНЬ долго и нудно. К тому же в каждой новой проге придётся всё делать заново.


А какой еще способ есть чтобы определить функции?

EGOiST[TSRh] :: V0ldemAr
почитай статью Драгона, там как раз используется этот метод..

p.s. восстановил импорт таки..прикол в том что арма не по порядку их прописывает, так что ловить на записи апи, может оказаться неправильным..

infern0 :: EGOiST[TSRh] пишет:
цитата:
ловить на записи апи, может оказаться неправильным


зато это легко помогает нати magic jmp и пи следующем запуске брякнутся сразу на нем :)

EGOiST[TSRh] :: не, правильно есесно.просто надо менять етот джамп когда цикл тока начинается..

Mario555 :: EGOiST[TSRh] пишет:
цитата:
прикол в том что арма не по порядку их прописывает


Функции из разных библиотек перемешаны ? Iat за пределами exe ? если да, то это 3.7a.
Там ещё и антидамп по типу, как в ACProtect.

PS для распаковки 3.7a есть скрипт. Да и если вручную распаковывать - один фиг скрипт писать придётся, хотябы чтобы iat упорядочить.

EGOiST[TSRh] :: да не, все по порядку..просто арма их не по порядку обрабатывает а как то по своему..

Gloomy :: Новую тему решил не создавать поэтому пишу сюда: давно пытаюсь распаковать полезную в хозяйстве прогу Easy CD-DA Extractor (http://www.poikosoft.com/download.html 4,5 Мб). PEiD определяет Армадиллу 1.хх-2.хх, другая программа IsItArma (http://databack4u.com/snc/download/trashreg.zip) тоже определяет Армадиллу. Очень смущает вид кода в отладчике, вот картинка загруженой программы: http://tinysoft.nm.ru/dbg.png Посмотрел пример из статьи про распаковку Армадиллы - там все полностью пошифровано. А здесь чистый код да еще и ресурсы в любом редакторе спокойно правятся (!). Как такое возможно? Все типичные армадильные фокусы типа двух процессов и файла в папке temp присутствуют - значит прога действительно упакована Армадиллой. Но почему тогда код и ресурсы доступны? Может кто с таким уже сталкивался? И главное как тогда ее распаковать?

V0ldemAr Re: Gloomy :: Ну ты чувак даеш, это же и есть версия 2.хх она тем и отличается. :))
Прочти тутор HEX-а по снятию армы, очень поможет.
Кста, я тоже хотер распаковать Easy CD-DA Extractor, но блин у меня она незапускается под Вын2к, хз что делать.
Кто-то может подсказать что нужно делать?????

V0ldemAr :: EGOiST[TSRh] пишет:
цитата:
почитай статью Драгона, там как раз используется этот метод..


дык какраз прочитал, перед тем как на форум зайти,
вот вопрос, а как сохр дерево импорта если мы с проги вылетаем?
Где нужно остоновится?




DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь



DOLTON Проблема с PCMedik 6.5.10.2004 Забираем здесь ~ 0.77 mb!
Вроде бы на первый взгляд всё легко - 480038 --› B001C3
Но в этом случае при попытке перейти в режим Heal & Boost следует неминуемая перезагрузка... типа защита..

P.S. Посоветуйте пожалуйста, как обойти эту защиту, а то после вызова
480540 call 480038 комп перезапускается...
Mafia32 :: Я ломал PCMedic недавно, правда версия 6.3xxx. Там, по-моему, в 2х местах происходит перезагрузка. Попробуй определи эти процедуры и за’nop’ь. или бери отладчик и DeDe. Находи в DeDe процедуру TrackBar1Change и начинай ее отлаживать. Сначала определи те места (у меня их было 2), где происходит перезагрузка. Смотри условные переходы, ведущие на них. Программа Throttle этой же фирмы имеет защиту один в один и если в PCMedic я патчил каждый усл.переход, то в Throttle я просто занопил перезагрузку. А вычислить то место, где собственно перезагрузка. Чтоб тебе было полегче, вот внутренности процедуры перезагрузки из версии 6.3, я думаю они остались такими же.

0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret

Mafia32 :: Если будут еще вопросы, то спрашивай, я отвечу. Если совсем никак, я скачаю и пришлю тебе патченный exe.

DOLTON :: Mafia32
Большое спасибо за разъяснения.
На словах всё пока понятно... буду разбираться :)
Mafia32 пишет:
цитата:
Если будут еще вопросы, то спрашивай, я отвечу.


Через некоторое время сообщу как идут дела...

ZX :: DOLTON
Интересно, что это за пакер, мож кто знает? Распаковывается без проблем, но все же интересно.

DOLTON :: ZX пишет:
цитата:
Интересно, что это за пакер, мож кто знает?


PEiD знает, спроси у него :))

ZX :: DOLTON пишет:
цитата:
PEiD знает, спроси у него


Пойду обновлю, он мне не признавался, гад такой

DOLTON :: ZX пишет:
цитата:
Пойду обновлю, он мне не признавался, гад такой


Мой только после долгих пыток сознался

P.S. PECompact 2.0x Heuristic Mode -› Jeremy Collake

MozgC [TSRh] :: В версиях 5.хх перезагрузка была примерно в 10 местах....

Mafia32 :: Я версии 5 не ломал, я впервые решил взломать медика, когда твою[MozgC] статью про распаковку просматривал. :-) Но в 6-ых в 10 местах точно не было... Кажется, 2-3 места всего. Или я уже забыл, помню, что просто было все нопить. :-)

EGOiST[TSRh] :: а кейген?

Mafia32 :: Чего кейген? Я не исследовал алгоритм.

DZmey :: EGOiST[TSRh]

В инете уже есть готовые кейгены к Медику :)

DOLTON :: MozgC [TSRh] пишет:
цитата:
В версиях 5.хх перезагрузка была примерно в 10 местах....


В 6.х перезагрузка вызывается из 14 мест, из них 9 - так называемых плохих перезагрузок...
Остальные 5 - для перезагрузки по желанию в случае успешной оптимизации...
В Win XP принудительная перезагрузка происходит 5 раз, первый при перемещении ползунка
в положение Boost, остальные - в конце, при сохранении результатов оптимизации.
В остальных системах тоже вызывается, но уже из других мест :)

Mafia32
Ещё раз спасибо за помощь!

Nitrogen :: EGOiST[TSRh]
кейген реально.. особливо на hll, а на асме я просто не нашел одной нужной функции.. из самой проги было обломно ее рипать, а переписывать самому было лень.. так и бросил на половине :(

DZmey :: Nitrogen
А что за функция

MozgC [TSRh] :: да там есть одна...
call KeygenPCMedikPls

DZmey :: MozgC [TSRh]

Ясно, наверное тогда call KeygenPCMedikPlZ

DarKSiDE :: Mafia32

цитата:
0048275C 81C46CFFFFFF add esp, $FFFFFF6C
00482762 C7042494000000 mov dword ptr [esp], $00000094
00482769 54 push esp

¦
0048276A E8253CF8FF call 00406394
0048276F cmp dword ptr [esp+$10], +$02
00482774 7519 jnz 0048278F
00482776 B001 mov al, $01

¦
00482778 E8C7FEFFFF call 00482644
0048277D 6A00 push $00
0048277F 6A06 push $06

¦
00482781 E88640F8FF call 0040680C
00482786 33C0 xor eax, eax

¦
00482788 E8B7FEFFFF call 00482644
0048278D EB09 jmp 00482798
0048278F 6A00 push $00
00482791 6A06 push $06

¦
00482793 E87440F8FF call 0040680C
00482798 81C494000000 add esp, $00000094
0048279E C3 ret



Хе….хе.. Я к примеру ничего не нопил, а нашел CALL-ы к этому куску кода и все места КРОМЕ где есть текст, что типа «хотите перезагрузиться сейчас или потом?», их примерно 9 или 10 мест и переходы JLE заменил на JMP-ы, т.е. мы перепрыгиваем вызов данного CALL-а.
Вот меня один вопрос мучает. Ну почему большинство нашего брата к РЕСомраст-у ленятся писать инлайн патчи? Ведь сколько я видел релизов ПиСиМедика, ГеймГайн и Троттл – все кряк ЕХЕ. ИМХО. Странно мне вот не в лом лишний инлайн написать. Чего и всем желаю!

Styx :: DarKSiDE
Я делал также

DarKSiDE :: Styx
Молоток! А инлайн писал к этим прогам? Я да. Вот только с TRIAL версиями заморочка. Там PECompact сам себя распаковывает двумя последовательными циклами. И прыжок на ОЕР тоже. Дак мне пришлось в 3 местах отлавливать распаковку чтобы до JMP OEP добраться! А в FULL версиях элементарно, там конец рспаковки - это реальный JMP EAX, где в ЕАХ адрес ОЕР. Вот!

Styx :: DarKSiDE
Не он мне нетак часто PEComp попадается, да и снять его нифиг делать

DarKSiDE :: Styx
Хе... Я не о том, что снять! Это и ежу понятно. А о том, что наверное лучше и меньше по размеру инлайн, чем ЕХЕ-шник? ЕХЕ-шник поломать и упаковать UPX-ом много ума не надо. А инлайн - надо сломать прогу да еще и мозги напрячь, чтобы рабочий инлайн написать.




GPcH Помогите с реверсингом Вот, один знакомый попросил помочь.



GPcH Помогите с реверсингом Вот, один знакомый попросил помочь.
Вообще прога нужна для поиска картинок в сети (каких прошу самим догадаться
Распаковывается встроенным в PEiD автораспаковщиком (в плагинах)
kanal пишет несколько шифроалгоритмов: base64, blowfish и т.д.
При изменении проги та выводит «General Error» на сплэш скрине,
вилдимо проверяется изменение секции кода, изменение остальных секций на
запуск проги не влияет.

Прога: Extreme Picture Finder
Скачать можно здесь (1Mb): http://www.exisoftware.co...hp/PictureFinderSetup.exe
Русификатор: http://www.exisoftware.co..._finder/lang/ru_setup.exe
Плагин для поиска более интересных картинок: http://www.exisoftware.co...hp/AdultPicturesSetup.exe

Кто чем поможет? Очень нужна ваша помощь - не могу найти обработчик CRC или ему подобный

PS: Прога написана на Delphi 7
DZmey :: GPcH пишет:
цитата:
Прога написана на Delphi


Если Делфи то ДеДе

Styx :: GPcH
Она хорошо ловится на hmemcpy. Я её правда не доломал, тока заставил признавать любой пасс когда триал кончился, т.е. каждый раз пасс ввдишь когда прога загружается.

Nitrogen :: ломал.
слышал, что в последних версиях была динамическая криптовка кусков кода.. не смотрел

WELL :: Nitrogen пишет:
цитата:
слышал, что в последних версиях была динамическая криптовка кусков кода


Круто видать проги такого рода защищают...

Ara :: Запакован кажется UPX’ом. По адресу 4b63d4 (в распакованном виде)-проверка введенного кода.Пишешь в HIEW’e
mov al,1
ret;
вводишь код и ВСЕ!Правда код придется при каждом запуске вводить.
Дальше лень копать-поздно!!

GPcH :: Ara пишет:
цитата:
Запакован кажется UPX’ом. По адресу 4b63d4 (в распакованном виде)-проверка введенного кода.Пишешь в HIEW’e
mov al,1
ret;
вводишь код и ВСЕ!Правда код придется при каждом запуске вводить.
Дальше лень копать-поздно!!


Спасибо огромное. Если не трудно - поясни, как ты до этой процы дошел и почему ее CRC не проверяется прогой.
Также, если не влом, посоветуй, где дальше копать? Хотя я думаю моему знакомому и этого хватить! Нечего веселые пикчуры с инета сливать, пора и ковер стирать ему после этих просмотров!

Styx :: GPcH
Я cделал как Ara и ловил на hmemcpy

Ara :: GPcH пишет:
цитата:
Если не трудно - поясни, как ты до этой процы дошел и почему ее CRC не проверяется прогой.
Также, если не влом, посоветуй, где дальше копать?


Как дошел до процедуры проверки кода:открыл распакованную прогу в Оле и смотрел Search for-›All referenced text strings
Попалась строка ASCII «MLT_REGISTER_THANK_YOU» - похоже, говорит спасибо за регистрацию.Загружается эта строка по адресу 519DD3.
Но так как у нас неверный код, на нее мы не попадем, а попадем чуть ниже, где ASCII «MLT_INVALID_KEY_GET_NEW1»
А попадаем отсюда-519D39
Смотрим:00519D32 CALL Dumped_.004B63D4 ‹-- Процедура проверки кода
00519D37 TEST AL,AL
00519D39 JE Dumped_.00519E05
Дальше я уже писал. А насчет CRC я что-то не понял - пакованная прога сразу запускается, а распакованная-просит регистрацию и все.
И почему-то пишут версии разные. Может это и есть из-за распаковки - веть размер файла поменялся.

Что дальше-сам сейчас копать буду - интересно стало. Я ее где-то в пол-четвертого ночи (утра) сегодня скачал, сразу посмотрел и что сразу нашел - написал.
Пока все это писал, посмотрел, что патченная прога записывает код в реестр, при перезапуске считывыет и проверяет, но не той процедурой, которую патчили, а какой-то другой.
Вот ее-то и надо найти и сделать с ней тоже самое. И еще с версиями интересно!!
Напиши в форум,что сам раскопал.

Ara :: Надо быстрее прогу добить, а то я сейчас увидел крякми№4 БэдГая, нужно попробывать на зуб...

Ara :: Распакованная прога код с реестра даже и не берет-вот тебе и CRC!

Mafia32 :: Вообщем, вот все, что я разрыл по этой проге.

1) при загрузке прога думает по поводу:
a) писать ли в caption’e окна про unreg. Это убирается заменой по адресу 50BA52 jnz на jz.
б) писать ли во вкладке «About», что она unreg и скока там осталось и вообще считать ли лимит. Это убирается так: на 511225 jnz на jz.
2) Теперь насчет ввода серийника. Выше кто-то писал, что там что-то патчить надо и т.п. У меня при патче адрес другой был. Я патчил здесь:
4B6625 - B801000000, короче mov eax,1. Можно и так, как писал Ara. Одно и то же.
После всех проделанных манипуляций получаем прогу, которая принимает любой СН. Trial снят. Но во вкладке About есть пункт «Order» и «Register». Можно ввести CH в этот пункт регистрации и нас поблагодорят за регистрацию и пункты пропадут. Во вкладке информации кнопок регистрации и заказа нет - они пропали после пункта 1. Но вот проблема:
окно информации пусто. Это потому, что в реестре о нас никакой инфы нет. Вот надо это отловить и вписать куда надо. Я этим щас занимаюсь. На этом и на убирании пункта «Register» взлом будет закончен.

GPcH :: Mafia32 пишет:
цитата:
Вообщем, вот все, что я разрыл по этой проге.

1) при загрузке прога думает по поводу:
a) писать ли в caption’e окна про unreg. Это убирается заменой по адресу 50BA52 jnz на jz.
б) писать ли во вкладке «About», что она unreg и скока там осталось и вообще считать ли лимит. Это убирается так: на 511225 jnz на jz.
2) Теперь насчет ввода серийника. Выше кто-то писал, что там что-то патчить надо и т.п. У меня при патче адрес другой был. Я патчил здесь:
4B6625 - B801000000, короче mov eax,1. Можно и так, как писал Ara. Одно и то же.
После всех проделанных манипуляций получаем прогу, которая принимает любой СН. Trial снят. Но во вкладке About есть пункт «Order» и «Register». Можно ввести CH в этот пункт регистрации и нас поблагодорят за регистрацию и пункты пропадут. Во вкладке информации кнопок регистрации и заказа нет - они пропали после пункта 1. Но вот проблема:
окно информации пусто. Это потому, что в реестре о нас никакой инфы нет. Вот надо это отловить и вписать куда надо. Я этим щас занимаюсь. На этом и на убирании пункта «Register» взлом будет закончен.


Спасибо огромное за помощь. Дай о себе знать, если доломаешь. У меня сейчас времени вообще в обрез, а то бы сам доделал

GPcH :: Mafia32 пишет:
цитата:
Вообщем, вот все, что я разрыл по этой проге.


Ничего не получилось с About’ом?

Mafia32 :: GPcH

Сейчас пока забросил ее. Через некоторое время опять возьму и уж до конца доделаю, а сейчас просто времени нет.




andreybh@mail.ru Люди! Помогите крякнуть прогу! Есть такая прога:...



andreybh@mail.ru Люди! Помогите крякнуть прогу! Есть такая прога: http://www.andrew2011.narod.ru/newline.exe - 199168 байт. Не могу понять!
При нажатии на кнопку «получить» прыгает вот на этот код:

cmp dword ptr [eax+00000218],FFFFFFFF
je 004675D0
push 00000030

«je» вызывает окно, что я не ввел данные, а если ввел, то вылетает окно, что прога не зарегена!
Там есть регестрация, я несмог отследить серийник, он че-то то что я ввел переставляет символы местами, но ни с чем не сравнивает! Как узнать правильный серийник?

Заранее Спасибо за отзывы!!!
sanek :: andreybh@mail.ru пишет:
цитата:
Есть такая прога: http://www.andrew2011.narod.ru/newline.exe - 199168 байт. Не могу понять!
При нажатии на кнопку «получить» прыгает вот на этот код:

cmp dword ptr [eax+00000218],FFFFFFFF
je 004675D0
push 00000030


Тебе нужно сюда:
004670ЕЕ 751А JNZ 0046710A

Посмотреть можно W32Dasm а править QVIEW или HVIEW
переправь переход JNZ на JZ но предварительно нужно распаковать.
Запаковано ASpack 2.12
Распаковать мона PEID v0.92 и незабудь ввести OEP

andreybh@mail.ru :: sanek пишет:
цитата:
Тебе нужно сюда:
004670ЕЕ 751А JNZ 0046710A


Там у меня 004670ЕЕ 751А JNE 0046710A

цитата:
но предварительно нужно распаковать.
Запаковано ASpack 2.12
Распаковать мона PEID v0.92 и незабудь ввести OEP


Конечно же я распаковал ее! но только не PEID, т.к. она не распаковывет, а определяет распаковщик, а распаковывал я ее AspackDie v1.41
И ты сам то пробовал? Я сделал, не помогло! Я не знаю работает ли реально прога, не хотелось бы отдавать 11 баков за не работающую прогу, а если бы я был уверен за прогу, то мож я бы и заплатил, но все же хоца проверить!

sanek :: andreybh@mail.ru пишет:
цитата:
Конечно же я распаковал ее! но только не PEID, т.к. она не распаковывет, а определяет распаковщик, а распаковывал я ее AspackDie v1.41


Им то же можно расспаковать ели плуги имеешь
andreybh@mail.ru пишет:
цитата:
И ты сам то пробовал? Я сделал, не помогло! Я не знаю работает ли реально прога, не хотелось бы отдавать 11 баков за не работающую прогу, а если бы я был уверен за прогу, то мож я бы и заплатил, но все же хоца проверить!


Я это считаю разводом поэтому пробовать не буды а ты как хочешь
Но программа говорит спосибо за регестрацию
andreybh@mail.ru пишет:
цитата:
Там у меня 004670ЕЕ 751А JNE 0046710A


JNZ и JNE это одно и то же просто убери N и все буде как те хоЦа

andreybh@mail.ru :: sanek пишет:
цитата:
Но программа говорит спосибо за регестрацию


Я знаю, что она пишет спасибо, но после этого она все равно ругается на то, что программа не зарегистрирована! Я тоже думаю, что это развод, поэтому и занялся ее кряком, я так уже делал как ты писал, что типа прыгать на «спасибо за регистрацию» если серийник не соответствует тому, что надо, это мне не составило труда, но просто я подумал мож он где в реестре прописывает серийник, т.к. при запуске проги регмонитор показывает, что он к такой куче ключей обращается, сож он там его прописывает, если он верный, хотя я не уверен, но тогда что же он делает с тем серийником, который я ввожу, зачем он у него гоняет символы туда-сюда? для отвода глаз??? Странно... Я таких прог полно видел, но все требуют бабок! Зачем они им, если они работают можно сказать на них! А вообще я считаю, что это конечно же полная лажа, я так и понял! Просто может я все таки не доконца разобрался, может там где скрыт какой подвох? Я просто второй раз взламываю прогу! Опыта маловато! Но все равно спасибо за небольшую консультацию!

sanek :: andreybh@mail.ru пишет:
цитата:
Но все равно спасибо за небольшую консультацию!


Я сам здесь новичек поэтому возможно с аспаком такие проблемы с апи, заходи по этому топику возможно кто нить из опытных подскажет и объяснит че не так.

andreybh@mail.ru :: А че говоришь за плаги к PEID, что б распаковать аспак?

SGA :: Самый Лучший и правдоподобный крякер Интернета, из тех котор я видел
Однозначно Покупать. Всего 300р, такая мелоч заГеннератор денежных карт на
MTC
BeeLine
Мегафон
МСС
Сонет
ИМС
KuivStar
ROL
MTU
Сонет
Россия Онлайн
МСС - интернет

Стоит заплатить 300 чтоб увидеть сообщение о правильной регистрации.
LOL ребята

Макс :: Я знаю этот ньюлайн, у меня он даж пропатченный есть,та же шняга

Gloomy :: А вот и автор проги ( SGA ) объявился с рекламной акцией

Я уже раскапывал когда-то эту прогу, помню что серийник там какой-то диковенный был, кажется сумма цифр или что-то типа того. Генерация серийника начинается отсюда:

004670DB ¦› 8B45 FC /MOV EAX,DWORD PTR SS:[EBP-4]

Кому интересно копайте, мне ее снова изучать лень

Ara :: Прога чешуя полная, как и все УНИВЕРСАЛЬНЫЕ КРЯКЕРЫ И-нета!!!

andreybh@mail.ru :: SGA пишет:
цитата:
Стоит заплатить 300 чтоб увидеть сообщение о правильной регистрации.


Я не собираюсь платить за неработающую прогу! Нужно было хотя бы один показать, что прога работает, а потом я уже заплачу! Кто так пишет платные программы? Я же должен проверить работает ли она или нет? Как я могу заплатить не зная за что?

sanek :: andreybh@mail.ru пишет:
цитата:
Я не собираюсь платить за неработающую прогу! Нужно было хотя бы один показать, что прога работает, а потом я уже заплачу! Кто так пишет платные программы? Я же должен проверить работает ли она или нет? Как я могу заплатить не зная за что?


Не плати, нехрен!!!
А по поводу плугинов нажми на кнопку -› и зайди в Plugins там PEID generic unpacker толь нужно OEP продетектить и прописать такой же ручками ниже в поле.
А если нет то на их сайт сходи.

KLAUS ::
цитата:
MTC ,BeeLine ,Мегафон ,МСС ,Сонет ,ИМС ,KuivStar ,ROL ,MTU ,Сонет ,Россия Онлайн ,МСС - интернет


Хм, просто интерестно, даже если это НЕ на**ка( в чём я лично сомневаюсь) и генератор выдаёт правильный номер, то просто допустим у МТС более миллиона пользователей - эт же сколько раз он может вывести карточки кот. уже использованны...

[ChG]EliTe :: Я столько не выпью, что бы поверить в работоспособность этой проги!

andreybh@mail.ru :: Конечно же спасибки за комментарии! Но вразумительного ответа по кряку я так и не получил! Там действительно не работает генератор? Или все таки можно вычислить серийник?

ZX :: andreybh@mail.ru
Да кидалово это все, как ты еще не понял.

andreybh@mail.ru :: ZX пишет:
цитата:
Да кидалово это все, как ты еще не понял.


Да понял! Но я же не хочу платить, а убедиться что это кидалово! т.е. Разобраться в алгоритме, а вообще мож кто даст ссылку на учебник по ассемблеру под ВыньДОС?

KLAUS :: andreybh@mail.ru

Зайди на www.wasm.ru там найдёшь...

WELL :: andreybh@mail.ru пишет:
цитата:
а вообще мож кто даст ссылку на учебник по ассемблеру под ВыньДОС?


Сходи на http://www.wasm.ru и на http://asm.shadrinsk.net

Mafia32 :: andreybh@mail.ru

Тебе надо именно правильный серийник или просто чтоб зарегить? А на хрен ты нажимаешь на «получить»? Жать то надо на «зарегистрировать»! Я вот там в 2-ух местах пропатчил и все! Мне сказали: «Спасибо за приобретение проги!». Правда, окно не закрылось и кнопка «Регистрация» не пропала. Ща еще посмотрю.

Mafia32 :: andreybh@mail.ru

Э-э-э-х. Бл***. Короче щас напишу, и больше писать не буду. Чуваки! (это касается тех, кто просит взломать здесь прогу для взлома WebMoney, прова, МТС и проч.) Недели 2 назад .::Demonix::. достаточно четко объяснил все это на примере какого-то дерьма для взлома вэб-мани Максу. Вот. Сейчас такая же ситуация. Во-первых, ты ломал совершенно не с того конца, это раз. Во-вторых, взгяляни на этот замечательный фрагмент кода(раз ассемблер ты не знаешь, я тебе его прокомментирую):

* Reference to control TNLForm.RadioGroup1 : TRadioGroup
¦
004675A8 8B800C030000 mov eax, [eax+$030C]

* Reference to field TRadioGroup.OFFS_0218
¦
004675AE 83B818020000FF cmp dword ptr [eax+$0218], -$01
004675B5 7419 jz 004675D0
004675B7 6A30 push $30

* Possible String Reference to: ’Внимание’
¦
004675B9 B9EC754600 mov ecx, $004675EC

* Possible String Reference to: ’Необходимо зарегистрировать програм
¦ му’
¦
004675BE BAF8754600 mov edx, $004675F8

* Reference to TApplication instance
¦
004675C3 A128934600 mov eax, dword ptr [$00469328]
004675C8 8B00 mov eax, [eax]

¦
004675CA E8AD64FFFF call 0045DA7C
004675CF C3 ret

004675D0 6A30 push $30

* Possible String Reference to: ’Внимание’
¦
004675D2 B9EC754600 mov ecx, $004675EC

* Possible String Reference to: ’Необходимо выбрать оператора’
¦
004675D7 BA20764600 mov edx, $00467620

* Reference to TApplication instance
¦
004675DC A128934600 mov eax, dword ptr [$00469328]
004675E1 8B00 mov eax, [eax]

¦
004675E3 E89464FFFF call 0045DA7C
004675E8 C3 ret

Классно? Эта хрень идет при нажатии на кнопку «Получить», которая по идее ломает прова или ког-то еще. Проверяется выбрана ли хоть одна RadioButton, если да говорят, что прога не зарегена, если нет, что надо выбрать оператора.

вот и все. Так что топик закрыт. Советы по асму дали тебе хорошие, линки всмысле. Могу посоветовать также (не ситайте это только саморекламой :-)) ) статьи SeDoYHg по асму с сайта нашей команды http:\\tlrh.nm.ru и мою статейку для начинающих там же по крякингу.

andreybh@mail.ru :: Все спасибо! Топик закрыт! Я все понял!

Mafia32 пишет:
цитата:
сайта нашей команды http:\\tlrh.nm.ru


Ты как-то ссылку коряво написал: http : // http :// tlrh.nm.ru (без пробелов конечно же!) в общем спасибо!

Mafia32 :: andreybh@mail.ru

Да, я забыл, что здесь http:\\ само приделыватся :-))))

SLV :: andreybh@mail.ru пишет:
цитата:
А че говоришь за плаги к PEID, что б распаковать аспак?


Какой плагин, распаковывай руками! (OEP=67690). И вообще, эта прога - 100% кидалово, причёмЮ относительно, грамотное.

Demode :: Здравствовать и радоваться!

Позвольте направить диспут в рациональное русло:
1. длинна SN 5 x 5 символов :0046706B 83F819 cmp eax, 00000019
2. SN - символы в ASCII (а то как их вводить с клавиатуры?!)
3. суть итераций с SN в :00467093 - :004670A7, :00467075 - :004670C6 не принципиальна, поскольку все символы SN не «теряются», а только ротируются по банальному алгоритму.
4. суммиривание ! ! ! HEX-представлений ! ! ! символов SN в :004670DB - :004670E8
5. контроль итога в :004670EA 837DF86F cmp dword ptr [ebp-08], 0000006F
и последнее:
придумайте последовательность 25-ти ASCII- символов, чтобы сумма HEX-представлений была равна всего «6Fh» ?!?!?!

Выводы за вами . . .

Успехов!

Demode,
R091003@km.ru




nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!



nice Любителям FSG Помню тут были ярые поклонники FSG, new version 2.0!
http://www.woodmann.net/b...nload.php?id=xt_fsg20.zip
Mafia32 :: nice

поглядим...

WELL :: FSG пока лучший пакер, из всех мною опробованных для файлов меньше 8кб.
nice
Спасибо за ссылку.

KLAUS :: Проги бы ещё запускались после его паковки, хотя поглядим как в 2.0

DarKSiDE :: KLAUS
У меня все прекрасно запускается, если что. А UPX лучше, один хрен. FSG на его основе вроде бы сделан? Или я ошибаюсь?

KLAUS :: DarKSiDE
Не, у меня бывало что ошибку выдавало....Насчёт UPX согласен ( если только не пакуешь проги небольшого размера, тогда FSG канает.

P.S.
НАсчёт 2.0 .. пакует парядком лучше предыдущей версии + пока не определяется Pe-ID

DarKSiDE :: DANGER!!!

Инсталлер заражен вирусом - Bloodhound.W32.EP !!!!!!!!!!!!!

KLAUS :: DarKSiDE

Эт ты чем таким проверил???

DarKSiDE :: Нортон Антивирус с базой от 13.05.2004 года. Я все что с Инета качаю сперва проверяю антивирем.

KLAUS :: Корка, Drweb и Каспер молчат

nice :: Да точно у меня такая же беда
Просто может тот троян был FSG 2 пакован, а он дурак FSGую сигнатуру взял...

XoraX :: nice
thx, good news :)

DarKSiDE :: nice
Ну и что? Значит ложная тревога?

KLAUS :: DarKSiDE

Хорошо если так...

WELL :: Да нортон лажа полная. Чему вы поверили? Нортон стоит в последнем ряду вместе с каспером, пандой и стопом...

SGA :: Эта Шняга с нортоном потому-что FSG окупирует DOS header.
RTFM - там всё написано. Ж)

DarKSiDE :: WELL
Кстати!
Подобная ситуация у меня была когда я скачал с официального сайта SVKP версию 1.3…
Так она тоже заражена каким-то вирем, сейчас не помню уже. Просто я обнаружил поздно, уже себе на «болванку закатал». Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!). Можно долго и упорно спорить какой антивирусник лучше или хуже, но факт остается фактом. Можете использовать на свой страх и риск! Но просто подумайте о том, что им вы пакуете свои релизы и антивирь сработает еще у кого-то. И вы думаете, что после подобного кто-то еще будет качать ваши релизы? Врятли. Таким способом легко заработать славу не кракера, а «засранца который делает мелкие пакости» в виде распространения вирусов.ИМХО.

Aster!x :: › Хорошо, что на RW……. Так вот! По логике вещей подобный способ идеален для распространения вируса, т.к. FSG 2.0 пакуя заражает упакованные файлы (я проверил, лично!).

Мля, какая бредятина..

› Эта Шняга с нортоном потому-что FSG окупирует DOS header.

То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?

-= ALEX =- :: у меня тоже антивири матеряться во всю...

Aster!x :: Онлайн проверка у Каспера:

Проверенный файл: fsg.rar
fsg.rar - архив RAR
fsg.rar/fsg.ini - в порядке
fsg.rar/fsg.exe - в порядке
fsg.rar/xt.nfo - в порядке

Статистика проверки:

Известных вирусов:
89631
Дата последнего обновления:
25.05.2004

Размер файла (Kb):
24
Время проверки:
00:00:01

Скорость (Kb/sec):
24
Тел вирусов:
0

Архивов:
1
Упакованных:
0

Каталогов:
0
Файлов:
4

Подозрительных:
0
Предупреждений:
0

WELL :: Сигнатуры у некоторых антивирей кривые. Вот что я думаю...

DarKSiDE :: Aster!x

цитата:
Мля, какая бредятина..


цитата:
То же самое, что за бред?
В запакованном файле вообще нет DOS хидера, а вернее оставлен минимальный размером 12 байт.
Где, кто и что оккупирует?


Вред это ты несешь!!!!!! Ты что каждому юзверю эту байду объяснать будешь? Сам то мозги включи! Я это понимаю, ты это понимаешь, но не у всех уровень знаний такой...... В говне измараться - пять минут делов, а оправдываться - целое дело...... Разве не так? Так не лучьше ли использовать старый добрый FSG 1.33 и в ~ не дуть! А?

fuck it :: хули, понятно что ниего пока не распознает, он же новый, через пару месяцев всякие касперские и пеид сразу будут кричать fsg 2.0

SLV :: Антивири могут ругаться из-зи того, что entry point не в начале файла, а ближе к его концу, может это - причина?

Nitrogen :: DarKSiDE
ты тормоз

SLV :: WELL пишет:
цитата:
Сигнатуры у некоторых антивирей кривые. Вот что я думаю...


И у вирей тоже

WELL :: По крайней мере пакует FSG асмовые проги здраво.

SLV :: WELL пишет:
цитата:
По крайней мере пакует FSG асмовые проги здраво.


Дык он и написан на Асме...

Styx :: Ну чё, кто забацает сигнатуру под PeID?

SLV :: Чё-то мне нихера им не сжать. Экран смерти лезет...

XoraX :: Styx пишет:
цитата:
Ну чё, кто забацает сигнатуру под PeID?


[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true

XoraX :: вроде работает на _большинстве_ файлов.. :)

SLV :: Я писал крэк на MASM-е, рашил его сжать (38Kb), в итоге ничего не получилось, зато PECompact сжал это дело до 4KB...

KLAUS :: XoraX пишет:
цитата:

[FSG 2.0 - bart/xt]
signature = 87 25 ?? ?? ?? ?? 61 94 55 A4 B6 80 FF 13 73 F9
ep_only = true


Куда эт вставить, чтоб определялрось?

Styx :: KLAUS
В файл userdb.txt в папке PeID

KLAUS :: Styx
Thanks
И так можно добавлять прямо в userbd...или нужно будет удалять предыдущую запись?

GPcH :: Может кто под MEW 10 сигнатурку написал?

Для справки: им упакован мой второй крякми

XoraX :: KLAUS можно. там ведь синтаксис простого INI файла..

XoraX :: GPcH пишет:
цитата:
Может кто под MEW 10 сигнатурку написал?


дай сам пакер..

GPcH :: XoraX пишет:
цитата:
дай сам пакер..


http://hcc.kenyer.hu/tools/Mew%205.zip
http://hcc.kenyer.hu/tools/Mew%2010%20v1.1.zip

GPcH :: Вот склепал сигнатурку для PEiD:

[MEW 10 - Northfox]
signature = 33 C0 E9
ep_only = true

Особо не пинать за 3 байта - остальные всегда разные

GPcH :: Вот еще одну сигнатурку, только для MEW 5 замутил:

[MEW 5 - Northfox]
signature = BE ?? ?? ?? ?? Ad 91 AD 93 53 Ad 96 56 5F AC
ep_only = true




Bad



Bad_guy CRACKL@B CrackMe #4 - ГОТОВ БЫТЬ КРЯКНУТЫМ ! Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !
Он рассчитан как на новичков, так и на профи (4 крэкми в одном + бонус). Ломать надо подбором правильного кода - никаких патчей, лоадеров + дополнительное задание - подробности в readme.txt внутри архива. Этот крэкми вобрал всё лучшее от трёх предыдущих !

http://cracklab.ru/crackme/clab4.rar (180 Кб)
DOLTON :: Bad_guy пишет:
цитата:
Итак, долгожданный CRACKL@B CrackMe #4 наконец-то выпущен !


Урряяяяяяяяя!

DZmey :: Bad_guy

Скачал - приступимс =))

Mafia32 :: Реально аспр? А так замаскировано под UPX...

Styx :: Понеслась ......

Mafia32 :: не, не аспр,все-таки. Легко распаковалось. Видимо какой-то скрамблер на UPX.

FEUERRADER :: Ох, Bad_Guy, новичков ты уже сбил маскировкой под аспр, а что дальше ждешь :)))))

Mafia32(гость) :: FEUERRADER

Вообще-то меня это не сбило совсем, я просто сделал замечание по ходу...

Mafia32(гость) :: Код первого уровня - 643.

Mafia32(гость) :: Блин, ломаю не за своим компом. Софта нет реверсного... черт....

Mafia32(гость) :: Извиняюсь!!! Не то имя юзал.

1-ый уровень: Mafia32 - Newbie579

DOLTON :: 1 уровень:
DOLTON
Newbie464

PalR :: Hi, I’m Bad_guy !
Newbie1270

FEUERRADER :: Name: FEUERRADER
Code 1: Newbie741
Code 2: 927F6C594633200DFAE7D4C1AE9B8875624F3C
Code 3: search...30%
Code 4: search...0%

CReg [TSRh] :: Name: CReg
Stage1: Newbie353
Stage2: 6D605346392C1F1205F8EBDED1

Stage3 - это практически CRACKL@B CrackMe #3. Все тот же MD5, но только теперь цикл на 29999 итераций.
И там теперь строка - это шестнадцатиричное число (4 байта).
Точнее говоря, там код - это шестнадцатиричное число (8 символов - ’0’ -’9’, ’A’ - ’F’).
Введенная строчка переводится в число, потом ксорится с числом ********, затем переводится в строчку в виде десятичного числа. Ну и потом цикл на 29999 итераций. То есть брутфорсить долго надо :(

FEUERRADER пишет:
цитата:
Code 3: search...30%


Гм... а откуда 30%? Готов поспорить, что в ближайшие сутки (на самом деле значительно больше) тут код никто не запостит (может только Bad_guy ). Или код кто-нибудь угадает?

FEUERRADER :: CReg
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.

CReg [TSRh] :: FEUERRADER
FEUERRADER пишет:
цитата:
Это типа я ищу еще код :) И раскопал его на 30% :))
Брутофорсить 3 код похоже надо.


Конечно надо :) И ооочень долго :)

Kerghan :: Элементарно, хотя я уже даааавненько ничего не ломал
Kerghan
Newbie704
08F8E8D8C8B8A8988878685848382818
копаю дальше :-\

Bad_guy :: CReg [TSRh] пишет:
цитата:
То есть брутфорсить долго надо :(


Не правда, если там ломать «с умом» то брутфорсить нужно будет практически нисколько - это что касается 3 кода. А про 4 пока не говорю.

Bad_guy :: Mafia32 пишет:
цитата:
Видимо какой-то скрамблер на UPX.


А там в конце написано какой, но это немножко не правда.

GPcH :: Не качается
Киньте кто нибудь в мыло: gpch_soft@tula.net

Mafia32 :: GPcH

У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download

DOLTON :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Прекрасно скачалось Оперой 7.23... без всяких Quick Download :)

Ara :: 1-й этап
Name:Ara
code1:Newbie276
Идем дальше!

Styx :: Styx
Newbie440
594C3F3225180BFEF1E4D7CABD
0045F2A3

а дальше

GPcH :: Mafia32 пишет:
цитата:
У тебя опера? Нажми на ссылку правой кнопкой -› Quick Download


Ничем не качается

Styx :: GPcH
Давай я те на мыло кину

CReg [TSRh] :: Styx пишет:
цитата:
0045F2A3


:)))) А я-то подумал, что там совпадать должно... :) Даже не пробовал дальше трейсить... :D
Мде, классная наебка :) Респект Bad_guy’ю :)

Telex :: Мне, как болельщику «больно» смотреть, что события развиваются несколько замедленно... :)
Хотя заслуги Bad_guy ’я делают этот вид соревнований более интересным, чем какой-либо (другой) спорт (Моя точка зрения )

KLAUS :: ТАк ну распаковать распаковалась...UPX
на D6.
KLAUS
Newbie384

Styx :: CReg [TSRh]
Гы, я не гарант что нет более правильного варианта

Styx :: Это лишь моё решение

Bad_guy :: Styx
Поздравляю, ты нашёл баг, о котором я не подумал. А так вообще там есть ещё один достаточно легкий способ - кто читал статью про первый крэкми этот способ должен помнить.

Bad_guy :: KLAUS
Теперь запакуй - распаковать не проблема.

Ara :: Name:Ara
Code2:8d8175695d5145392d211509
Поехали дальше!

KLAUS :: Bad_guy
ДА я заметил, что размерчик здравенький уж очень получился у тя.....

Styx :: Bad_guy
А в четвёртом долно Go написаться или я неправ?

Ara :: Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???

Ara :: Name:Ara
Code1:Newbie276
Code2:8d8175695d5145392d211509
Code3:0045f2a3

Bad_guy :: Ara пишет:
цитата:
Bad_guy
Я так понимаю, Что третий шаг провалился-что процедурку-то не зашифровал???


А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3

Bad_guy :: Styx пишет:
цитата:
А в четвёртом долно Go написаться или я неправ?


Go - только два символа, а ещё будет несколько.

DZmey :: Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...

Bad_guy :: DZmey пишет:
цитата:
0045f2a3
57757757


Не, это однозначно неправильно. Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...

DZmey :: Bad_guy

Дак знаю что не правельно просто прикол ... типа еррор =)

Bad_guy пишет:
цитата:
всякие Муншайнеры, Нитрогены


ты так говоришь как будто ... их по три человека ...
трое муншайнеров ;))

Black Neuromancer :: Name: Black Neuromancer
Codes:
1) Newbie1660
2) 05EACFB4997E63482D12F7DCC1A68B70553A1F04E9CEB3987D 6247

Пока всё, с утра посмотрю ещё - может и получится что-нить отрыть.

vins :: vins
1) Newbie448
2) 6f6255483b2e211407faede0d3

Прикольный крякми

Ara :: Bad_guy пишет:
цитата:

А вообще то - стоп ! Вы не сможете выйти на 4 уровень, если будете вот этот код использовать: 0045f2a3


Я еще потом все равно поковырял на 3 шаге (вернулся с 4-го)- там адрес создается по которому в 4-м переход делается. Значит неправильно сделал что-то с 3-м.

DZmey пишет:
цитата:
Люди прикол ....

Ara

Newbie276
8d8175695d5145392d211509
0045f2a3
57757757

Выдает ошибку !! сам пока торчу на 3 пасе...


Из-за 3-го СН!!! 4-й код любой укажи-все равно переход один и тотже будет!

V0ldemAr :: Гы, а на счет упаковки, уменя минимум вышло 210 432
[ AsprPE by BGCorp ] однако :)))

name: V0ldemAr
code1:Newbie731
code2:BEAD9C8B7A69584736251403F2E1D0BFAE

А этот крекми PeID определяет как Аспр, а я всегда проверяю еще и -=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер, определил как УПХ мод, и снимается как УПХ :))))
попа и все :))

Madness :: Bad_guy
Спасибо за прогу :)

Madness
Newbie715
1505F5E5D5C5B5A59585756555453525
0045EC84

Последний код пока не скажу, пущай остальные покопаются. А напишет «GoXXX URWINNER». XXX-вырезано, потому как может помочь.

›Я вот только не пойму куда всякие Муншайнеры, Нитрогены ну и прочие продвинутые люди делись...
Спят они, утром выкладывать надо. ;)

-= ALEX =- :: мде... только отошел после вчерашнего, а тут уже млин запостили... ну че скачаю хоть поглядеть...

WELL :: Ну вот. Вчера на работе весь день был, а там инет отрубили. Всё самое интересное пропустил.

Nitrogen :: Bad_guy
лично я тут.. читаю со второй страницы.. даже скачал, даже запустил :).. дальше даже не делал попытки посмотреть :)

Madness
вах. ты первый? респект! :)
p.s помнишь ты traffic-что-то-там кейгенил?.. он еще через mmc запускался?.. вот мне нужно что-то подобное отломать, а из инструментов тока ида.. можно такой софт из иды отдебажить?

Madness :: Nitrogen
›не делал попытки посмотреть :)
Зря, прикольная штучка. Одна наколка с md5 чего стоит :) Только Bad_guy стоило 2 используемые функции засунуть куда подальше, а то в глаза сразу бросается, тогда б долго ковырялся. Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.

›вах. ты первый?
Обижашь, единственный :P

off:
›ты traffic-что-то-там кейгенил?
Ага, было дело, там щас старфорс кста поставили :) Ковыряемся по-маленьку.

›он еще через mmc запускался?
Ага.

›можно такой софт из иды отдебажить?
Нуна. Ищи *.ocx или dll какую-нить и пихай его в иду. А мне отладчик в иде мне не понравился, хотя мож не умею готовить :D

GPcH :: Styx пишет:
цитата:
Давай я те на мыло кину


И сегодня нифига не качается, помоги плиз: mailto:gpch_soft@tula.net

Nitrogen :: Madness
с ocx и dll и так понятно.. отдизасмить без проблем.. вопрос как _отдебажить_ :).. дллка из иды не запускается

-= ALEX =- :: -= ALEX =-
Newbie574
513E2B1805F2DFCCB9A693806D5A4734210EFB
0045EC84

все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...

RideX :: Madness
Чётко сработал, респект :)
С третьим так я и не понял, аналогично твоему номеру подходят, например, и 0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)

Madness :: Nitrogen
Ну дык. Я и говорю, что сайс лучше :)
Попробовал, вроде получилось :) Почитай чего ида говорит. Debugger-Process Options-Application. Тут поставь exe, который вызывает dll (сам напиши). Попробовал на примере dll из fasm’a.

-= ALEX =-
›все долбаюсь с последним кодом... вроде бы нашел реальный адрес процедуры, хотя хз...
Реальный адрес процедуры2 получается после правильного кода3. Последний код расшифровывает строку и патчит код.
Кстати, нашел еще 1 код3 :)
А кодов4, по-моему, может быть остаточно много.

Bad_guy :: V0ldemAr пишет:
цитата:
-=[ ProtectionID v5 ]=- (c) CdKiller
вот это дествитель супер аналайзер


Ну вот когда он станет популярынм и его буду обламывать :)

Madness пишет:
цитата:
0045EC84


Абсолютно верно.

Madness пишет:
цитата:
Последний код пока не скажу, пущай остальные покопаются.


Спасибо.

MoonShiner :: 3 кода есть. 4-й пока не смотрел:(

-= ALEX =- :: Madness процедура2 - это случаем не 0045ED30 ?

Bad_guy :: RideX пишет:
цитата:
0045ec80, 0045ec82. Неоднозначно получается, значит действительно не MD5, а как ты на это вышел, до меня не дошло. :)


Да, эти адреса тоже подходят, но тот должен быть (0045ec84). а найти процедуру просто - там допущена ошибка - процедура возвращает значение в ту же переменную, которая используется рядом с циклами md5, что опытный крэкер должен был бы заметить.

Madness пишет:
цитата:
А кодов4, по-моему, может быть остаточно много.


Да.

Bad_guy :: Madness пишет:
цитата:
Кста, я сначала код второй второй функции восстановил, благо опыт восстановления прог из demo есть. Хорошо, что всего 5 байт подобрать надо, 2 из которых можно высчитать.


РеверсМи, однако

MoonShiner :: 3-й код находится ваще без проблем. Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.

Bad_guy :: MoonShiner пишет:
цитата:
Брутфорс занял пол-ночи. Это адрес в коде, и я решил конкретно сузить перебор от 45e000 до 45ffff.


Без брутфорса можно было обойтись легко.

Styx :: GPcH
Письмо ушло

Madness :: -= ALEX =-
›процедура2
А ты как думаешь? ;)

цитата:
Реальный адрес процедуры2 получается после правильного кода3.


Bad_guy
›процедура возвращает значение в ту же переменную
Даже не в том дело, у тебя там 2 бесхозные процедуры в коде TForm1, что всегда подозрительно. Dede не переварил покореженные ресурсы, потому имена дельфийским/bcpp функциям давал вручную, ну и заметил :) Как их спрятать можно было не скажу :P

RideX :: seg000:0045F1A5 mov eax, ds:dword_462C30
seg000:0045F1AA xor eax, 5E571599h

x-pef:
seg000:00462C30 dword_462C30 dd 0 ; DATA XREF: seg000:0045EC84
seg000:00462C30 ; seg000:0045F1A0

бара :: Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник

V0ldemAr :: бара пишет:
цитата:
Народ. У кого есть шаблон на асме брутфорсера опробированный в деле ? Нужен сходник


Чювак берешь васм.ру береш там исходник хешера на масме и пишеш.
Я за пол часа написал к этому крякми, но исходника недам.
Кстати скорость 6 пар./с на моем Дюроне 1200

GPcH :: Styx пишет:
цитата:
Письмо ушло


Спасибо.
Но пока за 10 минут я только смог распаковать и найти первый код:

GPcH
Newbie322

PS: Попробую со следующими

Bad_guy :: Madness пишет:
цитата:
Как их спрятать можно было не скажу :P


Если б захотел наверное спрятал бы, и против Dede была мысль код поставить. Но это ж ведь крякми, причём на мастерство, а не на брутфорс, патч и т.д.

Bad_guy :: Madness
Ты молодец ! Пока ещё больше никто не доехал до конца...

бара :: V0ldemAr
Спасибо за идею чувак

P.S.
Кстати слово «чувак» переводится как «кастрированный баран». Это для справки тебе, чтобы никому не писал больше таких слов

Bad_guy :: Ну что, кто же всё таки 4-ый код найдёт ?

бара :: Первый код нашёл (Newbie903)
а на второй и дальше забил

так как
11111111111111111111111111111111111111 вторым ввёлся, но сообщения об ошибке нет и нет сообщения что код правильный. Имхо, фигли **аться, если там достаточно переходы поменять в 4-х местах.... Не по мне короче. Для любителей кейгенов програмка...

Bad_guy :: бара
Ну так запакуй тогда попробуй чтоб работало и было меньше 185 Кб.

Bad_guy :: Люди, мож кто хочет запостить ещё на каких форумах (крэкерских) этот крякмис - я был бы рад, только не говорите, что он здесь уже обсуждается.

бара :: Bad_guy
Хорошо, запаковать попробую и выслать, если размер смогу такой малый сделать....
P.S.
Madness выходит крут немеряно...

-= ALEX =- :: бара ну а ты что думал :) я тоже особо не спец в кейгенах, мне проще пропатчить ...

Ara :: В пять утра нашел правильный третий код, с 4-м похоже будет глухо!!!

Ara :: Bad_guy , а у тебя кейген есть?

-= ALEX =- :: Ara а кейген для чего ? для 3-го и 4-го :)

KLAUS :: Bad_guy
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...

.::D.e.M.o.N.i.X::. :: Bad_guy
Короче скачал я это дело, но мне лень было для себя генерить, короче мне по душе пришлась дополнительная задача - итак у меня вышло 183Кб против твоих 185кб :)
При распаковке наткнулся на интересную строчку .:[ AsprPE by BGCorp ]:. - типа под аспр канает, на самом деле UPX, даже никаких антиотладочных приемов не насувал, хотя может я и не заметил:)
P.S. Тебе замылить или где-нибудь выложить мой анпак в 183кб?

KLAUS :: .::D.e.M.o.N.i.X::.

Лучше рассказать, как такой результат получил!

бара :: да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...

V0ldemAr :: .::D.e.M.o.N.i.X::. пишет:
цитата:
итак у меня вышло 183Кб против твоих 185кб :)


Уменя минимум вышло 210к, ну типа распаковал и удалил секции пакера и фсе.
а потом УПХ 1.24, и вышло 210 432 байт
Чего там еще там можно удалить???

KLAUS :: У меня UPX её зажал, а вот Aspack после зжатия ошибку выдал (про FSG уже не говорю)!

Styx :: Madness
А как ты заставил DeDe файл этот сьести. У меня тока Classes info выкатил и всё?

.::D.e.M.o.N.i.X::. :: KLAUS пишет:
цитата:
Лучше рассказать, как такой результат получил!


У меня еще не окончательный результат - есть идея убрать еще несколько килобайт и никаких PE Rebuild’ов!!! - все только ручками. После завершения работ выложу на всеобщее обозрение и раскажу что по чем...

KLAUS :: .::D.e.M.o.N.i.X::.

Ништяк, будем ждать....

Ara :: -= ALEX =- пишет:
цитата:
Ara а кейген для чего ? для 3-го и 4-го :)


Ну с 3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.

Bad_guy :: Ara пишет:
цитата:
Bad_guy , а у тебя кейген есть?


А нафига он мне.

KLAUS пишет:
цитата:
Ты бы пока статейку подготовил к CRACK#4, было бы вообще здравенько...


Вообще то я не очень хочу статью писать -идей новых почти в этом крэкми не было.

.::D.e.M.o.N.i.X::.
Выкладывать не надо - достаточно рассказать.

бара пишет:
цитата:
да, было бы интересно - у меня прога отказывалась паковаться... Тут без коррекции файлика явно не обошлось...


UPX 0.72, однако - это вам ни какой-нибудь аспротект.

V0ldemAr
210 кило - плохо. Аспаком исходный (чистый) файл паковался в 180 Кб.

Ara пишет:
цитата:
Ну с3-м все уже ясно, а четвертый еще не начинал ковырять, только глянул краем глаза.


Зря вы 4-го испугались - в третьем ведь «собака порылась»...

бара :: Напишите туториал по поиску кодов. А то я сколько туториалов не читал, всё мимо - как ключи нашёл Madness я так и не въехал. Софтайс я не загружал - через Olly только пробовал ключики найти. Подскажите кто так искал. Интересует логика...
А то вот на днях 3D Hockey 1.06 ломали - там переходы меняли, а ключик хотелось бы тож найти. Как без софтайса енто дело оформить ?

.::D.e.M.o.N.i.X::. :: Bad_guy
Уменьшил на пару кило распакованный файлик, только вот UPX зараза перехотел паковать - буду заново стараться...

бара :: а нафига паковать-то если люди уже логику генерации ключа просекли и способны кейген сбацать... ?

KLAUS :: бара пишет:
цитата:
Напишите туториал по поиску кодов


Во во...полностью согласен.
Патчи патчами....а вот как генерилось, так я и не догнал к сожалению, единственное что понял, так это что в Normal кол-во символом зависило он того сколько символов в нике ( или я ошибаюсь????)!!!

KLAUS :: бара
Ну для начала нужно его распаковать и поглядеть какой размер (у меня вышло 678) а в запакованном 186, ну вот и нужно хотя бы до такого размера ужать попытаться!

бара :: Так я давно распаковал. Первое что сделал. Взял процдамп и распаковал. Запаковать не смог. Вот я и спросил
1) Логика поиска серийника на ДАННОМ конкретном примере (в Olly желательно);
2)что меняли в экзешнике (желательно по пунктам).

бара :: KLAUS
Зависело по формуле: Длина = Длина предыдущего кода * 2
А потом уже дополнительные проверки
И ещё проверки на то, чтобы первые символы 2 были числом вроде бы.

.::D.e.M.o.N.i.X::. :: KLAUS
У меня распакованный вышел 516 кб (без импорта), аспаком не пробовал упаковывать, но UPX ужал это дело до 183 кб. Со второй попыткой дважды промахнулся, решил пойти поспать, завтра с утричка заново на свежую голову возьмусь...

Madness :: Styx
›А как ты заставил DeDe файл этот сьести.
А я говорил, что заставил? Цитату неохота искать, я говорил что dede подавилось секцией ресурсов (ее, кста, даже resrebuilder не желает восстанавливать, опять руками надо), потому вручную пришлось имена функциям давать, из-за чего и наткнулся на бесхозные функции.

Bad_guy
›идей новых почти в этом крэкми не было.
Зато красиво вышло, не то что прошлое. Еще разок спасибо за 2 часа сна прошлой ночью :D

бара
›Интересует логика...
:) Я подобрал байты, которыми должен пропатчиться был код, а через них и код4. Это, кста, через зад, прямой путь намного проще и понятнее.

›способны кейген сбацать... ?
Кейгены можно сделать только к код1,2,4. Кодов3 минимум 2.

ЗЫ. Я че та не понял, все паковать бросились? :lol:

MoonShiner :: Странно... Я склепал брутфорс для 4-го кода. Так бы оставил и в течение часа он бы подобрал верный код... 2-3 байта из 5-ти с достаточно большой вероятностью угадываются... А дальше перебор... Но шняга в том, что у меня подвисает прога на некоторых номерах... То есть приходится перезапускать прогу. Для полного перебора в моем случае ее нужно перезапустить раз 180 примерно:) Седня ковырну и улучшу...

ЗЫ Поздравьте, чуваки, я диссер написал наконец то:)

-= ALEX =- :: MoonShiner ПОЗДРАВЛЯЮ !!!

Bad_guy :: MoonShiner
Да, в 4ом этапе побрутфорсить немного надо, но очень недолго... если брутфорсер хороший написать.

Bad_guy :: MoonShiner
А что такое диссер ?

MoonShiner :: Диссертация... я по матметодам в экономике в аспирантуре. Хочу за один год отстреляться, диссертацию дописал уже... Седня доклад перед советом.

Bad_guy :: MoonShiner
А, вот что.
Удачи !

MoonShiner :: Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy , поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...

бара :: пишите туториал кто как искал коды... Харе хвастать

- = $pY = - :: И всё таки, хотелось бы узнать 4 код, может кто приведёт его тут ...

Да и интересно было б туторы почитать, хоть один

SLV :: А я только начал исследовать crackme (был в offline).
OEP = 45FF18 :)

MoonShiner :: Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.

- = $pY = - :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Было бы не плохо, а вот про остальные коды, тоже интересно.

Styx :: Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?

MozgC [TSRh] :: Я вообще не собирался этот крэкми качать и ломать, т.к. я немного отошел от крэкинга на время... Сессия + занялся программированием...
Но всякие долбоебы мне начинают в аську орать, что крэкми бэдгая - это супер показатель уровня, и что я ламер вонючий, раз в теме про этот крэкми я че-то не отметился... Чела я послал на хуй, но за живое меня это задело...
В общем харэ жаловаться, вот:

Имя: MozgC
код1: Newbie480
код2: B9AB9D8F81736557493B2D1F1103
код3: 0045EC84

код4 я говорить не буду, кому интересно могу сказать последний символ =) Потом прога пишет что я победитель и при выходе кое что невеселое эмулирует.

Madness :: MoonShiner
›Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать.
Чего моего согласия то спрашивать, бери, да пиши. Если есть желание, могу свои комментарии добавить к тутору(соавторство).

Styx
Оно типа пытается все с диска удалить, эта вся байда в последней процедуре Form1.

Madness :: Bad_guy
Когда код 4 сказать то можно?

Bad_guy :: MoonShiner пишет:
цитата:
Ну усе... Я теперь тоже WINNER;) Но от конечной шуточки Bad_guy-а меня едва не хватил кондратий. И первое слово было конкретно нецензурным... Bad_guy, поосторожнее надо с собратьями:)

ЗЫ Кстати, 4-х паролей несколько штук кажись...


Ну в награду гуру крэкерства... давай не будем говорить подробности - пускай ломають... сами. А 4х паролей много...

Bad_guy :: MoonShiner пишет:
цитата:
Тутор с согласия Bad_guy-a и Madness-a и при наличии времени по поиску 4-го кода могу написать. Остальные коды неинтересны.


Если будешь писать - пиши про всё - разные читатели бывают... Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.

Styx пишет:
цитата:
Bad_guy
А чё за бонус то? Случаем не та ли фраза о которой пишет MoonShiner ?


Нет, но то что пишет Мунш тоже имеет место.

MozgC [TSRh]
Молодец, и ты добрался. Есть в TSRh оказывается крэкеры, которые мой крякмис сломать могут

Madness пишет:
цитата:
Когда код 4 сказать то можно?


А зачем его говорить то - пускай сами ломают. Ну вообще Мунш наверное в своей статье всё опишет, а говорить здесь на форуме код не думаю что надо.

MoonShiner :: Madness пишет:
цитата:
Чего моего согласия то спрашивать, бери, да пиши.


Просто ты был первый, потому и не знал, каково будет твое отношение к тому, если я буду писать тутор... Да из-за нехватки времени глубоко и не копал, потому все будет чисто технически (для достижения цели) описано...
Bad_guy пишет:
цитата:
Ну и то что код 3 неинтересен - я не согласен, может он даже интереснее 4го.


Спору нет... Лично мне с технической точки зрения поиск 3-го кода показался сложнее чем 4-го:)

Надеюсь, к выходным я напишу полный вариант поиска всех кодов. Но сильно меня не пинать, если я этого не сделаю:) Траблы со временем из-за скорой сдачи кандминимума:(

Kerghan :: MozgC [TSRh]
да уж. хотя я писал не совсем это, точнее даже совсем не это. спросил просто...
ну ладно, а то забанишь еще

MoonShiner :: Статью дописал. Сегодня отдам Bad_guy-у на рецензию и оформление в нужном стиле.

KLAUS :: MoonShiner
Ништяк.....теперьосталось дождаться когда она в свет выйдет

бара :: если что - шлите статью сразу мне - переделаю как надо... А то будете размещать её месяц...

-= ALEX =- :: прикольная статья ! ждите...

MozgC [TSRh] :: Kerghan
Забудь мой ник, а я забуду твой. Все будут довольны.

Bad_guy :: -= ALEX =- пишет:
цитата:
прикольная статья ! ждите...


Уже дождались ! Только что выложил на www.cracklab.ru

Mafia32 :: MoonShiner

Кульная статья! Молодец!

MoonShiner :: Спасибо:) 3 часа седня грохнул, пока на работе ее писал...

бара :: merci...

Mafia32 :: MoonShiner

Извини, плз, но можно вопрос? Про LocalLock... По-подробнее. Я ставлю бряк на нее, софт-айс не выскакивает. Я просто забыл про hmemcpy со времен использования вынь98, а тут вдруг ты так невзначай бросил... :-)

Madness :: Второй код3 - 0045EC82 :)

MoonShiner :: Mafia32 , у меня выскакивает:) Че за винда у тебя? Кстати, тут пролетала тема про эти функции.

KLAUS :: MoonShiner

о Thanks за статейку

- = $pY = - :: MoonShiner

Офигенная статья, спасибо !!!

Mafia32 :: MoonShiner

WinXP Sp1




PalR Про HASP Откликнитесь кто в Хаспе шарит.



PalR Про HASP Откликнитесь кто в Хаспе шарит.
бара :: www.ahteam.org

-= ALEX =- :: бара хе хе, а че больше никого что-ль нет. есть же люди, который за бесплатно отломают. ЗЫ. я не в их числе :)

PalR :: бара
И чо ты меня туда послал

MoonShiner :: Что надо?

PalR :: 1)В ХР вряки
bpio -h 278 R
bpio -h 378 R
не ставятся. Чо то с синтаксисом.

2)А можно проверку хаспа обойти, а не эмулировать?

бара :: Я туда послал просто потому, что там уже решали эти вопросы. Да и возьмут недорого.
----
Насчёт бряков - без »-h» попробуй....

PalR :: Всё по HEX-у
* Referenced by a CALL at Addresses:
¦:00525DBA , :00525E76 , :005265FF , :00526D8F , :00526ECC
¦:00527219 , :00527616 , :00527EAD , :0052A121 , :0052A2E3
¦:0052A417 , :0052A6B6 , :0052A701 , :0052A804 , :0052A849
¦:0052A966 , :0052A9B1 , :0052AACA , :0052AB0F , :0052AC62
¦:0052ACCB , :0052ADF4 , :0052AE2C , :0052AF76 , :0052AFBD
¦:0052B0B7 , :0052B0EB , :0052B1DE , :0052B216 , :0052B40A
¦:0052B44D -----------отсюда эта байда вызывается
¦
:0052B470 55 push ebp
:0052B471 8BEC mov ebp, esp
:0052B473 50 push eax
:0052B474 53 push ebx
:0052B475 51 push ecx
:0052B476 52 push edx
:0052B477 57 push edi
:0052B478 56 push esi
:0052B479 8B7514 mov esi, dword ptr [ebp+14]
:0052B47C 8B3E mov edi, dword ptr [esi]
:0052B47E BB00000000 mov ebx, 00000000
:0052B483 8BD8 mov ebx, eax
:0052B485 8AFB mov bh, bl
:0052B487 B300 mov bl, 00
:0052B489 03D9 add ebx, ecx
:0052B48B 8BC2 mov eax, edx
:0052B48D 8B4D1C mov ecx, dword ptr [ebp+1C]
:0052B490 8B5518 mov edx, dword ptr [ebp+18]
:0052B493 80FF32 cmp bh, 32 ------------------------------- как учил великий HEX
:0052B496 7209 jb 0052B4A1
:0052B498 90 nop
:0052B499 90 nop
:0052B49A 90 nop
:0052B49B 90 nop
:0052B49C 8B7508 mov esi, dword ptr [ebp+08]
:0052B49F 8B06 mov eax, dword ptr [esi]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:0052B496(C)
¦
:0052B4A1 8B7510 mov esi, dword ptr [ebp+10]
:0052B4A4 8B36 mov esi, dword ptr [esi]
:0052B4A6 55 push ebp
:0052B4A7 E810260000 call 0052DABC ---------------------------тут вызов HASP
:0052B4AC 5D pop ebp
:0052B4AD 8B7D14 mov edi, dword ptr [ebp+14]
:0052B4B0 8907 mov dword ptr [edi], eax----------- первое возвращаемое значение
:0052B4B2 8B7D10 mov edi, dword ptr [ebp+10]
:0052B4B5 891F mov dword ptr [edi], ebx---------- второе возвращаемое значение
:0052B4B7 8B7D0C mov edi, dword ptr [ebp+0C]
:0052B4BA 890F mov dword ptr [edi], ecx----------третье возвращаемое значение
:0052B4BC 8B7D08 mov edi, dword ptr [ebp+08]
:0052B4BF 8917 mov dword ptr [edi], edx----------четвертое возвращаемое значение
:0052B4C1 5E pop esi
:0052B4C2 5F pop edi
:0052B4C3 5A pop edx
:0052B4C4 59 pop ecx
:0052B4C5 5B pop ebx
:0052B4C6 58 pop eax
:0052B4C7 5D pop ebp
:0052B4C8 C21800 ret 0018

PalR :: Ставим bpx 52B4A7(процедура вызова HASP).
Не ловится. ??????????

WELL :: PalR пишет:
цитата:
2)А можно проверку хаспа обойти, а не эмулировать?


Можно, но только если разработчики проги сделали тупую проверку наличия ключа, типа «если ключ есть, то работаем».

PalR :: В ХР даже окно проги появляется, потом пишет что читайте доки по установке.
В 98 сначала раз 7 появляется сообщение о неверном пароле хасп, а потом как в ХР.
А чо вряки не ловятся.

PalR :: Одина из проверок HASPa.
Если занопить 00525D4A будет ли всё как надо.

CODE:00525D34 var_14 = byte ptr -14h
CODE:00525D34 var_10 = dword ptr -10h
CODE:00525D34 var_C = dword ptr -0Ch
CODE:00525D34 var_8 = dword ptr -8
CODE:00525D34 var_4 = dword ptr -4
CODE:00525D34
CODE:00525D34 push ebx
CODE:00525D35 push esi
CODE:00525D36 add esp, 0FFFFFFECh
CODE:00525D39 mov esi, edx
CODE:00525D3B mov ebx, eax
CODE:00525D3D mov [esp+14h+var_14], 0
CODE:00525D41 mov [esp+14h+var_C], ecx
CODE:00525D45 cmp [esp+14h+var_C], 8
CODE:00525D4A jg short loc_525D58
CODE:00525D4C mov dword ptr [ebx+4], 3 --------------------????????????
CODE:00525D53 jmp loc_525DE7 ; Переход в самый конец проверки HASP
CODE:00525D58 ; -------------------------
CODE:00525D58
CODE:00525D58 loc_525D58: ; CODE XREF: sub_525D34+16j
CODE:00525D58 mov eax, ebx
CODE:00525D5A mov edx, [eax]
CODE:00525D5C call dword ptr [edx+8]
CODE:00525D5F test al, al
CODE:00525D61 jnz short loc_525D78 ; Переход к проверке HASP
CODE:00525D63 mov edx, [esp+14h+var_C]
CODE:00525D67 dec edx
CODE:00525D68 test edx, edx
CODE:00525D6A jl short loc_525DE7 ; Переход в самый конец проверки HASP
CODE:00525D6C inc edx
CODE:00525D6D mov eax, esi
CODE:00525D6F
CODE:00525D6F loc_525D6F: ; CODE XREF: sub_525D34+40j
CODE:00525D6F mov byte ptr [eax], 0
CODE:00525D72 inc eax
CODE:00525D73 dec edx
CODE:00525D74 jnz short loc_525D6F
CODE:00525D76
CODE:00525D76 loc_525D76: ; CODE XREF: CODE:00525D2Cj
CODE:00525D76 jmp short loc_525DE7 ; Переход в самый конец проверки HASP
CODE:00525D78 ; -------------------------
CODE:00525D78
CODE:00525D78 loc_525D78: ; CODE XREF: sub_525D34+2Dj
CODE:00525D78 xor eax, eax
CODE:00525D7A mov [esp+14h+var_10], eax
CODE:00525D7E xor eax, eax
CODE:00525D80 mov [esp+14h+var_8], eax
CODE:00525D84 mov [esp+14h+var_4], esi
CODE:00525D88 mov eax, ebx
CODE:00525D8A mov edx, [eax]
CODE:00525D8C call dword ptr [edx]
CODE:00525D8E movzx eax, ax
CODE:00525D91 push eax
CODE:00525D92 mov eax, ebx
CODE:00525D94 mov edx, [eax]
CODE:00525D96 call dword ptr [edx+4]
CODE:00525D99 movzx eax, ax
CODE:00525D9C push eax
CODE:00525D9D lea eax, [esp+1Ch+var_10]
CODE:00525DA1
CODE:00525DA1 loc_525DA1: ; CODE XREF: CODE:00525D2Fj
CODE:00525DA1 push eax
CODE:00525DA2 lea eax, [esp+20h+var_C]
CODE:00525DA6 push eax
CODE:00525DA7 lea eax, [esp+24h+var_8]
CODE:00525DAB push eax
CODE:00525DAC lea eax, [esp+28h+var_4]
CODE:00525DB0 push eax
CODE:00525DB1 xor ecx, ecx
CODE:00525DB3 xor edx, edx
CODE:00525DB5 mov eax, 3Dh

PalR :: CODE:00525DBA call sub_52B470 ; Проверка HASP
CODE:00525DBF mov edx, [esp+14h+var_8]
CODE:00525DC3 mov eax, ebx
CODE:00525DC5 mov ecx, [eax]
CODE:00525DC7 call dword ptr [ecx+24h]
CODE:00525DCA cmp [esp+14h+var_8], 0
CODE:00525DCF setz [esp+14h+var_14]
CODE:00525DD3 cmp [esp+14h+var_14], 0
CODE:00525DD7 jz short loc_525DE0
CODE:00525DD9 xor eax, eax
CODE:00525DDB mov [ebx+4], eax
CODE:00525DDE jmp short loc_525DE7
CODE:00525DE0 ; -------------------------
CODE:00525DE0
CODE:00525DE0 loc_525DE0: ; CODE XREF: sub_525D34+A3j
CODE:00525DE0 mov dword ptr [ebx+4], 2 --------------------------------?????????????
CODE:00525DE7
CODE:00525DE7 loc_525DE7: ; CODE XREF: sub_525D34+1Fj
CODE:00525DE7 ; sub_525D34+36j ...
CODE:00525DE7 mov al, [esp+14h+var_14] ; Конец проверки
CODE:00525DEA add esp, 14h
CODE:00525DED pop esi
CODE:00525DEE pop ebx
CODE:00525DEF retn

KLAUS :: PalR пишет:
цитата:
Если занопить 00525D4A будет ли всё как надо.


Эксперементируй....

ПРоверку через сообщения отлавливал?

MoonShiner :: А ты смотри как все будет... А бряк должен работать. И читай по номерам функций в мануале, че они делают.

PalR :: Мля и через лодер не грузится. Вернее пишет «An error occured during symbol translation/load». Я им никогда не пользовался. Настроит что надо?
Она написана на хз чём. Вот такие секции
CODE
DATA
BSS
.idata
.tls
.rdata
.reloc
.rsrc

ozzman :: Delphi

ufo_maniac :: PalR!
ничего не ловится потому что вызывается через исключения!
скорее всего, я на такое уже напоролся...
на васме 2 статьи Чингачгука отличные, жаль что про win98 и без конверта

RottingCorpse :: Что за софтина... урл в студию.

PalR :: Она так просто нигде не лежит. Могу exe-шник на мыло.

RottingCorpse :: ну давай : admin(псина)thecrackz.com

PalR :: Вроде в 98 стало ловиться. Не понятен такой момент. По HEX-у
«Будут вызваны 1, 5 и 3. Функции 1 и 5 и идут без параметров, а вот третьей передается di=0e. Больше вызовов естественно нету т.к. вызов хаспа не дал правильных результатов.»
Что за параметры. И что за di=0e. Где это смотреть.
У меня в 0052B4A7 прерывается 3 раза. Потом появляется сообщение не найден пароль хаспа. Потом опять 3 раза прерывается и опять этоже сообщение. Потом появляется окно проги.

RottingCorpse
Отправил

PalR :: Поднял тему, т.к. ответов пока не нашел.
Направте меня на путь.
Нашел «Руководство программиста HASP4» на русском тут

ufo_maniac :: а почему бы не поставить эмулятор хаспа, что inferno закейгенил, и не посмотреть какие там требуются пароли, какие функции хаспа вызываются, какие и куда им передаются параметры?
так, чиста из интереса...

PalR :: ufo_maniac
Эмулятор есть. А куда смотреть то. Обьясните, блин.

ufo_maniac :: сначала в документацию к эмулятору ;)
а потом:
1 - запускаешь эмулятор
2 - запускаешь прогу
3 - смотришь на окно эмулятора - там должна появиться строка с ненулевыми паролями хаспа (может и не одна :)
4 - создаешь или редактируешь имеющийся рег-файл с этими паролями, запускаешь его. (после этого лучше бы поребутиться)
5 - снова запускаешь эмулятор и программу - в окне эмулятора должна появиться вкладка с твоими паролями (если они правильные)
6 - и вот тут-то можно радостно увидеть что передается в эмулятор и что оттуда вылезает, и как после первого же вызова ф-ции 02 происходит обломс...

PalR :: Вот что имеем
EAX--------------Command------Passwords----------- --EDI-----------------------ESI
00000000-----------01-------------0000:0000------- ------00CF2710--------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
00000000-----------01-------------0000:0000------- ------00CF2710-------------00640000
000063CC----------3D------------7C57:60F7--------- ----00640000--------------00000008

А рег-файла нет у меня. Или можно от другой какой проги. Только поправить.

ufo_maniac :: PalR пишет:
цитата:
Или можно от другой какой проги. Только поправить.


во-во!

гля - чево-то прямо с 3D начинается! - счастливчик!

PalR :: ufo_maniac пишет:
цитата:
рямо с 3D начинается!


Тоесть п...ец что ли?
А чего куда вписывать то.

ufo_maniac :: PalR пишет:
цитата:
Тоесть п...ец что ли?


вроде бы наоборот...PalR пишет:
цитата:
А чего куда вписывать то.


не понял... это про редактирование рег-файла? замени чужие пароли на свои(в имени ключа реестра).
а если про что другое, то вписывай сумму прописью в графу «к выдаче» ( типа - шютка).

infern0 :: сразу с 3d потому чо это конверт.

ViNCE [AHT] :: бара пишет:
цитата:
www.ahteam.org


Хорошо послал...

ViNCE [AHT] :: PalR пишет:
цитата:
А можно проверку хаспа обойти, а не эмулировать?


Это зависит от того что делает прога с ключом... Если с ключом замешана математика проги, то тут без эмуляции не обойтись (+ скорее всего будет нужен ключ)... а если так - одна видимость, т.е. простая проверка - может и битхак подойти...

ufo_maniac :: infern0 пишет:
цитата:
сразу с 3d потому чо это конверт.


по-моему не факт. я себе notepad позаконвертил разными ключами, так или только 02, или много 3d но после 02, 02, 3с(?), 02... по-разному в общем.

infern0 :: тем не менее вероятность что так будет себя вести защита уровня API достаточно мала, а для конверта это почти стандартное поведение.

ufo_maniac :: я человек темный малограмотный
думал конверты можно делать только by envelop.exe.
но тогда только немного кода в секции protect, а у автора - вон сколько открытого кода!
а что PEiD говорит-то?
что-то от PalR’a новостей нет....
а-уууууу!

PalR :: ufo_maniac
Pe говорит Win32 PE Unknown.
Правда тоже самое он говорит и про демо версию. Которая работает без хаспа.
infern0
Она окно программы показывает. Может все таки не конверт. DEDE её разгрызло.

infern0 :: значит самописка какая-то. Типа ресурсы пошифрованы.

MoonShiner :: PalR , рах показывает окно, значит не конверт. Или же конверт без привязки к ключу (не знаю, возможно ли такое с хаспом именно).

PalR :: Чо мне дальше то делать? Всмысле как определить какие цифири должны быть в дампе.

MoonShiner :: Ну ищи либо явные сравнения, либо результаты от действий с возвращаемыми параметрами. По поводу 3C/3D... Доступ хоть какой нибудь к ключу имеется?

PalR :: MoonShiner пишет:
цитата:
По поводу 3C/3D... Доступ хоть какой нибудь к ключу имеется?


Нет. Я дистриб то еле нашел.

MoonShiner :: Ммм... то есть доступа к ключу от этой прги нет ваще? Дистрибутив большой?

PalR :: 20 мб. Хотя можно кастрировать до 3 м.
У меня уже мозги кипят в этих дебрях асма. Кстати какие то самомодифицирующиеся куски кода попадаются. Или глюк SIce.

ufo_maniac :: да, без ключа тут могут помочь только собственные «кипящие» мозги...
a все же нельзя ли показать здесь что видно в окне эмулятора ( там теперь вкладка родных паролей и в ней две таблицы, верхняя с запросом. нижняя с откликом )?

PalR :: IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=05 Pass=7C57:60F7 EDI=00CFBF80 ESI=00640000
OUT -› AX=0001 BX=0004 CX=0066 DX=0000

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000010
OUT -› AX=0000 BX=0010 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000000 ESI=0064FFFF
OUT -› AX=0000 BX=FFFF CX=FFFD DX=0000

Дальше сообщение «HASP с указанными паролями не найден».

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000001 ESI=0064FFFF
OUT -› AX=0001 BX=FFFF CX=FFFD DX=0000
Опять это же сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000002 ESI=0064FFFF
OUT -› AX=0002 BX=FFFF CX=FFFD DX=0000
Опять оно же.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000003 ESI=0064FFFF
OUT -› AX=0003 BX=FFFF CX=FFFD DX=0000
Опять сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000004 ESI=0064FFFF
OUT -› AX=0004 BX=FFFF CX=FFFD DX=0000
Опять.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000005 ESI=0064FFFF
OUT -› AX=0005 BX=FFFF CX=FFFD DX=0000
Опять.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000006 ESI=0064FFFF
OUT -› AX=0006 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000007 ESI=0064FFFF
OUT -› AX=0007 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000008 ESI=0064FFFF
OUT -› AX=0008 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000009 ESI=0064FFFF
OUT -› AX=0009 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000A ESI=0064FFFF
OUT -› AX=000A BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000B ESI=0064FFFF
OUT -› AX=000B BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000C ESI=0064FFFF
OUT -› AX=000C BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000D ESI=0064FFFF
OUT -› AX=000D BX=FFFF CX=FFFD DX=0000
Опять.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000E ESI=0064FFFF
OUT -› AX=000E BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=0000000F ESI=0064FFFF
OUT -› AX=000F BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000019 ESI=0064FFFF
OUT -› AX=0019 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000021 ESI=0064FFFF
OUT -› AX=0021 BX=FFFF CX=FFFD DX=0000
Сообщение.

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000021 ESI=0064FFFF
OUT -› AX=0021 BX=FFFF CX=FFFD DX=0000

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000019 ESI=0064FFFF
OUT -› AX=0019 BX=FFFF CX=FFFD DX=0000
Сообщение.

PalR :: Продолжение.

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000019 ESI=0064FFFF
OUT -› AX=0019 BX=FFFF CX=FFFD DX=0000

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000021 ESI=0064FFFF
OUT -› AX=0021 BX=FFFF CX=FFFD DX=0000

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000021 ESI=0064FFFF
OUT -› AX=0021 BX=FFFF CX=FFFD DX=0000

IN ‹- EAX=000063CC Cmd=3D Pass=7C57:60F7 EDI=00640000 ESI=00000008
OUT -› AX=0000 BX=0008 CX=0000 DX=63CC

IN ‹- EAX=00000000 Cmd=03 Pass=7C57:60F7 EDI=00000021 ESI=0064FFFF
OUT -› AX=0021 BX=FFFF CX=FFFD DX=0000
Ошибка по какому то адресу.
И «Программа не зарегистрирована и не доступна для загрузки». На этом всё.

ufo_man :: Ну что, пока вроде страшновато но не безнадежно.
авторитетный товарисч tgodd говорил, что работа ф-ции 3d от содержимого ключа не зависит. но дешифрует видимо прямо в секции кода, а не ресурсов (раз ты видел самомодифицирующиеся участки кода). проверь флаги секции - должно быть writable если я прав.
ф-ция 5 - HaspStatus, выдает размер памяти, тип ключа, номер порта и версию API. вариантов не так уж много.
ф-ция 3 - читает слово из памяти ключа. и прога (дура) тут же сообщает что прочла она что-то не то. есть шанс посмотреть а что же ей нужно.
так что нужно терпение, время, еще раз терпение, много умения, и надежда на то, что когда ты обслужишь все команды из приведенного лога, тебя не ждет что-нибудь похуже...

MoonShiner :: ufo_man пишет:
цитата:
работа ф-ции 3d от содержимого ключа не зависит


Ну это смотря что понимать под «содержимым ключа»... От содержимого его памяти (той, с которой дамп сдираем) мож и не зависит... А вот от вшитой функции зависит и ишо как:) Хотя, с другой стороны, например, в гварданте всякие Decode/Encode ваще в ключ не лезут, а их результат зависит от ранее выполненных подготовительных функций, которые от ключа зависят. (см. хелп по гварданту).
2 PalR : как я понимаю, ты привел лог обращений к клюу без ключа:) Из него видно, что функции, связанные с кодированием-декодированием применяются на небольшой буфер данных, то есть посредством геморройных усилий можно и установить реальные данные. И ваще, топик уже разросся, так что выкладывай эти 20 мегов куда-нибудь, а мы зальем и поковыряемся. Но только на выходных могу, так что торопись:)

PalR :: Кастрированную, но требующую HASPа можно взять здесь
Там вылетает ошибка по адресу такому то. Она и в полной версии.
MoonShiner
Если надо полную, то залью.

MoonShiner :: Говорит 404

PalR :: Поправил.

MoonShiner :: Как то ты хитро поправил:) Нифига не идет...

PalR :: Или тут.

PalR :: Скачал ли?

MoonShiner :: Нет, я закачиваю 404.html... Залей уж тады на мыло. moonshiner*freemail.ru

PalR :: Обе ссылки поправил. Это ограничение сервера на ZIP.

ufo_maniac :: забавная у тя прога!
под 98-й она мне что-то не понравилась (тоже писала что-то про неправильные пароли) - перешел на XP.
и начались претензии:
1 - попросила запустить reg.exe - на тебе!
2 - какого-то ini-файла хочет - сама создала.
3 - попросила BDE - получай!
4 - потом написала: «Вы приобрели (я ??!) сетевую версмю программы, а пытаетесь запустить ее с локальным ключом. настройте, грит, меня в соответствии с документацией» совсем обнаглела! а потом говорит, что неправильный серийный номер.
5 - еще после пары запусков она забыла, что сетевая и бубнит только, что серийник неправильный, и декрементирует 19h-е слово в памяти ключа.

я память наобум заполнил, караул, осталось только 1916h запусков!

psb :: Серийник для дистрибутива - 962-KHA-533-FNA-0529

Вот снято Haspeditom... Глашиного эмуля на момент наличия ключа не было, а сейчас пока нет доступа к ключу...

[Haspedit]
version=9.00

[BatchParameters]
Pass1=31831
Pass2=24823
KeyType=HASP4 M1

;;
;; MemoHASP Memory in hexadecimal format
;;
[MemoHASPMemory]
Image= 0x00C6 0x000F 0x00B7 0x0017 0x0083 0x0096 0x00B9 0x009D \
0x00D9 0x00A5 0x0020 0x008D 0x0014 0x0098 0x00DF 0x0039 \
0xFFFF 0x7550 0xAA72 0x2029 0xDF3E 0x0044 0xFFFF 0xFFFF \
0x0001 0xFFFF 0x0001 0xFFFF 0x0001 0xFFFF 0xFFFF 0x0000 \
0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000 \
0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000 \
0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000 0xFFFF 0x0000

ufo_maniac :: ну вооот... обломал весь кайф, теперь не интересно.
а ведь были же шансы проэмулировать без ключа?

MoonShiner :: ufo_maniac , ниче интересного... Как же с 3C/3D разбираться? ИМХО, на основании дампа памяти ключа фиг получишь вид функции для 3C/3D. А без них никто не даст тебе гарантии, что прога будет работать правильно (недавно уже напоролся, только с гвардантом. Там прога неправильно расшифровывала константы всякие, типа пи, е...).

PalR :: Ну вы даете!!!
psb
Сними дамп глашиным эмулем. Раз уж доступ к ключу есть. Ну оч надо.

MoonShiner :: PalR , у меня теперь тоже визжит только, что сериал неправильный. Запихни вот это в глаши эмуль и попробуй запустить:
easy.reg
------------------------------cut----------------- ----------------
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servi ces\Emulator\HASP\Dump\7C5760F7]
«Name»=«Test for CALC»
«Copyright»=«Copyright (C) 1988-2001 Glasha_General_Soft.»
«Created»=«15.01.99 03:09»
«SN»=dword:00000007
«Type»=dword:00000001
«Memory»=dword:00000004
«SecTable»=hex:01,02,03,04,05,06,07,08
«NetMemory»=hex:FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FE,F F
«Option»=hex:00,01,00,00,00,04,1E,0C,1F,00,00,00,0 0
«Data»=hex:11,11,11,11,11,11,11,11,11,11,11,11,11, 11,11,11,\
11,11,11,11,11,11,11,11,11,11,11,11,11,11,11,11,\
11,21,87,A5,DA,DA,AD,B8,26,38,67,61,36,73,97,67,\
8A,AD,BC,AD,AD,AD,B2,3B,4B,34,82,78,DA,76,87,6D,\
8A,D8,6D,87,6D,7A,D7,79,D9,D6,87,6A,7D,7A,D5,7A,\
6D,A5,67,5D,6A,D6,AF,DF,AD,BD,EC,FE,F7,6D,8A,78,\
A6,8D,A8,D6,D7,68,6A,D6,8D,6A,D7,FA,AF,AF,AF,DA,\
A7,A5,76,5D,7A,DA,5D,7A,AD,AF,AD,AD,56,45,45,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
«EDStruct»=hex:00,00,00,00,00,00,00,00,00,00,00,00 ,00,00,00,00,\
00,00,00,00,00,00,00,00,BA,62,14,03,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
54,59,27,81,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,0F,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,F8,72,79,81,\
00,00,00,00,F5,2E,A8,F9,10,5A,27,81,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
------------------------------cut----------------- ----------------

MoonShiner :: Память заполнил ессесно от балды... Но это уж пусть заказчик тестит.

psb :: PalR

да если бы был доступ к хаспу, я бы прислал дамп, а то этот старый дамп я снимал год назад :(

MoonShiner :: Короче, с этим дампом прога у меня пошла без воплей. Дамп ессесно кривой, но склепал сразу не поправляя. Конечно, можно и его оптимизировать, а то там мусора процентов 50 если не больше... С сериалом - подправил по адресу 5E4A81 так, чтобы в dl была 1. Прога покатила... Так что проверяй.

PalR :: Под ХР c полной прогой и кастрированной Одинаково. Адрес не правил.
«Аппаратное обеспечение не поддерживает данную функцию. Эта функция требует наличия ключа поколения HASP4.»
И так раз 10. Затем всё закрывается. :(

PalR :: После настройки дампа, что бы везде было HASP c цифрой 4 и правки по адресу заработало.
MoonShiner
Я с тебя фигею. Мне до твоего уровня еще топать и топать. Пиши тутор как ты 3Д нашел.

Zhek :: Привет всем.
У меня вопрос касательно Дампов и Эмулятора от Глаши.
Так вот:
Можно как нибудь разложить коды дампа в понятную для человека информацию,
потом добавить себе прав и сконвертировать из этого новый дамп??

MoonShiner :: PalR , фуфловый у меня уровень... А времени повышать нет:( Тутора никакого не будет, так все просто. Посмотрел в лог обращений к хаспу. Обратил внимание, что вызываются только функции проверки наличия ключа, определение его типа и чтение из ключа (помимо 3D). Далее задумался, поскольку в серьезных прогах во-первых есть еще получение различных seed кодов и прочая муть. А также обычно комбинируются вызовы 3С/3D. А в этой проге ничего такого не было. Даже получения seed-ов. Да и 3D вызывалась с какими то мутными параметрами. На основании прошлого опыта предположил, что разработчики как всегда оказались раздолбаями и проверяют результат 3D либо только на наличие ошибки (правильно ли отработала или вернула код ошибки) либо какое то конкретное данное из рашифрованного буфера, причем на какой нибудь 0. И все. Дальше написал код прямо в айсе, сделал переходник, который возвращал верные ответы на запросы наличия ключа и всякую муть на попытки чтения из него. Ну и статус. А с 3D возвращал статус успешной операции и писал херню в буфере, а потом глядел, что да как. Прога в итоге запустилась, но уже потом сделал, раз тебе захотелось, левый «дамп» для глашиного эмуля.

ЗЫ Необходимо будет проверить правильность рассчетов на всяких проектах, поскольку мож эта 3Д реально расшифровывала че то нужное... Просто я на это забил из-за вышесказанного, да еще и из-за того, что одна подобная прога расшифровывала свое название, чтобы гордо впихнуть его в эбаут. Но проверить надо обязательно.

ufo_maniac :: PalR пишет:
цитата:
После настройки дампа, что бы везде было HASP c цифрой 4 и правки по адресу заработало.


MoonShiner пишет:
цитата:
ЗЫ Необходимо будет проверить правильность рассчетов на всяких проектах, поскольку мож эта 3Д реально расшифровывала че то нужное...


Ну и что, реально заработала? ИМХО для корректной работы надо правильный серийник иметь.
Я слепил из демки и «кастрированной » проги какого-то гибрида и вроде не все хорошо - в меню много серых итемов, процессор все время 100% занят. Попробовал найти чем - какой-то коротенький бесконечный loop в секции BSS...
все это не есть хорошо.
А серийник написан на ключе и зашит в первые 16 слов памяти. потом проверяется 25-е слово, если там не FFFF, то оно потом декрементируется, зачем-то несколько раз читается 33-е. к 17-24 обращений нет, а там много всего...
на одной машине у меня все проходит гладко, а на другой при закрытии проги (?) вываливается ошибка ( инструкция по адресу 0 читает память по адресу 0).

нужно бы валидный серийник от этой версии... (он обычно рядом с дистрибом лежит )
до и дистриб полный надо бы поиметь... (20 мег не так уж много)
PalR! а-ууууу! может на почту перейдем? ufo_second‹пёс›mymail‹точка›bz

MoonShiner :: Во-первых, все обращения к ключу и проверки данных происходят довольно прозрачно, так что можно без проблем склепать достаточно работоспособный нормальный эмуль... ПРосто лень было делать. А во-вторых, у меня ниче не грузится и серых итемов я не заметил:)

WELL :: MoonShiner
А мой файлик не глядел ещё? Тот, который из проги для кухонь...

MoonShiner :: WELL , сорри, я больше не глядел, и со временем косяки.... Гляну седня по возможности. Да и че то не въезжаю я, че там делать:) Ключика хоца...

DZmey :: MoonShiner пишет:
цитата:
Прога покатила


Нефига ... :) Крут....

WELL :: MoonShiner
Ты хоть глянь конверт там всё же или нет.
P.S. А если просто прогу на рабочей тачке с ключем сдампить? Можно потом чего-нить выдернуть из дампа. Имеется ввиду дамп не на ОЕР, а просто дамп запущенной проги.

MoonShiner :: WELL , что конверт или че то похожее - точно. Дамп запущенной тебе даст общую организацию и логику... А больше ничего хорошего. Почему и дампят все на ОЕП... Даже не зная причин необходимости этого:)

PalR :: ufo_maniac пишет:
цитата:
ИМХО для корректной работы надо правильный серийник иметь


Ты прав. SerNum=940-JMX-951-NCG-4453 это я выковырял из дистриба. Но и с ним не катит. Видимо он в дамп зашит. Прога запускается но делать ничего не дает. Там эти проверки серийника в каждом меню. А жаль. :)
Как я понял: дистриб+серийник+хасп = жестко привязаны друг к другу.

ufo_maniac :: PalR: первые 16 слов памяти ключа содержат криптованный серийник. Уверен, что с 17 по 24-е тоже не просто мусор, и читаться они будут только если серийник в памяти правильный. и могут там оказаться какие-нибудь важные константы... все-таки те кто это делал не последние ламера.

MoonShiner не спорю, ты мог бы сделать рабочий эмуль, если б заинтересован был. а мне хоть и интересно - все-таки первая ковыряемая программа с хаспом...

PalR :: ufo_maniac
У меня тоже.

PalR :: psb
А от какой версии этот дамп? Со всеми подробностями.

psb :: PalR

дамп и серийник от версии 5.1

PalR :: Защиту изменили. Даже серийник этот не берет.




X0E-2003 Не могу распаковать ? :(...



X0E-2003 Не могу распаковать ? :( http://www.mp3towav.org/download/midconverter.exe

Народ, чем эта дурь запакована и как ее распаковать?

Вес: 1.20МБ

PeiD и PE Shniffer из PE TOOLS ничего в сигн. не нашли
-= ALEX =- :: хрен знает чем запакована. вообще нахера знать что чем запакована, бери да распаковывай руками. «Не могу распаковать», мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!

Black Neuromancer :: -= ALEX =- пишет:
цитата:
мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!


наверно так и есть, он хочет чтобы ему на блюдечке все выложили, а может он просто не включил хардкорного сканирования в PeiD, а вообще правда все ручками делать

Mafia32 :: Ну зачем так народ. Человек помощи попросил, а ему так отвечают... Некоторые прям Unpacking Gods. Без обид!

Mafia32 :: X0E-2003
Это аспр. Версия 1.2X. Как я могу судить из отладчика. Я пробовал после того как сдампил посмотреть PE-Sniffer’ом и PEiD. Последний почему-то слетел с эксепшн, а снифер нормально засвидетельствовал аспр. Обнови сигнутуры!

Mafia32 :: Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.

ZX :: Mafia32 пишет:
цитата:
Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.


а подсказать, что ее стриппер распаковывает не судьба?

KLAUS :: ZX
Ну а малоли у него 98.....

Mafia32 :: ZX

Да как-то привыкши руками... :-)




GPcH CrackMe v2.0 by GPcH - это стоит увидеть CrackMe v2.0 by GPcH



GPcH CrackMe v2.0 by GPcH - это стоит увидеть CrackMe v2.0 by GPcH

Особенности данного крякми:

- шесть паролей, причем каждый генерится по особому
(и разный не только алгоритм, но и идея)
- пять уровней сложности
- использование криптовки строк, вызова функций по именам,
запуск ассемлерных инструкций, BlowFish, Sha256 и много
другого интересного
- 47 килобайт - да, это возможно
- спрятанный OEP

Задание 1: получить все 6 паролей на свое имя
Задание 2: попытаться распаковать программу

PS: Крэки, лоадеры и т.д. не катят!!! Только пароли на свое имя или
кейген (на мой взгляд последнее может сделать только настоящий гуру)
PPS: По традиции это VB native code. Кому это внапряг - не качайте, хотя
этот крякми стоит увидеть, тем более, что его вес в архиве - 37 kb

http://gpch.int3.net/other/CrackMe2.zip
SLV :: Интерфейс - аля CRACKL@B CrackMe #4 =)

SLV :: Короче, распаковал её я! OEP = 437E93!!! Ща крякну её...


P.S. Microsoft Visual Basic v5.0

Mafia32 :: Эх, опять крэкми, опять барсик... ну что ж погляжу.

SLV :: Mafia32 пишет:
цитата:
Эх, опять крэкми


точно.......

Nitrogen :: SLV
ну них у тя oep

вообще-то оно тут:

00402894: 68E8314000 push 0004031E8
00402899: E8EEFFFFFF call ThunRTMain

SLV :: Nitrogen , у меня ОЕР нормальный, хочешь дамп выложу?


P.S. Там OEP выглядит так:
jmp eax. Смотьришь eax и дампишь.

GPcH :: SLV пишет:
цитата:
P.S. Microsoft Visual Basic v5.0


VB 6.0

SLV :: GPcH пишет:
цитата:
VB 6.0


Один хер - Васик, это в PESniffer-е сигнатуры кривые...

GPcH :: Пофиксил небольшую багу (http://gpch.int3.net/other/CrackMe2.zip)

Styx :: Ну и я возму, позырю чё да как ...

GPcH :: Styx пишет:
цитата:
Ну и я возму, позырю чё да как ...


Позырь, только лучше еще раз скачай - я недавно багу пофиксил в крякми

XoraX :: форум превращается в коллекцию крякмисов если честно з-а-е-б-а-л-о

SLV :: XoraX пишет:
цитата:
форум превращается в коллекцию крякмисов


И вправду, может откроем навый форум «Форум CrackMe»

Noble Ghost :: SLV пишет:
цитата:
может откроем навый форум «Форум CrackMe»


Мысль!

ZX :: Во у народа времени до фига , крякмесы ломают, мне бы так.

Noble Ghost :: ZX
Вот и я о том же думаю.

Mario555 :: GPcH пишет:
цитата:
- спрятанный OEP


Мде... Это даже не интересно - там несколько секунд нужно на нахождение OEP.

SLV пишет:
цитата:
P.S. Там OEP выглядит так:
jmp eax. Смотьришь eax и дампишь.


Гы... к OEP переход по ret ;)

Nitrogen :: SLV
мля ты че такой тугой - я тебе показал НАСТОЯЩИЙ OEP
или ты не в курсях как выглядит оер у барсиковых прог?
распаковывается idadebug+lordpe+imprec за.. очень быстро

GPcH :: Ну что, хоть кто нибудь, хоть один пароль взломал?

Насчет распаковки там действительно все просто

Styx :: Вообщем у меня OEP=28A4
А пассы ... Кто-нить скажет как васик читает?

Black Neuromancer :: По-моему лучше на реальных прогах тренироваться и выкладывать все то, что ты сломал и оценивать куда другие продвинулись, а не херней заниматься и кракми ломать. ТОка время тратить и мани тоже на инет, дабы в России он не такой дешевой, как на Западе

Styx :: Black Neuromancer
Тебе в лом закачать 37 kb?
А на счёт реальных прог, найди чё-нить достойное и предложи кучей ломать.
Или ты думаешь что кто-нить на crackme или любой другой проге зависает пока не отломает её и весь остальной мир не существует?

ZX :: Styx пишет:
цитата:
найди чё-нить достойное


Зайди на любой варезный сайт и сразу найдешь, что-нибудь достойное. Да и людям поможешь сломав пару хороших прог.

Black Neuromancer :: Styx пишет:
цитата:
Тебе в лом закачать 37 kb?
А на счёт реальных прог, найди чё-нить достойное и предложи кучей ломать.
Или ты думаешь что кто-нить на crackme или любой другой проге зависает пока не отломает её и весь остальной мир не существует?


Нет, не в лом и вообще чо за наезды пошли на меня - я вроде тебе плохого ничего не сказал. Просто я про то, что реальные проги интересней ломать, потому что они стоят денег, а чем больше они стоят - больше интерес их ломануть. Может я и не прав, но лично я считаю именно так.

sanek :: GPcH пишет:
цитата:

Задание 1: получить все 6 паролей на свое имя
Задание 2: попытаться распаковать программу


Ну распаковать можно автоматическими распаковщиками в частности PEID очень легко, хоть пакер он и не показал.
Ну а поповоду сернума это к РУБАНКУ он и тутор напишет а я почитаю и поучусь очень было бы интересно.
РУБАНОК отзавись.

GPcH :: sanek пишет:
цитата:
Ну распаковать можно автоматическими распаковщиками в частности PEID очень легко, хоть пакер он и не показал.
Ну а поповоду сернума это к РУБАНКУ он и тутор напишет а я почитаю и поучусь очень было бы интересно.
РУБАНОК отзавись.


Зря ты его туториалы на поток ставишь. Тем более, что ломают крякми для тестирования своих знаний,
а не для того, чтобы все ждали, пока ты один взломаешь и напишешь туториал.

Когда хоть кто нибудь дойдет хотябы до пятого уровня - я и сам опишу защиты и кейген приведу

Nitrogen :: думаешь кому-то охото vb ковырять? ну его в баню

XoraX :: GPcH пишет:
цитата:
тестирования своих знаний


зачем проверять свои умения копания vb, если это совершенно бесперспективный язык и прог на нем почти не встречается.. ех..

sanek :: XoraX пишет:
цитата:
зачем проверять свои умения копания vb, если это совершенно бесперспективный язык и прог на нем почти не встречается.. ех..


С переходом на VB,net там многое поправили и язык стал не похож на VB6 (больше на С чем на vb). да иС++ на С#(шарп) меняют. и технологию .net на новые свои оси ореентируют.
P.S. это я так к слову

GPcH :: XoraX пишет:
цитата:
зачем проверять свои умения копания vb, если это совершенно бесперспективный язык и прог на нем почти не встречается.. ех..


Так зачем же его создатели неделю назад Service Pack 6 выпустили?

GPcH :: sanek пишет:
цитата:
С переходом на VB,net там многое поправили и язык стал не похож на VB6 (больше на С чем на vb). да иС++ на С#(шарп) меняют. и технологию .net на новые свои оси ореентируют.
P.S. это я так к слову


На .NET никто переходить не собирается, так как FrameWork ни у одного потенциального юзера программ не установлен

Dr.Golova :: MEW как пакер это канечно забавно, но BlowFish на VB выглядит ужасно - лучше бы сгенерил p-code :)

clsBlowfish_Class_DragDrop

39.0040C6EF: Me0080 = -(0)
43.0040C708: IF 0 < 18 THEN
44.0040C70A: v0040 = 0
Else
47.0040C719: v0040 = __vbaGenerateBoundsError()
End If
51.0040C725: [eax][ecx]*4 = &H243F6A88
55.0040C73E: IF 1 < 18 THEN
56.0040C740: v0044 = 0
Else
59.0040C74F: v0044 = __vbaGenerateBoundsError()
End If
63.0040C75B: [eax][ecx]*4 = &H85A308D3
67.0040C774: IF 2 < 18 THEN
68.0040C776: v0048 = 0
Else
71.0040C785: v0048 = __vbaGenerateBoundsError()
End If
75.0040C791: [eax][ecx]*4 = &H13198A2E
79.0040C7AA: IF 3 < 18 THEN
80.0040C7AC: v004C = 0
Else
83.0040C7BB: v004C = __vbaGenerateBoundsError()
End If
87.0040C7C7: [eax][ecx]*4 = &H03707344
91.0040C7E0: IF 4 < 18 THEN

бара :: да точно, на C++ похож как 2 капли воды

WELL :: Dr.Golova
Ни фига себе =) Это ты своей какой-то тулзой такой листинг получил?

RideX :: WELL
Ага, плагин для IDA, вроде. На wasm’e когда-то спрашивали, только он его никому не даёт. :(((

WELL :: RideX пишет:
цитата:
только он его никому не даёт. :(((


Может он передумает? =) И выложит на http://www.uinc.ru/

Dr.Golova :: Не выложу - ибо нефиг.

ssx :: WELL пишет:
цитата:
Ни фига себе =) Это ты своей какой-то тулзой такой листинг получил?


чтобы получить доступ к таким тулзам, надо работать там же, где и Доктор :)

Styx :: Black Neuromancer
Да не наезжаю я, это просто текст так читается. А про деньги... этот вопрос интересен когда на заказ ломаешь или посмеяться над тупой защитой проги с ниимоверной стоимостью.

WELL :: ssx пишет:
цитата:
чтобы получить доступ к таким тулзам, надо работать там же, где и Доктор


А где это? Если не секрет, конечно...

GPcH :: Даа....

Я чувтвую, что VB копать никто не решился...

Ну и ладно...

[RU].Ban0K! :: Так... 1 и 2 нашол за минут 15... а вот с третем заминка вышла...
p.s. Не догоню CallByName это в третем?

GPcH :: [RU].Ban0K! пишет:
цитата:
Так... 1 и 2 нашол за минут 15... а вот с третем заминка вышла...
p.s. Не догоню CallByName это в третем?


Да!
В четвертом Sha256, а вот в 5 и 6....
... не, все равно это слишком трудно

[RU].Ban0K! :: GPcH
ну ладно, ладно... хватит тут, сложно мол очень... опять поди лаханулсу где нибудь... я уже примерно знаю как буду действовать...
Первые 4 нашол...

[RU].Ban0K! :: GPcH
Не забудь что идея моя :) (если я правильно понял, то ты учёл то что я тебе посоветовал...), а я пока не находил таких идей к которым сразу не находил решение :)

GPcH :: [RU].Ban0K! пишет:
цитата:
Первые 4 нашол...


Первые четыре - алгоритм за 15 минут писан
Последние два взломай

[RU].Ban0K! пишет:
цитата:
Не забудь что идея моя :)


Ты о чем? Что то я не догоняю

[RU].Ban0K! пишет:
цитата:
если я правильно понял, то ты учёл то что я тебе посоветовал...


А что ты мне посоветовал? Честное слово, не помню

[RU].Ban0K! :: GPcH
Забей... , но шифрование асмовского кода посоветовал я... хотя ты сделал легче

[RU].Ban0K! :: GPcH пишет:
цитата:
Первые четыре - алгоритм за 15 минут писан
Последние два взломай


Давай не умничай! VB ломать это не на VB писать!!!!!!
Ты давай ка сломай то что я тебе за 10 минут на VB напишу.... улыбка твоя скроется тут же... да и хэш не бы писал...
А последнии два... ну на VB я думаю там мало с чем поиграть.... обычный ReverseMe
Вот:
98894691473
626A6D641A74585F47C12
t ZGA
dba983ffd0d7e43a1feec2197ff687037fe08c590c95f53267 d0137fbdad266c
Я просто уезжаю... дискету не охота тащить :)


P.S. А ошибок я нашол.... тучу... ксуеву...

GPcH :: [RU].Ban0K! пишет:
цитата:
Давай не умничай!


Извини, если обидел
[RU].Ban0K! пишет:
цитата:
VB ломать это не на VB писать!!!!!!


Да, это и ежу понятно. Мне мой крякми (если бы его писал не я) и за месяц не взломать
[RU].Ban0K! пишет:
цитата:
Вот:
98894691473
626A6D641A74585F47C12
t ZGA
dba983ffd0d7e43a1feec2197ff687037fe08c590c95f53267 d0137fbdad266c


Ну ты крут!
[RU].Ban0K! пишет:
цитата:
А последнии два... ну на VB я думаю там мало с чем поиграть.... обычный ReverseMe


Там главное допереть, что джолжна делать асмовская функция (в принципе можно и крякнуть, но это легко). Тем более, что последних паролей столько, сколько возможных вариаций написания асмовских прог. Но там простенькая функция. Программа судит о правильности кодов взависимости от того, что возвращает эта асмовская функция
[RU].Ban0K! пишет:
цитата:
P.S. А ошибок я нашол.... тучу... ксуеву...


Может скажешь, если не вломы (желательно сюда: gpch_soft@tula.net)

[RU].Ban0K! :: GPcH
Я уже это просёк давно... вот только немогу допереть почему в одной API экспекшенз выходит...
Ошибки пока не скажу...

GPcH :: [RU].Ban0K! пишет:
цитата:
Я уже это просёк давно... вот только немогу допереть почему в одной API экспекшенз выходит...
Ошибки пока не скажу...


Скажи, в какое время ты в аське сегодня будешь, поговорим о последних двух паролях




DrDrew Crunch/PE v3.0.0.x - 4.0.0.x -› Bit-Arts [Overlay] - чем можно снять ?...



DrDrew Crunch/PE v3.0.0.x - 4.0.0.x -› Bit-Arts [Overlay] - чем можно снять ? PeID говорит что упаковано этим. Не подскажете где взять распаковщик или в чем фишки при распаковке ручками ?
-= ALEX =- :: DrDrew мля. бери руками распаковывай... что за глупые вопросы. Фишка в том, что надо подгрузить brain.dll...

Black Neuromancer :: -= ALEX =- пишет:
цитата:
DrDrew мля. бери руками распаковывай... что за глупые вопросы. Фишка в том, что надо подгрузить brain.dll...


Не забыл? еще надо использовать некоторые функции hands.dll

DrDrew :: brain.dll , hadns.dll ... я спрашивал про особенности снятия. Фишки так сказать. Согласитесь что все таки при снятии AsProtect’а и Armaddilo фишки разные.

SLV :: hands.dll надо пропатчить до прямых

DrDrew :: Да распаковал я уже. Тема закрыта.

-= ALEX =- :: DrDrew ну и вот. следовало ли создавать темУ ???? Тему создаем когда уже ваще прям не в моготу...




sanek mIRC v6.12 - Вроде просто но......... Когда многие стали подключаться к...



sanek mIRC v6.12 - Вроде просто но......... Когда многие стали подключаться к #Cracklab решил и я поставить iMRC v6.12
Программа mIRC v6.12 –30 дней дала для использования по халяве.
Решил попробовать сломать, peid говорит с++ v7.0
В WIN32Dasm нашел переход, переправил сохранил, прогрмма не запускается.
Решил в OLLY попробовать поменял переход программа говорит зарегина.
Сохранил запускаю прога не запускается (т.е. запускается и выгружается тут же).
Наити кряк или сериал не проблема на #Cracklab парни пердлагали серНум СПАСИБО!!!
Просто интересно почему при замене всего одного перехода прога не дает себя запустить.
Что это защита от стринг рефференс взлома мудренная? Или все намного проще?
Ну не может же прога проверять конкретный переход.
В реестре прога хранит количество дней и это легко убирается с помощью REGCleaner(а)
После затирания реестра все равно изменненная прога не запускается опять дают 30 дней и все.
004C2365 . BA D0F85800 MOV EDX,mirc.0058F8D0
004C236A . B9 E8F45800 MOV ECX,mirc.0058F4E8
004C236F E8 1CFAFFFF CALL mirc.004C1D90
004C2374 . 85C0 TEST EAX,EAX
004C2376 0F84 BB000000 JE mirc.004C2437 ‹======= изменяемый переход
004C237C . C605 42F55800 ›MOV BYTE PTR DS:[58F542],0
004C2383 . 33C0 XOR EAX,EAX
004C2385 . EB 09 JMP SHORT mirc.004C2390

Может кто из опытных капнет свою версию наверняка там такая же байда.

Black Neuromancer :: Ну ептить, ее ломать с полпинка, там всего два байта надо заменить по-моему один при вводе сериника, другой при старте программы, чтобы она серийник не проверяла.

А вообще там проще написать кейген, алгоритм там легкий, правда я его вычислял только одним путем, хотя там есть два способа вычисление по имени разных правильных серийников.

Если что на канале обращайся.

Mafia32 :: Black Neuromancer

Блэк, ты не прав! В 6.12 идет проверка CRC32. Смена байт приведет к падению программы. Что надо делать:
при старте программы ставишь бряк на GetModuleFileNameA. После срабытывания прощелкиваешь раза 2 по F5, пока не окажешься здесь:
call 00454660
cmp eax, 00000002
je 004D48B4
cmp eax, 00000003
je 004D48B4
xor ecx, ecx
call 004DDAC0
xor edx, edx
test eax, eax
setne dl
mov dword ptr [0059A15C], eax
mov eax, edx
ret
Запомни это место! Оно встречается в версиях вплоть до последней. Один из условных переходов идет на выход. Делаешь так: запускаешь оригинальную прогу, смотришь как они ведут себя в ней, затем патченную и смотришь как там. Различия заметишь, патч в изменной их.
И еще: патчить в 2-ух разных местах, просто не красиво и не оптимально. Лучше пропатчить сразу процедуру CALL mirc.004C1D90. Вписать туда
mov al,1
ret
Или что там она должна возвращать если проверка успешна. Вот и все.

sanek :: Mafia32
Спасибо!!!!
Mafia32 пишет:
цитата:
при старте программы ставишь бряк на GetModuleFileNameA. После срабытывания прощелкиваешь раза 2 по F5, пока не окажешься здесь:


Здесь я не понял про F5 мож ты перепутал. Ну да ладно.
А я ведь здесь проходил но видно не внимательно.
Прога регится но при новом открытии все равно кричит 30-дней.
Но это уже другое дело вообщем спасибо тебе.
Возможно кто тутор напишет по поиску сер/нума, пропатчивание, и про проверку СRC
В разделе «Новичку» ему был бы самый раз.

Mafia32 :: sanek

нет, почему про F5 я не перепутал. Просто функция GetModuleFileNameA несколько раз вызывается. Нажимая F5 ты выходишь из сайса и даешь проге работать до следующего вызова GetModuleFileNameA. Почитай help по сайсу. Второе: такого не может быть, что ты пропатчил САМУ процедуру по адресу 4C236F и прога не зарегилась! 100%! Я сейчас специально для тебя нашел на сайте AHTeam статью biow0rm’a. В точности то же самое что я тебе сказал. Я писал кряк на 6.14 недавно, там было так. В 6.12 так же.

sanek пишет:
цитата:
Возможно кто тутор напишет по поиску сер/нума, пропатчивание, и про проверку СRC


То есть? Вообще или в данной проге? Почитай biow0rm’a. У него номальные статьи для новичков (и вроде не только :-))) - хотя я ни одной не прочитал :-)))) . иди на сайт AHTeam и читай!

ZX :: Патч три байта :)

sanek :: Mafia32

004C236F E8 1CFAFFFF CALL mirc.004C1D90 ‹==Либо здесь mov al,1
004C2374 . 85C0 TEST EAX,EAX
004C2376 0F84 BB000000 JE mirc.004C2437 ‹===Или здесь изменяемый переход
Регится и с изменением на mov al,1 и с изменением переходаJE mirc.004C2437
Но открываешь заново вылетает наг и говорит сколько дней осталось. И в меню регистрация появляется, вводиш любой код пропадает и говорит зарегина. Открваываешь заново та же история.

Mafia32 :: Епт... заходишь прямо в call. Пишешь хиевом там
mov al,1
ret
Все! Прога зарегена! Ничего не вылетает! Принимает любой СН, пишет его куда надо и все! Полностью!

Mafia32 :: Я не понимаю проблемы! Находишь отладчиком\дизассемблером процедуру эту. Заходишь туда. Сразу будет какой-нибудь push ebp, mov ebp,esp. Ну вот их то и меняешь на то, что я тебе говорил. вот и все. Это же элементарно понять. Тут патчем ломать минуту от силы и 2 писать кряк и 3 выкладывать на cracks.am :-)))

sanek :: Mafia32 пишет:
цитата:
Епт... заходишь прямо в call. Пишешь хиевом там
mov al,1
ret
Все! Прога зарегена! Ничего не вылетает! Принимает любой СН, пишет его куда надо и все! Полностью!


Слов нет!!!

ZX :: Я так посмотрел там патч можно забабахать, для всей шестой серии, включая еще невышедшего релиза :)

Noble Ghost :: А без патча? Серийник кто-нибудь надыбал?

Mafia32 :: Noble Ghost

Ну я на свое имя доставал... Там генерация не сложная.

SouL :: Noble Ghost
Та там его искать дело трех минут... ставишь бряк bpx SendDlgItemMessageA, а дальше сам... Да и кеген писать там хз... Правда вначале я малеха повозился с таблицай(не вкурил в начале) ... thks CReg за совет ....

Perch :: Noble Ghost пишет:

цитата:
А без патча? Серийник кто-нибудь надыбал?


Noble Ghost если есть желание, оставь мыло я тебе скину сырец кейгена сделаный еще Dr.Golova к версии еще до 6.xx, но ничего не поменялось, вплоть до последней 6.14...сырец для дельфей но это не важно.

Noble Ghost :: Perch
Спасибо, конечно, но
Perch пишет:
цитата:
сырец для дельфей но это не важно.


SLV :: У меня он тоже есть. Там и на MASME-е есть.

CReg [TSRh] :: Perch пишет:
цитата:
сырец кейгена сделаный еще Dr.Golova к версии еще до 6.xx, но ничего не поменялось, вплоть до последней 6.14.


а вот и не правда там поменялись ограничения на длину имени

Perch :: CReg [TSRh] пишет:

цитата:
а вот и не правда там поменялись ограничения на длину имени


Если честно то не проверял...но по крайней мере с моим коротким ником и до 16 символов все путем

Perch :: CReg [TSRh] .
Все-таки я не очень понял твое выражение на счет длины имени...
Вот смотри, то что имя должно быть не менее 5 символов - это работает еще с версии 6.01 может и раньше(просто для нее я компилил) в максимальную сторону прога сьедает имя длиной и в 50 символов(больше не вижу смысла, и этого много) и в реестре что 98-х, что XP’й все путем. Другой вопрос что в About’е mIRC’а помещается имя длиной до 23 символов. И естественно строить кейген на не умещающееся имя в About’е - некорректно, но что мешает поставить фильтры на длину имени, здесь нет никаких проблем.
Вообще я имел ввиду алгоритм вычисления регкода - он прежний.

CReg [TSRh] :: Perch пишет:
цитата:
Вот смотри, то что имя должно быть не менее 5 символов


в версии 6.14 минимальная длина - 4 символа, а что касается длины, то ее ограничивать тоже некорректно :)
вот недавно совсем нашел релиз от команды EMBRACE, в котором в инфо было написано буквально следующее:

цитата:

Install mIRC, use our keygen, enjoy.

** WORKING KEYGEN **

you say, whats wrong with acme’s? seems there’s a
limit on the length of your name with their keygen,
which isn’t the case with ours. for example try:

«fooled fucker_____________________________!»

as username, you’ll get incorrect results with
acme’s and not with ours.

gay reason? whatever you think! this is a *very*
widely used app and deserves a fully functional
keygen. With lots of love for ACME :)

- EMBRACE



хотя я кейген раньше них зарелизил :) и у меня все работает правильно :)

Perch :: CReg [TSRh] пишет:

цитата:
в версии 6.14 минимальная длина - 4 символа, а что касается длины, то ее ограничивать тоже некорректно :)


Нет проблем, поправлю :)

цитата:
хотя я кейген раньше них зарелизил :) и у меня все работает правильно :)


=))))




Макс peid не пашет peid при запуске пишет ч



Макс peid не пашет peid при запуске пишет чё-то типа «программа не умещается в памяти»,неужели экспи виноват?


P.S. вы только сильно меня не засирайте, я ведь только начал учиться

SeDoYHg :: Макс

Сколько у тебя приложений было в этот момент запущено? какой объем виртуальной памяти?

Demode :: Макс

другие утилиты пробовал?

Макс :: а вобщем только peid а и памяти много, а какие утили другие посоветуете???

SeDoYHg :: Макс

Хм... Посмотри на protools, там много чего есть. А так, плагин PE Tools - PE Sniffer

KLAUS :: PE-Scan, Stud_PE, file insPEctor- этими можешь ещё пройтись!

WELL :: Макс
Перезагружаться-то пробовал ? =)

Макс :: WELL
да чё только не пробовал

KLAUS :: Макс

Само файло то скольок весит?

SLV :: Да, и чё у тебя за система?

Макс :: ВСЕМ СПАСИБО, PEID ЗАРАБОТАЛ!!!!УРА!!!!

KLAUS :: Мда, бывает....

WELL :: Да вы не поняли (или я не понял).
У него ПЕИД при запуске виснит. То есть когда ПЕИД запускаешь.
Макс пишет:
цитата:
peid при запуске пишет чё-то типа «программа не умещается в памяти»,


SLV пишет:
цитата:
Да, и чё у тебя за система?


Ты хоть посты читай до конца.
Макс пишет:
цитата:
неужели экспи виноват?


ЭКСПИ - это Microsoft Windows XP =)




WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ....



WELL ASProtect 1.3 ??? Вобщем есть прога. Сразу говорю весит много - 10 МБ.
http://sight2k.com/download/ut/eng/utsetup.exe
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».
В пакете 6 exe-шников. Вроде бы распаковываются стриппером, НО:
1) После распаковки нормально работают только 2 файла.
2) Остальные запускаются и сразу вырубаются.
3) И самый нужный файл выдает ошибку: MessageBox с сообщением и кнопками OK и Отмена.
Если нажать на ОК - через ShellExecute создается письмо автору об ошибке.
И отловить эту ошибку никак не выходит. Уже 2 недели парюсь.
Руками распаковать не получается. Вот такие дела.
Может кто посоветует что-нить?
Runtime_err0r :: Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает ...

Quest0 :: Ждешь ответов ?
Скажи что уже сделал и где застопорился...

Slavon :: Я вроде CASPR-ом эту хрень распаковывал.

WELL :: Кстати, при восстановлении импорта, при прогоне через AsprDbgr (build 106) прога тоже выдает ошибку из пунката 3).

WELL :: Runtime_err0r пишет:
цитата:
Самый тупой вариант - попробуй запаковать распакованный EXE’шник ASProtect’ом (1.2 или старше, если найдёшь ) иногда помогает


К сожалению, не получилось

WELL :: Slavon пишет:
цитата:
Я вроде CASPR-ом эту хрень распаковывал.


Какую версию ?

WELL :: CASPR v1.012 эту прогу не берет.
Сам MessageBox-то с ошибкой я нашёл, но вот место, где эта тема проверяется не могу найти. Такое ощущение, что прога где-то в самом начале, при запуске, что-то проверяет, а уже потом (после выбора теста) выдает ошибку.
Но ошибка похоже связана с чем-то типа контрольной суммы.

Mario555 :: WELL пишет:
цитата:
PEiD пишет «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov».


А он такое на всё подрят пишет :( И на 1.3 и на RC4.
Iat там есть ?

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


В смысле, когда стрипером или руками?

WELL :: Когда руками распаковывал, IAT восстанавливал как в туторе nice’a - через AsprDbgr.
Как говорил уже, самое интересное, что при прогоне через AsprDbgr запакованная прога выдает ту же ошибку (пункт 3).

Mario555 :: WELL пишет:
цитата:
В смысле, когда стрипером или руками?


А что наличие таблицы теперь зависит от способа распаковки ? :)

WELL :: Mario555 пишет:
цитата:
Iat там есть ?


Ну выходит есть

Raw :: ›А что наличие таблицы теперь зависит от способа распаковки ?
имхо оно не от чего независит, кроме как от загрузчика ОС... но серавно вопрос твой непонятен %)

Mario555 :: Raw
У тебя походу с чуством юмора проблемы...

› имхо оно не от чего независит, кроме как от загрузчика ОС.
Ага вот захочет загрузчик и будет таблица, а не захочет - не будет...
Короче не знаешь, так молчи.

WELL :: Mario555
А ты насчет IAT чтимел ввиду?
Дамп, где я руками восстанавливал тоже при запуске закрывается.

WELL :: Народ. Ну подскажите, плиз, как быть?
Может exe-шник где-нить выложить (около 1,5 метра)?
Посмотрите на досуге?

ViViseKtor :: Где-нибудь выложи или кинь мне в мыло. Гляну.

WELL :: Вечером выложу.

WELL :: Вобщем вот ссылка.
http://www.chat.ru/~crosswordomania/UniTest.zip
Размер ~1.3 Мб
Запускайте Editor.exe, выбирайте тест и жмите OK.
После распаковки стриппером расклад такой: после выбора теста и клика на OK и вылазит MessageBox с ошибкой.
С нетерпением жду ответов

Mario555 :: WELL пишет:
цитата:
Запускайте Editor.exe, выбирайте тест и жмите OK.


Запускаю, появляется какое-то окно, там надпись Samples, выбираю какую-то надпись, жму OK - появляется редактор. Я там нажимаю ? :)
Распаковывается вручную за пару минут, всё стандартно. Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.

WELL пишет:
цитата:
А ты насчет IAT чтимел ввиду?


Когда увидишь прогу с настоящим 1.3, тогда поймёшь.

WELL :: Mario555 пишет:
цитата:
Единственно будет такое:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.

ViViseKtor :: Странно!
У меня даже пакованный не запустился. Выдает ошибку

WELL :: ViViseKtor пишет:
цитата:
У меня даже пакованный не запустился. Выдает ошибку


А какую ошибку ?
По идее файлов в архиве должно хватать, ведь у Mario555 запустился.

ViViseKtor :: WELL пишет:
цитата:
А какую ошибку ?


Да стандартное сообщение об ошибке. Типа обнаружена ошибка. Приложение будет закрыто.
Не знаю может архив криво скачался.

Mario555 :: WELL пишет:
цитата:
А на какой адрес его менять?
По адресу 6D55B8 находится «dword_6D55B8 dd 0» и если поставить бряк на 004A622B, то в edx 0.
Или я тебя не так понял? Объясни, пожалуйста, поподробнее.


Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.

WELL :: Mario555 пишет:
цитата:
Просто распаковывать надо руками, а не стриппером, тогда и проблем меньше будет.


Я пытался руками распаковать.
Загрузил в олю, F9, потом 27 раз Shift+F9.
Стою на 00E039EC, ставлю бряк на 00E03A29 RETN, Shift+F9.
Потом TC EIP‹900000.
Попадаю на 00406E44 и делаю дамп.
Жму F8 и попадаю на 00E01C64, Ctrl+F9 и я на 00E01C88.
Жму F8 и попадаю на 406F19. По F8 до RET и встаю на 6D34E4.
По идее OEP=6D34DE.
Запускаю через AsprDebg, В ImpREC’e oep пишу 2D34DE. Он находит 269 функций.
Фиксим дамп. А вот спертые байты восстановить не могу.
Если нетрудно, скинь плиз распакованный на мыло: 12 () netman,,ru

Mario555 :: WELL пишет:
цитата:
Потом TC EIP‹900000.


Имхо, неудобный это способ, если уж hardware бряк не срабатывает, то лучше просто вручную от last exception до полиморфа дойти, чем это TC EIP‹900000...

WELL пишет:
цитата:
По идее OEP=6D34DE


Это tempOEP.

WELL пишет:
цитата:
А вот спертые байты восстановить не могу.


006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.

WELL :: Mario555 пишет:
цитата:
006D34D3 ›PUSH EBP
006D34D4 ›MOV EBP,ESP
006D34D6 ›SUB ESP,30
006D34D9 ›MOV EAX,006D2A78

Хотя в принципе первые три команды можно особо и не искать... а 006D2A78 можно посмотреть уже в сдампленом.


Сделал как ты сказал. Прога при запуске выдает ошибку по адресу 404AAB.
Если запускать дамп под отладчиком, то спотыкается он в проце 6D34E44.

Mario555 :: WELL пишет:
цитата:
Прога при запуске выдает ошибку по адресу 404AAB.


Мде... ты хоть читай внимательнее, я же уже говорил:

Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


WELL :: Mario555 пишет:
цитата:
004A6225 8B15 B8556D00 MOV EDX,DWORD PTR DS:[6D55B8]
004A622B E8 74E8F5FF CALL 1_x.00404AA4
в [6D55B8] адрес из протектора, меняешь его на адрес в проге и т.д... кста это не проверка имени юзера.


Так вот я и не пойму на какой именно адрес именно заменить. Скажи, пожалуйста, как у тебя этот кусок кода выглядит.

Mario555 :: WELL пишет:
цитата:
на какой именно адрес именно заменить


В данном случае без разницы, главное, чтобы внутри exe. Хотя бы на тот же 6D55B8, тоесть по [6D55B8] будет 6D55B8.

WELL :: Mario555
Я заменил
004A6225 8B15B8556D00 mov edx,[0006D55B8]
на
004A6225 BAB8556D00 mov edx,0006D55B8
004A622A 90 nop
Всё хорошо, прога запускается, но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?

WELL :: Mario555
Ты где потерялся?

Mario555 :: WELL пишет:
цитата:
но всё равно после выбора теста выскакивает MessageBox с ошибкой. А у тебя есть эта ошибка?


Нету. Я её увидел, только после того как, ради интереса, распаковал стриппером.

WELL :: Mario555
Слушай, скинь, пожалуйста ехе-шник на мыло 12 ~ netman..ru

Mario555 :: WELL
Ночью постораюсь скинуть...

WELL :: Mario555 пишет:
цитата:
Ночью постораюсь скинуть...


Спасибо. Буду ждать.

Mario555 :: Отправил. Хотя ты мыло как то странно написал. »..ru» что это за хрень ?

WELL :: Mario555
Это чтобы спамерные проги не выдрали мое мыло из этого форума.

WELL :: Mario555
Спасибо, за файлик.
Только вот он такую же выдает ошибку
Я вот подумал, может это у меня какой-нить косяк с виндой?

Mario555 :: WELL
Фиг знает, у меня всё нормально работает.




Gloomy Кто-нибудь изучал WebTrafficGuru? Взялся изучать WebTrafficGuru (1,8...



Gloomy Кто-нибудь изучал WebTrafficGuru? Взялся изучать WebTrafficGuru (1,8 Мб). Можно ли найти правильный серийник или даже сделать кейген? Пока просто откручиваю ограничения но хочется все-таки серийник...
Кто ее смотрел подскажите плз откуда начинать поиск правильного серийника, в проге явно используются хеши, PEid нашла MD4 и MD5.
ilya :: я чёто не пойму , в таких прогах как написал Gloomy чуть выше серийник вообще никогда не узнаешь ???

Gloomy :: Если защита написана грамотно (сдается мне что в данном случае так оно и есть) то найти серийник будет весьма затруднительно если вообще возможно т.к. хеш это функция которую нельзя развернуть в обратную сторону т.е. из хеша получить серийник. Но в некоторых случаях (как например со скандальной прогой Topee CD Ripper) можно даже кейген написать.

ilya :: Gloomy
смысл там по ходу дела таков :прога проверяет регистрацию когда нажимаешь на кнопку register когда хочешь зарегистрировать сайт
мои действия : bpm 654321 - это адрес кот я ввёл в окне регистрации ,потом в проге нажал на register чтобы зарегистрировать сайт , и прервался , потом шел я по F10 в айсе до 00507150(здесь походу начинается генерация серийников) и когда я оказался примерно в пятый раз на 00507150 я сделал d eax и увидел в дампе чуть выше серийник 67F97A1430BDB5380B2108A55
итог:PIN 04CB6093DE832B98616DEAA37
Serial 67F97A1430BDB5380B2108A55

CReg [TSRh] :: Gloomy пишет:
цитата:
Кто ее смотрел подскажите плз откуда начинать поиск правильного серийника, в проге явно используются хеши, PEid нашла MD4 и MD5.


Gloomy пишет:
цитата:
то найти серийник будет весьма затруднительно если вообще возможно т.к. хеш это функция которую нельзя развернуть в обратную сторону т.е. из хеша получить серийник.


Но если там в таком виде применяется хеш, то вообще будет только фиксированное количество серийников. А они там явно по Hardware ID (PIN). Так что здесь хеш не так используется.

Gloomy :: Спасибо всем за ответы!
Раз 20 проходил мимо места, указанного ilya и не замечал правильного серийника

ilya :: Gloomy пишет:
цитата:
Раз 20 проходил мимо места, указанного ilya и не замечал правильного серийника


ставь bpx 0050715E когда прервешся долби d eax и поднимай окно данных регистра eax (т.е долби по стрелочке вверх) там будут серийники

Gloomy :: ilya
Спасибо, все нашел, серийник работает. Закейгенить похоже не выйдет - слишком много кода чтобы можно было запихать его в кейген. Сделал две версии: одна с серийником, вторая со снятыми вручную ограничениями - обе пашут нормально.

ilya :: Gloomy пишет:
цитата:
Закейгенить похоже не выйдет


да и прога ещё какаято хитрожопая




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




musulmanin Exploit Приветствую!



musulmanin Exploit Приветствую!
У меня к вам небольшой вопрос:
Здесь занимается кто-нибудь поиском уязвимостей в программах???
ОТЗОВИТЕСЬ плиз......

RottingCorpse :: А зачем?

WELL :: musulmanin
Ты скажи что тебя конкретно интересует.

SLV :: Вообще тема интересная. Я например знаю, что с помощью ф-и DeviceControl можно повесить ZoneAlarm. А вообще exploit-ы пишут(в основном) под разные оси (с багами). Так что посмотри в поисковике, например, про BufferOverflow.

musulmanin :: Значит ситуация такая:
Есть сеть на 150 машин и у всех стоит чат...
Мне необходио найти уязвимость в чате...Это же тоже в какой-то мере относится к крэкингу....Лучшего ресурса в сети я пока не нашел(где собиаются много умных людей )
Я поднимал этот вопрос на НСД http://nsd.ru, но там мне никто не смог помочь....Может вы мне чем-нибудь поможете....

bUg. :: musulmanin

какой чат?

musulmanin :: http://www.kilievich.com/FChat_4_5_7.zip

musulmanin :: Во всех туториалах(по переполн. буфера) описывается поиск уязвимостей,в исходниках
ну вот типо того(взято из статьи):

«owerflow.c»
#include ‹stdio.h›
#include ‹string.h›
int test(char *big)
{
char buffer[100]; // переполняемый буфер
strcpy(buffer,big);// собственно само переполнение
return 0;
}
int main ()
{
char big[512];
gets(big); // получение текствой строки-сюда-то мы и передаем наш
шелл
test(big); // вызов уязвимой функции
return 0;
}

....А чтобы найти в exe необходим дебаггер и дизассемблер...Конкретный вопрос стоит вот какой: «Как мне определить уязвимость в программе и с какого места мне ее вообще начинать искать....?»
Спасибо вам!!!

bUg. :: musulmanin
Смотри дельфовские уязвимости

vins :: Попробуй начать с того, что узнай что тебе конкретно надо: повесить чат, запустить cmd( с правами, с которыми работает чат) или еще что то. Потом посмотри какие протоколы он использует, дальше найди какойнить эксплоит (более подходящий, посмотри _http://www.securitylab.ru/25224.html) узнай какие функции чат использует и действуй.
Наверно понятно

musulmanin :: bUg.
Так я же др. вопрос задал...
Как мне вообще найти УЯЗВиМость и определить по какому адресу она находится?
Ну там при вводе сообщения и отправке его пользователю....Например в функциях read & write или что-то в это роде...

musulmanin :: Не забрасывайте топик плиз....
Помогите мне

bUg. :: musulmanin
yandex.ru

Styx :: www.google.ru

WELL :: musulmanin
Методом проб и ошибок. Пробуй создать ситуацию, когда в переменную отправляется значение больше, чем размер этой переменной.

WELL :: musulmanin пишет:
цитата:
Ну там при вводе сообщения и отправке его пользователю....Например в функциях read & write или что-то в это роде...


Ищи в дизассемблере процы отправки сообщений и анализируй. Либо ты должен знать асм, либо методом тыка

vins :: musulmanin
А ты вообще эксплоиты когда нибудь писал?. Если нет то думаю сначала надо научиться использовать уязвимости а потом их искать, поправьте если я не прав.
Возьми HexEditPlus 2.3.0.0 (http://www.download.ru/se...ml?c=31&p=1&q=HexEditPlus) там при передаче в командной строке параметра ›255 символов происходит переполнение. Попробуй через него запустить cmd.

vins :: sorry ссылка неправильная

musulmanin :: Круто у вас тут...Я ещё ни на одном форуме не видел столько ответов,за 1 день...Респект крэклабу
Значит так:
Вопрос о том,что мне необходимо сделать с уд.пользователем--это уже дело шелла....А щас пока надо найти место,куда можно будет запихнуть этот шелкод и передать на него джамп....
Ребята....покажите пожалуйста на реальных примерах....

Тема ведь интересная....Может вы со временем создадите раздел «Уязвимые программы и эксплоиты к ним(от CR@CKLAB) »

ZX :: musulmanin пишет:
цитата:
ема ведь интересная....Может вы со временем создадите раздел «Уязвимые программы и эксплоиты к ним(от CR@CKLAB)


Вряд ли наверное, хотя решать модераторам, хакинг подразумевает воровство конфиденциальной информации, а нам, со мной скорее всего согласятся, важнее другое - исследование чужого кода на ПРЕДМЕТ ЕГО ИЗМЕНЕНИЯ, неважно в каких целях, и совершенствование своих навыков в этой области.

musulmanin :: ZX
А если просто «Уязвимые программы(без эксплоитов) »???
С целью, показания авторам программ их ошибки....

ZX :: musulmanin пишет:
цитата:
С целью, показания авторам программ их ошибки....


Пусть присылают сырцы - посмотрим, а так, смысл какой, в чем интерес?

musulmanin Re: ZX :: А интерес в том,чтобы другие люди тоже знали как это все происходит...

musulmanin :: Давайте дружить....
Вот с чего я начал:
Посмотрел FChat запакован Аспаком...AsprStripperXP без проблем распаковал...PEid говорит,что написан на Делфи...Грузим его в DeDe.....Вот тут я призадумался и решил обратиться к вам за помощью....Бессмыслено листать весь код....
Какие функции наиболее уязвимы?
Или предложите свой алгоритм исследования...


ZX :: Ну во-первых, если происходит переполнение буфера то это по-любому сбой программы, или она виснет или завершается или продолжает работать с ошибками.
Подаешь на вход проге неимоверно большой длины данные и смотришь на ее реакцию, если сбоев нет, с переполнением буфера все впорядке. Вот и все - если будут сбои в работе проги тогда заходи, а пока по-моему разговаривать не очем, кому охота с подобным возится если нет личной заинтересованности. Удачи. :)

ZX :: musulmanin пишет:
цитата:
другие люди


Те которые будут лАмать чаты?

musulmanin Re: ZX :: ZX
Почему ламать чаты?
«Другие люди»---имеется ввиду те же программисты,которые хотят защитить свое ПО...
Я тебе разве давал намек на хакинг?
Я же оправдался в своем предложении: «Уязвимые программы и эксплоиты к ним(от CR@CKLAB)»....

musulmanin :: За все время использования была ошибка(только непомню какая)...вылетал наг с просьбой: завержить приложение или отправить письмо автору об ошибки. А переполнения не наблюдалось...(наверно я плохо смотрел)
Люди.....если вам несложно,помогите мне с возникшей проблемой...
FChat


musulmanin :: Вот например:
http://www.securitylab.ru/44678.html

bUg. :: musulmanin пишет:
цитата:
Какие функции наиболее уязвимы?


например посмотри GetWindowTextA и т.д.

[ChG]EliTe :: musulmanin пишет:
цитата:
Вот например:
http://www.securitylab.ru/44678.html


А ты сам то эту статью читал? Понимаешь про че там? Можешь примерно описать что там написано и реализацию в общих чертах?
И главное про какую там ос идет речь?

musulmanin Re: [ChG]EliTe :: Что за вопрос?
[ChG]EliTe пишет:
цитата:
А ты сам то эту статью читал?


Наверное читал,раз кинул на форум...если это ещё можно назвать статьей...
[ChG]EliTe пишет:
цитата:
Можешь примерно описать что там написано и реализацию в общих чертах?


А что тебе описывать? Там только описывается,в каком месте автор программы совершил ошибку...
[ChG]EliTe пишет:
цитата:
И главное про какую там ос идет речь?


Какое это имеет значение???Я показал лишь пример уязвимого чата...

И вообще... с темы блин съехали
Я же прошу вас помочь по-человечески...
WELL,vins и остальные....куда вы подевались?

musulmanin :: Люди....не молчите пожалуйста....

[ChG]EliTe :: Я просто хочу понять что ТЫ именно понимаешь под програмной уязвимостью (и понимаешь ли вообще)
Судя по ответом выше... результат не утешительный особенно на последние 2 вопроса и ОСОБЕННО на последний...
Если для тебя нет раздницы для какой OS прога то извини.... ни чем помочь не могу...

musulmanin :: ...дожились....
Судя по твоим вопросам я себя ощущаю полным идиотом... ...Ты пытаешься меня подколоть?...Думаю не получится...
И что ты прикопался к ОС?
Я всю жизнь сижу в окнах,а для сплоитов использую эмуляторы nix’a....Cygwin,UWIN....
Я вообще прошу помощи разобраться мне в исследовании программы...
А если ты не хочешь помогать,то лучше не засоряй топик своими вопросами...

Noble Ghost :: musulmanin пишет:
цитата:
Я всю жизнь сижу в окнах,а для сплоитов использую эмуляторы nix’a....Cygwin,UWIN....


Ты хоть раз в жизни писал эксплойт? Вопрос важный, тк если не писал, то с тобой пока что рано разговаривать. Весьма важно понимание основ.

musulmanin :: Noble Ghost пишет:
цитата:
Ты хоть раз в жизни писал эксплойт?


нет,не писал, только готовые использовал...Вот поэтому и надоело чужое юзать....Хотел свое что-нибудь замудрить,но видишь, как ситуация складывается херово....все затихли,никто не хочет помогать...
Noble Ghost пишет:
цитата:
. Весьма важно понимание основ


А доков на эту тему в инете мало...некоторые статьи нашел тут: http://www.security.nnov.ru/ и тут http://dchack.net/
Ну сам понимаешь,теория есть теория,а практика есть практика.
Будьте любезны... не забрасывайте топик...давайте прожолжим исследования FChat’a

P.S.
леопольд прости нас...а?
прости...леопольд!
РЕБЯТА....ДАВАЙТЕ ЖИТЬ ДРУЖНО!

Noble Ghost :: Ты пойми, просто так помогать тебе мало кто возьмётся: катастрофическая нехватка времени -- основная проблема всех крякеров. Ты попытайся сам во всём разобраться. И пусть у тебя это отнимет много времени, зато ты получишь ОПЫТ, а это главное. А если появятся конкретные вопросы, то заходи -- поможем.

musulmanin :: Noble Ghost
Спасибо тебе за совет...
Думаю так и сделаю...ещё раз спасибо!!!

[ChG]EliTe :: LOL Как я и думал.... Интуиция меня не подвела...

musulmanin :: [ChG]EliTe
Молодец!
Так деражать....
Ты под словом «думал»,имел ввиду,что мне никто не поможет?
С твоей стороны это выглядит просто смешно...




sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить...



sanek Stealth PE поможет авторам платных программ ...... Кто нить, че-нить слыхал про енто

http://bgcorp.narod.ru/product.htm
Gloomy :: Никогда о таком не слышал

MC707 :: Gloomy
Я тоже Бэд_Гая не знаю :)

SeDoYHg :: ›››Stealth PE «убивает» инструменты взломщика при запуске на компьютере взломщика
Чтобы это значило? А то я боюсь себе его закачать для испытаний

MC707 :: SeDoYHg
Правильно, бойся!

-= ALEX =- :: SeDoYHg ты видать в танке... короче тулзу эту написал Bad_Guy :) Действительно, после запуска этой проги у тебя не будут работать потом, если я не ошибаюсь, PEiD и LordPE, у меня по-моему только они не работали...

MaZaFaKeR :: -= ALEX =-, точно в танке...

bUg. :: В БТР’е

odIsZaPc :: на камазе :)

Kerghan :: хе-хе
названия секий заценить не забудь

SeDoYHg :: -= ALEX =-
MaZaFaKeR
bUg.
odIsZaPc

Да знаю чьих рук это дело =). Мне просто было интересно, что и каким способом убивает этот протектор.

Я не в танке, я на К-701 (кто не знает это самый мощный трактор СССР, да и в мире тоже). Поэтому со мной не шутить, задовлю всех

MaZaFaKeR :: SeDoYHg пишет:
цитата:
Мне просто было интересно, что и каким способом убивает этот протектор.


Да, это действительно интересно...

MC707 :: SeDoYHg пишет:
цитата:
что и каким способом убивает этот протектор


Руки, мозгами

KLAUS :: Но, проги убиваются, но когда их вновь проSETUP всё тип тип!!

SeDoYHg :: Судя по ответам, кроме -= ALEX =- и Bad_Guy, этот протектор не кому не интересен .

KLAUS :: Да не, кстати угарная вещица....ещёб денежку, да и исх....вообще здраво бы было!!

ViNCE [AHT] :: Да это больше пакер чем протектор... там шифрация простым xor’ом...

Bad_guy :: ViNCE [AHT] пишет:
цитата:
Да это больше пакер чем протектор


Вообще то я называю это скрэмблером (для себя).

ViNCE [AHT] :: to Bad_Guy: Не обижайся... Скрэмблер, так скрэмблер :)




WELL Навесная Защита ? Исследую прожку. Ничем не запакована. Написана ХЗ на...



WELL Навесная Защита ? Исследую прожку. Ничем не запакована. Написана ХЗ на чём.
PEiD и PE Sniffer из PE-Tools ничего не говорят.
Ресурсы у ехе-шника какие-то странные. Есть Image, Icon и DABDUMP, в котором куча подразделов типа XXX001_RSC.
И самое главное. Прога активно юзает файлы C5ASCX.DLL, C5CLAX.DLL и C5RUNX.DLL из системной папки винды. Практически весь импорт ведёт в C5RUNX.DLL, причём функции типа Cla$MessageBox.
В версии C5RUNX.DLL написано «Clarion 5 Runtime Library».
Я как понял это что-то типа навесной защиты что ли? Может кто сталкивался с такой шняжкой?
KLAUS :: Эт ты под какой win нашёл эти DLL? Чёт нема у меня этих DLL

WELL :: Эти длл-ки с прогой устанавливаются. Я же говорю по ходу навесная защита.

TOR :: Возможно.Скинь ссылку если че.

WELL :: http://www.linksoft.ru/ там с главной страницы качнуть «Триумф-2003»

SeDoYHg :: ›› Ошибка! Программа «Триумф-2003»,файл triumph4.zip не доступен. Обратитесь в службу

Раз пять пытался качнуть, один хрен. Программа большая?

WELL :: Размер 2,4 Мб
Если никто не в курсе что там за ботва, то завтра постараюсь выложить.

nice :: WELL
Тогда бэйсик тоже навесная защита...
Это язык программирования такой, так и называется Clarion.
Ничего сложного в отвязывании такой программы я не заметил...

TOR :: Она качается,вот ссылка http://www.linksoft.ru/soft/triumph4.zip

SeDoYHg :: TOR пишет:
цитата:
Это язык программирования такой, так и называется Clarion.


Еще один «бейсик» Когда станут продвигать нормальные языки (ASM )

TOR :: TOR еще не докачал, а уже его грузят

WELL :: Да в принципе ничего сложного-то нету. Бряки в айсе ведут в длл-ку а потом и в ехе-шник. Просто интересен был сам ехе-шник. Вот в итоге и выяснилось, что язык программирования такой. Я раньше о нём не слышал...

RottingCorpse :: Да кларион это.... вон www.pisoft.ru тоже им балуется :)




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал
----------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var addr

gpa «Process32First»,«kernel32.dll»
mov addr,$RESULT
bphws addr,«x»
eob lab1
eoe lab2
run

lab1:
var k
add k,1
cmp k,3
je lab11
esto

lab11:
bp [esp]
bprm cbase, csize
eob lab12
run
lab12:
sti
sti
mov [eip],000228e9
eob final
eoe final
run

lab2:
esto

final:
var l
mov l,cbase
add l,csize
log l
cmp eip,l
jb end
esto

end:
cmt eip, «Tipa tempOEP tuta»
bpmc
ret
----------
блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!




GPcH PeStubOEP v1.4 + 2 новых stub’а Почитал я статью Криса Касперски про SEH...



GPcH PeStubOEP v1.4 + 2 новых stub’а Почитал я статью Криса Касперски про SEH и сделал пару новых stub’ов для проги,
да и глюков много убрал, короче, кому надо, качать здесь:

PeStubOEP v1.4

Кстати, вот новые сигнатуры:

Virus not found (use for known viruses to have effect) 0F1800B8EPEPEPEP68FFE00000FFE4
SEH instuction (stop PEiD, Antiviruses and other [censored] soft) 68EPEPEPEP6764FF360000676489260000F1




Макс ручная распаковка Можно ли что -нибудь распаковать при помощи Peid(ведь...



Макс ручная распаковка Можно ли что -нибудь распаковать при помощи Peid(ведь там есть пункты OEP , Import Table,etc.),и если можно,то как??
- = $pY = - :: Можно, есть плагин наз. Peid Generic Unpacker v0.1

http://peid.has.it/ тут смотри, там все плангины и т.д.

Grim Fandango :: а есть еще FSG 1.33 unpacker тоже плагин.

SLV :: Надо чтоб ось NT-подобная (NT; XP; 2k) была.

KLAUS :: SLV

С чего вдруг? У меня на 98 всё тип ....оп

SLV :: Generic Unpacker у меня не работает. И тоже 98

Макс :: а у меня по-любому XP.Работает.Спасибо.

AlexZ CRaCker :: У меня 98, так в ней всякие AsprDebug, AsprIAT и прочие приятные вещи неработают как надо. Его переходники ничё не берёт. Хоть бы где в туторах кто-нить упомянул как искать IAT вручную... ато самому догонять приходится =)

DillerXX :: А почему токо в НТ бодобных системах фурычит? С чем это связано?

Mario555 :: AlexZ CRaCker пишет:
цитата:
У меня 98, так в ней всякие AsprDebug, AsprIAT и прочие приятные вещи неработают как надо


Это потому, что в 98 ОЧЕНЬ много ограничений на работу с kernel и т.п.




Rastler ASProtect 1.22-1.23 в InternetAccessMonitor Hi народ. Тут вот...



Rastler ASProtect 1.22-1.23 в InternetAccessMonitor Hi народ. Тут вот понядобилась эта тулза и решил я ее крекнуть. И наткнулся на ASProtect 1.11-123 beta 21(во всяком случае так пишет PAid). Что дальше делать незнаю, поробовал AspackDie, говорит что не может. Я вообще то системный администратор, и тулза эта для работы нужна, в свое время крекал немного. Подскажите в каком направлени двигаться и есть ли вообще смысл двигаться :))
P.S. Я так понимаю там не все так просто, так как еще ниразу не встречал ломаной InternetAccessMonitor.
Ara :: 1.Попробуй Stripper 2.07 для распаковки.
2. AsPackDie не катит, только для AsPack
3. Тулзу зовут PEiD!!!
4. Не поможет stripper - выложи ссылку на прогу

ZX :: Rastler
мне это название проги ничего не говорит, и у меня нет желания лезть в гугл, чтоб найти эту прогу и мало у кого оно возникнет и ставить прогу на закачку, что б выяснить ее размер. Ты думаешь если если для тебя мир клином сошелся на этой проге то и у других обязательно она должна быть.
PS задолбали идиоты.

AlexZ CRaCker :: Rastler
Тебе сюда

Rastler :: To ZX

А я непрошу для меня ее ломать.... я хочу сам разобраться

Rastler :: To Ara
спасибо за отзыв, если неполучиься то обращусь

-= ALEX =- :: Rastler если хочешь, можешь руками попробывать распаковать. прочитай мою статью хотябы, на сайте www.cracklab.ru... но я думаю для новичка это будет трудно.

nice :: -= ALEX =-
Да её там не просто снять, там больше 20 проверок теле программы на наличие аспра

Madness :: Rastler
Если ключика ко второй версии (любого) нету, то забей. Сохранение логов и еще чего то там покриптовано, максимум ограничение по времени снять можно. Или демка на сайте, че та не помню уже.

ilya :: Rastler
для распаковки asprotect 1.11-123b21 нужен stripper2.07,если он не поможет-пробуй руками,по моей статье http://ilyacr.narod.ru/aspr122-123b21.html или на сайте http://cracklab.ru/ есть тонна статей по распаковке данного пакера

Mario555 :: А там случаем не 1.31 ?

sanniassin :: nice пишет:
цитата:
там больше 20 проверок теле программы на наличие аспра


Можно ведь пропатчить
Mario555 пишет:
цитата:
А там случаем не 1.31 ?


Походу он самый (кстати в этой проге GetRegistrationInformation не юзается?)

-= ALEX =- :: а если пропатчить сам аспр. проблем не будет ?

sanniassin :: -= ALEX =- пишет:
цитата:
а если пропатчить сам аспр. проблем не будет ?


Я это и имел ввиду

Mario555 :: Угу, сейчас посмотрел - там Aspr 1.31 RC 05.18.

ilya :: Mario555 пишет:
цитата:
Угу, сейчас посмотрел - там Aspr 1.31 RC 05.18


боролся с этим чудом при помощи Ольки???

dumbo :: Rastler
не в тему, но для страдающих от поисков кряков к iam,pi,etc полезно - www.webspy.com
и, например, для AnalyzerGiga 2.1.1.3:
00088798: 55 33
00088799: 8B C0
0008879A: EC 40
0008879B: B9 C3

ps. редко нынче в поле встретишь непакованное... =]

WELL :: ilya пишет:
цитата:
боролся с этим чудом при помощи Ольки???


А что тут такого?

MC707 :: dumbo
хм. прикольная прога, thx.
Еще бы в ней online check product update убрать и клево было б...
Ща сяду копать...

dumbo :: MC707

э-э! в настройки зайди! =]

MC707 :: dumbo
хехе. и точно =)

Rastler :: Народ спасибо за отзыв, у меня все получилось .... а версия у меня есть их, до того когда они начали продавать...
там ограничение только по времени :) а с этим я справился.

Rastler :: Да и еще, я пока ломал IAM увлекся так ... хотелось бы вспомнить assembler, мож ресурс или кгижку какую толковую посоветуете, а и еще по Win API че нить.

Роман :: Rastler
а советиком по взлому IAM не поделишся??

а то очень надо

SLV :: Rastler пишет:
цитата:
а и еще по Win API че нить


MSDN =)

Rastler :: Роман
Ну это версия для Squid, под другие кеши там по другому, кроме того у меня версия которую они раздовали, пока она не стала пдатной ... там особой защиты нет. Пиши на мыло расскажу как делал дял squid

SLV
Не ну это понятно :))))




vasya FlashPlayer Plus 1.8; распаковка Мое почтение.



vasya FlashPlayer Plus 1.8; распаковка Мое почтение.
Есть сабж, 3.29MB(3,453,489 Bytes).
PEiD показывает, что он запакован ASPack 2.1. Попробовал распаковать. PE Tools-›Break&Enter, восстаналиваем первый байт, bpm esp-4, PE Tools виснет. И винда начинает вести себя крайне похабно. LordPE-›Break&Enter - вываливается окошко, с тем, что плайер заглючил и надо бы отправить отчет. Шо делать, отцы?
Ось: WinXP, SP1; SIce 4.3.1
Ara :: Попробуй OllyDbg. Аспак распаковать - как два пальца...




][Neo Уважаемые товарищи крякеры помогите! Не могу сломать FileRenamer 1.0...



][Neo Уважаемые товарищи крякеры помогите! Не могу сломать FileRenamer 1.0 Build 9 Вообщем суть дела! Хочу в целях обучения сломать File Renamer 1.0 Build 9. (мелкая такая софтина для переименовки файлов).
Программа переимовывает 250 файлов и дохнет. Вылетает сообщение «Register your copy! Maximum 250 files can be renamed in Unregistred Copy.»
Посмотрел Peid’ом все чисто, написана на Vb 6.0, проехался по ней Dasmom.
Нашел в дизассембленном тексте строку «Register your copy! Maximum...
Нашел адрес условного перехода...
Перешел по нему и отредактировал строки cmp (где идет сравнение количества переименованных файлов и 250)
и сменил условный джамп. Да программа теперь если ей подсунуть в одной папке 1000 файлов она их переименует и не матюгнется, но зато после первого нажатия кнопки Apply (т.е. перименовать, даже если переименуем всего 1 файл) она становится Disable и более не доступна до выхода и следующего запуска.

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:0042B8D4(C) - вот этта ссылка
¦
:0042BEA2 B804000280 mov eax, 80020004
:0042BEA7 894588 mov dword ptr [ebp-78], eax
:0042BEAA B90A000000 mov ecx, 0000000A
:0042BEAF 894D80 mov dword ptr [ebp-80], ecx
:0042BEB2 894598 mov dword ptr [ebp-68], eax
:0042BEB5 894D90 mov dword ptr [ebp-70], ecx
:0042BEB8 8945A8 mov dword ptr [ebp-58], eax
:0042BEBB 894DA0 mov dword ptr [ebp-60], ecx

* Possible StringData Ref from Code Obj -›«Register your copy !»

0042B8C1 66833D6860440000 cmp word ptr [00446068], 0000
:0042B8C9 750F jne 0042B8DA
это проверка если число файлов больше 0, но еще не достигло 250

:0042B8CB 66813D66604400FA00 cmp word ptr [00446066], 00FA
:0042B8D4 0F8DC8050000 jnl 0042BEA2
а вот именно та проверка если более 250

исправил я это так
0042B8CB 66813D666044000000 cmp word ptr [00446066], 0000
:0042B8D4 0F8DC8050000 jl 0042BEA2

З.Ы. Значения меньше нуля в этой проге не будет (даже если ничего не переименуешь), следовательно и перехода тоже....

Но вот как быть с кнопкой Apply!
Неохота каждый раз перезапускать прогу. Да и кряк какойто получился кастрированный!

Помогите кто-нибудь! Подскажите чего-нибудь дельное! Если чего не так написал, то уж не взыщите с ламера !!!

][Neo :: Да! прошу прощения запостил не по правилам! Прошу простить! Поздно увидел!


guest007 :: Ссылку дай на программу

Dred :: а чо руками впадлу уже?

это я шутю
давно меня здеся не было...

][Neo :: Вот адрес http://softsearch.ru/programs/33611.shtml

SLV :: Щас посмотрим

AlexZ CRaCker :: ][Neo
Странно, но программа Freeware, если верить надписи на сайте.. потому что скачать неполучилось ни версию 1.0 ни 2.0 (она кстати тоже фривар). Сайта автора программы уже нету. Можешь мне по почте прислать. Если кому тоже надо - я залью, как только мне пришлёт.

PlainTeXT :: Вот отсюда нормал скачивается.. http://andreymalishev.chat.ru/programs/Renamer.zip

Noble Ghost :: А бесплатные аналоги не интересуют??? Да и самому прожку написать -- полчасика в билдере. Хотя всякое бывает, если надо, ломай =)

][Neo пишет:
цитата:
Значения меньше нуля в этой проге не будет (даже если ничего не переименуешь), следовательно и перехода тоже....


Наивный =)

guest007 :: ][Neo
Программа не скачивается.
Так что либо присылай по почте, либо залей ее куда-нибудь и дай ссылку.

sanek :: PlainTeXT пишет:

цитата:
Вот отсюда нормал скачивается.. http://andreymalishev.chat.ru/programs/Renamer.zip


Отсюда великолепно льется

WELL :: Noble Ghost пишет:
цитата:
А бесплатные аналоги не интересуют??? Да и самому прожку написать -- полчасика в билдере


Он же сказал
][Neo пишет:
цитата:
Хочу в целях обучения сломать File Renamer 1.0 Build 9


][Neo
Лучше все-таки не cmp меняй, а переходы.

][Neo :: http://andreymalishev.chat.ru/programs/Renamer.zip это абсолютно не та прога, а вот по ссылке
http://softsearch.ru/programs/33611.shtml она была, но ссылка сдохла, я отпавил инсталлер AlexZ CRaCker’ru

AlexZ CRaCker пишет:
цитата:
Сайта автора программы уже нету. Можешь мне по почте прислать. Если кому тоже надо - я залью, как только мне пришлёт.




1) Noble Ghost пишет:
цитата:
][Neo пишет:
цитата

Значения меньше нуля в этой проге не будет (даже если ничего не переименуешь), следовательно и перехода тоже....

Наивный =)


Объясни почему? Если мы переименуем хотя бы один файл, то значение каунтера будет уже отлично от 0, а даже если нет, то каунтер будет равен 0 по умолчанию... или количеству файлов переименованных в прошлый запуск проги....

2) WELL пишет:
цитата:
][Neo
Лучше все-таки не cmp меняй, а переходы.


Прокомментируй, пожалуйста чем это грозит !!! (в целях лекбеза)

AlexZ CRaCker :: Залил сюда (да... тяжело диалапом такие вещи делать и почтовик ещё метр лишний впаял) Короче, 1.5 Мб.

Noble Ghost :: ][Neo пишет:
цитата:
Объясни почему?


Слово overflow не навидит на мысль? Правда в данном случае ситуация практически нереальная =)

AlexZ CRaCker :: ][Neo
Дело в том, что программа (даже если ничего не поправить), понимает, что файлов много, и блокирует кнопку, если это так. Проверь. Поэтому в том, что ты исправил переход или cmp - нет ничего плохого. Тебе следует либо поставить бряку в память на r/w 00446066, 00446068 и посмотреть, кто ещё следит за количеством, либо полностью зарегать прогу. Т.е. найти первую проверку на зареганость и дальше действовать по обстоятельствам.
Скорее всего, что это не баг (ну нам то всё баг!), а просто автор сделал так, чтобы юзверь не мог переименовать 2000 файлов порциями,.. и ободрать его как липку!

guest007 :: С колличеством файлов все просто, нужно только переход
по адресу 0042b8d4 занопить и после этого программа обрабатывает любое колличество файлов. А вот с кнопкой apply я пока не разобрался.

Кто-нибудь знает, какая функция в VB позволяет сделать кнопку неактивной (типа EnableWindow) ?

AlexZ CRaCker :: ][Neo
Кстати, только что решил эту проблему. Ведь по адресу 00446066 - счётчик порядкового номера переименовываемого в текщий момент файла. Смекнул?
][Neo пишет:
цитата:
Помогите кто-нибудь! Подскажите чего-нибудь дельное!


Ну раз сам просил, тогда вот как я сделал:
0042B8BF CALL EDI
0042B8C1 CMP WORD PTR DS:[446066],0FA // Счётчик
0042B8CA JLE SHORT RENAMER_.0042B8D5
0042B8CC MOV WORD PTR DS:[446066],0 // сбросим, если много
0042B8D5 NOP
0042B8D6 NOP
0042B8D7 NOP
0042B8D8 NOP
0042B8D9 NOP
Как ты уже заметил, я просто на место старого, ненужного кода встроил свой, нужный. И тупая прога думает, что мы переименовали мало файлов! А мы то по тысячам прошлись! Конечно, от этого прога не становиться зареганой, но если ограничение только в этом, то [UNREGISTERED] можно и в ресурсах пофиксить.


P.S. Ну и Apply теперь ес-сно доступна всегда

AlexZ CRaCker :: Вот так вот. Простой и красивый ход. И не надо VB_EnableWindow искать .

guest007 :: AlexZ CRaCker пишет:
цитата:
Простой и красивый ход


Молодец, действительно просто и красиво.
А я уже собрался в дебри бэйсика лезть.

WELL :: ][Neo пишет:
цитата:
Прокомментируй, пожалуйста чем это грозит !!! (в целях лекбеза)


Ты не можешь знать какое значение там будет. МОжет там специально автор подлянку сделал. При неверной контрольной сумме - отрицательное значение (это просто например).
Поэтому ИМХО надежнее изменить условный переход на безусловный или занопить (где как). Так и байт меньше исправлять...
P.S. Не лекбез а ликбез (это сокращенно: ЛИКвидация БЕЗграмотности)

][Neo :: guest007 пишет:
цитата:
Кто-нибудь знает, какая функция в VB позволяет сделать кнопку неактивной


В VB есть элемент управления CommandButton и у него есть свойство Disable и Enable (выкл. и вкл.), это свойсво и отвечает за «активность» кнопки...

А вот про функцию ничего не слышал...

][Neo :: Спасибо всем! Отдельное спасибо AlexZ CRaCker’ru за помощь... Сейчас на работе нагрузили по полной, но как только разгребусь обязатьльно изучу твое решение... Еще раз спасибо...
З.Ы. Я кстати тоже понял, что в проге где-то есть счетчик, но понять как он работает не смог!!!
Пока, что еще нет достаточного багажа знаний...

С уважением Валера!




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




sanek DEDE и возможно ли дописать код Вопрос: программа узко направленная,...



sanek DEDE и возможно ли дописать код Вопрос: программа узко направленная, делает расчет но сохранять базу не дает, т.е. если набить данные в базу то расчет производиться но база с данными не сохраняется.
При сохранениии вылетает мессага расказывающая о бренной жизни программера и с намеком, что это она демка.:-). Так оно и есть просто отсутствует код для сохранения.
Возможно ли дописать недостающий код в .dll или как нить еще и заставить всетаки ее сохранить данные.
прога на дельфях весит 5 мб
Сохранение происходит в .тхт сохранение данных последовательное.Если менять в .тхт то все нормалек, но там ограничено кол-во записей, а при добавлении своих в конец базы, вызывает ошибку т.е. база порченая говорит. Я не знаю мож с ascii символами связано, кто че знает почему не дает открыть с добавленными строками.
И вообще с такими демками можно связываться?
MoonShiner :: sanek пишет:
цитата:
Возможно ли дописать недостающий код в .dll или как нить еще и заставить всетаки ее сохранить данные.


Возможно, но эта задача намного сложнее обычного крякерства. Если ты уверен, что код, ответственный за сохранение отсутствует, то посмотри формат БД, попробуй открыть базы такого формата... Если формат самописный, то дело существенно облегчится. Если же формат ваще неясен, то придется дописывать код, который будет формировать БД нужного формата.
sanek пишет:
цитата:
Сохранение происходит в .тхт


Значит ваще чудно. Ошибки исследуй, мож ты левые символы какие нить втыкаешь типа перехода на другую строку и т.д...

sanek :: MoonShiner пишет:

цитата:
Значит ваще чудно. Ошибки исследуй, мож ты левые символы какие нить втыкаешь типа перехода на другую строку и т.д...


Ну не совсем .тхт они назвали его .ppr как и программу, но это текстовый файл(наверно)
Как символы ascii раставлять чет их не видно блин. смотрел т.commander по F3. F4. мож софтина есть какая.
запись в базе такая:
03
Эл. двигатель ~ 2 380В 3,2кВт
Плотницкая
1984 год 01 месяц
144
12
9
44
1,8

104
Эл. двигатель 4А132-114У3 7,8кВт 380В
Плотницкая
1975 год 01 месяц
144
12
9
44
1,8

105
Эл. двигатель А54-4 380В 7кВт
Плотницкая
1959 год 01 месяц
144
12
9
44
1,8

106
Эл. двигатель АИР112М4 380В 5,5кВт
Плотницкая
1982 год 01 месяц
144
12
9
44
1,8
Редактировать можно, добавлять вниз хрен, потом не откроет.

MoonShiner :: Значит смотри, как организуется промежуток между записями в нормальной базе, ищи служеюную структуру типа заголовка или иную инфу... Смотри, как осуществляется переход на новую строку. лучше это делай в доснавигаторе или 16-ричном редакторе.

infern0 :: да там просто контроль на количество записей стоит. А с переходами на другую строку все в порядке...

MoonShiner :: infern0 пишет:
цитата:
да там просто контроль на количество записей стоит. А с переходами на другую строку все в порядке...


Могет быть и так... Значит определи, при любом ли количестве записей добавление новой не прокатит.

sanek :: MoonShiner пишет:

цитата:
Могет быть и так... Значит определи, при любом ли количестве записей добавление новой не прокатит.


Если снести одну из записей программа говорит, что фаил либо пврежден, либо не файл проекта, то же самое при добовлении записи(группы записей 9штук в блоке).
Программа Планово предупредительный ремонт- предназначена для предприятий энергетики.
это так к слову.

MoonShiner :: sanek пишет:
цитата:
Если снести одну из записей программа говорит, что фаил либо пврежден, либо не файл проекта


Значит криво сносишь или же где то хранится инфа и данном файле. С такими вещами нужно быть аккуратным и пихать лишних символов, структур и т.д., что будет отличать рукописный проект от нормального.

sanek :: MoonShiner пишет:

цитата:
Значит криво сносишь или же где то хранится инфа и данном файле. С такими вещами нужно быть аккуратным и пихать лишних символов, структур и т.д., что будет отличать рукописный проект от нормального.


Наверное, но че там невежаю вот решил выложить так называемую базуздесь тащится регетом или качалкой любой(проверял).
Посмотрите мож кто ченить пояснит 5 кб

MoonShiner :: Нихрена не тащится.

sanek :: MoonShiner пишет:

цитата:
Нихрена не тащится.


Поправил русс.буквы бл*яТУТ и твыше в топике

MoonShiner :: Те же яйца, только в профиль. Залей на мыло moonshiner(бобик)freemail(точка)ru

MoonShiner :: Ан, нет, залил ужо.

MoonShiner :: Ну посмотрел... без проги конечно тоскливо, но сразу напрашивается такой вывод. Всего на первый подсчет в этой базе 50 записей. в 3-й строке выложенного файла стоит число 50. Попробуй заменить его на 51 и в соответствии с принятым синтаксисом остальных записей добавить еще одну. И напши результат.

sanek :: MoonShiner пишет:

цитата:
Попробуй заменить его на 51 и в соответствии с принятым синтаксисом остальных записей добавить еще одну. И напши результат.


Стыдно пи*з*д*е*ц, ламо б*я оно и есть ламо, черным по белому написано 50, а я в коде программы искал проверку-дебил. Правда добавлять записи аккуратно нужно.
Алгоритм расчет оказался легким в этой программе и за вечер я уже свою прогу начал писать такого же плана правда с .mdb_шной базой.
Но все равно спаибо MoonShiner. Иногда результат лежит на поверхности поэтому и не виден.
Эта прога с ОЛЕЙ не хочет работать, w32dasm-подвешивается, peid пишет borland C++ и все. Смотреть мона только ИДОЙ и деде.

MoonShiner :: Радоваться нуна, все же получилось:) Говорил же я тебе в первых топиках, чтобы искал некую структуру, которая тянет на заголовок.




CReg [TSRh] :: CRACKL@B Requests :: Запросы на крэки ТОЛЬКО здесь! Как я...



CReg [TSRh] :: CRACKL@B Requests :: Запросы на крэки ТОЛЬКО здесь! Как я понял из голосования, которое проводилось в последние дни форума перед ресетом, такой топик здесь нужен :) Так что восстанавливаю его, потому что я смотрю опять стали эти реквесты появляться.

Всем надоели постоянно появляющиеся посты с просьбами сломать прогу XXX v x.xx :) особенно когда указывают только название - нет ни версии, ни прямой ссылки, вообще никакой информации.
Так что теперь, если вы хотите, чтобы вам помогли, то надо запостить сюда реквест по такому шаблону:

---
[Название программы]
Название, версия, если есть - то номер билда

[Результаты поиска лекарств с сети]
где искали, есть ли лекарства к предыдущим версиям, если есть - то какие и т.п. информацию

[Прямая ссылка на файл]
Прямая ссылка на файл, то есть прямо на .exe, .zip или что там еще

[Сайт программы]
Ссылка на сайт

[Размер]
Точный размер (в байтах). Желательно и для архива с программой, и для самого исполняемого файла, .dll или т.п.

[Ограничения]
Тип ограничения, например испытательный срок 15 дней, отсутствие некоторых функций, каких именно функций и т.д.
Чем точнее укажете - тем лучше.

[Способ регистрации]
Серийный номер, кейфайл... и т.п.
Если точно не уверены - напишите, но если ничего не написано и это демо - пост будет удален.

[Описание]
Небольшое описание, для чего программа нужна и т.п.

[ОС]
Под какой операционной системой работает.

[Комментарии]
Любые комментарии, ваши пожелания и пр.
Очень желательно оставлять координаты для связи (e-mail, ICQ) - чтобы не забивать топик, если кто-нибудь вылечит программу, пришлет вам или еще как-нибудь договорится в личном порядке.
---

При этом в случае, если человек не соблюдает форму запроса, то первые две такие попытки будут просто проигнорированы - сообщения будут удалены, на третий раз будет просто БАН

Так же очень прошу не вести здесь дискуссий о программах, типа «отстой», «кому такое надо» и пр. Если попросили - значит надо. Кто не хочет - не ломает. Не надо повторять запросы - сначала посмотрите, нет ли уже такого.
Если кто хочет чтобы ему(ей :)) что-нибудь подсказали, то есть хотят сломать сами, но не могут - как обычно создают новые топики и обсуждают :)

---
дополнение: где искать лекарства?
доктора рекомендуют:

http://astalavista.box.sk
http://www.asta-killer.com
http://anycracks.com
http://keygen.us
http://serials.ws

http://down.ttdown.com/Search_Soft.asp
http://www.0daycn.net/new/0daycn_1.htm

+dupecheck.ru
SerGik :: AVerRC v2.00 build 266
-------------
Лекарства искал на Lomalka.ru, keygen.ru, через поисковик, ничего не нашел.
-------------
Прямая ссылка: http://averrc.narod.ru/averrc.exe
Размер: 1 254 834 kb (1.20 Mb)
Ссылка на сайт: http://averrc.narod.ru/
-------------
Ограничения:
1. Функция «Hibernate Mode» доступна только в зарегистрированной версии.
2. Ограничена функция печати настроек программ для пульта - печатаются настройки только для половины кнопок.
3. При старте программы и при использовании функции Shutdown присутствует всплывающее окошко (которое нельзя закрыть в течении нескольких секунд) с напоминанием о необходимости регистрации программы.
По окончании 30 дней с момента установки программы отключаются функции - Monitor Power On/Off, Alt-Tab Emulation, Run Screen Saver.
------------
Способ регистрации:
Серийный номер,но при попытке ввести серийник прога требует online регистрацию.
------------
Описание:
Программа AVerRC предназначена для управления некоторыми системными функциями ОС Windows
и популярными Аудио-, Видео-, Теле-, Радио- и другими программами с помощью пульта
дистанционного управления от ТВ-тюнера.
------------
Извините что я неправильно к вам обратился, все-таки я в первый раз здесь

Grim Fandango :: Пацаны, спасайте!

1. Traffic Inspector (http://www.smart-soft.ru/) v.Release Candidate 1.1.0.123
http://www.smart-soft.ru/...nload.asp?pid=3&did=20117
2. Result of search: 0. На диске есть кряка к старому билду Traffic Inspector v1.0.0.98
keygen от
CRACKED BY....: Madness OS TYPE....: WinAll -
- SUPPLIED BY...: KpTeaM LANGUAGE...: English -
TESTED BY.....: Madness RLZ TYPE...: Keygen
--- PACKAGED BY...: KpTeaM RLZ DATE...: 15-03-2004 ---
3.Размер дистрибутива 11219566 байт.
4.Без активации программа будет работать как бесплатная версия Lite - для двух пользователей. Сразу
же после
установки Вы можете выписать временный ключ на 30 дней, чтобы оценить все возможности. Для этого в
консоли
программы нажмите «Активация», установите галку Trial и нажмите кнопку Запрос на сайт. На сайте
заполните
недостающие поля и получите ключ.
Если Вы решите приобрести программу, то сможете просто заменить триальный ключ на лицензионный.
Внимание! Процедура получения лицензионного ключа иная. Нужно присылать код продукта и привязку по
электронной
почте. Прочитайте раздел «Активация» в документации.
5. Proxy server.
6. WinAll предполагается под Вин2к АДВСРВ.
7. Надо замена Юзергейту :)

ё-мыл мой тут есть

Styx :: SerGik
Возьми и мой на пробу!
acad.at.tyt.by/AVerRC.rar

Гость :: 1) Easy CD-DA Extractor 7.0.6 (build1)
2) keygen.ru; yandex.ru; keygen.us; serials.ws; lomalka.ru
3)link
4)http://www.poikosoft.com/
5)setup - 4 770 910 b
exe - 2 260 992 b
6) 30days; нагскрин (5сек); ограничение скорости cd-риппинга - других не замечено
6) name & s/n
7) хорошие грабли (скорость&качество)
8) win all
9) exe’шник запакан Armadillo, все dll’ки - UPX’ом, серийные от версий v5 и v6 не подошли

ExeSh :: Может кто ломанет Fraps 2.2.1

Benchmarking Software - See how many Frames Per Second (FPS) you are getting onscreen while running your games. You can even perform custom benchmarks and measure the frame rate between any two points. Save the statistics out to disk and use them for your own applications.

Screen Capture Software - Take a screenshot with the press of a key! There’s no need to paste into a paint program every time you want to capture the screen. Your screen captures are also automatically named and timestamped.

Прога меленькая 0.6MB но очень классная.

Делает чудесные Time Video Capture

Realtime Video Capture Software - Have you ever wanted to record video while playing your favourite game? Forget about using a VCR, throw away the DV cam, game recording has never been this easy! Fraps can capture audio and video up to 1024x768 at 30 frames per second!

Регистрации в проге нет.
Она через сайт идет
_http://www.fraps.com/register220/

Упакована вроде армадило1 1.хх-2.хх версия как пишет PEiD

В незарегистрированной версии делает захват видео в половинном разрешении монитора и красуется надпись адреса сайта.

У китайцев этой версии нет пока.

ExeSh :: Пару новых плагинов для фотошопа
Image Restoration Software(автоматическая реставрация царапин и т.д на изображении.)
Image Combination Software
_http://akvis.com/en/index.php

Функциональность у них не урезана.
Только ограничение по времени 10 дней
Вроде упаковано
ASProtect 1.23 RC4 - 1.3.08.24
но все ресурсы открыты.

CReg [TSRh] :: ^up^

Отредактировано:

Вл@D
первое предупреждение - в самом верху написано, что тут только запросы и ответы, и не надо тут флейм разводить...

Grim Fandango :: Парни, поделитесь ключом к Hiew 6.86. Думаю ен нужно говорить ,что это и зачем оно нужно.=) В интеренет не нашёл выше 6.85.

Алёшка :: Oxygen Phone Manager II v2.3.1 for Nokia
--------------
Лекарства искал практически везде где хватило фантазии
И где доктора рекомендуют, и там где не рекомендуют
список ссылок огромен.
-----------------------
Прямая ссылка http://www.oxygensoftware.com/download/OPM2.zip
Сайт родной http://www.oxygensoftware.ru/ или http://www.oxygensoftware.com/
Размером архив - 8.7М (8 749 173)
На диске после установки около - 15М
---------------------------------
Ограничения Trial - Секция MMS и Галерея только для чтения
(приложения Java и остальное в программе работает нормально)
Чтото там ещё (написано по аглицки в самой проге),
но мне важны именно функции, указанные выше
-------------------------------------------
Для регистрации обращается на - http://www.opm-2.com/order/
Напрямую ввести код или серийник в программе не предусмотрено.
---
Программа для подключения мобильного телефона к компьютеру
(для заливки/скачивания мелодий, картинок, приложений, телефонной книги и др.)
----------------
Работает под All Windows
-------------------------
Хотелось бы конечно полнофункциональную версию.
Контакт diesoft@mail.ru

nice :: Grim Fandango
Тебя под win32 устроит?
под дос сломанного нет.

Grim Fandango :: да, конечно устроит. =)

Grim Fandango :: спасибо, nice, пришло.

CReg [TSRh] :: Алёшка
Это демо. Чтобы ломать - нужна полная версия.

Макс :: nice
О!!!Заделись тоже hiew’ем пжалста.

Runtime_err0r :: Hiew.v6.86-YAG h~~p://www.zone.ee/Runtime_err0r/yaghiew686.zip

TITBIT :: Runtime_err0r пишет:
цитата:
Hiew.v6.86-YAG h~~p://www.zone.ee/Runtime_err0r/yaghiew686.zip[/C ]
Не качается... Runtime_err0r , вышли мне ключ на saniok@xxx.lt

Runtime_err0r :: TITBIT
Попробуй отсюда: хттп://cafs.times.lv/yaghiew686.zip

TITBIT :: Runtime_err0r пишет:
цитата:
Попробуй отсюда:


Все путем. Скачал по первой ссылке. Инет ~ глючил....
Runtime_err0r , благодарю за ссылку, давно искал..

gas1979 :: ---
[Название программы]
Miakro 7.0

[Результаты поиска лекарств с сети]
в сети лекарств нет

[Прямая ссылка на файл]
http://www.rabbit.ru/Disk1.zip
http://www.rabbit.ru/Disk2.zip
http://www.rabbit.ru/Disk3.zip
http://www.rabbit.ru/Disk4.zip
http://www.rabbit.ru/Disk5.zip
http://www.rabbit.ru/Disk6.zip

[Сайт программы]
http://www.exponet.ru/exh...e/farmer99/miakro.ru.html

[Размер]
6,96 МБ

[Ограничения]
При сохранении проекта выдает ограничение, все остальное работает

[Способ регистрации]
Неизвестен

[Описание]
Программа МИАКРО ведёт базу данных по всем активам Ваших кроликоакселерационных ферм – постройкам, поголовью, затратам, реализации готовой продукции и т.д.

[ОС]
Win XP

[Комментарии]

---

Макс :: gas1979
да...вряд ли кто-то 10 метров качать будет,кроликов смотреть

gas1979 :: Можно и не кочать, подскажите как можно это исправить, или попытаться

Там в комплекте БД прикладывается, а сама прога в распакованном виде 1.3 Мб

Алёшка :: Если кому нужен Oxygen Phone Manager II v2.3.1 for Nokia
смотри здесь:
http://forum.gsmhosting.c...php?t=148082&page=1&pp=15

Tolik :: [Название программы]
Macromedia Dreamweaver XM 6.0 (trial)

[Результаты поиска лекарств с сети]
Искал через поисковик, нечего не нашол

[Прямая ссылка на файл]
http://download.macromedi...er/esd/dw_mx_trial_en.exe

[Сайт программы]
www.macromedia.com

[Размер]
49980KB

[Ограничения]
30 дневная версия

[Способ регистрации]
Неизвестен

[Описание]
Лутший HTML редактор

[ОС]
Windows XP

[Комментарии]
Вот моя ася: 325691735, буду очень признателен тому кто мне поможет !

MARcoDEN :: Tolik
Попробуй вот этот серийник: WPD700-58202-88194-29915

Tolik :: MARcoDEN
Так дело в том, что я не знаю как ее зарегить...

newborn :: MARcoDEN
У него наверно ещё та демо версия которая вышла первой, там регистрация вообще не доступна

MARcoDEN :: Tolik пишет:
цитата:
Так дело в том, что я не знаю как ее зарегить...


Выбери меню Help-›Activation-›Activate Product и вводи серийник

Tolik :: MARcoDEN
В меню Help у меня нет подменю Activation-›Activate Product!

Styx :: Tolik
Найди себе другой дистриб.

Tolik :: Styx
Что это значит? Дистриб?

WELL :: Tolik пишет:
цитата:
Что это значит? Дистриб?


Дистрибутив (инсталляшка)

Tolik :: Придется заново качать... Эххх, что же поделаешь..

newborn :: Tolik
Зачем качать ,в каждом городе есть магазин с комп. дисками ,пойди посмотри, там такое должно быть...

dimka Re: ExeSh :: Привет.У меня есть крякнутая версия FRAPS.Пришли мне на майл dimka18@hotbox.ru свой майл, и я тебе её отправлю.

Tolik :: newborn
Да, я знаю! Но я не хочу тратить 70-100 руб.! За эти деньги я лутше себе игру какую-нибудь куплю!

newborn :: Tolik
Ну ... это тебе решать....




XPiS NeoLite 2 распаковывается то он хорошо даже PEiD generic unpacker, но...



XPiS NeoLite 2 распаковывается то он хорошо даже PEiD generic unpacker, но скачал пакер и хотел запаковать, так
он trial - кто нить ломал? Все в нете крэки левые и не после них вообще пакер не запускается.
Runtime_err0r :: h++p://www.zone.ee/Runtime_err0r/NeoLite.zip - NeoLite 2.0 [retail]




VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9....



VLOM Помогите с Asprom разобраться Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет).
Изучил достаточно много туториалов на Cracklab , Bioworm и WASM ,Но после BPINT3 на bpm esp-4 OEP не ловится, а превание по BPR айс не хочет ставить! F5 два раза а на третий прога запускается...
WELL :: VLOM
1) Ссылку надо давать на прогу
2) Юзай ольку

DFC :: VLOM , а ты SuperBPM то запустил?

Ara :: В ХР такое бывает

VLOM :: ссылка на сайт http://www.abroaddesign.com/search/search.zip
На bpm esp-4 бряки срабатывют , 2 раза, но в точке прыжка на OEP бряк не срабатывает.
Дайте ссылку на SuperBPM под 2000 плиззз.Пробовал ставить Superbpmfornt с DeMoNiX, но 2000 пишет что служба
неправильная ,хотя в системе сервис прописывается ,но глюкаво.

SLV :: VLOM пишет:
цитата:
Дайте ссылку на SuperBPM под 2000 плиззз


У Биоворма я брал (www.bioworm.narod.ru)...

VLOM :: На старом компе на AthlonXP2500 в принципе всё ставилось и запускалось.
А сейчас Athlon64-2800 ,может иза этого неправильно и работают службы и SoftIce?

VLOM :: SLV
Скачал.Верия SuperBMP таже самая.

SLV :: VLOM , значит винда глючная у тебя.

Runtime_err0r :: VLOM

цитата:
Программа AD Search&Replace v 1.9. Запакована ASProtect 1.22 - 1.23 Beta 21 -› Alexey Solodovnikov
(PIED 0.9 так определяет)


У тебя PEiD старый ! На самом деле ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ...
Попробуй stripper’ом ...

DFC :: Runtime_err0r .
У него похоже просто версия проги старая...А та, что щас лежит, ты указал какой AsPr...stripper спокойно ее берет.

VLOM :: SLV

Винда у меня как раз не глюкавая , Первая копия с ОРИГИНАЛА MS, хоть support требуй.
А распаковать всётаки в ручную хочу.Stripper-ом то она распаковывается,
но в ручника желательнее.

SLV :: VLOM пишет:
цитата:
А распаковать всётаки в ручную хочу


Запусакешь прогу в олю. Жмёшь No. F9. Проходишь все исключения по Shift+F9, далее Alt+F1 -› tc eip‹400000 -› enter и ждёшь. Потом окажешься на какой-то бредятине и жми ctrl+A и сразу пробел. Затем пару раз F8 и ты на OEP

DFC :: VLOM , ну если вылетаешь по bpm esp-4, тогда попробуй поcтавить bpm esp-24, раз ...цать клацаешься по F5 и смотришь когда окажешься в протекторе, потом еще 1 раз и должен увидеть то что хочешь.






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS