Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



gRad2003 Про UnPECompact У меня такая роблемка:



gRad2003 Про UnPECompact У меня такая роблемка:
PEiD показал: PECompact 1.68 - 1.84
Воспользовался я UnPECompact 1.31. Он просто повис.
UnPECompact 1.32 распаковал нормально, только полученный файл не запускается, выдаётся ошибка:
Ошибка при инициализации приложения (0xc00000005) ...
В чём тут дело?
Есле в UnPacker-е, то где взять другой?

MozgC :: Попробуй Generic Unpacker Win32
Ну или сам учись распаковывать. Всю жизнь все равно не сможешь пользоваться автоматическими распаковщиками. А такая ошибка - это когда либо что-то не так в первоначальном дампе, либо что-то с таблицей импорта.

Kerghan :: А ProcDump по-твоему для чего сделан

gRad2003 :: ProcDump тоже некую ляпу выдал




[EGOiST][TSRh] ExeShield Deprotector тут вот протектор есть .. ExeShield.....



[EGOiST][TSRh] ExeShield Deprotector тут вот протектор есть .. ExeShield..
я написал депротектор предлогаю потестить.. и ешо мне нужна помощь..
кто хочет помочь обращайтеся..

hxxp://24.61.221.150/egoi...eshield.decryptor-ego.rar
freeExec :: Ты еще дай на чем его затестить

[EGOiST][TSRh] :: довел до ума.. потестите.. http://www.exeshield.com/
качаешь сам протектор.. ченить протектишь и используешь декриптор ))

hxxp://MozgC.narod.ru/exe...1.5.final-egoist.tsrh.rar

Bad_guy :: А вот и прямая ссылка на сам протектор (щаз как раз качаю 1476 кб)
http://www.exeshield.com/exeshield-trial.exe

[EGOiST][TSRh]
Кстати, а зачем тестить - ты что не уверен, что правильно написал ?

И еще: ни разу не видел проги, которая была запакована этим exeshieldом...

Как там тэсэрэаш поживате ???

[EGOiST][TSRh] :: поживаем нормально.. Ж)

вот последняя версия.. Bad_guy посмотри...

hxxp://24.61.221.150:6666...1.5.1.small.tool-tsrh.zip

RideX :: У меня почему-то сам ExeShield не запускается, хотя скачал с оф.сайта :(
(Windows XP, SIce неактивен)

[EGOiST][TSRh] :: у тя наверно Сайс стоит да?.. он с ним ваще не запустится..
используй фрог и 9x или ME....

RideX :: 2[EGOiST][TSRh]
Потестил на другом компе, WindowsXP/без САйса, твой депротектор (потрошитель :) работает, "вывернул" всё прекрасно и загенерил всё правильно... Сам ExeShield глюкавый, не может файл с индексированным битмапом запаковать, файлы им пакованные распухают, он их какой-то требухой набивает что ли? Ладно, отвлекся от темы, короче всё ОК!

2All
М-да... Такое ощущение, что ExeShield написан на Visual Basic или даже на FoxPro :( Когда "потрошитель" :) EGOiST’а выворотил из пакованного *.exe лицензию и ещё один *.exe, когда во время работы я глянул в рабочую папку проги и увидел скрытый *.exe с расширением tmp, в котором не хватало здоровенного куска, захотелось глянуть в сам ExeShield... Ну глянул... Я, так понимаю, в других протекторах, написанных на Delphi, после слова procedure идет слово asm :), а в этом это слово, наверное, не встречается ни разу :))) Он, по видимому, весь собран из VCL компонентов, во там какие есть: PEStuff, VCLZip, VCLUnZip, DCPCrypt, BIOSHelp, SHA1, md5, Rijndael, WinXP (это они manifest компонентом прилепили :), ну мож ещё че-нибудь... В ресурсах (SECONDAPPEXE) лежит целый экзешник :))))), его можно достать и запустить, а он напишет: Error 1001, unable to unpack files. Короче, работает, только unable... :))) Блин, чё-то на ха-ха пробило :) А я чё подумал что он на Basice написан, они в своей справке написали, что мол если Ваша прога на VB5/VB6 и если её защитить нашим протектором, будет ваще круто!!! А так-то она на C++ Builder написана - это уже не Delphi, это гораздо круче :))) Я недавно где-то UnfoxAll скачал и захотел её на какой-нибудь FoxPro’шный файл натравить, натравил, такого я ещё нигде не видел! Короче, FoxPro’шный экзешник - это папка с расширением *.exe, в которой навалены файлы иконок, картинок, скриптов и прочей дребедени... это надо видеть :)))

P.S. Я сегодня немного пьян, и не сяду уже за руль... :)))




Kirill Softlocx 5.7 Я тут прогу ломаю(Имя: Caddy++ Electrical(Электротехника)



Kirill Softlocx 5.7 Я тут прогу ломаю(Имя: Caddy++ Electrical(Электротехника) 3.8; Вес: 30Mb; Цена:~3500 Евро). Она защищена Softlocx (юзает файл Softlocx5.ocx Билд 5.7.0.0) : 30 дней + функц. ограничения.
Вроде как функциональность восстановил, а 30 дней чё-то не получается:
Перевёл часы на год вперёд - статус "EXPIRED", на год назад - статус "ERROR". При этом она никакой "messagebox" не выкидывает и ни как не ругается. Просто При загрузки проектов и/или создании новых, она не вставляет в свой главный Tree-View ноды, которые вставляла в 30 дневном триале. Соответственно затею убить эту проверку на "ERROR" или "EXPIRED" статус при зугрузки проекта я посчитал врядли осуществимой. Переустановка и "откат" в WInXP не помогают (статус "Error"). Видимо она в какой-то файл записывала(до появления рег.статуса "Error") каждый запуск программы. Но файлмоном мне такой найти не удалсь.
Итак.
-Есть ли где-нибудь статьи по Softlocx?
-Если кто уже с этим сталкивался: в каком файле она хранит даты и времена запусков программ(ы)?
-Можно ли как-нибудь поставить бряки на вызов методов из OCX-файлов?
-Как дизассемблировать OCX файлы?(по-обычному в ИДЕ не получается)

Кому интересно и не лень качать 30 метров: http://www.caddy.ru/feedback.html (Там нужно заполнить форму и с вами свяжутся по e-mail)

.::D.e.M.o.N.i.X::. :: Скачай ftp://ftp.externet.hu/pub/mirror/sac/pack/unlocx.z ip и это
http://reversing.kulichki.../files/unpack/softunl.rar
Мож одна из них поможет (по идее даже триал убирают).

Kirill :: Ничто не помогло.
Кстати, забыл сказать эта прога ничем не пакована. PeID: "Microsoft Visual C++ 5.0/6.0 (MFC)"

Kirill :: Только что заметил, что написал неправильный адрес. Вот правильный: http://www.caddy.ru/request.html - там заполняешь некоторые поля и тебе высылают 27 метров на указанный е-mail.

Kirill :: Да. Я это сделал!!! Нашёл уязвимость softlocx5.ocx (5.7)(в других не смотрел). Таким образом нижеследующаяя информация окажется полезной не только тем кто ещё не сломал Caddy 3.8, но и всем тем кому предстоит столкнуться Softlococx5.ocx.
МИНИТУТОРИАЛ:
Вообщето я где-то в нете встречал All_SoftLocx_5_Protected_Software Unprotector by metamorpher но в моей версии softlocx5.ocx (5.7) он не захотел работать. Вобщем При проверке статуса зарегестрирован какой-то компонент или нет SoftLocOCx вызывает MultiByteToWideChar. При вызове её Один из параметров указывает на строчку которая в какой-то вызов будет ’EXPIRED’ или ’ERROR’ например. Её заменяем на ’LICENSED’. Всё. Этот компонент после данной проверки считается зарегестрированным. Я сделал так: сразу после его инициализации и распаковки в память (Он запакован) пишем по адресу 0700431F5 (где 70000000 - Image Base SoаftLocx) mov eax, offset ’LICENSED’. Это конечно не всегда безопасно, может надо только иногда записывать по этому адресу ’LICENSED’, например если там ’ERROR’ или ’EXPIRED’, но в моём случае всё прошло.
Всем удачи!




Anonymous Автоанпакер Скажите, есть ли автоанпакер UPX старых версий? Я хочу



Anonymous Автоанпакер Скажите, есть ли автоанпакер UPX старых версий? Я хочу свой написать, но если такой уже существует, то и смысла нет
RideX :: Есть, ProcDump

XoraX :: Anonymous, а UPX.exe -d filename.exe не помогает?
И если уж на то пошло, то вместо того чтоб писать свой анпакер, легче проги вручняк распаковывать...

GL#0M :: Anonymous
Для старых версий анпакер Generic Unpacker For UPX by Bratalarm.
А вообще-то XoraX прав, лучьше руками.




vins еще вопрос что делать если peeditor пишет что программа Read Only, в...



vins еще вопрос что делать если peeditor пишет что программа Read Only, в смысле в секциях не поковыряешься???
MC707 :: 1. Прога запущена сейчас
2. Занята другой прогой, напр hiew

vins :: и еще что за Armadillo 1.xx - 2.xx-›Silicon Realms Toolworks
это PEiDv 0.8 наябидничал, и как это убрать

MC707 :: Ну ты спросил.....
С пакерами вообще дружишь?
Есть такой packer, Armadillo называется. Зайди на краклаб и почитай.

vins :: да знаю я что это пакер, меня интересует есть ли анпакер какой нибудь, armkill или как там его непомогает.ну или где описание по распаковке слить можно

MC707 :: Вообще-то универсальных анпакеров для него как я понимаю нет.
хотя попробуй
http://www.exetools.com/f...packers/win/armkiller.zip
http://www.exetools.com/f...unpackers/win/unarm13.zip
http://www.exetools.com/f.../unpackers/win/armdep.zip
http://www.exetools.com/f...ckers/win/armkiller12.zip
http://www.exetools.com/f...ckers/win/armkiller11.zip
http://www.exetools.com/f...ckers/win/armkiller13.zip
http://reversing.kulichki...es/unpack/dillodumper.rar - only for NT
но гарантии никакой что возьмут

vins :: кому не лень...
я тут программку достал странную. Она из пакета для проведения тестирования «Усатик» если у кого есть время может кто нибудь посмотрит, я скину.
непонятное в программе то что она ни чем не запакована (или PEiD ошибается), но в секциях charcteristics С0000040 wdasm конечно не прет.я прбовал менять на Е0000020, эфект тот же. я думаю что каждую программу (а их в пакете 3) по отдельности так править не станут.
кому интересно
размер exe 700кб, полностью 5Мб.

MC707 :: Для vins:
Ну давай, попробуй, скинь, я посмотрю

vins :: ты ни чего не забыл, ну типа mail’а или еще чего

MC707 :: кнопку »email» видишь в моем сообщении?

vins :: теперь да, лови

MC707 :: Слушай у меня тут аутлук глючит, отправь еще раз, но в зипе.

vins :: лови, тока я там кажется 2 раза отправил

MozgC [TSRh] :: vins пишет:
цитата:
и еще что за Armadillo 1.xx - 2.xx-›Silicon Realms Toolworks
это PEiDv 0.8 наябидничал, и как это убрать


В твоем случае это значит - «даже не пытайся меня распаковать и сломать» =))

MC707 :: Я сначала удивился, думал что-то неизвестное попалось
Потом присмотрелся - уж больно на упх смахивает. И точно. Походу 0.80 или где то в этом районе.
PEiD вообще выдает Win32 PE Unknown.
Вот!

MC707 :: В запакованном виде 688 килограмм весит а в распакованном 2.2 метра
(слышали бы меня физики )

vins :: и как ты ето чудо в упхе распоковал

MC707 :: Вообще способов куча.
1. Ручками. Дамп + ImpRec...
2. Исправляешь «неправильные» секции на UPX0 и UPX1 и прямо перед 401000 пишешь 1.23 UPX!.
Далее - upx -d ‹прога›
3. В нашем же банальном случае я воспользовался GUW32

MC707 :: Процедура проверки рег файла - 4EDF54
Проверка наличия и вывод нага - 4F18F5-4F18FC

vins :: спасибо, дальше я сам.

vins :: а где guw скачать можно? щас ищу ни одно ссылка не пашет

MC707 :: Так уж и быть - лови http://reversing.kulichki...et/files/unpack/guw32.rar

vins :: сенькью




MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в



MC707 Hand Unpack - ? В принципе любая запакованная прога распаковывается в память. Снять с нее дамп - не проблема в любом случае. Взять тот же WinHex на худой конец. Проблема потом заключается в том, чтобы хэдер восстановить. Ну вот меня смууутные сомнения терзают, что невозможно его восстановить. Вот позавчера экспериментировал на Аспре 123, но сильно не увлекался. Как думаете - реально?
freeExec :: Что за хедер ты хочешь востановить?

MC707 :: Ну win32 PE естественно
Может неправильно выразился, но имел ввиду восстановить таблицу импорта, секции и тп

MoonShiner :: дык хидер то берется обычно от оригинала... Или я че то не догоняю? А аспр оригинальный хидер вродь нигде не хранит, даж в пошифрованном виде.

MC707 :: Вот я и говорю, что хэдер остается от исходного, запакованного. Он ессно неправильный. Задача - найти правильный. То что аспр (как и любой другой нормальный пакер) не хранит старый хедер - ежу понятно. Это-то и есть главная задача

MozgC [TSRh] :: Какая нафиг главная задача. Исходный заголовок берется либо от запакованного файла, либо создается программой которая снимает дамп, на основке секций и их параметров в памяти.

MC707 :: Для MozgC [TSRh]: Да вот нифига. Где ты такой дампер видел, которая хедер сама восстанавливает? (я не говорю про procdump, который с аспром123 не работает). Если ж было так - то все пакеры/протекторы были бы давно в отстое. Снял дамп - и нет пакера/протектора.

infern0 :: lordPE
ессно import/export и релоки ручками или соотв. тулзами

MC707 :: Для infern0: Ручками не дано (для аспра), а тулзы его так исковеркают, что он вообще восстановлению не будет подлежать

MozgC [TSRh] :: Я вообще не догоняю проблему?

freeExec :: MC707 пишет:
цитата:
Ручками не дано


А чеже тему так назвал?




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




RaY ProxyInspector for Wingate 2.6c Не работает лекарство



RaY ProxyInspector for Wingate 2.6c Не работает лекарство

Все великолепно, запускается, настраивается. Есть только одно но - невозможно получить отчет (собственно основная функция проги) - вылетает по ошибке доступа к памяти.

MozgC !
Если можно, посмотри плиз... Многие будут благодарны
-= ALEX =- :: А что MozgC особенный крякер на этом форуме ?

RaY :: Просто в файле nfo его имя стоит.
Если кто сможет - также превеликое спасибо

MozgC [TSRh] :: Ray я уже удалил релиз =)
Во первых в 98 не робит, во вторых триал скрыто идет =)))

ALEX ты уже в курсе что патчер обламывается когда триал кончается ?

angel_aka_k$ ::
MozgC [TSRh] пишет:
цитата:
ALEX ты уже в курсе что патчер обламывается когда триал кончается ?


вот поэтому IMHO лучше Unpack’а руками нечего нету !!!

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Во первых в 98 не робит


дык ломал бы под 98 и в 98 пускалась бы просто импорт то где востанавливал .......

MozgC [TSRh] :: Дык в 98 патч не робит, вот я про что..

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
Дык в 98 патч не робит, вот я про что..


мдя жаль вот с 98 всегда проблемы лично мне всегда лень под 98 импорт отвинчивать и как назло найдется тот кто скажет ангел твою ...... че за ..... в 98 не работает и вот приходится лезть и в 98 с кривым sice что то пытатся сделать мдя ..........

MozgC [TSRh] :: А я обычно все в ХР делаю, просто меняю только RestoreLastError на SetLastError потом в 98 проверяю и все.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
А я обычно все в ХР делаю, просто меняю только RestoreLastError на SetLastError потом в 98 проверяю и все


а я кстате не знал !!!!! теря так буду делать спасиб за такую ценную инфу !!!!!

MozgC [TSRh] :: а я ж тут писал про это на форуме, спецом написал что мож кому пригодиться, чтобы можно было нормально в ХР импорт восстанавливать и в 98 работало, но ты чёт просмотрел походу...

MozgC [TSRh] :: Еще правда бывают косяки с ntdll или еще некоторыми функциями, но такое у меня было за все время только 2 раза.

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
но ты чёт просмотрел походу...


наверно :/




angel



angel_aka_k$ вот такое дело ....... Привет всем !!!
у меня дикий прикол короче у меня клава многофункциональная типа кнопок много так вот есть такая панелька там word exel и т.д. типа office так вот в чем прикол я нажимаю кнопочку word и что вы думаете происходит не поверете !!!!!!! вываливается softice тоесть кнопка word равносильна стрл д этож как удобно то блин вот раньше бы знать просто суперрррррррррррррр
а теперь по существу с каково перепуга у меня заместо word sice запускатся стал есть соображения ?????
angel_aka_k$ :: о вот тут мне обяснили что к чему оказывается кнопочка word это все волишь сочетание клавишь стрл д а сайс их зажал под себя cooool мелоч но приятно :)))))))))))))))))

MC707 :: Еще бы пару таких кнопок под Иду, Олли, НЕХ едитор, ....

angel_aka_k$ :: MC707
ага и еще в догонку кнопку net start iceext и еще ченить

MoonShiner :: Ага... Мож вам еще и кнопки «Unpack All», «Patch All»?
Не, лутше «Total exploit»
ЗЫ. Пожилавший остаться неизвестным

Kerghan :: MoonShiner
не, лучше «KEYGEN ALL»

MozgC [TSRh] :: A у меня есть такая =)

MozgC [TSRh] :: A у меня есть такая =)

LT :: Все конопушки программируемые.

XoraX :: а неплохо бы если б было бы так ;).

UnKnOwN :: Для XoraX: Совсем не плохо было БЫ...

UnKnOwN :: Для XoraX: Совсем не плохо было БЫ...

MozgC [TSRh] :: XoraX LOL

angel_aka_k$ :: XoraX
лол

LT :: Гы

GL#0M :: рулез

angel_aka_k$ :: MozgC [TSRh] пишет:
цитата:
A у меня есть такая


crack all :)))))) ????? или keygen all prog :))))))))))
а у меня есть такая kick bill и еще есть crack www.microsoft.com :)))))))




infern0 Guardant конверт Ктонить снимал это без ключа ? и насколько вообще



infern0 Guardant конверт Ктонить снимал это без ключа ? и насколько вообще реально ?
Приветствуется любая полезная инфа...
спасибо :)
RideX :: Когда-то слышал, что без ключа нереально, ЕХЕ покриптован, раскриптовывается ключём :( Короче дампить с ключом нужно.

infern0 :: Для RideX: ключа нету. по крайней мере физически он для меня недоступен.
еще есть какие-то варианты ?

RideX :: Ещё есть GUARDANT envelope unpacker от Snow Panther (Unpacking Gods), но он вроде старый, наверное не поможет. Сейчас в Guardant Stealth, говорят, целый микропроцессор засунули, раньше вроде не было. Может быть есть какой-нибудь авто-дампер, чтоб ты его владельцу ключа отправил, а он с запущенной проги дамп снял и выслал тебе. Но это я вообще точно не знаю, слышал где-то звон, да не знаю где он :)
В остальном больше ничего не знаю, но если конверта нет, то стандартно bpio 378 может помочь, если разработчики лоханулись и не использовали возможности ключа :)

infern0 :: Для RideX: без конверта я в иде нормально все делаю без всяких bpint - это не проблема. Скачал я инпакер этот с exetools, попробую. Но блин нравится мне это все меньше и меньше :)

MozgC [TSRh] :: Ты бы лучше про ключи спрашивал на reversing.net. Там часто инфа про ключи пролетает и людей разбирающихся в этом больше на порядок.. А тут мне кажется понту мало...

infern0 :: Для MozgC [TSRh]: а я везде написал, в том числе и там. Согласен - там гораздо больше толковых ответов :)

MozgC [TSRh] :: Ну это смотря на какую тему. Меня удивляет на какие вопросы там не отвечают. Тут бы ответили 100% и много. Просто там тусуется больше народу кто имел дело с ключами.

infern0 :: Для MozgC [TSRh]: дык я про свой топик и говорю. Правда там все жадные - денег хотят....

MozgC [TSRh] :: Хех, вот с такого я хуею....




FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых



FEUERRADER Analyzers is f**ked? ...неужели анализаторы, принцип работы которых основан на поиске сигнатур настолько устарели? Занявшись серьезно этим вопросом, я научился для себя не только обманывать самые популярные анализаторы, но и всякие GenOEP’ы. Оно всё работает на сигнатурах...
Простая «кража байт» с ЕР дает 10% защиты программы... Существуют тулзы, делающие ручную работу по «краже» автоматически........ О, ужас!

К чему это всё я... Большинство из нас, крякеров, уже привыкли слепо верить PEiD, PE Sniffer’y и прочим. Но обнаруженные дыры (или как это назвать) в их работе, еще дадут о себе знать... тьфу-тьфу. Благо, если сейчас программист не занимается RE, то, ИМХО, ему не дано создать реальную проблему для крякера. Но, есть и исключения

P.S. Пробило на речь... :)

Kerghan :: FEUERRADER
ну, допустим, будет каждая двадцатая прога запакована «с умом», и что? а когда программисты научатся делать это, то уже будет существовать десяток новых findOEP

MozgC [TSRh] :: Да ладно, OEP я всегда вручную нахожу, бесят всякие OEP Finder’ы, а про слепое доверие PeID ну и что, если там будет написано Upx и я полезу его распаковывать, а там на самом деле ASProtect че я по коду не отличу что ли ? Или какойнить exeStealth от Armadillo. С языками программирования то же самое. Имхо проблемы тут нет, разговор ни о чем...

Kerghan :: MozgC [TSRh] пишет:

цитата:
Имхо проблемы тут нет, разговор ни о чем...


большей чатью да, но я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»

MozgC [TSRh] :: А если я не знаю какой-то пакер или протектор который знает PeID, то то что его знает PEid мне ничего не даст. Ну увижу я что там PEid написал и тут возможно два варианта:
1) Я смогу распаковать этот пакер/протектор (увижу его в первый раз)
2) Я не смогу распаковать этот пакер/протектор.
В обоих вариантах знает его PeID или не знает мне ничего не даст. Если же PEid скажет Win32 Uknown то я посмотрю по коду что там за пакер или протектор. Если знакомый то я его распакую. если не знакомый то те же самые два варианта.
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера? Человек ведь все равно не сможет его от этого распаковать.

Runtime_err0r :: MozgC [TSRh]

цитата:
Запутанно, но итог : какой понт обманывать PeiD? Если человек узнает по коду пакер/протектор то он его распакует. Если не узнает и не разберется, то какой понт даже если бы peID сказал бы название пакера?


Нахрен разбираться в коде пакера ??? для 95% пакеров есть готовые анпакеры, так что надо просто зайти на anticrack.de и через Search найти по названию пакера нужную тулзу
Я, например, всегда сначала пытаюсь обойтись стандартными средствами, и только если ничего не помогает (ORiEN например), то уже сам начинаю ковырять ...

Kerghan :: MozgC [TSRh]
я имел в виду именно то, что имел в виду Runtime_err0r

angel_aka_k$ :: Runtime_err0r
а вот тебе не сложный пример допустим появился аспр 1.22 ты полез нашел анпак распоковал далее появился 1.23 RC 3 ты опять полез нашел анпак и распоковал а вот теперь бац и 1.3 полез и не нашел анпакер полез в код и нех...... не понял сел и начал разбиратся день прокопал нечего 2 прокопал нечего на 3 распаковал ИТОГ если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!! так как ты бы понял принцип этого пакера/криптора а за 2 дня можно было бы что ни буть другое поиследовать !!!!! так что мораль такова лучше сесть и распоковать в ручную поняв принцип работы и т.д. и сократить тем самым время иследования чем тратить время на свои ошибки !!!!!!!!!!!!!!! все это просто пример !!!!!!!!!!

Kerghan :: angel_aka_k$
имхо крякер не обязан уметь рапаковывать аспр. каждый специализируется на чем-то своем. у кого-то это пакеры/протекторы(явный пример Hex), кто-то исключительно кейгенит взломанные проги, кто-то занимается dongle........ Лично я уже не помню, когда мне последний раз аспр попадался, а последняя версия, какую встречал была rc4. Арма мне вообще один раз встретилась, так что мне всё бросить и из-за одной этой проги начать учиться ее рапаковывать ? (Хотя это не значит, что когда-нибудь не возьмусь за нее) Форум краклаба как раз для того и сождан, чтобы мы могли помогать друг другу.

MozgC [TSRh] :: Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами. Че будешь делать с аспрами, армой ? Даже на простой PE Compact нету анпакера.

Kerghan пишет:
цитата:
у кого-то это пакеры/протекторы(явный пример Hex)


Хекс не анпакер, Хекс - вселомальщик. Мне кажется он может сломать ВСЕ и вопрос только во времени...

Отвлеклись от темы. Цель обмануть PEid - это что-бы твою программу не взломали. Но имхо это глупо. Кого обманывать то? Че если вы там увидите Win32 Uknown то вы бросите программу и не станете ее ломать/распаковывать ? =)))

Madness :: MozgC [TSRh]
›Runtime_err0r без обид но я представлю твой уровень в распаковке если ты всегда распаковываешь автопрогами.
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.

angel_aka_k$ :: Kerghan[/это мое IMHO так что без обид !!! уважающий себя крякер умеет распаковывать пакеры/крипторы !!! и не пользуется анпаками !!!! я лично вообще анпаками не разу не пользовался !!!! вот смотри это равносильно тому что если бы были key gen all ты бы пользовался им а не в коде ковырялся а это уже не крякерство это лень !!!!! и не желание смотреть и разбиратся что да как !!!! а вообще дело каждого и я не призываю всех делать как я или MozgC просто я высказал свое мнение !!!!! если оно когото обидело то сори я не хотел !!!!

angel_aka_k$ :: Madness пишет:
цитата:
Анпак серьезно увеличивает экспу, помогает понять, чего же там наворотили ms в pe.


согласен !!!

UnKnOwN :: есть одно хорошее выражение :

«Умееш кататься, умей и саночьки возить»

Для angel_aka_k$: ты на 100 % прав...

MozgC [TSRh] :: UnKnOwN пишет:
цитата:
«Умееш кататься, умей и саночьки возить»


Я прочитал «умеешь какать - умей и саночки возить» и долго не мог понять смысл, типа если покакал, то быстрее от того места на санках валить или грузить гавно и на санках везти куда-то =) Раза с 5 я все-таки прочитал правильно =)

Kerghan :: MozgC [TSRh]

цитата:
Даже на простой PE Compact нету анпакера.


есть, UnPECompact
хотя он руками распаковывается не сложнее аспака

MC707 :: Раз уж пошла такая философская тема, то слово вставить тож хотел бы. ПЕиД - хорошо, но я как-то стараюсь без него обойтись, точнее пользовался им всего-то раз 5. Так уж повелось, что раньше доступа в инет я не имел, в глубинке жил.
Занимался программингом и ковырял коды, ломал старые игрушки с помощью hiew. Я про upx только года 2 назад услышал. Вот вам больше повезло. Вам было с кем посоветоваться, у кого спросить. Хотяб те же туториалы почитать. А я все своей кровью. И вот - пришел уже на все готовое. Появились Армы, аспры и прочая хрень. Честно говоря заниматься исследованием нет времени: angel_aka_k$ пишет:
цитата:
если бы ты в ручную распоковал 1.22 потом 1.23 и сел бы за 1.3 то время иследования сократилось бы в 3 раза !!!!!!!


Согласен. Полностью. Но пока я буду щас их всех изучать, то пока я дойду до кондиции уже 1.6 выйдет. И с MozgC полностью согласен. В смысле с кодом я успел хорошо разобраться. Интуиция редко подводит. По крайней мере мне видно что за пакер мне попался. Например у армы много секций + data1,code1,etc + присутствует сигнатура PDATA000.
Kerghan пишет:
цитата:
я не думаю, что ты знаешь все пакеры и протектры, которые «знает PEiD»


Согласен, также и с тобой. Но все-таки. Повидал я их уже довольно много. Со многими уже на ты. Но ситуация удручает.
З.Ы. Извините за такой длинный и нудный монолог.

Runtime_err0r :: Madness

цитата:
У Нитры спроси, как он распаковывал проги, которые кейгенил :P
Как говорит Kerghan, » каждый специализируется на чем-то своем ».


http://www.livejournal.com/users/nitroz/15199.html

цитата:
что бы еще такого напридумывать.. о.. анпак.. анпак это мое больное место - я совершенно не умею (и не хочу учиться) анпакить вручную.. ну не нравится мне сидеть в сайсе и что-то там ковырять.. по мне лучше дебаг направить в другое, более убийственно русло - изучения алга с целью написания кейгена :)..


И вообще я лично распаковывал ASPack руками только один раз в жизни (чтобы научиться) и после того раза потерял к этому занятию всякий интерес - зачем сто раз делать сизифов труд, если ASPackDie или stripper делают это быстрее и лучше ??? Другое дело ASProtect или Armudillo тут уж других вариантов нет

P.S. Я вообщем-то придрочился пакер по названю и кол-ву секций определять - смотрю через F3 в FAR’е и почти всегда угадываю :-)

infern0 :: Runtime_err0r пишет:
цитата:
Другое дело ASProtect или Armudillo тут уж других вариантов нет


есть :))
btw: я сам всегда стараюсь сначала распаковать в автоматическом режиме. Если после этого дамп глючит - чаще всего гораздо проще его подправить чем делать всю работу с нуля. Тем более что стриппер сейчас спокойно берет aspr 1.30 как и все предыдущие. Для армы есть тутор и моя тулза на васм.ру, хотя конечно там ручной работы много.

RideX :: infern0 пишет:
цитата:
Тем более что стриппер сейчас спокойно берет aspr 1.30


Какой Stripper, 2.03 Public, или какой-то новый появился?

FEUERRADER :: Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :) То, тогда:

1) новички, слепо верующие в PEiD, не будут трогать прогу (такие есть!)
2) сперев байты с ОЕР - защитит от GenOEP’ов
3) испохабленная сигнатура orien’a не даст некоторым unpacker’aм распаковать прогу (хотя для orien’a анпакеров не видел)
4) некоторые будут думать, что упаковано действительно Obsidium’oм :) Поэтому будут пытаться его дергать :))
5) те, кто об orien’е не слышал (м.б. буржуи), и не будут знать, что это ориен ;)

Ну, не знаю, у всех свое мнение на всё это. Но, уже такие приемы «защиты» используются.

infern0 :: RideX пишет:
цитата:
Какой Stripper, 2.03 Public, или какой-то новый появился?


новый. сразу предупреждаю - ищите сами. сорри.

XoraX :: infern0 пишет:
цитата:
новый.


стрянно... на паге автора никакого упоминания... или автор сменился?

XoraX :: infern0 , хоть бы напраление дал, где искать...

RideX :: infern0 пишет:
цитата:
новый. сразу предупреждаю - ищите сами. сорри.


Ясно :)

GL#0M :: RideX пишет:
цитата:
Ясно :)


Для меня тоже всё ясно. Его просто нет. :)

Runtime_err0r :: FEUERRADER

цитата:
Допустим прога пакована Orien 2.11. Далее сигнатура orien’a затерта. И внедрена сигнатура Obsidium последних версий :)


Интересная мысль... а как же CRC Check ???

infern0 :: GL#0M пишет:
цитата:
RideX пишет:
цитата:
Ясно :)

Для меня тоже всё ясно. Его просто нет. :)


Ребята, зачем так категорично ? Есть. Private build. 2.07 если не ошибаюсь. И он работает. И по причине private я и сказал - ищите сами.

.::D.e.M.o.N.i.X::. :: Runtime_err0r
А его там нету в том виде, каком мы все думаем:))) Сам поменяй пару байтиков в файле и все поймешь.

XoraX :: infern0 , а если выложить для честного народа?



Bmx Форум Подскажите пожалуста форум, где мне на вопрос могут ответит ?
Noble Ghost :: На какой вопрос???

Bmx :: У меня 2 проблемы

Стоит 98 и SI 4.05

1. при загрузке SI выдает сообшение File user.nms not found и дальше грузится Виндоуз . SI нормально работает , ну пока проблем не било.
Что это за файл и зачем он откуда достат?

2. хочу поставить бряк на считывание MAC адресса сетевой карты как в статье http://netsecurity.r2.ru/docs/arp.html , у меня стоит Intel 8255 а комп NetFinity 3000,
Значит в опциях карты I/O Range 7с60-7c7f
т.е. после загрузки SI делаю ctrl+d, потом пишу
bpio 7c70 (т.л в статье било написано что чтение адреса происходит по порту +10h )
потом возврашаюсь f5 дальше грузится виндоуз , но SI нереагирует

В чем тут проблема , может я что то не пражилно делаю ??




-= ALEX =-



-= ALEX =- }{ Не хотите поковрять интересную прогу http://www.ultrafxp.com/adownload/ultrafxp.exe (1.3 мега)
Защита больно уж крутая...
Runtime_err0r :: -= ALEX =-

цитата:
Не хотите поковрять интересную прогу http://www.ultrafxp.com/adownload/ultrafxp.exe (1.3 мега)
Защита больно уж крутая...


По-моему там SVKP
Madness ломал - спроси у него

-= ALEX =- :: ага :)

-= ALEX =- :: › По-моему там SVKP
Че за пакер-то ? где можно почитать про него....
а лично копался в этой проге, защита показалась пока средней, но сам факт, что я нашел в теле пакера ACProtect... а сам файл не определяется PEiD как какой-нить пакер.... + для защиты создается dll’ка.... в общем хрень какая-то...

Madness :: -= ALEX =-
›Че за пакер-то ? где можно почитать про него....
http://www.google.com/sea...a&num=0&ie=utf-8&oe=utf-8

Интересная защита, распаковать не главное :)

UnKnOwN :: Особенно отсюда :

Madness пишет:
цитата:
Че за пакер-то ? где можно почитать про него....
http://www.google.com/sea...a&num=0&ie=utf-8&oe=utf-8


продажа трактора запчасти МТЗ 82УК ...
Высококачественные запчасти и гусеницы
для дорожно-строительной техники.

Совсем не в тему....

-= ALEX =- :: UnKnOwN тебя что проглючило ? ссылка вроде нормальная...

UnKnOwN :: Для -= ALEX =-

не не проглючило, просто ты ниже посмотри там такой бред написан....

XoraX :: LOL

-= ALEX =- :: увидел уже LOL

.::D.e.M.o.N.i.X::. :: Насколько я знаю эту защиту придумали крякеры, в том числе и ребята с Unpacking Gods:))

-= ALEX =- :: .::D.e.M.o.N.i.X::. я уже догадался, вернее мне сообщили...




123 Всем привет Люди помогите плиз, попалась запакованная прога PeiD пишет...



123 Всем привет Люди помогите плиз, попалась запакованная прога PeiD пишет что она запакована WIN32 PE File – GUI, я распаковал ее Generic Unpacker Win32 но она почему то отказывается работать (она написана на Delphi)
-= ALEX =- :: народ, а WIN32 PE File – GUI это разве пакер ? по-моему это и есть WIN32 PE File файл, или я ошибаюсь ?

XoraX :: мде.. 123, рановато ты практикой занялся, почитал бы статеек, туториалов а потом...

MaDByte :: -= ALEX =- пишет:
цитата:
WIN32 PE File – GUI это разве пакер ? по-моему это и есть WIN32 PE File файл, или я ошибаюсь ?


WIN32 PE File – GUI это и есть WIN32 PE File, может просто замаскирован...

XoraX :: если еще кто-то не въехал, GUI - значит graphical user interface

-= ALEX =- :: ну вот я так и думал, просто малоли, лоханулся бы ... :)




F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал...



F Keyboard Spectator Pro 3.0 Собственно третью версию этой проге крякал ктонить а то по нету валяются кряки только до второй версии?
Mario555 :: После распаковки триал отвалился (почему-то вместе с функцией прятания от диспетчера задач...)

-= ALEX =- :: Mario555 дак ты дальше ковыряй...

MC707 :: Линк надо, чтоб что то сказать.

Gloomy :: Уже версия 3.01 есть. Смотреть тут: http://www.refog.com/files/keyspectpro_30.exe (1 Мб)

MC707 :: Не, я так не играю . Тут аспр 1.3 навешан. Я еще только учусь с ним разбираться...

-= ALEX =- :: MC707 главное чтоб там не было спизженной структуры, а так можно распаковать...

MC707 :: Мне IAT руками что-то не в кайф восстанавливать. А импрек не находит.

Mario555 :: MC707 пишет:
цитата:
А импрек не находит


Находит, только неправильно...
IAT FE168 size ~900 OEP 000EF1BB
Краденые байты:
PUSH EBP
MOV EBP,ESP
MOV ECX,7
NOP

MC707 пишет:
цитата:
Тут аспр 1.3 навешан


Это почему (как ты это определил) ?

-= ALEX =- пишет:
цитата:
главное чтоб там не было спизженной структуры


А шо это ?

XoraX :: Mario555 пишет:
цитата:
А шо это ?


это спижженые байты.

MC707 :: 2 Mario555: А глаза на что? Хотя бы PEiD возьми...
Mario555 пишет:
цитата:
Находит, только неправильно...


Дык я это и имел ввиду

-= ALEX =- :: XoraX пишет:
цитата:
это спижженые байты.


Неее братцы, это покруче будет ! Все наверное знают как выглядит начало к примеру дельфи прог... call’ы всякие и т.д. в пердпоследнем прога запускается.... дак вот эта вся структура в теле аспра щас с мусором находитья :) или :(

F :: Не знаю как насчет 3.1 а у меня при распаковке 3.0 возник вопросик:
Распаковываю Keyboard Spectator Pro 3.0 упакован ASProtect 1.23 Нашел OEP - 4EF1C4 нормально подправил импорт. Запускаю прогу вылетает ошибка Программа 1 вызвала ошибку обращения к стеку
в модуле 1.EXE по адресу 0167:004ef1c6.
Лезу смотреть что там за траблы :
4EF1C2 0000 ADD[EAX],AL
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:

4EF1C3 006A00 ADD[EDX+00],CH ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX
4EF1C9 JNZ 004EF1C4
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

Есть какиенить соображения?
И еще в этой проге когда искал OEP аспр часто использовал функции ReqQuery_кактотам_непомню (ну типа к реестру обращается) до полиморфного кода хотя в других прогах запакованных этой версией я что-то такого не видел? Что за хрень?

XoraX :: -= ALEX =- , гкхм.. это ты про последний аспр?

Serg :: F пишет:
цитата:
4EF1C4 6A00 PUSH 00 ??
4EF1C6 6A00 PUSH 00 ??
4EF1C8 49 DEC ECX ??
4EF1C9 JNZ 004EF1C4 ??
4EF1CB PUSH ECX
4EF1CC PUSH EBX
4EF1CD 56 PUSH ESI и т.д.

И вот что-то непонятно зачем служит кусок с C4 по C9??
Посмотрел в запакованной там вообще прикол:


А откуда ты этот код взял? Из проги? из аспра? или... ?
В Delphi такое часто встречается, например для выделения памяти
под локально объявленный буфер, заодно ее 0’м инициализирует..

br, Serg

-= ALEX =- :: XoraX да я про новый аспр

New beta version 1.3 is ready.

All options are in the beta state, so please report us about possible bugs.
We’re working on short keys version of ASProtect 2.0 too, so hope to see the
alfa version in about one month.

Thanks for your help! So now few words about new version:

It has few very important security options against manual unpacking:

1. New import table protection (protects automatically)

2. New options (Options Tab)

- Protect Delphi forms against decompilation
This options protect Delphi forms constantly in the memory,
so it’s impossible just dump all forms from memory when an
application is running.

- Improved EntryPoint protection
It’s old but improved option when a part of application -
(usually about few hundred bytes) is copied to the envelope’s
code and change its content thru emulation, so it’s not so easy
to restore the original code ever by hand.

- Emulate Exception Handlers
Very power option against manual unpacking - ASProtect removes some code from
protected application and put wrong opcodes on changed places. If the application
generates an exception (wrong opcode) ASProtect check its tables and handle the
exception then executes removed code in the memory and returns the control to the
application.

- Emulate Standard system functions
One more good option against manual unpacking - ASProtect just removes some common
functions from protected application and executes them in the envelope code.

3. New ASProtect envelope checks
In order to use new checks you need to insert one of two type of checks:

Type 1 - if ASProtect envelope was removed - it just generates an exception.
You can handle it and then do something awful.

Example for Delphi (see \Examples\Delphi\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
MessageBox(0,’Begin’,’’,0);
{$I DelphiCheck.inc}
MessageBox(0,’End’,’’,0);

Example for Visual C (see \Examples\VC\EnvelopeChecking\StandAlone):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
#include «include\aspr.h»

MessageBox(0,«Begin»,»»,0);
#include «include\cppCheck.inc»
MessageBox(0,«End»,»»,0);

Type 2 - this type works as a function that returns false if ASProtect envelope
was removed.

Example for Delphi (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
Function EnvelopeCheck: Boolean;
{$I DelphiProcCheck.inc}

//...

If not EnvelopeCheck then // .. do something awful

Example for Visual C (see Examples\Delphi\EnvelopeChecking\FunctionExm):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
BOOL EnvelopeCheck()
{
#include «include\cppProcCheck.inc»
}

if ( !EnvelopeCheck() ) // .. do something awful

4. New code sections with CRC (for EXE files only !)
Very useful against loaders. So if you want to set additional CRC check for some fragment
of your code just insert a special markers at the begin and end of this code:

Example for Delphi (see \examples\delphi\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}

Example for Visual C (see \examples\vc\crcchecking\):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~
#include «include\aspr.h»

#include «include\cppCrcBegin.inc»
// some code
#include «include\cppCrcEnd.inc»

NOTE! This version doesn’t support nested marks, so please don’t use
the code like this:

{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcBegin.inc}
// some code
{$I DelphiCrcEnd.inc}
// some code
{$I DelphiCrcEnd.inc}

-= ALEX =- :: круто да ?!

Serg ::
цитата:
1. New import table protection (protects automatically)


Это, видимо, про новые переходники для API + бряки не ставятся на используемые аспр’ом API.

цитата:
- Protect Delphi forms against decompilation
- Improved EntryPoint protection
- Emulate Exception Handlers
- Emulate Standard system functions


Воо - а это кто-нибудь видел ??

br, Serg

-= ALEX =- :: ну я видел, раз уж написал :)

Runtime_err0r :: -= ALEX =-
Да ты никак ASPRotect покупаешь ?

Mario555 :: MC707 пишет:
цитата:
Хотя бы PEiD возьми...


Пишет что ASProtect 1.23 RC4 Registered.
А адрес Iat по getprocaddress найти несложно.

F пишет:
цитата:
Нашел OEP - 4EF1C4


Это не совсем OEP, оно без краденых байт. Кстати даже после вписывания этих байтов, прога запускаться не будет, там ещё править надо...
F пишет:
цитата:
когда искал OEP аспр часто использовал функции ReqQuery


Это как ты так искал ? Там же по Esp-24 всё легко находится.

-= ALEX =- :: Runtime_err0r я его произвожу :)

Serg ::

цитата:
Runtime_err0r я его произвожу :)


Не смешно. Ты живешь в Новосибирске, скорей всего по диалапу
в инет выходишь.. через «электросвязь Новосибрска» что на Орджоникидзе 18.
Никакой ты не автор, тем более не сотрудник.

br, Serg

F :: Mario555
OEP искал посредством прохода вручную сначала бряк на мапвиеооффайл или как его там потом бряк на гетпрокадресс )) ну а потом пешочком.
2 Serg а код приведен из когда запускаю подправленный дамп просто переименован как 1.exe

-= ALEX =- :: Serg блин какой ты умный, я аж поражаюсь. Мож ты и мой адрес скажешь ? и домашний телефон ? А вообще у тебя с юмором @!#$ во....

Mario555 :: F пишет:
цитата:
ну а потом пешочком


И сколь раз начинал этот путь заново?

MC707 :: 2 Mario555
Новый PEiD возьми с сайта автора.

F :: 2 Mario
немного раза 4 =)

Mario555 :: MC707 пишет:
цитата:
PEiD возьми


У меня PEiD v0.91 build 02.01.2004...
Да и вообще, какая на х** разница, что он пишет, если бы написал что это арма, тоже бы поверил?
Ты про 1.3 на xtin статью читал? В Keyboard Spectator Pro что нибудь подобное видел?
Это не 1.3, я бы его врятли распаковал, а с этим справился.

MC707 :: 2 Mario555
Я вообще-то с самого начала говорил, что на анализаторы надеяться не стоит. Первым делом сам смотрю чем прога пакована. А ПЕиД пользуюсь, чтоб версию уточнить. Статью читал. ХЗ может это и не 1.3. Просто сказал, что ПЕиД написал. Глупо, конечно, признаю.

-= ALEX =- :: peid этот не точный, пишет вот так 1.23 rc 4 - 1.3.8.07 :) причем без разницы на самом деле чем запаковано :) АСПР 1.30 пока редко встречается я его вообще в прогах не встречал, пока только он у меня :) там вооще труба полная




Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее...



Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее заинтересует ту часть населения, кто... Собственно вот и она, родимая!...
IDA.Pro.Standard.4.5.1.770

hxxp://filez.urna.org/IDA...with.Flare421.and.SDK.rar (28,984,319 b)
MozgC [TSRh] :: Прикольно, вот щас народ кинется скачивать =) Интересно на кого зарегена...

DOLTON :: Спасибо, качаю!
Только правильная ссылка будет такой: _http://filez.urna.org/IDA...with.Flare421.and.SDK.rar

Telex :: MozgC [TSRh]
Исправь прямую ссылку у DOLTON

Ни к чему это....

MozgC [TSRh] :: Ни к чему давать непрямые ссылки.

Telex :: MozgC [TSRh]
Можно вернуть её обратно? :)

odIsZaPc :: Залепуха! Не грузиться idag.exe! У всех так же?

MozgC [TSRh] :: Telex пишет:
цитата:
Можно вернуть её обратно? :)


Что?

nice :: А уменя заработала :)

Пойду комунить пиво поставлю...

-= ALEX =- :: nice мож поделишься сей прогой, а то качать мне ее не по силам, сам знаешь...

nice :: -= ALEX =-
Нет проблем ;=)

nice :: -= ALEX =-
Нет проблем ;=)

КСТАТИ ВСЕХ С ПРАЗДНИКОМ!
Сегодня день Студента

XoraX :: great post!
tnx Telex

odIsZaPc :: Че делать-то? DOS-версия запускается, а Win - нет! Причем ни в XP, ни в 98! HELP!

froz :: big tnx 2 Telex

X0E-2003 :: 2Telex & DOLTON -- ОГРОМНОЕ СПАСИБО. Вот скачал сегодня пашет превосходно, там даже отладчик есть просто SUPER !!!

odIsZaPc :: А Win-версия тоже пашет?

PalR :: Да всё пашет. У тя чото с виндой

odIsZaPc :: PalR
Так и в XP и в 98 такая лажа... У тебя че за Винда?

PalR :: И ХР и 98 и в обеих пашет на ура

UnKnOwN :: у меня вообще версия 4.5.0.762.PC от dReam TEAM и всё ок работает !!! , а чё появилось в новой версии ?
можно файл history в студию ?

MozgC [TSRh] :: UnKnOwN
У тебя че полная чтоли была ? Или обрубок 11Мб ?

UnKnOwN :: MozgC [TSRh]
Обрубок какойто наверно так как она помоему около 12 мБ...

odIsZaPc :: UnKnOwN
А работает как полнофнкциональная или как?

UnKnOwN :: odIsZaPc
Работает на отлично...

odIsZaPc :: UnKnOwN
А че размер-то тогда такой маленький - 11 метров вместо 27???

UnKnOwN :: хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...

Незнаю мне и этой хватает...

MC707 :: UnKnOwN
Мы с тобой одной крови!
У меня так же .... Cracked demo называется.

UnKnOwN :: MC707

Наверно ты что то перепутал, у меня вот что написано в реадми:

IDA PRO v4.5.0.762 -[iNTERNAL RELEASE]-

************************************************** *****

hax0red by: dREAM TEAM © 2003

..we love unpacking gods & renegade

Хотя...

MozgC [TSRh] :: Так там же нет отладчика и еще всякого...

.::D.e.M.o.N.i.X::. :: UnKnOwN пишет:
цитата:
хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...


Нельзя впихнуть невпихуемое:) Ida по ссылке в установленном виде занимает 38,8 метров - это полная версия!!! Все сигнатурки и все такое:)

PalR :: Про автора, кому интересно
http://www.fcenter.ru/art...cles.shtml?interview/6704

moreThan :: а у кого есть Upgrade pack до версии 4.6?

Telex ::
цитата:
а у кого есть Upgrade pack до версии 4.6?


moreThan
А что, в «Иде» UpDate практикуется?
Не говорю за UpGrate, вроде-бы версии 5.0 не наблюдалось...

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Так там же нет отладчика и еще всякого...


А нах он нужен? СофтАйс у нас есть.

odIsZaPc :: PalR пишет:
цитата:
Про автора, кому интересно


Ух-ты!!! Я с автором статьи по мылу давно общался. Помню прогу ему какую-то помог написать... В люди значит пробился! :)))) А кем был.... :)))))))))

Telex :: odIsZaPc
Распыляетесь, юноша :)
Проще, когда всё в одном пакете.
Если конечно вы не «помешаный меломан» :)

Telex :: odIsZaPc
Автор статьи - не автор проги.
Статью ломать - не тот кайф...... :))




Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее...



Telex Кто покупал IDA.Pro могут занятся своими делами. Данный топик скорее заинтересует ту часть населения, кто... Собственно вот и она, родимая!...
IDA.Pro.Standard.4.5.1.770

hxxp://filez.urna.org/IDA...with.Flare421.and.SDK.rar (28,984,319 b)
MozgC [TSRh] :: Прикольно, вот щас народ кинется скачивать =) Интересно на кого зарегена...

DOLTON :: Спасибо, качаю!
Только правильная ссылка будет такой: _http://filez.urna.org/IDA...with.Flare421.and.SDK.rar

Telex :: MozgC [TSRh]
Исправь прямую ссылку у DOLTON

Ни к чему это....

MozgC [TSRh] :: Ни к чему давать непрямые ссылки.

Telex :: MozgC [TSRh]
Можно вернуть её обратно? :)

odIsZaPc :: Залепуха! Не грузиться idag.exe! У всех так же?

MozgC [TSRh] :: Telex пишет:
цитата:
Можно вернуть её обратно? :)


Что?

nice :: А уменя заработала :)

Пойду комунить пиво поставлю...

-= ALEX =- :: nice мож поделишься сей прогой, а то качать мне ее не по силам, сам знаешь...

nice :: -= ALEX =-
Нет проблем ;=)

nice :: -= ALEX =-
Нет проблем ;=)

КСТАТИ ВСЕХ С ПРАЗДНИКОМ!
Сегодня день Студента

XoraX :: great post!
tnx Telex

odIsZaPc :: Че делать-то? DOS-версия запускается, а Win - нет! Причем ни в XP, ни в 98! HELP!

froz :: big tnx 2 Telex

X0E-2003 :: 2Telex & DOLTON -- ОГРОМНОЕ СПАСИБО. Вот скачал сегодня пашет превосходно, там даже отладчик есть просто SUPER !!!

odIsZaPc :: А Win-версия тоже пашет?

PalR :: Да всё пашет. У тя чото с виндой

odIsZaPc :: PalR
Так и в XP и в 98 такая лажа... У тебя че за Винда?

PalR :: И ХР и 98 и в обеих пашет на ура

UnKnOwN :: у меня вообще версия 4.5.0.762.PC от dReam TEAM и всё ок работает !!! , а чё появилось в новой версии ?
можно файл history в студию ?

MozgC [TSRh] :: UnKnOwN
У тебя че полная чтоли была ? Или обрубок 11Мб ?

UnKnOwN :: MozgC [TSRh]
Обрубок какойто наверно так как она помоему около 12 мБ...

odIsZaPc :: UnKnOwN
А работает как полнофнкциональная или как?

UnKnOwN :: odIsZaPc
Работает на отлично...

odIsZaPc :: UnKnOwN
А че размер-то тогда такой маленький - 11 метров вместо 27???

UnKnOwN :: хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...

Незнаю мне и этой хватает...

MC707 :: UnKnOwN
Мы с тобой одной крови!
У меня так же .... Cracked demo называется.

UnKnOwN :: MC707

Наверно ты что то перепутал, у меня вот что написано в реадми:

IDA PRO v4.5.0.762 -[iNTERNAL RELEASE]-

************************************************** *****

hax0red by: dREAM TEAM © 2003

..we love unpacking gods & renegade

Хотя...

MozgC [TSRh] :: Так там же нет отладчика и еще всякого...

.::D.e.M.o.N.i.X::. :: UnKnOwN пишет:
цитата:
хз, но там есть все функции программы + СДК + ещё какая-то хрень я сней ещё не розобрался, в инсталеном виде она занимает 14 мБ, я думаю что это не полная версия, или в ту что предлагают скачать напихали всякого...


Нельзя впихнуть невпихуемое:) Ida по ссылке в установленном виде занимает 38,8 метров - это полная версия!!! Все сигнатурки и все такое:)

PalR :: Про автора, кому интересно
http://www.fcenter.ru/art...cles.shtml?interview/6704

moreThan :: а у кого есть Upgrade pack до версии 4.6?


Telex ::
цитата:
а у кого есть Upgrade pack до версии 4.6?


moreThan
А что, в «Иде» UpDate практикуется?
Не говорю за UpGrate, вроде-бы версии 5.0 не наблюдалось...

odIsZaPc :: MozgC [TSRh] пишет:
цитата:
Так там же нет отладчика и еще всякого...


А нах он нужен? СофтАйс у нас есть.

odIsZaPc :: PalR пишет:
цитата:
Про автора, кому интересно


Ух-ты!!! Я с автором статьи по мылу давно общался. Помню прогу ему какую-то помог написать... В люди значит пробился! :)))) А кем был.... :)))))))))

Telex :: odIsZaPc
Распыляетесь, юноша :)
Проще, когда всё в одном пакете.
Если конечно вы не «помешаный меломан» :)

Telex :: odIsZaPc
Автор статьи - не автор проги.
Статью ломать - не тот кайф...... :))

Inferno[mteam] :: Telex - большой RESPECT тебе за ссылку

odIsZaPc :: Да и пофиг.... все равно общался...




fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не...



fiNis Вот ведь ... ASProtect 1.2x New Strain Гурей по части распаковки я не являюсь, но вот попался мне продукт запакенный subj (ну очень надо)
Значит что я делал, последовательно:
1.PEiD нашел OEP
2. Запускал его под AsprDbgr1b , импорт разрешал, далал UnDipped, Erase dipe, Erase stolen bytes, отанавливался на
TempOEP и делал фул дамп PE Tools
3. не завершая AsprDbgr1b ImpRec’ом востанавливал Import и фиксил dump

наверно я ни х?* и неправильно делаю тк не работает (в чем моя ошибка?)

и второе

есть такая прога AsLoad by GlObAl & [NtSC] - позволяет уже после загрузки/раскриптовки пропатчить прямо в памяти
так вот в чем вопрос : когда им загружем обычную прогу - все работает, а вот как быть когда ехе’ шник защищенный aspr должен запускаться как сервис

мож у кого есть какие мыли, не сочтите за наглость вразумите =)
-= ALEX =- :: странно ты как-то прогу дампишь, каким-то AsprDbgr1b. Проще и намного интереснее делать все то же в сайсе, или в олли :)
а вот AsLoad by GlObAl это полная чешуя, отжило это дело уже давно, можешь мою статью почитать как сделать memory loader для аспра, там то же самое, что и в AsLoad , но так делать, не есть хорошо :)

Runtime_err0r :: fiNis
Ты вроде всё правильно делал, но вот мне таким макаром не одной проги распаковать не удалось
Сдаётся мне, что этот AsprDbgr1b работает только с какой-то одной версией ASPR’а
Кстати, а что за прога, если не секрет ? Может, у меня чё-нибудь получится ...

infern0 Re: Runtime_err0r :: а че, стриппер юзать религия не позволяет ?

fiNisoGR Re: All :: 2infern0
да я бы с радость но то что у меня есть:
stripper v2.03
(c) by syd, kiev, 2002-2003

16:13:52 - loading modules..
- ASPack 2.xx (v1.00, full release)..
- ASProtect 1.xx (v1.03, public release).. ‹--- вероятно есть и приватный, мож поделится кто

не берет ни фига:
! public release
! some files will be not unpacked
16:14:41 - can not unpack this file..

2Runtime_err0r
линка нет, есть только компакт, но прога еще помимо ASPR’a висит на железаке типа sentinel (с этим я мумаю справлюся- либо пропатчу =( либо простенький эмуль напишу)
выслать могу, но только в приватном порядке (сам понимаешь Developer ID .. можно попалиться)

2Lz
да во время дизасма я видел эту байду ... как пофиксить?

ps сори что под другим немного ником - мля пароль что то запарил

pps че то у меня проблемы с постингом - на всякий всем кто может помочь ICQ 580714

Lz [TSRh] :: Ну чего вы гоните на AsprDebugger?
Классная тулза - останавливает процесс на OEP, показывает Aspr API, фиксит импорт.
Правда мутированные краденные байты не восстанавливает - приходится выковыривать их руками.
В этом то вся и проблема у автора этого постинга :)
А дело-то осталось за малым...

Runtime_err0r :: Lz [TSRh]
То есть, он всё правильно делает, надо только Stolen Bytes руками поправить ? Х-м-м-м-м интересно, надо бы попробывать ...

fiNis
Скока весит прога-то ? Если не больше 2-х мегов, кидай на vmu @ newmail.ru

Lz [TSRh] :: Runtime_err0r
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!

MozgC [TSRh] :: Lz [TSRh] пишет:
цитата:
Один момент - аспрдебагер с запущенным SICE+ICEEXT работать не будет!


У меня работает. А что у автора косяк из-за краденных байт это почти 100%. Да и что вы все хотите от AsprDbg, это ж вам не автоматический распаковщик, а лишь помощник, импорт чистый восстановить, адреса апи посмотреть... Этим и пользуйтесь

infern0 :: MozgC [TSRh] пишет:
цитата:
адреса апи посмотреть...


хм, интересно. А я и не знал...

MozgC [TSRh] :: infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?

Lz [TSRh] :: Ну и я про то же писал ...

fiNisoGR :: А вот я не впитал что такое Dip-table ?

GV returns to: 9C1A61
IAT Start: 4F317C
End: 4F393C
Length: 7C0
IATentry 4F31C8 = 9C17A4 resolved as GetProcAddress
IATentry 4F31CC = 9C1C64 resolved as GetModuleHandleA
IATentry 4F31DC = 9C1CD8 resolved as GetCommandLineA
IATentry 4F3270 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F32F0 = 9C1CC8 resolved as LockResource
IATentry 4F3334 = 9C1C8C resolved as GetVersion
IATentry 4F3350 = 9C17A4 resolved as GetProcAddress
IATentry 4F3360 = 9C1C64 resolved as GetModuleHandleA
IATentry 4F3388 = 9C1CC0 resolved as GetCurrentProcessId
IATentry 4F3398 = 9C1CF0 resolved as FreeResource
18 invalid entries erased.
Dip-Table at adress: 9C7AB4
0 4CD0FC 0 4CD128 4CD144 4CD168 0 0 0 4CD07C 4CD0A8 4CD0EC 4CD0DC 0 ‹---
Last SEH passed. Searching for signatures. Singlestepping to OEP!
Call + OEP-jump-setup at: 9D72DD ( Code: E8000000 5D81ED )
Mutated, stolen bytes at: 9D7328 ( Code: 61EB02CD 20EB02CD )
Erase of stolen bytes at: 9D728C ( Code: 9CFCBFCB 729D00B9 )
Repz ... found. Skipping erase of stolen bytes. ;)
Dip from pre-OEP: 406B24 (Reached from: 9D729D)
Sugested tempOEP at: 4DA79F

infern0 :: MozgC [TSRh] пишет:
цитата:
infern0
Я имею ввиду адреса апи аспра. Или ты тоже про это?


про это. кстати - ссылкой не него (аспрдебаг) поделитесь ?

MozgC [TSRh] :: http://MozgC.com/AsprDbgr1b.zip
Токо может уже новее версии есть, я давно качал.




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/



Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/

«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.
«Исследование хитропакованной проги XnView 1.46» - я плакал и катался.. зачем распаковывать? зачем отламывать?.. только сайс и masm = кейген без проблем.. там все очень просто
«Регистрация Kyodai Mahjongg 9.42».. ой.. опять патч. вы упали?.. кейген надо. там же просто?.. лирическое отступление - я понится, когда вступал (ой как давно это было) в TSRh, я тоже писал статью про эту прогу.. тоже инлайн делал, но там аспак был..
«Исследование Perfect Keylogger (build 1.4.7.4)» - это мне уже нравится! :).. правда защита там никакая
«Исследование Talisman Desktop 2.31» - молодец
«Исследование Teleport Pro 1.29 (Build 1422)» - за это нужно бить по рукам!
«Исследование WinZip 8.0 BETA (3046)» - а я снова спрашиваю почему не кейген? да и вообще зачем писать статью по этой проге? там же сто лет ничего не меняется!

вобщем из всех последних туторов мне больше всего понравилось творчество Cryo

p.s хочу кейген-туторов :)
odIsZaPc :: Nitrogen пишет:
цитата:
конечно не хочу никого обидить, но у автора, имхо, мания величия.


Но ведь так оно и есть: кроме как перебором не ломается...
Nitrogen пишет:
цитата:
p.s хочу кейген-туторов :


Кто ж их не хочет?

MozgC [TSRh] :: Нитра, а какой понт от кейген-туторов? Имхо каждый раз алгоритм генерации разный, и мне кажется кейген-туторами нельзя научиться кейгенить. Научиться по тутором можно например распаковывать, но не кейгенить... Чтобы научиться кейгенить тут нужно только самому пробовать, пробовать и пробовать...

Runtime_err0r :: Nitrogen
А это кто писАл ? не помнишь ли случайно

цитата:
[Исследование Advanced Call Center v4.0]

Target: Advanced Call Center v4.0
URL: http://www.voicecallcentral.com
Tools: Caspr 1.100

Хаюшки!..

Приступим?!..

Как мне надоели наши совковые разработчики - каждый так и старается защитить
свою программу Asprotect’ом... просмотрел я вобщем этот самый acc.exe - ну
точно чем-то запакован.. я даже не стал натравливать на него file analyzer...

дай-ка, думаю испытаю на нем caspr 1.100, кстати, в свободно скачивании его
не найти - она поставляется, как часть программы:

’UN-PACK (File Analyzer and Unpacker) v.2.2’, которую вы можете скачать с
http://protools.cjb.net или http://unpack.cjb.net

вобщем смотрите сами:

--cut--
C:\program files\acc›\tools\fa\Plugins\Caspr.exe «C:\program files\acc\acc.exe»
CASPR v1.100 - A cool unpacker for ASProducts
Copyright (c) 2000,2001 Coded by SAC/UG2001! aLL rIGHTS rEVERSED!

Unpacking «acc.exe»...OK!

Don’t forget to see readme.txt. It’s helpful at reversing ASProducts.
--cut--

ну а дальше все просто - запускаем распакованную жертву и.. блин, нет там
никаких надписей, что unregistered и все такое... вобщем перевел я часы на
год вперед, запустил снова запакованную версию - выскочило окошко, что нужно
таки регистрироваться... косяяяяяк... зачем-то опять запустил я распакованную
версию - окошка нет, все работает... оригинал пускаю - опять орет...

из этого следут, что защита там весела навесная, asprotect’овая %)...

вот и сломалась программа сама собой %)... один я косяк нашел - заголовок
окна у распакованной программы почему-то становится: » », вобщем нет
у нее заголовка, но ведь это и не проблема - главно что бы работало!

вопросы? - в мыло!..

p.s UN-PACK 2.2, а вместе с ним и caspr1.1000 тянуть с

http://protools.cjb.net или http://unpack.cjb.net
-------------------------------------------------- -------------------------
18.09.2001, 12:42 (gmt +5)


цитата:
p.s хочу кейген-туторов :)


Ну вот и написал бы пару туториалов по кейгенам, вмксто того, чтобы дневники Бриджит Джонс читать !!!

Madness :: Runtime_err0r
А он писал, по flashget хотя бы.

DEMON :: Nitrogen пишет:
цитата:
но у автора, имхо, мания величия.


Какая мания величия????

Chirurg :: Runtime_err0r
«Ну вот и написал бы пару туториалов по кейгенам, вместо того, чтобы дневники Бриджит Джонс читать !!!»

Я, конечно, человек маленький и кракер никудышный, но обратил бы внимание на дату цитируемого высказывания - 2001г.
ИМХО, с тех пор и Nitrogen (hi, Kamil!) вырос и воды утекло много... да и хамить немодно стало

Bad_guy :: Nitrogen пишет:
цитата:
«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.


Да, Nitrogen, у меня есть чуть чуть этого, нельзя уж прямо назвать это манией, но если бы я не хотел быть первым я бы не сделал и 10% того, что я сделал хотя бы для крэкерского мира, но это не все мои достижения.
Хотя знаешь что Нитроген, ты ведь тоже страдаешь манией величия, как и любой компьютерщик (не чайник), потому как ТЫСЫРЫАШ подался, а не какой нибудь пупкин тим, но это тоже полнейшее имхо.

Если ты по содержанию статьи судил - там половина приколов, а половина едкого юмора, который я очень люблю.

PS. Да ладно вам ребята меня защищать. Ругать меня надо, чтоб я тут не зазнавался и не обленился.

Nitrogen :: «Очень часто все кидают известную фразу америкоса крэкера ORC’а: «Все что можно запустить можно и взломать». А это на самом деле не так, это заявляю вам я - настоящий российский крэкер Bad_guy. Могу сделать вывод, что ORC не слышал ничего о криптографии, ну да ладно - оставим его в покое. »
ну нахрен так пальцами раскидываться \m/ ?..

Runtime_err0r
ну ты тож нашел стааарье такое ;).. а дбж я же прочитал.. так же закончил «почему ты меня не хочешь» индии найт, сейчас в раздумьях - то ли дочитать «лучше для мужчины нет» то ли «секс в большом городе» то ли «лавина» то ли новую книжку авторши дбж :)..

Chirurg
ага.. вырос и уже успел состариться

p.s а на счет написать чего нибудь.. думаю над этим..

Nitrogen :: Bad_guy
кури livejournal.com/~nitroz где я пытался нашу историю писать..
когда я пришел в команду - мы были формально никем.. я и TSRh росли вместе.. и никуда я от туда не уйду - вот отдохну еще чуток (гыыыыыы ) и вернусь в строй :)..

Bad_guy :: Nitrogen
Ну раз так, то я пожалуй своё имхо засуну себе...
Извини.

А вот http://livejournal.com/~nitroz - фигня какая то там чат - про какие то маршрутки рассказывают...

Nitrogen :: Runtime_err0r
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware

Bad_guy :: Nitrogen пишет:

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Хватит к людям приставать. Я тоже может видел неработающие крэки и некейгенистые кейгены от вашей группы а именно от реалити или реалисти... как его там, но ведь пртензии никому не предъявлял.
Вообще у меня такое мнение, что многие группы на количество работают, а не на качество.

MozgC [TSRh] :: Была бы возможность, давно бы тему закрыл, начали заведемо флеймную тему. Нафига друг на друга наезжать?

PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)

Runtime_err0r :: Nitrogen
Щаз отвечу по быстрому, пока тему не закрыли

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Я же не смотрю, кто там чего закейгенил а вот статья про TRegWareII - это вещь нужная, будем ждать ...

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Щаз отвечу по быстрому, пока тему не закрыли


А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)

GL#0M :: MozgC [TSRh]

Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!



Runtime_err0r :: MozgC [TSRh]

цитата:
А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)


YE-E-E-E-S !!! Теперь буду флудить и всех обс#%$ть гы-ы-ы-ы-ы-ы

GL#0M

цитата:
Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!


А ты-то как думал ? Я вообще удивляюсь, что на бесплатном народе и борде этот сайт так долго продержался ... надо скинуться и купить место на нормальном хостинге и поставить туда конфу на нормальном движке - тогда будет порядок

А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем (GetPix v1.5, Open Book v1.4 beta 9, Ultra Tag Editor v1.45, WebSynchronizer 1.1 build 38, HQuote Pro 5.0.0.159, filesCatalog 1.5 build 87, 3wGet 1.41 и т.д.). Так что The DarkStranger на верном пути

Nitrogen ::
цитата:
PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)


да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(

цитата:
статья про TRegWareII


ну будет значит.. кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..

Runtime_err0r :: Nitrogen

цитата:
ну будет значит..


Ну спасибо !!!

цитата:
кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..


Ну я-то, в принципе и то и то знаю (и даже C++ ), но на Delphi оно как-то проще читается
Кстати, насколько я понимаю, достаточно написать заготовку для KG один раз, а потом только Seed в нём менять, или я не прав ?

Nitrogen :: Runtime_err0r
ну.. сид, ограничение по длине, длина серийника.. если на дельфи то и писать особо нечего - сид берешь из проги и вставляешь куда следует.. у меня заготовка на асме..

Nitrogen :: кстати tregware же с открытыми исходниками идет - бывает авторы что-то меняют помима сида.. это уже смотреть нужно

Bad_guy :: Так, все ОКей. Никто этот форум не закроет, я разобрался. Дело в том,что я баннер прилепил 468*60, а он запрещен - вот и был админ-вход заблокирован - сейчас уже всё разблокировано. Так что Мозг, можешь и закрыть эту тему.

PS Зря вы на реалисти накуинулись. еще качал неработающие крэки от вашей же группы и не от реалисти,а от кого то еще. Сейчас уже не помню.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем


А у меня процентов 40 прог которые я закейгенил были тоже упакованы сами догадайтесь чем. Нужно не бояться сами догадайтесь чего и сразу не кидаться за распаковку или еще страшнее лоадер, кои я не переношу, а посмотреть че там происходит. Очень часто прога упавана сами знаете чем а генерация серийника - код на 1 страничку. И че бы такое не закейгенить?

Nitrogen пишет:
цитата:
да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(


Угу, ты еще посмотри че мы там на нашем форуме пишем, там спор разгорелся, тема про патчер.

odIsZaPc :: Круто

Nitrogen :: MozgC [TSRh]
читал.. кто за кейгенерство - правы. кто против - нет :)..

p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..

MozgC [TSRh] :: Nitrogen
Лучше бы они аспр для закриптовки юзали =)
А то то парой байт патчится, то просто кейгенится =)

Runtime_err0r :: Nitrogen

цитата:
p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..


Да уж, единственная польза от ASPRа - это алгоритм генерации ключей и возможность шифровать участки кода, а так от него толку мало

MozgC [TSRh] :: Ну от 1.3 не скажиии...

XoraX :: MozgC [TSRh] , а где тот топик а вашем форуме? или он приватный?

MozgC [TSRh] :: Приватный.




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.




Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2...



Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2 - 1.3 Руками распаковать мне еще не по зубам - слаб в коленках :).
Stripper 2.03 пишет cant unpack file. Плиз дайте ссылку на новый стриппер или помогите распаковать ехе-шник. А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул. Ссылку не даю умышленно, ибо производитель сюда захаживает. Не хрен ему просвещаться. Сообщу в мыло и буду век благодарен за помощь.
Размер инсталлятора - 2 мб, размер ехе-шника 135 кб.
P.S. Крак не нужен, думаю сам справлюсь.
MoonShiner :: Распакуй то, не знаю, что... Так что ли? Тут волшебников не водится.
Chirurg пишет:
цитата:
P.S. Крак не нужен, думаю сам справлюсь.


Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...

nice :: Chirurg
1_23 берет.
http://www.is.svitonline....om/syd/stripper_v207f.rar

Runtime_err0r :: Chirurg

цитата:
А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул.


Не люблю таких падонков скинь pliz ссылку или EXE’шник на v m u @ n e w m a i l . r u

dMNt :: а еще есть авторы, которые в коде издеваются :) (ну как в SVKP)

odIsZaPc :: dMNt пишет:
цитата:
(ну как в SVKP)


ГКЧП...

Chirurg :: MoonShiner
MoonShiner пишет:
цитата:
Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...


Я думал, что выразился довольно ясно: ссылку пришлю в мыло тому, кто захочет помочь с распаковкой. При этом греть голову над краком не обязательно. Только распаковать.
nice
Спасибо!
Runtime_err0r
Выслал.

TankMan :: Я вот чего хотел спросить, а почему мне asprdbgr 1.04 выдает что не верная у меня OS, должна быть NT-based, хотя я запускаю ее под ХР... даже и не догадывался, что XP не NT-based :)

DEMON :: Chirurg
Читай http://cracklab.narod.ru/doc/wasm1.htm !!!!




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...



Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/



Nitrogen грустно все это.. захожу на http://cracklab.narod.ru/doc/

«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.
«Исследование хитропакованной проги XnView 1.46» - я плакал и катался.. зачем распаковывать? зачем отламывать?.. только сайс и masm = кейген без проблем.. там все очень просто
«Регистрация Kyodai Mahjongg 9.42».. ой.. опять патч. вы упали?.. кейген надо. там же просто?.. лирическое отступление - я понится, когда вступал (ой как давно это было) в TSRh, я тоже писал статью про эту прогу.. тоже инлайн делал, но там аспак был..
«Исследование Perfect Keylogger (build 1.4.7.4)» - это мне уже нравится! :).. правда защита там никакая
«Исследование Talisman Desktop 2.31» - молодец
«Исследование Teleport Pro 1.29 (Build 1422)» - за это нужно бить по рукам!
«Исследование WinZip 8.0 BETA (3046)» - а я снова спрашиваю почему не кейген? да и вообще зачем писать статью по этой проге? там же сто лет ничего не меняется!

вобщем из всех последних туторов мне больше всего понравилось творчество Cryo

p.s хочу кейген-туторов :)
odIsZaPc :: Nitrogen пишет:
цитата:
конечно не хочу никого обидить, но у автора, имхо, мания величия.


Но ведь так оно и есть: кроме как перебором не ломается...
Nitrogen пишет:
цитата:
p.s хочу кейген-туторов :


Кто ж их не хочет?

MozgC [TSRh] :: Нитра, а какой понт от кейген-туторов? Имхо каждый раз алгоритм генерации разный, и мне кажется кейген-туторами нельзя научиться кейгенить. Научиться по тутором можно например распаковывать, но не кейгенить... Чтобы научиться кейгенить тут нужно только самому пробовать, пробовать и пробовать...

Runtime_err0r :: Nitrogen
А это кто писАл ? не помнишь ли случайно

цитата:
[Исследование Advanced Call Center v4.0]

Target: Advanced Call Center v4.0
URL: http://www.voicecallcentral.com
Tools: Caspr 1.100

Хаюшки!..

Приступим?!..

Как мне надоели наши совковые разработчики - каждый так и старается защитить
свою программу Asprotect’ом... просмотрел я вобщем этот самый acc.exe - ну
точно чем-то запакован.. я даже не стал натравливать на него file analyzer...

дай-ка, думаю испытаю на нем caspr 1.100, кстати, в свободно скачивании его
не найти - она поставляется, как часть программы:

’UN-PACK (File Analyzer and Unpacker) v.2.2’, которую вы можете скачать с
http://protools.cjb.net или http://unpack.cjb.net

вобщем смотрите сами:

--cut--
C:\program files\acc›\tools\fa\Plugins\Caspr.exe «C:\program files\acc\acc.exe»
CASPR v1.100 - A cool unpacker for ASProducts
Copyright (c) 2000,2001 Coded by SAC/UG2001! aLL rIGHTS rEVERSED!

Unpacking «acc.exe»...OK!

Don’t forget to see readme.txt. It’s helpful at reversing ASProducts.
--cut--

ну а дальше все просто - запускаем распакованную жертву и.. блин, нет там
никаких надписей, что unregistered и все такое... вобщем перевел я часы на
год вперед, запустил снова запакованную версию - выскочило окошко, что нужно
таки регистрироваться... косяяяяяк... зачем-то опять запустил я распакованную
версию - окошка нет, все работает... оригинал пускаю - опять орет...

из этого следут, что защита там весела навесная, asprotect’овая %)...

вот и сломалась программа сама собой %)... один я косяк нашел - заголовок
окна у распакованной программы почему-то становится: » », вобщем нет
у нее заголовка, но ведь это и не проблема - главно что бы работало!

вопросы? - в мыло!..

p.s UN-PACK 2.2, а вместе с ним и caspr1.1000 тянуть с

http://protools.cjb.net или http://unpack.cjb.net
-------------------------------------------------- -------------------------
18.09.2001, 12:42 (gmt +5)


цитата:
p.s хочу кейген-туторов :)


Ну вот и написал бы пару туториалов по кейгенам, вмксто того, чтобы дневники Бриджит Джонс читать !!!

Madness :: Runtime_err0r
А он писал, по flashget хотя бы.

DEMON :: Nitrogen пишет:
цитата:
но у автора, имхо, мания величия.


Какая мания величия????

Chirurg :: Runtime_err0r
«Ну вот и написал бы пару туториалов по кейгенам, вместо того, чтобы дневники Бриджит Джонс читать !!!»

Я, конечно, человек маленький и кракер никудышный, но обратил бы внимание на дату цитируемого высказывания - 2001г.
ИМХО, с тех пор и Nitrogen (hi, Kamil!) вырос и воды утекло много... да и хамить немодно стало

Bad_guy :: Nitrogen пишет:
цитата:
«CRACKL@B CrackMe #3 или четырехзначный пароль - абсолютная защита» - конечно не хочу никого обидить, но у автора, имхо, мания величия.


Да, Nitrogen, у меня есть чуть чуть этого, нельзя уж прямо назвать это манией, но если бы я не хотел быть первым я бы не сделал и 10% того, что я сделал хотя бы для крэкерского мира, но это не все мои достижения.
Хотя знаешь что Нитроген, ты ведь тоже страдаешь манией величия, как и любой компьютерщик (не чайник), потому как ТЫСЫРЫАШ подался, а не какой нибудь пупкин тим, но это тоже полнейшее имхо.

Если ты по содержанию статьи судил - там половина приколов, а половина едкого юмора, который я очень люблю.

PS. Да ладно вам ребята меня защищать. Ругать меня надо, чтоб я тут не зазнавался и не обленился.

Nitrogen :: «Очень часто все кидают известную фразу америкоса крэкера ORC’а: «Все что можно запустить можно и взломать». А это на самом деле не так, это заявляю вам я - настоящий российский крэкер Bad_guy. Могу сделать вывод, что ORC не слышал ничего о криптографии, ну да ладно - оставим его в покое. »
ну нахрен так пальцами раскидываться \m/ ?..

Runtime_err0r
ну ты тож нашел стааарье такое ;).. а дбж я же прочитал.. так же закончил «почему ты меня не хочешь» индии найт, сейчас в раздумьях - то ли дочитать «лучше для мужчины нет» то ли «секс в большом городе» то ли «лавина» то ли новую книжку авторши дбж :)..

Chirurg
ага.. вырос и уже успел состариться

p.s а на счет написать чего нибудь.. думаю над этим..

Nitrogen :: Bad_guy
кури livejournal.com/~nitroz где я пытался нашу историю писать..
когда я пришел в команду - мы были формально никем.. я и TSRh росли вместе.. и никуда я от туда не уйду - вот отдохну еще чуток (гыыыыыы ) и вернусь в строй :)..

Bad_guy :: Nitrogen
Ну раз так, то я пожалуй своё имхо засуну себе...
Извини.

А вот http://livejournal.com/~nitroz - фигня какая то там чат - про какие то маршрутки рассказывают...

Nitrogen :: Runtime_err0r
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware

Bad_guy :: Nitrogen пишет:

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Хватит к людям приставать. Я тоже может видел неработающие крэки и некейгенистые кейгены от вашей группы а именно от реалити или реалисти... как его там, но ведь пртензии никому не предъявлял.
Вообще у меня такое мнение, что многие группы на количество работают, а не на качество.

MozgC [TSRh] :: Была бы возможность, давно бы тему закрыл, начали заведемо флеймную тему. Нафига друг на друга наезжать?

PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)

Runtime_err0r :: Nitrogen
Щаз отвечу по быстрому, пока тему не закрыли

цитата:
кста.. я тут на днях твой релиз увидел - серийник для Just Right Click Scrap Books 1.1.. вопрос - нах?.. я еще в feb 2003 его закейгенил?.. мож по нему тутор написать ;).. там ведь простой tregware


Я же не смотрю, кто там чего закейгенил а вот статья про TRegWareII - это вещь нужная, будем ждать ...

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Щаз отвечу по быстрому, пока тему не закрыли


А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)

GL#0M :: MozgC [TSRh]

Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!



Runtime_err0r :: MozgC [TSRh]

цитата:
А я щас не смогу закрыть, отрубили доступ, cracklab внесли в список нарушающих правила, так что можете беспредельствовать, я ниче не сделаю =)


YE-E-E-E-S !!! Теперь буду флудить и всех обс#%$ть гы-ы-ы-ы-ы-ы

GL#0M

цитата:
Нихрена себе. А что такое? Раньше ж всё нормально было. Прикроют значи. @!#$ во... @!#$ Все сайты что-то флудят закрывают, полный @!#$ ец. Видать решили искоренять это дело. Уроды!!!


А ты-то как думал ? Я вообще удивляюсь, что на бесплатном народе и борде этот сайт так долго продержался ... надо скинуться и купить место на нормальном хостинге и поставить туда конфу на нормальном движке - тогда будет порядок

А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем (GetPix v1.5, Open Book v1.4 beta 9, Ultra Tag Editor v1.45, WebSynchronizer 1.1 build 38, HQuote Pro 5.0.0.159, filesCatalog 1.5 build 87, 3wGet 1.41 и т.д.). Так что The DarkStranger на верном пути

Nitrogen ::
цитата:
PS. А реалистти, да, часто косячит, да и вообще мне не нравится что он постоянно лоадеры и cracked.exe релизит, но старается взять количеством =)


да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(

цитата:
статья про TRegWareII


ну будет значит.. кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..

Runtime_err0r :: Nitrogen

цитата:
ну будет значит..


Ну спасибо !!!

цитата:
кста, а ты с языками дружишь?.. просто в статье кейген на асме написать или на дельфях (тогда просто сам tregware заюзаю с нужными параметрами)..


Ну я-то, в принципе и то и то знаю (и даже C++ ), но на Delphi оно как-то проще читается
Кстати, насколько я понимаю, достаточно написать заготовку для KG один раз, а потом только Seed в нём менять, или я не прав ?

Nitrogen :: Runtime_err0r
ну.. сид, ограничение по длине, длина серийника.. если на дельфи то и писать особо нечего - сид берешь из проги и вставляешь куда следует.. у меня заготовка на асме..

Nitrogen :: кстати tregware же с открытыми исходниками идет - бывает авторы что-то меняют помима сида.. это уже смотреть нужно

Bad_guy :: Так, все ОКей. Никто этот форум не закроет, я разобрался. Дело в том,что я баннер прилепил 468*60, а он запрещен - вот и был админ-вход заблокирован - сейчас уже всё разблокировано. Так что Мозг, можешь и закрыть эту тему.

PS Зря вы на реалисти накуинулись. еще качал неработающие крэки от вашей же группы и не от реалисти,а от кого то еще. Сейчас уже не помню.

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
А по сабжу - как я у же писал, кейгены - это, конечно, круто и интересно, но совершенно бесперспективно (IMHO)
Из тех программ, которые я ломал за последние 2-3 месяца процентов 90 были упакованы сами_догадайтесь_чем


А у меня процентов 40 прог которые я закейгенил были тоже упакованы сами догадайтесь чем. Нужно не бояться сами догадайтесь чего и сразу не кидаться за распаковку или еще страшнее лоадер, кои я не переношу, а посмотреть че там происходит. Очень часто прога упавана сами знаете чем а генерация серийника - код на 1 страничку. И че бы такое не закейгенить?

Nitrogen пишет:
цитата:
да ваще он меня запарил! с cracked я еще мерюсь, но вот когда лоадеры делает или keyfiles неработающие - жуть!.. достал уже :(


Угу, ты еще посмотри че мы там на нашем форуме пишем, там спор разгорелся, тема про патчер.

odIsZaPc :: Круто

Nitrogen :: MozgC [TSRh]
читал.. кто за кейгенерство - правы. кто против - нет :)..

p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..

MozgC [TSRh] :: Nitrogen
Лучше бы они аспр для закриптовки юзали =)
А то то парой байт патчится, то просто кейгенится =)

Runtime_err0r :: Nitrogen

цитата:
p.s тоже несколько раз кейгенил проги зааспреные.. уважаю таких авторов - не юзают аспровую регу, а придумывают что-то свое..


Да уж, единственная польза от ASPRа - это алгоритм генерации ключей и возможность шифровать участки кода, а так от него толку мало

MozgC [TSRh] :: Ну от 1.3 не скажиии...

XoraX :: MozgC [TSRh] , а где тот топик а вашем форуме? или он приватный?

MozgC [TSRh] :: Приватный.




Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2...



Chirurg Помогите невбису с ASprotect-om Есть прога упакованная ASProtect 1.2 - 1.3 Руками распаковать мне еще не по зубам - слаб в коленках :).
Stripper 2.03 пишет cant unpack file. Плиз дайте ссылку на новый стриппер или помогите распаковать ехе-шник. А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул. Ссылку не даю умышленно, ибо производитель сюда захаживает. Не хрен ему просвещаться. Сообщу в мыло и буду век благодарен за помощь.
Размер инсталлятора - 2 мб, размер ехе-шника 135 кб.
P.S. Крак не нужен, думаю сам справлюсь.
MoonShiner :: Распакуй то, не знаю, что... Так что ли? Тут волшебников не водится.
Chirurg пишет:
цитата:
P.S. Крак не нужен, думаю сам справлюсь.


Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...

nice :: Chirurg
1_23 берет.
http://www.is.svitonline....om/syd/stripper_v207f.rar

Runtime_err0r :: Chirurg

цитата:
А то производитель пишет издевательские письма и радуется, т.к все его предыдущие творения я кракнул.


Не люблю таких падонков скинь pliz ссылку или EXE’шник на v m u @ n e w m a i l . r u

dMNt :: а еще есть авторы, которые в коде издеваются :) (ну как в SVKP)

odIsZaPc :: dMNt пишет:
цитата:
(ну как в SVKP)


ГКЧП...

Chirurg :: MoonShiner
MoonShiner пишет:
цитата:
Не понял, а ты ждешь универсальный кряк, типа «крякера инета»? К чему тебе тут могут кряк дать? Без ссылки тут больше никто ничего не напишут, разве что поиздеваются...


Я думал, что выразился довольно ясно: ссылку пришлю в мыло тому, кто захочет помочь с распаковкой. При этом греть голову над краком не обязательно. Только распаковать.
nice
Спасибо!
Runtime_err0r
Выслал.

TankMan :: Я вот чего хотел спросить, а почему мне asprdbgr 1.04 выдает что не верная у меня OS, должна быть NT-based, хотя я запускаю ее под ХР... даже и не догадывался, что XP не NT-based :)

DEMON :: Chirurg
Читай http://cracklab.narod.ru/doc/wasm1.htm !!!!




FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.



FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.
Программа предназначена для быстрой (за пару секунд) распаковки простых пакеров (UPX, ASPack, PE Diminisher, PECompact, PE-PACK и др). Отличается малым размером исполняемой программы и быстротой работы.
Заточена под NT, не восстанавливает импорт под 9х....

Тулза лежит на форуме: http://www.exetools.com/f...read.php?s=&threadid=3478
Кто может выложите еще где-нибудь для народа, кто не зарегистрирован на exetools.

Также можете высказывать мысли по поводу анпакера.

p.s. «This is my first Unpacker, so stop laughing :)» (c) Y0da
Runtime_err0r :: Переложил
_http://www.zone.ee/Runtime_err0r/qunpack_v02.zip

MozgC [TSRh] :: Ну я проверил на UPX, ASPack, PE Compact, ExeStealth - везде сработало, вроде неплохо так все. В общем думаю новичкам понравится, тем более трудно найти распаковщики для PE Compact и eXeStealth, хоть они и очень легкие в плане распаковки.
Только ты бы там написал, что мол автор советует учиться распаковывать вручную =) Прикольно было бы =)

-= ALEX =- :: а я вот что-то попробывал распаковать тот же UPX, просто прога запускается и все....




DOLTON ASPR Stripper - кудаж без него? Привет всем!



DOLTON ASPR Stripper - кудаж без него? Привет всем!
По обидной случайности не успел выкачать с офф сайта ver 2.07 (final) до его закрытия ...
Если вдруг кто оказался в рядах счастливчиков - большая просьба скинуть на dolton2002mail.ru
Заранее всем big thanks!
MozgC [TSRh] :: http://MozgC.com/stripper207.zip
Я не знаю какой это, final или не final но работает нормально.

DEMON :: MozgC [TSRh]
Дzzzякую тебе!!!

Runtime_err0r :: MozgC [TSRh]
Да ты никак доменом 1-го уровня разжился ? ну ты буржуй, однако

P.S. А Солодовников-то не дремлет, упырь

MozgC [TSRh] :: Runtime_err0r
Давно уже разжился =)

.::D.e.M.o.N.i.X::. :: Давно уже 2.11b есть:) Движок переработан и интерфейс другой.

-= ALEX =- :: .::D.e.M.o.N.i.X::. ][в@статься то зачем ?

Gloomy :: stripper просто уникальная программа! Скачал «Complete CD And DVD Writer 1.1» - довольно интересная штука, но оказалась запакована «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov». Нисколько не надеясь на успех открыл ее в stripper, ничего не настраивая тупо нажал «unpacking»... и Чудо свершилось! - получил распакованный, полностью рабочий файл! При этом триал в 5 дней исчез как страшный сон
Большой респект автору stripperа!

З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.

-= ALEX =- :: самая новая 1.30 build XXX, могу и ошибаться... а вообще я не втречал прог защищенным этим супермега протектором :)

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.


Он для 1.30, правда у меня не распаковал ни одного аспра 1.30 да и не удивительно, он даже таблицу инита не восстанавливал, интересно как прога должна была работать после такой распаковки, думаю что и еще косяки есть.

Runtime_err0r :: Gloomy

цитата:
З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.


То что выдаёт PEiD ещё не является абсолютной истиной кстати, скачай версию 0.92 - там новые сигнатуры добавились.

MozgC [TSRh]

цитата:
.::D.e.M.o.N.i.X::. пишет:
цитата: -------------------------------------------------- ------------------------------
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.
-------------------------------------------------- ------------------------------

Он для 1.30, правда у меня не распаковал ни одного аспра 1.30


А я им кучу прог распаковал он лучше, чем 2.07, т.к. грамотно эмулирует GetTrialDays и ExecuteApplication, поэтому сразу получаем на выходе рабочую прогу и не надо руками ничего эмулировать

цитата:
.::D.e.M.o.N.i.X::. ][в@статься то зачем ?


Точняк !!!

mnalex :: Runtime_err0r
Возможно он грамотнее распаковует 1.23, а ты попробуй 1.3...

mnalex :: Ребята, объясните мне, нафига делаються кряк проги, которые дают только избранным крякерам, т.е. тем кто и без этого спокойно распаковывает?
Для тестирования? Или просто из желания показать, что их уважают, а на остальных нас;%ть? Не, я понимаю, и неспорю, что эти проги делают умные люди, и я их естествено уважаю, но зачем страдать такой фигнёй, я незнаю и не понимаю...

nice :: mnalex
ИМХО всё это денег стоит...

Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe
http://www.apache-gui.com/files/apconf.exe

Andrey :: nice пишет:
цитата:
Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe


Какая же это 1.30, это допотопная 1.23, со стареньким импортом

mnalex :: nice пишет:
цитата:
ИМХО всё это денег стоит...


Хорошо, тогда ты хочешь сказать, что те у кого уже есть эта прога - заплатили автору? Фигня... Единственное, это то что если у него (автора) будут проблемы с чем либо - он может быть уверен, что эти люди постараються ему помочь всеми силами...

цитата:
Да я думаю мало кто здесь может 1_30 руками снять...


Интересно, а ты хочеш сказать, что stripper 2.11b есть у многих? Нет, он у этих «мало» и есть...

ИМХО, как я уже говорил - фигня это...

TriD :: Привет чесной компании!
Если у кого есть ASPR Stripper 2.07, намыльте пожалуйста, а то приведенная вначале ссылка не работает

P.S. Извиняйте за беспокойство, сам нашел на одном из тайваньских серверов.

Runtime_err0r :: mnalex , nice , Andrey

Да ладно вам спорить. По-моему syd прав, Солодовников-то тоже не лох, стоит только выложить версию stripper’а публичного доступа, и через неделю его уже можно будет положить в корзину
А так, насколько мне известно, у всех российских кракерских групп он и так есть, так что присоединяйтесь

mnalex :: Runtime_err0r пишет:
цитата:
так что присоединяйтесь


А как это сделать? Лично я непротив, тока кто меня возьмет?

Runtime_err0r :: mnalex

цитата:
Runtime_err0r пишет:
цитата: -------------------------------------------------- ------------------------------
так что присоединяйтесь
-------------------------------------------------- ------------------------------

А как это сделать?


Учиться, учиться и ещё раз учиться ... © Ленин

MozgC [TSRh] :: Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))

T0zik ::
цитата:
Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))


Скорей всего :) Да и тенденция однако - то что делает стриппер можно сделать вручную, в новом аспре появляются вещи, которые имхо не автоматизировать :( Перенос стрипером точки входа aka OEP эт конечно хорошо, а что он будет делать, если в OEP появятся зависимые от кода аспра фичи, т.е. если код OEP будет зависеть от кода aspr’а :( каюк - придется весь полиморф разбирать :(

mnalex :: Runtime_err0r
Что и делаеться :))

MozgC [TSRh]
Мои мысли высказал - вечно опережаешь, я подумаю - а ты уже скажешь :))




Python



Python_Max Странный UPX Сабж состоит в том, что PEiD и ему подобные показывают, что подопытная прога запакована UPX (а конкретнее «UPX 0.89.6 - 1.02 / 1.05 - 1.24 -› Markus & Laszlo»), но в то же время ни сам UPX ни другой unpacker, который может его распаковать, этого сделать не могут и говорят, что UPX’a там и близко нет.
Распаковать смог только ProcDump, но дизасмится распакованный вариант не хочет, а ResourceHacker говорит, что ресурсы нестандартные либо запакованы, хотя тот же PEiD после десяти секунд сканирования (долго однако) говорит, что Borland Delphi 3.0

Че делать-то? Хочу увидеть код программы...

ЗЫ: руками распаковать пробовал - после распаковки по аналогии с туторами дамп не запускается. Но посмотрел я в PE Editor’e тот дамп, который распаковал ProcDump, - он добавил туда еще одну секцию idata. Возможно поэтому его (процдампа) дамп запускается нормально, но, как уже сказал - не дизасмится (конца работы W32Dasm я не дождался).
XoraX :: анализаторы и обмануть можно... покажи файл

Python_Max :: http://www.hotrex.com/soko_pro.exe

Т.е. это инсталяха. А файл - главный exe-шник.

Вот блин, кажись я его даже не оттудова качал :/
Хотя размер сходится, это тот же файл.

WELL :: Лучше распаковывать руками, так надежнее.
Попробуй по такой схеме:
1) Ищешь OEP руками
2) Циклишь прогу (лучше в OllyDbg) на OEP’е
3) Дампишь (лучше с помощью LordPE)
4) Таблицу импорта восстанавливать попробуй ImpRec’ом и Revirgin,
т.к. бывает ImpRec восстанавливает криво (да и Revirgin бывает тоже).
В принципе такая схема обычно подходит для всех простых пакеров (типа ASPack, UPX).

Bob :: Python_Max
Ручками распаковывается все без проблем...
OEP 45e8b0
действу как сказал WELL

Python_Max :: WELL
Thx, я так все и делал, кроме восстановления таблицы импорта.

Bob
OEP я нашел первым делом.

Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/

Выбираю процесс (нераспакованный), ввожу OEP, а ImpREC говорит «Invalid OEP! It does not match in the process memory». А запускаю дамп и получаю - «Ошибка при инициализации приложения...». В самом дампе EP поставил равным OEP-ImageBase.

Что я делаю неправильно?
Может там (в ImpREC) рядом с OEP нужно еще ввести RVA и Size?
А как их узнать?

WELL :: Python_Max
Попробуй Revirgin http://wasm.ru/tools/6/revirgin.zip

Runtime_err0r :: Python_Max
Распакуй этим: _http://www.zone.ee/Runtime_err0r/upx.exe

-=atol=- :: Python_Max пишет:
цитата:
Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/


Юзай 1.6. У меня 1.4.2+ точно такое - же сообщение написал «Invalid OEP! It does not match in the process memory»

KLAUS :: «Invalid OEP! It does not match in the process memory»

Чтоб небыло ошибки нужно правильно указать RVA (если искать автоматом, то будут ошибки), запускай какой-нить Hex редактор (Hex Workshop - например), и в DUMP’e ищи такие (F3) - 1677F7BF, у меня выдался 100110 ( у тебя будет другой), в поле RVA вводи -100000, и в Imprec жми GetImport, потом удаляй всё где стоит NO (Delete Thunks)..и жми FIX DUMP.....и опля ВСЁ РАБОТАЕТ!!!

KLAUS :: Да , кстати там точка входа, это обманка типа jmp наделали на реальную точку...поэтому PEID так долго думает

-=atol=- :: OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

WELL :: KLAUS
А там вообще UPX ?

-=atol=- :: Имеется три секции:
V}«0 -1
^?91 -2
.rsrc -3

WELL :: А модифицироваными упсами с васма пробовали распаковывать ?
У меня был косяк с распаковкой упса со скрамберами, там ImpRec 1.6 не справился, а Revirgin помог.

KLAUS :: Да там балда была...UPX’ом зажата!

KLAUS :: Ну а сам их защищал, и потом распаковывал.....по идеи просто делаеш PE_rebuild и всё.
Ну меня ещё Imprec неразу не подводил...посмотрим что дальше будет!

Python_Max :: -=atol=-
› OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?

Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.
Ради любопытства зациклил прогу и сделал два дампа: один с помощью LordPE, другой - с помошью PE Tools. И проделал те же действия для обоих. В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось (к слову, у дампа LordPE даже не отображалась иконка).
Можно считать, что прога распакована, но редактор ресурсов продолжает гнать все тот же бред: »...it probably been compressed with an EXE compressor».
Это как понимать?

W32Dasm тихо умирает, а вот IDA хоть и предупреждает о том, что таблица импорта повреждена, но дизассемблирует довольно быстро (две минуты), хотя не могу сказать насколько правильно...

А к чему было сообщение о том, что там три секции?

Runtime_err0r
Из-за смайлика боюсь даже качать :)
Тем более я сказал, что UnPacker’ы его не берут. Или этот особенный?

Python_Max :: Хе! В опциях LordPE нужно было две птицы поставить!
Теперь таблица импорта восстанавливается нормально.

Runtime_err0r :: Python_Max
Этот особенный А вообще распаковывать UPX руками - это извращение, читай статью:
http://www.wasm.ru/article.php?article=packers2#8

-=atol=- :: Python_Max пишет:
цитата:
А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?


Да 5E8B0 это EP для дампа, а 45E8B0 это EOP для запакованной проги.Python_Max пишет:

цитата:
Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.


Незнаю у меня все нормально.
Python_Max пишет:
цитата:
В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось


И Lord_PE и Pe-Tools оба дампа получались рабочии.

KLAUS :: А мне вот вообще интерестно, вы вообще пробывали распаковать прогу самим UPX, предварительно в HIEW подправить секции!!

KLAUS :: Короче OEP -0005E8B0 !! Эт 100%
Заменяй секции на UPX0, UPX1 - и разпаковывай самим UPX, без всяких проблем, без всяких дампов..реальный файл занимает 1628

Python_Max :: В смысле имена секций???

KLAUS :: Короче в HIew, нажимаешь F9, выбераешь свой файл, затем F8›F6›F3›F3 и набираешь UPX0. затем Enter›F9 , стускаешься на вторую секцию и тоже самое только UPX1. Всё сохраняешь фаел, запускаешь UPX -d ...прога распакована




Styx NeoLite Как распаковать NeoLite. В частности найти OEP.



Styx NeoLite Как распаковать NeoLite. В частности найти OEP.
-=atol=- :: Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm

Styx :: Thanks!

Runtime_err0r :: -=atol=-

цитата:
Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm


Блин, да это же я писАл

Styx
Если не получается руками, то можно этим распаковать: http://feuerrader.ahteam.org/files/QUnpack_v03.rar

-= ALEX =- :: в большинстве случаев в правильных пакерах/крипторах которые заботяться о стэке, можно oep найти по bpm esp-4... последнее срабатывание и приведет к прыжку на OEP.




[dZen] reversing.net? Раньше вот был хороший сайт reversing.net... Теперь его



[dZen] reversing.net? Раньше вот был хороший сайт reversing.net... Теперь его вроде как нет. Недавно натолкнулся на ссылку reversing.net.ru, но для входа внутрь он требует пароль. Это так и должно быть, или он просто тоже не работает? =)
AlexZ CRaCker :: www.reversing.net.ru/arti...les/042002/upxunpack.html
Это единственное, куда я смог попасть ...

[dZen] :: А меня и туда не пускает %)

KLAUS :: Базара нет, там тоже был не плохой форум.
Сейчас же туда вообще нельзя приконектится , пишет что у них IP : 127.0.0.1

WELL :: [dZen] пишет:
цитата:
Раньше вот был хороший сайт reversing.net... Теперь его вроде как нет


А я кажись в пятницу туда заходил. Вроде работал.




nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл...



nice Заливаем... 1) Это аспр дебугер последний, вчера обновился и длл позволяет мучить, 1_23 берет точно...
http://hice.antosha.ru/AsprDbgr_build_103.zip

2) Это распаковщик мерзкого пакера Krypton, я его до сих пор не могу снять
http://hice.antosha.ru/dekrypton05.rar

Выложил деньов на 6
-= ALEX =- :: круто

The DarkStranger :: nice пишет:
цитата:
мерзкого пакера Krypton,


чей то такое почему я не видел есть линк ??? на этот пакер ??? и кстате почему если это пакер тебе его не снять ???

nice :: The DarkStranger
Это не пакер а криптор, просто про него уже тема здесь проходила.
http://www.lockless.com/products/L02_KSetup05.zip

New features implemented in version 0.5:

* Anti-debugging code
* Anti-tracer code (ProcDump, etc.)
* Anti-FrogsICE code
* Encryption of the decrypter
* Smc decrypt routine
* Bogus opcodes, making it harder to reverse the decrypter
* K-Execution
* KCD-Lock
* Compression
* ID generator for Shareware programmer

Mario555 :: Мде... действительно мерзкий пакер...

nice :: Mario555
Да его нельзя пакером назвать, размер ЕХЕ почти в 2-3 раза больше становится :)

The DarkStranger
Стандартными методами его не отловить :( (esp-4 и т.п.)

The DarkStranger :: мде я то думал что то серьезное а оказалось все просто мде....

The DarkStranger :: вобщем щас распоковал и сам криптор короче лажняк не чего сложного !!! так что не знаю nice че ты там паришся все просто и совсем он не мерский !

nice :: The DarkStranger
Ты и аспр 1_30 распаковал, а я не смог, уровень разный видимо :(

Поделись, если не сложно, что да как...

The DarkStranger :: nice
да и не только его я много крипторов снимаю в том числе и арму
а поповоду этого криптора что можно сказать у него упор защиты сделан на его апи и сьедене куски кода вобщем во всем протекторе напиханны call [protect api1 ] , call [protect api 2 ] call [седенные куски кода] они там эмулятся еще чето было там подробно описывать лень .... если очень хочешь его снять то стучи в асю раскажу а да еще там oep ловится по getmodulehandlea после того как прервешся на 00401000 топай вниз до call [00ae0000] ‹== кстате один из видов апи его вот входи по call там трэйси и в итоге после прохождения цикла попадешь на 00401109 это и есть oep ....

Mario555 :: The DarkStranger пишет:
цитата:
сам криптор короче лажняк не чего сложного


Ы-ы это по сравнению с чем он лажняк ?!

Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...

PS
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего нет.

nice :: The DarkStranger
OEP 401000

401000 push 0
401002 call GetModuleHandleA
...
401016 call GetCommandLineA
Здесь происходит инициализация модуля.

Действительно апи както хитро заувалированы, до оеп я добрался сдампил, но с импортом придется плагин писать...
_______________________________

Обновился аспр дебугер:
http://hice.antosha.ru/AsprDbgr_build_104.zip

nice :: Хорошая новость :)
Обновился Stripper

stripper v2.07 (final) - last stable release, use it to unpack aspack 2.xx and aspr 1.2x..
http://www.is.svitonline....om/syd/stripper_v207f.rar

Сайт:
http://www.is.svitonline.com/syd/stripper.html

The DarkStranger :: не знаю я OEP делал 00401109 так как когда прога на 00401000 то секция кода еще не вся расшифрованна и в итоге можно получить не работающий дамп
нащет IAT я же говорю я сунул с 00050000 и через третий уровень прогнал и воткнул в дамп все пашет так что не чего там писать не надо !!! там весь гимор не с обычной IAT там гимор с его апи коих 3 варианта вобщем ты не совсем на правельном пути !!! если что то интересно стучи в асю раскажу как его снять icq 976926
Mario555 пишет:
цитата:
Ы-ы это по сравнению с чем он лажняк


с армой и аспром 1.3
Mario555 пишет:
цитата:
Ты бы что-ли тутор какой написал, а то везде про одни и те же пакеры/протекторы, а про такие как этот или например Molebox ничего нет...


напишу просто щас временно дел погорло освобожусь напишу !!!
Mario555 пишет:
цитата:
Кста о Molebox есть тутор у Cracklatinos, но они там распаковывают Notepad, ну и следовательно об «основной» части защиты в этом туторе ничего не


да так и в yoda krypton такая же фигня поэтому я всегда сами крипторы распаковываю так как всю защиту можно ощутить только распоковав сам криптор .....

Mario555 :: Кста в тему «Заливаем»:

На exetools ( на FTP ) появилась зарегеная версия Xtreme-Protector 1.07.

Mario555 :: Появился новый PEiD 0.92 [ hxxp://peid.has.it ]

цитата:
Added support for external database, independant of internal signatures. Added PE details lister. Added Import, Export, TLS and Section viewers. Added Disassembler. Added Hex Viewer.
Added ability to use plugins from Multiscan window. Added exporting of Multiscan results. Added ability to abort MultiScan without loosing results. Added ability to show process icons in Task Viewer.
Added ability to show modules under a process in Task Viewer. Added some more detections.


XoraX ::
цитата:
Added support for external database


где бы ее взять? вдруг пригодится...

PalR :: Ресторатор 2ОО4 v3.О.1129 Full
http://www.hornet.ru/0214/d-res301.zip
http://www.hornet.ru/0214/d-res302.zip

PalR :: Кто не успел, тот опаздал:) Гы

Cigan :: PalR
Плиз выложи еще разок. Блин токо сегодня до форума добрался!!!

PalR :: Restorator 2004 v3.0.1129 Release: DiSTiNCT

-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res301.zip
-http://vanix.net/warez/02...NFO-DiSTiNCT/d-res302.zip
русик
_http://www.apocalypse1.na...004_3001129retail_rus.exe
_http://www.4ru.info/rus/alexagf-Res301129Fr.zip

Cigan :: PalR
Большое бли спасибо!!! :)))

nice :: Обновилась: BETA 2 of OLLYDBG 1.10

is in the page of olly for download

http://home.t-online.de/home/Ollydbg/beta110b.zip

Vesrion 1.10b - second beta

Download v1.10b now - still raw, for troubleshooting only, includes plugin.h and sources of cmdline.dll that demonstrate usage of ODBG_Plugincmd().

There is a big useful new feature: OllyDbg now can debug standalone DLLs. Just drop DLL into OllyDbg and see what happens. A brief walkthrough is available here. Also new is a SEH chain window. Other changes:

A very useful option to remove analysis from selection (shortcut: Backspace);
Attach window is resizeable (and even maximizable);
New stack commands: push doubleword and pop doubleword;
Option to copy all registers to clipboard.

Removed bugs:

Assembler supports simplified form of IMUL: IMUL reg,const. This command is disassembled as IMUL reg,reg,const. One cannot search for IMUL using imprecise register (IMUL R32,CONST - use IMUL R32,R32,CONST instead). Reported by Alexandr Yakubtchik.
Disassembler used address size instead of operand size to decode size of immediate offset (JMP FAR ssss:oooooooo). Reported by Karel;

Tabs in source text in Disassembler comments and info pane were displayed as small rectangles. Now they are extended to at most 8 spaces. Reported by Karel;

ARPL was decoded with 32-bit size of operands (correct decoding is ARPL r/m16,r16). Reported by Karel;
OllyDbg now should correctly work in multi-monitor configurations, but I am unable to verify this. Please check! Reported by Roel Verdult;
2-byte INT 3 (CD 03) was processed incorrectly. Reported by roticv.
That’s all, enjoy and don’t forget to report bugs! Unfortunately I’m very busy now and cannot answer to you emails instantly, sorry. But, earlier or later, I’ll read then all :)

mnalex :: PalR
Во блин, прошлый раз неуспел, и в этот тоже :(, либо сайт глючит, либо за ~ ался :( - чото достучаться немогу... Ты еще неубирал?

AnteC :: все качается...

mnalex :: Угу, вроде стало нормально, а то чото немог :(

Mario555 :: Inno Setup Unpacker

http://innounp.sourceforge.net/

nice :: Mario555
Где раньше был :)

InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar

WELL :: Что-то http://hice.antosha.ru/AsprDbgr_build_104.zip не закачивается,
хотя http://hice.antosha.ru/is7unpack05.rar качнулся нормально.

AlexZ CRaCker :: stripper.exe - под ХР ункриптор вер 2.03
http://protools.anticrack...es/unpackers/stripper.zip

nice :: WELL
http://hice.antosha.ru/AsprDbgr_build_106.zip

AlexZ CRaCker
Уже давно 2_07
http://www.is.svitonline....om/syd/stripper_v207f.rar

Гость :: Дайте ссылочку на masm
(последней версии, ессно)

MC707 :: Гость пишет:
цитата:
Дайте ссылочку на masm


ftp://ftp.exetools.com

Только пасс с логином не спрашивай пожалуйста. На ихнем форуме найдешь

Гость :: Чего то не хочется на форум то их лезть..

PalR :: А нет ли у кого IceExt версии до 0.61

PalR :: Нет что л ни у кого??????????

PalR :: Мдя

ilya :: http://wasm.ru/tools/10/IceExt.zip эта 0.61

PalR :: Мне надо 0.6, 0.59, 0.58, 0.57 и т.д, но не 0.61

DOLTON :: PalR
Есть 0.57. Пиши мыло - пришлю...

PalR :: palrсобакаyandexточкаru
если больше метра лучше порубить.
сенкс




PalR Обход SN в InstallShield Мало статей видел по этому вопросу, а точнее ни



PalR Обход SN в InstallShield Мало статей видел по этому вопросу, а точнее ни одной, а тема на мой взгляд достойная внимания.
Опишу как делаю я и прошу здесь делиться своими методами. Наткнулся на прогу где мой метод не прошел. Может помогут ваши.
Запускаем установку программы и доходим до места где она просит ввести сер.номер. Его мы не знаем и вводим от балды. Обычно я пишу что то типа АВС111-2222-3333-4444-5555. Можно и другой, задача загнать InstallShield в цикл по вычислению правильного номера или ещё чего Х.Й его знает. Цикл не бесконечный, длится около 30-40 сек (во блин скока успевает насчитать) на 2600 AMD. Во время этого цикла вхожу в софтайс (Ctrl-D) и трассирую в ручную по F10. Цикл сразу бросается в глаза. Вот здесь правлю переход, чтобы выйти из цикла. Далее опять по F10. Обычно далее бывает переход вверх куда то в начало. Этот переход опять правлю что бы его не было. Далее F5 и ...... устанавливаю прогу как если бы я ввел правильный сер.номер. При трассировке обращаю внимание в какой dll-ке нахожусь и запоминаю переходы какие правил. Затем из папки temp достаю эту dll-ку и правлю. При помощи WinPack300 впихиваю её в дистриб и вуаля. Может я делаю через ж о п у, но помогает.
Ещё я так понял что алгоритм проверки правильного сер.номера находится в файле setup.inx. Я сделал такой вывод потому что к примеру имеем два инсталяционных пакета одной программы: демо и полную версию. Если подменить этот фаил, то установка проходит при любом сер.номере. Вот если бы править прямо в нем это было бы круто.
Может сер.номер можно как то подсмотреть? Буду благодарен если кинете в меня ссылками.
volodya :: Ссылок нет. Все утилиты, достойные внимания (хм, ну, почти все), собраны на васме.
Через пару недель выйдет моя с flankerx статья о корректном взломе IS-приложений, т.к. то, что делаешь ты - это, как бы так помягче, трудоемкий и ненадежный путь :)

PalR :: O.K. Помотрим.

MozgC [TSRh] :: volodya
Раз знаешь так ответил бы человеку как правильно, а то то, как бы так помягче, толку от твоего ответа мало.

PalR :: oftop
реверсинг нет в дауне, васм тоже. Про какой васм он говорил?

бара :: про тот, который в дауне

PalR :: Я так понял что кроме volodya инстлшилдом никто не занимается.

volodya :: Да имей же ты терпение :)
Суть проста - IS - это интерпретатор. Интерпретирует он inx-файл. Недокументированный бинарный формат. На васме лежат утилиты-декомпиляторы. Декомпилируешь, разбираешься что к чему и правишь inx-файл. Зачастую все решается инвертированием условия. Потом кладешь этот файл обратно в дистрибутив. Если это MSI - то юзаешь MS MSI SDK, если это IS - то юзаешь AdminStudio или InstDev Studio, если это MS CAB - юзаешь WinRAR. Если это IS CAB - юзаешь ZipSig.
Только есть одно маленькое но - высшие версии inx-файлов утилы не возьмут. Поэтому я и пишу статью...

MozgC [TSRh] :: Но разве это не так же долго как и правка длл как предлагает Palr ?

PalR :: B]MozgC [TSRh]
Видишь ли есть такие дистрибы где эта долбаная проверка лежит в отдельной dll-ке(z.b. middle.dll, или иначе), её ломаю. А есть где то сам не знаю где. Вот это у меня не получается. Весь процесс крутится около IScript.dll и isrt.dll, но там переходов ~ ...ни матери.
Опять ссылается васм, которого нет. Я бы скачал, еслиб он был, мля.

MozgC [TSRh] :: понятно.

volodya :: Весь процесс крутится около IScript.dll и isrt.dll

Так и есть, потому что ломать интерпретатор бесмысленно.
В этом случае нужно работать с первопричиной. Статья ПОЧТИ готова.
А васм замочить не так-то просто. Даже артурику :)

AnteC :: это опять он?
а что в эстонии спец службы спят??? или братки?

PalR :: volodya
Значит мое предположение насчет setup.inx было правильным. Его кстати и распаковывать ненадо, лежит в открытом виде в дистрибе, а можно из папки темп достать. Открыл я его в QView-е и увидел там туеву хуче переходов. А вообще бред. Надо InstallShield script decompiler. Но тож не понятно. От чего отталкиваться незнаю.
Но что интересно, есть там такие буквы Error Number.
Как зайти на васм.ру? А кто такой артурик? Я чего то пропустил видать.
Дашь статью почитать?
Одну статью все таки встретил http://www.madalf.ru/cracks/cracks76.shtm

PalR :: volodya
Молчит как партизан.
А после InstallShield script decompiler можно обратно упаковать? Или чем?

nice :: PalR
Utils:
http://nekosuki.virtualave.net/isd.zip
http://protools.anticrack...files/decompilers/sid.zip
http://protools.anticrack...es/decompilers/wisdec.zip
http://protools.anticrack...es/decompilers/i6comp.zip

Пока васм лежит, можешь от сюда скачать, я использую сид, есть возможность изменять переходы.
После прогона через сид, тебе будет предоставлен листинг(аля бэйсик) там ищешь условия/строки, правишь переходы, сохраняешь всё это(только резеврную копию inx сделай :) ).
Артурик - даун, который всех считает в этом виноватыми, и досит...

PalR :: nice
Воспользовался SID. Нашел место обхода SN. Установка начинается, доходит до 17% и вылетает сообщение «An error during the move data process: -2147467259». Чо это значит? Как решить?

PalR :: volodya
Статью, статью, шайбу, статью, статью,шайбу, статью, статью, шайбу, статью, статью, шайбу, статью, статью, статью!!!!!

AlexZ CRaCker :: PalR
Может там процедуры некоторые криптуются, как в SFX archive? Лучший способ - не обойти SN, а найти его... Ну, как - это другой вопрос.

PalR Re: AlexZ CRaCker :: Надо было название не обход SN, а «Проход SN в InstallShield»

WELL :: Тут (http://cracklab.fastbb.ru...-00001064-000-40-0-16-0-0)
nice пишет:
цитата:
InstallShield 7.x Unpacker v-0.5 Released:
http://hice.antosha.ru/is7unpack05.rar


Может подойдет ?

PalR :: Распаковать не проблемма. Проблемма понять setup.inx.

volodya :: Ну дай мыло, страдалец... Я просто ее еще не дописал. Там очень много надо добавить, а у меня опять времени нет... ~

PalR :: Ну я заодно и протестирую.
palr@yandex.ru

PalR :: Забыл наверно:(




-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно



-= ALEX =- ALEXPROT #0.1 CrackMe Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :) Цель - распаковать прогу, ну и конечно взломать ее. Разрешается сделать in-line patch, но лучше распаковать... пишите plz ваше мнение, буду очень благодарен...
ссылка - http://www.alex2kx.nm.ru/crackme1.rar
infern0 :: -= ALEX =- пишет:
цитата:
Состряпал тут крякми, дабы посмотреть, трудно или нет распаковать прогу, запакованную моим протектором :)


в таких случаях протектор навешивается например на блокнот виндусовый.

sanek :: -= ALEX =-
Помоги со взломом DLLки не доганяю че делать с ней

-= ALEX =- :: infern0 да вот что-то не догадался ...

MC707 :: Первое впечатление - довольно затруднен поиск ОЕР (по крайней мере на 98-ой), очень много SEH-ловушек.

dMNt :: ну не так уж и много
когда основной код отработает и управление в выделенную virtualalloc’ом память перейдет - то там их не будет, но там будут веселые проверки после GetProcAddr типа а не int3 ли нам подсовывают
ЗЫ: хм, олли показала себя с хорошей стороны, хотя не доверял я раньше user-mode debuggers ... а зря

Dragon :: OEP, сразу находиться по условному бряку на конец GetModuleHandleA(Условие - адрес возврата в первой секции). А начало оттуда уже спёрли, правда его прямо вручную туда вписать можно. Здесь единственная трудность - импорт, IAT нет, чтобы восстановить, надо написать что-нибудь.

-= ALEX =- :: интересненько :)

MoonShiner :: OEP есть, спертые байты есть, импорт восстановлен, хотя пришлось подолбаться... Приду домой - добью...
А так, штука веселая и нудная, молодец:)

Dragon :: MoonShiner
А как ты его смог так быстро, создание его подправил что ли?

В протекторе оригинальных идей так особо и нет. Вот антиотладка. Ну какой смысл в CreateFile(»\\\\.\\ntice’, ...)? Вот EnumServicesStatus даёт результат, или ветку реестра просмотреть со службами, или OpenService+QueryServiceStatus, или ... хватит, а то этот протектор отладить нельзя будет. bpm также спокойно ставяться. Вообще антиотладка в протекторе сейчас самое главное. Если её нет, то протектор твой за десять минут снимут. Всё остальное так себе, на уровне, по сложности премерно как аспр старый версии 1.1.

MoonShiner :: Dragon пишет:
цитата:
А как ты его смог так быстро, создание его подправил что ли?


я прогулялся по коллу на 44**6B (не пишу, чтобы другим не подсказывать:), наткнулся на первую импортируемую функцию, в переходнике не ковырялся... Потом зашел с другого конца ловив GetProcAddress. Там увидал, куда копируются адреса (а идут они через 86h байтов), подождал, пока ?все? функции импортировались и накатал прямо в коде проги код, который весь этот импорт писал прямо в секцию кода (времени не было, начальство ныло постоянно над ухом) разбавил thunk-и нулями и засунул в импрек. Подробнее больше не смотрел, времени не было. Седня вечерком еще гляну, правильно ли я все понял...

nice :: -= ALEX =-
Респект тебе брат ;)
Эта та же версия, что ты мне давал, или обновленная?

AnteC :: конечно же я не распаковал прогу но лоадер даже я состряпал за 5 минут :(
http://www5.domaindlx.com/antec/LOADER.RA_

Dragon :: MoonShiner
Вот и закономерность - 86h байт, если было случайное число, то сложнее. А если прямые jmp на переходники, как в XtremeProtector’е, то с imprec’ом уже ничего не сделать, всё руками писать надо.

AnteC :: а вот и патч
http://www5.domaindlx.com/antec/PATCH.RA_

AnteC :: Ps DZA - rullez

2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...

The DarkStranger :: вобщем все делается просто но я не как не могу понять что у меня за глюк вобщем IAT востановить просто как я делал :
с getprocaddress вышел на цикл в котором строятся jmp [alex] вот там написал мини процедуру которая бы писала адресса api в адресное пространство проги то есть в то место которое физически в програме существует ( я просто нашел нули :) ) дальше доходим до oep и все тут дампим и через revergin востанавливаем все и вот тут бы все хорошо но вот только загвоздка вышла после фикса IAT файл перестает быть win 32 приложением не какие rebuld и т.д. не помагают еще я заметил такую вещь если просто дампишь а потом добавляешь секцию то файл автоматом становится не прелдожение win32 так вот вопрос что это и как это подедить чесно презнаюсь сталкиваюсь 1 раз стаким :(
в аспре 1.3 аналогично делал ( ну только там раз в 5 сложнее ) все работало а здесь какойто глюк не могу понять

xDriver :: Подскажите пожалуйста я правильно начал копать ?
SEH - ловушки это замусоривание кода ?

.rsrc:00450400 public start
.rsrc:00450400 start proc near
.rsrc:00450400 pusha
.rsrc:00450401 call sub_450407
.rsrc:00450406 nop
.rsrc:00450406 start endp
.rsrc:00450407 sub_450407 proc near ; CODE XREF: start+1p
.rsrc:00450407 add esp, 4
.rsrc:0045040A xor ecx, ecx
.rsrc:0045040C call sub_450412
.rsrc:00450411 nop
.rsrc:00450411 sub_450407 endp
.rsrc:00450412 sub_450412 proc near ; CODE XREF: sub_450407+5p
.rsrc:00450412 add esp, 4
.rsrc:00450415 call sub_45041B
.rsrc:0045041A nop
.rsrc:0045041A sub_450412 endp
.rsrc:0045041B sub_45041B proc near ; CODE XREF: sub_450412+3p
.rsrc:0045041B add esp, 4
.rsrc:0045041E mov ecx, 16h
.rsrc:00450423 call sub_450429
.rsrc:00450428 nop
.rsrc:00450428 sub_45041B endp
.rsrc:00450429 sub_450429 proc near ; CODE XREF: sub_45041B+8p
.rsrc:00450429 add esp, 4
.rsrc:0045042C call $+5
.rsrc:00450431 call sub_450437
.rsrc:00450436 nop
.rsrc:00450436 sub_450429 endp
.rsrc:00450437 sub_450437 proc near ; CODE XREF: sub_450429+8p
.rsrc:00450437
.rsrc:00450437 arg_0 = dword ptr 4
.rsrc:00450437
.rsrc:00450437 add esp, 4
.rsrc:0045043A mov ebp, [esp-4+arg_0]
.rsrc:0045043D add esp, 4
.rsrc:00450440 call sub_450446
.rsrc:00450445 nop
.rsrc:00450445 sub_450437 endp
.rsrc:00450446 sub_450446 proc near ; CODE XREF: sub_450437+9p
.rsrc:00450446 add esp, 4
.rsrc:00450449 sub ebp, offset dword_401031
.rsrc:0045044F
.rsrc:0045044F loc_45044F: ; CODE XREF: sub_450469+5j
.rsrc:0045044F call sub_450455
.rsrc:00450454 nop
.rsrc:00450454 sub_450446 endp
.rsrc:00450455 sub_450455 proc near ; CODE XREF: sub_450446+9p
.rsrc:00450455 add esp, 4
.rsrc:00450458 call $+5
.rsrc:0045045D call $+5
.rsrc:00450462 dec ecx
.rsrc:00450463 call sub_450469
.rsrc:00450468 nop
.rsrc:00450468 sub_450455 endp
.rsrc:00450469 sub_450469 proc near ; CODE XREF: sub_450455+Ep
.rsrc:00450469 add esp, 4
.rsrc:0045046C test ecx, ecx
.rsrc:0045046E jnz short loc_45044F
.rsrc:00450470 call sub_45072E
.rsrc:00450475 call sub_45047B
.rsrc:0045047A nop
.rsrc:0045047A sub_450469 endp

GL#0M :: xDriver пишет:
цитата:
SEH - ловушки это замусоривание кода ?


Почитай про сехи здесь http://xtin.km.ru/view.shtml?id=92
или http://xtin.km.ru/view.shtml?id=135

xDriver :: 2 GL#0M
Спасибо прочитал ! Въехал !

Если не влом плз. линк насчет «спертых байт» можно (дорого искать)
Сенкс!

Mario555 :: -= ALEX =-
Пёртые байты теперь мусорным кодом разбавлены... куль...
В olly есть trace log и подсветка изменений регистров (HighLight register), а твой мусорный код изменяет только Esi, поэтому среди него очень хорошо видны stolen bytes...

MoonShiner :: Делать нечего, начал писать свой загрузчик импорта...

-= ALEX =- :: спасибо всем :) я и сам его за несколько минут распаковывал, теперь узнал мнения других. Все это делалось для того, чтобы доработать протектор. Ждите еще версий :) Может у кого еще идеи есть по улучшению, напишите plz

-= ALEX =- :: AnteC что-то я ниче скачать так и не смог :(

MoonShiner :: -= ALEX =- , самые веселые вещи были с импортом, советую продолжить в этом направлении. Избавиться от 86-ти, о которых я говорил выше, попробовать не использовать GetProcAddress (типа как в обсидиуме) и перемешать импортируемые функции, то есть располагать их не в том порядке, в котором они представлены в оригинале.

-= ALEX =- :: MoonShiner окей, бум стараться :)

Bad_guy :: Ну что, ALEX. Можно уже пока дальше не писать. Теперь покупай 10-100 млн. показов баннеров, открывай alexprot.com и так далее. А не то из хорошей коммерческой идеи выйдет просто «крэкерская игрушка».

-= ALEX =- :: Bad_guy :)

Bad_guy :: -= ALEX =-
Я вполне серьезно. Это может стать основной работой !

MoonShiner :: Bad_guy , ну ты, блин, еще насоветуешь... Мало всяких аспров на нашу голову развелось:)

Bad_guy :: MoonShiner
Рано или поздно ALEX сам бы додумался - чего хорошему человеку не подсказать

-= ALEX =- :: MoonShiner да ты че, все так и задумывалось, вы мне поможите защиту написать, а я буду на этом бабки зашибать :) ШУТКА конечно... пишу пока ради интереса. Кстати вопросик насчет эмуляции getprocaddress, где можно узнать об этом, в каком протекторе ?

Bad_guy :: -= ALEX =- пишет:
цитата:
вы мне поможите защиту написать, а я буду на этом бабки зашибать :)


А что, Солодовников так и делает...

-= ALEX =- :: Bad_guy да я не сомневаюсь :)

MoonShiner :: На васме вроде была статейка... А ваще, посмотри, куда кажет стек, как только ты запустил прогу (на первой команде остановись)... И глянь, какое выравнивание у загруженных либ... Ну а дальше мучайся сам:)

MC707 :: Интересно, с какими крякерами общается солод, и под каким ником

-= ALEX =-
А вообще реально коммерческим его сделать! И чем больше он раскрутится, тем больше нам выгоды будет имхо

MoonShiner :: MC707 пишет:
цитата:
Интересно, с какими крякерами общается солод, и под каким ником


Хмм... А ну ка вспомни, какое у Солода имя:)

Bad_guy :: MC707 пишет:
цитата:
с какими крякерами общается солод


Год назад качал архив форума реверсинга - вот там были посты от солода, с таким высокомерием главное... типа «идите детишки сникерсы кушайте, а я тут бабки делаю»

MaDByte :: Bad_guy
А поточнее? какие именно посты и в каких темах?

MC707 :: MoonShiner
лол

Bad_guy
круто. сейчас бы к нам сюда зашел

AlexZ CRaCker :: AnteC пишет:
цитата:
2-=Alex=- видишь даже такой ламер как я не распаковывая в ручную ломанул прогу отюда вывод ...


AnteC
Молоток! А скока часов/дней/мес/лет занимаишся крэком?
зы :
заходите на опрос «о времени» (нау на 2й странице форума).

MozgC [TSRh] :: -= ALEX =-
ALEX у меня есть твой адрес, так что если твой протектор станет мне надоедать и мешать при сломе программ, то тебе лучше переехать =)

-= ALEX =- :: MozgC [TSRh] от куда у тебя мой адрес ? :)

Bad_guy :: MozgC [TSRh]


Bad_guy :: MaDByte
Откуда я помню. Просто увидел ник «Alexey Solodovnikov» и поиском изучил я этого человека...

AnteC :: 2 -=Alex=- используй какой-нить download manager
и добавь _ в конец линка (хостер не разрешает архивы выкладывать вот и приходится изголяться :( но зато 100 Mb free :)

Mario555 :: Э-э... дык как/чем всё-таки импорт в дамп загнать ? Imprec пишет Invalid dump.
Есть ли статьи по восстановлению импорта без использования Imprec’а ? Что он вообше делает, когда FixDump жмешь ?

MsFUCK :: -= ALEX =-
Вышло, на несколько первых взглядов, очень даже ничего!
Только мало нового... да и зачем столько SEH? Это что модно стало?
Как импорт починить я так и допёр... может быть в причину отсутствия времяни...
Я тут, как помнишь, тоже начал творить протектор... вот разбираюсь в упаковке и налегаю на антиотладку, пока только OllyDbg отрезал, да и без некоторого разбора и SI не пашет...
И вот... где про упаковку импорта прочитать...?

Runtime_err0r :: Bad_guy , MozgC [TSRh]
На самом деле Солодовников скорее всего «расковыряет» этот AlexProt и реализует все интересные фишки в новом аспре, а сам проект загнётся

-= ALEX =- :: Runtime_err0r пока еще нечего ковырять в AlexProt :) а так - он все и так сдирает, все примемы из вирей и из других протекторов...
MsFUCK что вы все заладили насчет SEH’ов ? там их только один, в самом начале, ну и по одному разу используется в процедурке удаления отладочных регистров :) вас никто не просит заходить в эту процедурку, и не будет вам seh’ов :) А вот насчет того, что ты начал тоже протектор писать... мда... рано пока еще

-= ALEX =- :: Mario555 насчет импорта, то тебе надо сначала самому написать небольшую процедурку, которая будет переходники проги исправлять, т.к. я над этим потрудился, а пока еще рано на ImpRec гнать :)

-= ALEX =- :: [RU].Ban0K я как понял ты ник сменил на MsFUCK ? нахрена ? а вообще надо предупреждать, а если б я обкурился и не узнал тебя ?...

-= ALEX =- :: AnteC посмотрел щас твой патч... что-то не похоже, что этот патч сделал новичок, как ты говоришь, код этот я уже видел. остается сделать вывод, что юзалась какая-то прожка :) А так интересно конечно, я вообще-то просил сделать in-line патч, а не внедрять в тело свой код.
P.S. что за прога выделывает такие кренделя ?

-= ALEX =- :: уже куча идей заготовлена, ждите обновленную версию. если не интересно вам, так и скажите, не буду делать. я вот думаю, что интересно будет... Ну а так, кто-нить выложит распакованный crackme ?

MsFUCK :: -= ALEX =- пишет:
цитата:
[RU].Ban0K я как понял ты ник сменил на MsFUCK ?


Не правильно ты решил, это просто форум забыл пароль... или я... :)

AnteC :: 2-=Alex=-
не возвышай меня так высоко а то падать больно будет :)

на самом деле ломанул просто - сделал дамп при помощи LordPe (естественно он не запускался но исследовать то можно :)
потом патч в DZA patcher’e
ЗЫ только в нем галку Append patcher to last section надо снять ...
вот так вот =› может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


dMNt :: [Offtopic]
AnteC блин, поймать тебя не могу никак, стукнись в асю № 1999389
[/Offtopic]

-= ALEX =- :: AnteC пишет:
цитата:
может тебе сделать как в последнем АСПР’е (2 распаковки) DZA на нем обламывается


:) да ты хоть 10 сделай :) дело в другом...

Mario555 :: -= ALEX =- пишет:
цитата:
тебе надо сначала самому написать небольшую процедурку


Ну дык я сделал процедуру, которая создаёт iat (с адресами api, а не переходников) в адресном пространстве exe (где нули), при переходе к новому модулю (после вызова LoadLibrary) тоже дописал немного своего кода увеличивающего переменную (которую я использую для создания iat) на 4, тоесть между функциями из разных модулей будут нули, таким образом импрек сможет корректно видеть эту таблицу. Также правятся переходы
с Jmp [protector]
на Jmp [адрес ячейки создаваемой IAT]
Нужно что-то ещё ?
Прога, если после изменений продолжить её выполнение, будет нормально работать с моей Iat, а вот импрек при попытке запихнуть эту Iat в дамп пишет Invalid dump file .

PS я бы не спрашивал «как загнать импорт в дамп», если бы у меня не было этого самого импорта.

PPS и всё-таки что делает импрек при нажатии FixDump ? реально ли сделать тоже самое вручную ?

Mario555 :: Все распаковали или все «забили» ?

-= ALEX =- :: Mario555 еще никто не распаковал :) щас вот дописываю новую версию алекспротектора...

FEUERRADER :: ALEXProt распаковал Asterix. Всем желающим он вышлет распакованный файл на мыло. Оставляйте мыла в этой теме.

-= ALEX =- :: FEUERRADER ну хоть кто-то пару часов, а может и минут потратил :) ща я в полной отладке протектора... столько багов собралось, что УЖАСС

Mario555 :: FEUERRADER пишет:
цитата:
распакованный файл на мыло


А зачем нужен распакованный крякми ?!
Мне бы лучше прогу, которой к дампу импорт прицепить...

[RU].Ban0K! :: Mario555
Попробуй так...
Ты же восстановил в память IAT, ну так натрави на эту IAT ImpRec, по моему он должен восстановить...

Mario555 :: [RU].Ban0K! пишет:
цитата:
по моему он должен восстановить...


В том то и дело, что импрек таблицу видит, а грузить её в дамп отказывается .

-= ALEX =- :: странные вещи...

Aster!x :: ImpRec тебе тут вряд ли поможет придётся всё-таки что-то накодить.

The DarkStranger :: да вся тема что importrec отказывается добовлять секцию а revergin добовляет но после добовления файл не win32 преложение я так подрузомеваю что нужно перестроить файл .... ну там отрезать секции алекса и перстроить ресурсы после чего я надеюсь нормально все будет
да вот собственно назрела прозьба если у когонибуть есть ресурс ребулдер от доктора головы плиззз кинте в мыло angel_aka_ks сабачка pisem.net

GL#0M :: The DarkStranger

Ушло.

Aster!x :: Revirgin скорее всего тоже обломается..
Вот, если кто-то захочет глянуть на распакованный, то
лежит здесь: http://asterix-coder.pochta.ru/Unpacked.exe
(извините что не в архиве, но это сервер его сам распаковал :-)
ЗЫ: perl+asm - рулят.

To Admins:
Не могли бы вы удалить юзера под ником fff из базы форума, это
я протестил возможность написать что-то в форум, но теперь форум
не пускает меня говорит что совпадение IP по зоне c fff

The DarkStranger :: вобщем анпакил я его там одну чтуку сделал и все revergin востановил импорт и все файл пашет !!! смысла выкладываеть его куда то не вижу если кому интересно пишите выложу принципиальные раздичаи между моим дампом и астериксом есть .....

-= ALEX =- :: Aster!x и The DarkStranger молодцы !!!

Mario555 :: Фуф... наконец-то и я распаковал...
И не надо никаких свойх загрузчиков импорта делать, и даже в дампе ничего править не надо. Просто Imprec с «правильными» options ! Поставить нужные флажки (я их методом «научного тыка» обнаружил) и импрек без проблем загрузит импорт (чтобы его получить ессно нужно цикл создания править, тут уж никакие флажки не помогут) в дамп.

-= ALEX =- :: Mario555 тоже молодец ;)




MC707 Небольшая коллекция тулз Небольшая, но прикольная коллекция тул, если...



MC707 Небольшая коллекция тулз Небольшая, но прикольная коллекция тул, если кому надо.

http://k3nny.wz.cz/index....5339f8ee11d1b9d6552c6408a
AlexZ CRaCker :: MC707
Спасибо, кстати очень занятные вещицы есть. (уже там пошарил)
Знаю как скрыть окно РегМуна от др.прог вручную: Открыть все файлы в папке с прогой и в хексе заменить REGMON на REGM0N (вместо «о» - нолик). (так, если пригодится кому...)

bUg. :: MC707

круто много полезного

MC707 :: Это nice нарыл, ему спасибо.

UnKnOwN :: Нифига себе там даже

Quick unpack v0.4 - Universal unpacker by FEUERRADER

есть, ого, бля всё закачаю

nice огромное спасибо

Snowbit :: K3nny...
Это случайно не тот ламер, который крякмисы рипал?

nice :: На самом деле MC707 знал про этот сайт, я просто предложил запостить на форуме...
За выполниную непосильную задачу салют в честь MC707 !!!!!


MC707 ::

Slavon :: Всё ok, только непонятно зачем вообще нужен unpacker для upx-а?????????

XoraX :: чтоб руками не мудить. иногда и это делать лень. ;)




gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле,...



gion Как распаковать? Всем привет. Сразу скажу - я новичок в этом деле, посему хочу спросить про ручную распаковку. Программа запакована AsPack 2.12. Где-то прочел, что в LordPe смотрим EntryPoint и ImageBase складываем и в softice ставим bpx на этот адрес и т.д. Так вот при повторной загрузке программы не происходит прерывания. Программа при запуске сразу просит пароль, может в этом дело? Короче не знаю. Помогите плиз. Вот адрес этой проги http://diamondjoker.narod.ru/patters.exe
Опишете как распаковывали?

vins :: Хорошая статья Распаковка: от самого простого к... ...чуть более сложному =)

MC707 :: В своей статье MozgC подробно описывает как руками распаковывать его и не только.
Называется «Распаковка от простого...». Вроде так.

Kerghan :: Автор: bi0w0rM ‹bioworm@mail.ru›

OllyDbg - это отладчик. Причем он не является отладчиком типа TRW2000 и SoftICE. Его способ отладки немного другой. Оказалось, им очень легко распаковать программу + антиотладочные трюки OllyDbg не определяют да и вообще за отладчик не считают. Хотя я видел проги, которые орали про включенный дебаггер даже при включенном w32dasm - чем черт не шутит!
Итак, что нам надо:
OllyDbg 1.05 (как видите, не очень новая версия(с 2001 года). Я Вас призываю найти поновей(reversing.kulichki.ru), а эту я нашел на protools.cjb.net в разделе Debuggers. А вообще-то не знаю ... Может я скачал это на www.exetools.com :) ... Найдете в общем. Если страничка программы еще не загнулась, то вот она: http://home.t-online.de/home/OllyDbg )
PEditor by yoda 1.7 (у меня версия 1.7 , но можно попробовать и на более старых, но тогда я вам точно не гарантирую, что всё пройдет, как надо :)) . Нам понадобится встроенный дампер, PE-editor и checksum corrector. Тут нам не помогут НИКАКИЕ ProcDUMP’ы , LordPE(1.4 Deluxe). Я не наезжаю на этот софт, но гарантирую, что с такими программами у вас ничего не выйдет. Это обусловлено тем, что LordPE плохо биндит импорт , ProcDUMP тоже х мается, а дорогой PEditor by yoda делает всё рульно. Если Вы заюзали PE tools by NEOx, то включите в опциях Dumpfix, Wipe Relocation, Validate PE, Rebuild PE, Bind Imports. Ах да! Есть еще штука PETool32 by MackT/UCF2000! Вот в ней можно тоже дампить и заюзать кнопочку checksum, но об этом позже.

Мало инструментов? Вот так то. А можно потом вырубить его(Olly) и приспокойно играть в кваку или CS без перезагрузки, не боясь, что выскочит SoftICE при сидячих стрейфах :))

(*) Распаковка.
Но Мы сели за распаковку! Начнем? Начнем!

Запускаем OllyDbg. Жмем F3 и выбираем запакованную прогу. Пакованную! Речь идет про ASPack или UPX, но никак не про ASProtect или Armadillo.
Открыт файл.
Сейчас Мы стоим здесь:
004A4000 › $ 60 PUSHAD
004A4001 . E8 00000000 CALL HC.004A4006
004A4006 $ 83CD FF OR EBP,FFFFFFFF
004A4009 . 31DB XOR EBX,EBX
004A400B . 5E POP ESI
004A400C . 8DBE FACFF5FF LEA EDI,DWORD PTR DS:[ESI+FFF5CFFA]
004A4012 . 57 PUSH EDI
004A4013 . 66:8187 A4200A›ADD WORD PTR DS:[EDI+A20A4],0
004A401C . 81C6 B3010000 ADD ESI,1B3
004A4022 . EB 0A JMP SHORT HC.004A402E

Теперь просто несколько раз жмем Page Down, пока не окажемся здесь(пример: прога пакована UPX) :::
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860
004A419D 55 DB 55 ; CHAR ’U’
004A419E 50 DB 50 ; CHAR ’P’
004A419F 58 DB 58 ; CHAR ’X’
004A41A0 21 DB 21 ; CHAR ’!’
004A41A1 09 DB 09
004A41A2 09 DB 09
004A41A3 02 DB 02

Вот этот самый JMP HC.0047E860 - переход на OEP. Этот самый 0047E860 и есть OEP. Запишите его листок of paper. Теперь ставим бряк на эту строку, предварительно выделив её щелчком мыши :)))) , а затем жмите F2(toggle breakpoint). Теперь нажимаем на F9(Run) и должны брякнуться на строке, выделенной красным цветом(на ней брейкпоинт). ОК. Теперь F8, и Мы в официальной секции кода программы, а значит она распакована.
Значит так, а теперь запускаем мой любимый PEditor , жмем tasks и выбираем наш процесс и делаем ему Dump(full) - в меню по правой кнопке. Теперь открываем дамп в этом же PEditor, вписываем число в Entry Point. Высчитать это число можно по формуле:
EP=OEP-ImageBase
ImageBase обычно равен 400000, а вообще оно написано, приглядитесь(рядом с Entry Point :). OEP в нашем случае это то, где мы сейчас стоим. То есть куда совершился прыжок(JMP HC.0047E860). Кстати HC - этот просто имя модуля (прога hc.exe). Мы стоим на 47E860 и это OEP, а значит Entry Point вписать надо такой 47E860-400000. Это равно 0007E860 - такое число и пишите.

Теперь нажимаем Apply Changes и покажется веселое окошко «Yepp... The file was updated succesfuly». Пора нажать Checksum и нажать на кнопку correct it!
OK. Теперь дамп по идее должен запускаться и иметь размер больше запакованного.
Как же поступить, если у вас PE tools? Да так же дампите и делаете Rebuild PE, предварительно настроив опции, как говорилось выше.

(*) Приложение:
1. Настройка OllyDbg. ›››››››
Жмем Alt-O (Options-›Debugging Options)
В разделе Security убираем флажок «Warn when breakpoint is outside the code section». Это избавит нас от лишних предупреждений.
Теперь в разделе SFX очень важно, чтобы было выбрано «Stop at Entry if Self-Extractor». Иначе нам не найти OEP и не прописать Entry Point и вообще не распаковать. Это опция включена по умолчанию, ноо Вы могли скачать уже «настроенную» кривыми лапами программу. Можно выбрать и Trace real entry blockwise и при запуске он потрейсит и можно сразу дампить, но тогда вам не найти OEP(он будет изображен не как PUSH EBP , а как DB , а там таких DB - море!). Тогда можете открыть в PEiD прогу и в Menu выбрать OEP Module, но это на любителя, хотя и быстро.

Kerghan :: 2. Распаковка ASPack. ›››››››
Ну это для тех, кто и с SoftICE ничего не распаковывал и не знает особенностей этого паковщика. Тут в принципе отличия мизерные и обусловлены они различным алгоритмом распаковки ASPack и UPX. В UPX переход на OEP - это JMP. В ASPack же - это RET. То есть пролистывая экран вам надо искать не
004A4192 . 83C7 02 ADD EDI,2
004A4195 .^EB E2 JMP SHORT HC.004A4179
004A4197 › 61 POPAD
004A4198 .-E9 C3A6FDFF JMP HC.0047E860

А вот такой код, характерынй для ASPack

007063AF 61 POPAD
007063B0 75 08 JNZ SHORT REACTOR.007063BA // Вот этот джамп должен сработать, если прога нормально работает
007063B2 B8 01000000 MOV EAX,1
007063B7 C2 0C00 RETN C
007063BA 68 00000000 PUSH 0
007063BF C3 RETN // А вот это переход на OEP. На нем надо поставить брейкпоинт(F2). Дальше все как с UPX - Run, OEP, Dump, Entry Point, Checksum.
Обратите внимание на PUSH 0 здесь. Olly не знает, что здесь сохранится при запуске. Но после выполнения команд(Run) уже всё ясно. Этот PUSH 0 станет
007063BA 68 C8186100 PUSH REACTOR.006118C8
006118C8 - это OEP. REACTOR - это исследуемая программа. Скачать её можно на http://www.zaural.net/users/fido5012/reactor.rar - на примере этой проги Denis N. Voituk в ФИДО просил объяснить ему, как распаковывать вручную ASPack и у него получилось. Предлагаю потренироваться на ней.

2b. Я нашел программу(какой-то эмулятор SNES), может и нешароварную(не запустилась), но пролистыванием экрана popad и переход на OEP не найти. Может шифровка или еще что-то, но факт тот, что придется трассировать весь распаковщик, обходя циклы, пока не найдете заветных строк(переход на OEP).

Как трассировать? Идти пешком по F8. Заходить по F7 во все call, которые близко(обычно только первый встретившийся) и трейсим по F8, пока не найдем цикл:
008E34F6 E9 14000000 JMP ZSNEESW.008E350F
008E34FB E3 E5 JECXZ SHORT ZSNEESW.008E34E2
008E34FD C7 ??? ; Unknown command
008E34FE FA CLI
008E34FF 6972 EF 91273A98 IMUL ESI,DWORD PTR DS:[EDX-11],983A2791
008E3506 B1 81 MOV CL,81
008E3508 9C PUSHFD
008E3509 C3 RETN
008E350A F9 STC
008E350B 138F 63980FBF ADC ECX,DWORD PTR DS:[EDI+BF0F9863]
008E3511 CB RETF ; Far return
008E3512 80B6 71CE3E9B F1 XOR BYTE PTR DS:[ESI+9B3ECE71],F1
008E3519 81CA D1F4DFE6 OR EDX,E6DFF4D1
008E351F 43 INC EBX
008E3520 81C5 33FEE548 ADD EBP,48E5FE33
008E3526 81EE 01000000 SUB ESI,1
008E352C B1 1A MOV CL,1A
008E352E E9 1C000000 JMP ZSNEESW.008E354F
008E3533 3105 3B84A373 XOR DWORD PTR DS:[73A3843B],EAX
008E3539 26:E9 29510564 JMP 64938668 ; Superfluous prefix
008E353F E7 10 OUT 10,EAX ; I/O command
008E3541 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
008E3542 6901 4161F493 IMUL EAX,DWORD PTR DS:[ECX],93F46141
008E3548 8409 TEST BYTE PTR DS:[ECX],CL
008E354A 86A9 C5DBCA8B XCHG BYTE PTR DS:[ECX+8BCADBC5],CH
008E3550 D366 8B SHL DWORD PTR DS:[ESI-75],CL
008E3553 EF OUT DX,EAX ; I/O command
008E3554 B9 693FB73F MOV ECX,3FB73F69
008E3559 81FA 4012DBCC CMP EDX,CCDB1240
008E355F 0F85 91FFFFFF JNZ ZSNEESW.008E34F6
008E3565 E9 1C000000 JMP ZSNEESW.008E3586

На последней строке, которая вне цикла(008E3565 E9 1C000000 JMP ZSNEESW.008E3586). Ставите бряк по F2 и жмем F9, должно брякнуться. Идем дальше(все по F8). Нашелся такой код:
008E3000 90 NOP
008E3001 ›60 PUSHAD
008E3002 E9 3D040000 JMP ZSNEESW.008E3444
008E3007 E8 24040000 CALL ZSNEESW.008E3430
008E300C EB 00 JMP SHORT ZSNEESW.008E300E
008E300E BB 30394400 MOV EBX,ZSNEESW.00443930
008E3013 03DD ADD EBX,EBP
008E3015 2B9D D03F4400 SUB EBX,DWORD PTR SS:[EBP+443FD0]
008E301B 83BD FC494400 00 CMP DWORD PTR SS:[EBP+4449FC],0
008E3022 899D FC494400 MOV DWORD PTR SS:[EBP+4449FC],EBX
008E3028 0F85 66030000 JNZ ZSNEESW.008E3394
008E302E C785 33394400 000›MOV DWORD PTR SS:[EBP+443933],0
008E3038 8D85 044A4400 LEA EAX,DWORD PTR SS:[EBP+444A04]
008E303E 50 PUSH EAX
008E303F FF95 004B4400 CALL DWORD PTR SS:[EBP+444B00]
008E3045 8985 004A4400 MOV DWORD PTR SS:[EBP+444A00],EAX
008E304B 8BF8 MOV EDI,EAX
008E304D 8D9D 114A4400 LEA EBX,DWORD PTR SS:[EBP+444A11]
008E3053 53 PUSH EBX
008E3054 50 PUSH EAX
008E3055 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E305B 8985 FC3F4400 MOV DWORD PTR SS:[EBP+443FFC],EAX
008E3061 8D9D 1E4A4400 LEA EBX,DWORD PTR SS:[EBP+444A1E]
008E3067 53 PUSH EBX
008E3068 57 PUSH EDI
008E3069 FF95 FC4A4400 CALL DWORD PTR SS:[EBP+444AFC]
008E306F 8985 00404400 MOV DWORD PTR SS:[EBP+444000],EAX
008E3075 8D85 B5394400 LEA EAX,DWORD PTR SS:[EBP+4439B5]
008E307B FFE0 JMP EAX

Kerghan :: Вот после JMP EAX смело листайте вниз и найдете нужные строки, которых не было. Дальше, как я уже писал.

3. Как отловить переход на OEP у других пакеров. ›››››››

Я приводил место перехода на OEP у ASPack и UPX. И, если Вы заметили, там присутствует команда POPAD. Это почему-то характерно для многих пакеров и даже для самопальных. То есть Вы, когда стоите на начале распаковщика(обычно это команда PUSHAD), листаете вниз, пока не найдете POPAD. После него обычно джамп(часто безусловный) или ret. Вот это и переход на OEP.

4. Послесловие. ›››››››
Способ очень простой и продлеать его вполне возможно. Объяснять старался максимально доступно и думаю, что у Вас тоже получится. Еще раз повторю: используйте для снятия дампа ТОЛЬКО PEditor by yoda или PE tools. Вроде наклевывается дело с LordPE, но его для этого нужно по-хорошему настроить. Его дампового движка достаточно, если дампить из-под SoftICE или TRW2000, но не с OllyDbg. Попробуйте подкрутить настройки и, если у Вас всё получится, напишите мне на - буду рад. Я лично это дело ковыряю и может быть внесу потом изменения в эту статью. Сообщите, если Вы исследовали другой пакер и нашли место перехода на OEP. А так всегда готов к вашим ответам!

Освоил Unpack и научил Вас bi0w0rM[HWO] ; туториал от 2003 года с 4 -на 5 сентября.
Ни в коем случае этот способ не был ни у кого срезан, а полностью додуман мной. Так что если Вы тоже так делаете, то ни один Вы такой умный :)
СТАТЬЮ уносить с сайта не РАЗРЕШАЕТСЯ и не РЕКОМЕНДУЕТСЯ без разрешения автора, то бишь меня. Стучитесь в аську 257390724 или в е-мыл - обсудим на взаимовыгодных правах(без денег :).
Пока!

дал бы линк, но было лень искать статью на сайте bioworm’а

[ChG]EliTe :: Эх... а Раньше это лежало здесь: http://bioworm.narod.ru/C...tutorials/olly_unpack.htm

gion :: У меня два вопроса.

1. Когда я открываю программу в OllyDbg пишет что модуль имеет Entry point вне кода. Затем еще одно сообщение типа статистический тест сообщает что секция кода или компрессована или зашифрована или содержит большое количество внедренной информации. Это так и должно быть?

2. Pe tools чего-то глючит. Я вибираю Tools-›Break&enter затем выбираю программу, пишу bpint 3 выхожу f5 и когда нажимаю OK то выдается This programm has performed an illegal operation.... что за хрень?

XoraX :: 1. да
2. нужно восстановить первый байт командой e eip XX, где XX - байт. Его можешь посмотреть, например, в Peid - раздел First Bytes.

gion :: Можешь объяснить что после чего надо делать.

gion :: Да! Распаковать то распаковал. Но программа теперь при запуске требует какой-то файл с расширением WEX. Что это?

ilya :: Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься

gion :: Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)

XoraX :: ilya пишет:
цитата:
Kerghan
ты ещё советы даёшь??? а я думал ты только в win32dasm разбираешься


зря ты на cтарших баллоны катишь

UnKnOwN :: gion пишет:
цитата:
Может кто-нибудь попробует узнать пароль к проге, если нет то хоть посоветуйте насчет WEX файла(см. на 1 сообщение выше)


Если тебе нало пароль то вот он : diamondjoker

Надо было сразу попросить сломать

AlexZ CRaCker :: gion
МозгЦ такой тутор разместил! Круто! «Распаковка от простго... к чуть более сложному» Читай его с запущеным TPW !
И + ко всему, при загрузки в ТПВ2000, ненадо этот 1-й байт восстанавливать. Т.к. ты останавливаешся на ЕР.
Ну так а имя этого «WEX файла» какое?

gion :: 2AlexZ CRacker имя не знаю предлогает выбрать...
Trw2000 не помогает

UnKnOwN
Сенкс большое Расскажи как распаковал и что делал чтоб парольузнать? Очень интересно. или может
к этим файлам тоже узнаешь пароль

http://diamondjoker.narod.ru/gam.rar
http://diamondjoker.narod.ru/decept.exe

XoraX :: а вот не понял, тебе нужно картинку вытащить из этих файлов? если да, то это SFX ZIP архивы, незапароленные. картинка вытаскивается в один клик

Kerghan :: ilya
ты бы за словами следил
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз

ilya :: Kerghan
нравится мне над тобой издеваться , прям как тебе нравилось когда я спрашивал за отладчик.
Kerghan пишет:
цитата:
и хорошенько подумай прежде чем сказать такое кому-нибудь в следующий раз


за свою речь я редко когда не в ответе , только ты сам начал кидать в мой адрес не фильтрованные слова.
на ентом мы квиты .

gion :: 2Xorax
Какую еще картинку? Я просто хочу узнать как распаковать эти файлы и узнать пароль. Все перепробовал(’все’-это в моем понятии ). И как Мозг говорит и как Kerghan писал но ничего не получается (т.е. получается но как-то не так).

Хоть коротко может кто-нибудь объяснить как распаковать и затем узнать пароль? (я имею в виду, чтоб этот кто-то сам это сделал и затем рассказал).

bUg. :: gion
зачем распаковывать руками если есть спец. проги.

gion :: Не знаю, вроде Aspack 2.12 тока руками и распаковывается.

Kerghan :: ilya пишет:
цитата:
на ентом мы квиты .


утешил, я уж было подумал ты мне мстить будешь

bUg. пишет:
цитата:
зачем распаковывать руками если есть спец. проги.


а руками интереснее и доооольше

gion
что конкретно не получается по тутору bioworm’а?

gion :: В том то и дело, что получается. Файл распаковывается, но..... Короче в упакованном виде при запуске exe программа сразу же просит пароль, его надо ввести, заходишь а там книга(UnKnoWn один пароль узнал). Так вот после распаковки по bioworm-у при запуске exe не пароль просит, а какой-то wex файл (то же самое при распаковке ’спец-программами’). разве в упакованном и распакованном виде exe не одинаково должен работать? Когда UnKnown узнал пароль я зашел и там было написано что-то типа WebEXe studio, может поэтому расширение просит WEX). Короче вопрос в том почему не пароль просит а начинает просить какой-то файл.

bUg. :: Kerghan пишет:
цитата:
а руками интереснее и доооольше


А зачем себе жизнь усложнять?

XoraX :: да чтобы опыта хоть немного поднабраться. а то так и останешься на таком уровне.

bujim :: Людт а чем и как распаковать ASProtect 1.2x [New Strain] -› Alexey Solodovnikov

bUg. :: gion

http://ahteam.org/cgi-bin/oursoft.pl?prgid=qunpack

http://reversing.kulichki.ru/(OllyDbg 1.09c - в этой версии исправлены некоторые баги.
Добавления : Плагины для OllyDbg. Их аж целых два. Один представляет собой дампер памяти, исправляет импорт после ASProtect 1.2, ASPack 2.12, UPX 1.24 и т.д. , также поможет найти OEP; другой представляет собой ничто иное как командную строку)

http://hellsi.narod.ru/pa...u/packers/AspackDie14.zip(Распаковщик программ(*.exe) и библиотек(*.dll) запакован- ных Aspack’ером версии 2000, 2.1, 2.11, 2.11c/d, 212, 2.12a/b.)

gion :: AsPackDie1.4 распаковывает но то же самое происходит.

UnKnown мож вышлешь мне на мыло icq giond@rambler.ru расскажешь там что вытворял.

UnKnOwN :: Там вообще не надо нечё роспаковывать, в айсе ставиш бряку на MessageBoxA, перед этим написав какойто пароль, тычеш ок, когда всплыло окно F12, после этого пишеш s 0 l ffffffff «твой код» и тычеш ентер, когда найдёт твой пароль, смотриш чуть выше будет тот который тебе надо, а так вот они :

patters : diamondjoker
gambler : jokers
decept : bestsite

ilya ::
зачем такое старьё , вот поновее будет http://wasm.ru/tools/9/odbg.zip Olly 1.10b
Kerghan прав лучше руками , после всяких AsPackDie1.4 прога голимой получается ,добавляется куча ненужной мути

gion :: огромное спасибо unknown. щас попробуемс.

gion :: почему-то айс не срабатывает. пишу пароль 1234567890 затем в айсе bpx MessageBoxA F5 и жму OK и ничего. Может что неправильно делаю или не правильно настроен айс?

UnKnOwN :: Надо выбрать активный процесс : addr название процеса

gion :: ребята что-то не то с айсом. перепробовал несколько программ насчет серийника, но почему-то айс не прерывается на адреса. Может что не так делаю. А делаю вот так:

открываю прогу, захожу туда где надо региться, пишу типа 1234567890 затем ctrl+d там пишу addr *** затем s 0 l fffffffff «1234567890»
говорит что нашел там например 0125с542, делаю bpmb 0125с542 затем F5 в проге нажимаю на OK и хера сдва.

Что не так? Выручайте

gion :: Все нашел что не так делал. Блин после bpx ****** не жал enter а сразу выходил f5
Спасибо всем за помощь

UnKnOwN :: Да уже незачто




MC707 Arma Вчера счастья решил попытать - арму расковырять. Нашел вот эту...



MC707 Arma Вчера счастья решил попытать - арму расковырять. Нашел вот эту прогу. http://www.nearlyfreeware...nloads/easyedit_setup.exe (Вес - 5.6М)

Начал ковырять - поставил два бряк на секции text1. На третий раз прервался на начале кода распаковки/раскриптовки. Далее ловил на разных Апи - GetVersion, WriteProcessMemory, и тп - ничего не помогало. Всмысле прога рвется, но но дальше в тупик захожу. Типа далее идет команда add eax,1 - прохожу ее по trace into .... и.... с какого-то перепугу запускается прога ни слова не говоря.
Решил тутором воспользоваться. Там написано что нужно остановиться перед вызовом процедуры раскриптовки и пропатчить это место чтоб секция с PDATA000 раскриптовалась и ее можно было сдампить с помощью LordPE. Нашел эти места в проге - понаставил бряков чтоб не промахнуться... и ведь видимо промахнулся. Ноль эмоций - прога запускается не прерываясь.
Короче видимо у меня hands.dll не пропачтен, а brain.dll - пустой.

Задолбался с этой армой короче.
Kerghan :: У Нарвахи крякми отличный есть, я по нему учился

Mario555 :: MC707
А там когда прога запускается третий процесс армы случаем не создаётся ?
У меня такое было, что я вместо RUN делал сразу Origin here и свой код, тогда процесс «сын» становился «отцом» и прога запускалась, но уже на третьем процессе.

Какую арму распаковываешь с 1000 byte или без ?

MC707 :: Kerghan
Бы хотя бы как он называется этот крякми

Mario555
Запускается второй процесс :)
Это как это - «вместо RUN делал сразу Origin here и свой код»? В каком месте вместо Run-то?

цитата:
Какую арму распаковываешь с 1000 byte или без ?


Да хз. Я тока начал ее ковырять. ПЕиД грит что это 3.00-3.61.

Вообще где-то слышал что аттач к новому прцессу можно сделать, но как ни пробовал - не получилось

MC707 :: Kerghan
Он на испанском?

Mario555 :: MC707 пишет:
цитата:
Это как это - «вместо RUN делал сразу Origin here и свой код»? В каком месте вместо Run-то?


Э-э ну это долго объяснять в каком месте, но раз процессов два, то дело не в том, о чём я говорил.

MC707 пишет:
цитата:
Вообще где-то слышал что аттач к новому процессу можно сделать


Аттач нужно делать по-любому (когда есть Copymem2), т.к. секция text1 заполняется именно у второго процесса.

Kerghan :: Mario555
не, третий не создавался , а жаль
с 1000, а она разве не вся с 1000? я с версии 2,6 до 3ей
MC707
лучше начать с 2,6 там наномитов точно нету. А по существу, там нужно процедуру обратной упаковки занопить, а иначе процесс после StopDebugActiveProcess(вроде так называется) вылетает

Туторы на испанском, крякми нет

MC707
Mario555
А вообщето я считаю, что все это просто понты, в том смысле, что без умения ее распаковывать можно спокойно прожить, хотя для развития конечно полезно

Kerghan :: вот линк если нужен http://www.hackemate.com....g/index.php?modulo=unpack
Armadillo v 1.5 там статья и крякмис, хотя я все статьи по арме советую оттуда слить

Mario555 :: Kerghan пишет:
цитата:
с 1000, а она разве не вся с 1000?


Не вся... Есть проги где младший процесс распаковывает сам себя.

MC707 :: Mario555

цитата:
Не вся... Есть проги где младший процесс распаковывает сам себя.


Угу, есть. Только что такую встретил. Сдампил - а с импортом как всегда проблема. Грит Cant read process memory
Я так понял что версии 2.6 и выше мало чем отличаются принципиально (кроме наномитов). Я правильно понял?

MC707 :: Нашел я этот крякми с тутором (даже два каких-то ). Ща сяду разбираться.

ЗЫ. Как ты только с этим испанским справляешься? Бразильские сериалы смотрел похоже...

Mario555 :: MC707 пишет:
цитата:
Грит Cant read process memory


Странно... Если ты смог сдампить (снял второй процесс с «крюка» по DebugActiveProcessStop и приаттачившись к нему нашёл OEP), то по-идее и с восстановлением импорта у тебя проблем быть не должно, там просто нужно поставить бряк на запись в Iat и найти Magic Jmp.

MC707 пишет:
цитата:
Как ты только с этим испанским справляешься?


Я например специально купил диск с каким-то переводчиком. Кста переводит вполне читаемо и даже сохраняет исходное форматирование. А у Kerghan’а вроде есть переведённые на русский туторы, только как я понял они типа private :(

MC707 :: Mario555 пишет:
цитата:
снял второй процесс с «крюка» по DebugActiveProcessStop и приаттачившись к нему нашёл OEP


Дык вот именно что не так... Эта вторая прога второй процесс не делает. Один оставляет. Первый раз такую вижу. IB=400000. А импорт находится где-то в 130000.

Kerghan :: MC707 пишет:
цитата:
Эта вторая прога второй процесс не делает.


без CopyMEM чтоли?

MC707 :: Kerghan
угу

MozgC [TSRh] :: Kerghan пишет:
цитата:
вообщето я считаю, что все это просто понты, в том смысле, что без умения ее распаковывать можно спокойно прожить, хотя для развития конечно полезно


Я не считаю что это просто понты. Мне попадалось много хороших прог запакованных армой.

MC707 :: Нда. Почитал я статью dragon-а....
Как грится нет слов. Изврат еще тот. Всмысле арма - изврат. Встречу разработчика армы - порву.

Я уверен, что можно как нить попроще сделать. Хотя в айсе...

Mario555 :: MC707 пишет:
цитата:
Дык вот именно что не так... Эта вторая прога второй процесс не делает. Один оставляет. Первый раз такую вижу. IB=400000. А импорт находится где-то в 130000.


Это значит ты наткнулся на какую-то из последних версий армы, там почему-то бряки на запиь в Iat не срабатывают :( Такое впечатление, что второй прооцесс всё же есть (может он как-нибудь скрыт) и именно он создает Iat.

MC707 :: Mario555
Спасибо, утешил

MozgC [TSRh] :: MC707 это первые 1-3 раза сложно.
Потом уже привыкнешь и не будет сильно напрягать.

MC707 :: Хотя бы один раз научиться :)
На днях придется на базар за переводчиком сбегать

muha :: dREAM TEAM пишет кейгены к запакованым армой прогам. Кто-нибудь из здесь присутствующих пробовал это делать? Если мне не изменяет мой мозг, то там полиномы, полиномы, полиномы... над полем Галуа. хм, и вроде бы из простых чисел.




FEUERRADER Мой тутор по арме 3 Читайте:...



FEUERRADER Мой тутор по арме 3 Читайте: http://feuerrader.nm.ru/Unpack_Arma3.rar
Slavon :: Ща посмотрим...

Mario555 :: FEUERRADER
Арма без Copymem (кроме новых) распаковывается немногим сложнее aspack.
А с импортом ты действительно гемор развёл, там ведь всего один переход поменять и будет правильная Iat.

PS таких прог, как твой кракми на практике не встретишь, а встретишь как минимум с Copymem (может повезёт и будет без 1000 bytes) и скорее всего не на асме (тоесть твой способ с импортом э-э «не очень-то подойдёт»).

Кста у тебя что-то с аватаром... при открытии этого топика вылетает сообщение по типу «требование авторизации
files.ahteam.org», хотя может это только у меня глюк такой.

Dragon :: Mario555
У меня такое вылетает. Там что-то засекреченное такое, пароля не знаешь, аватара не увидишь

Mario555 :: Dragon
:)

FEUERRADER :: Mario555 пишет:
цитата:
А с импортом ты действительно гемор развёл, там ведь всего один переход поменять и будет правильная Iat


Расскажи, что за переход и как до него добраться. Если, конечно, не вломы. Я говорю, что у меня всегда с импортом проблемы.

Согласен, тутор вышел не очень удачный.

А аватар я уже переместил. Как MozgC его сменит, так и все станет нормально. Пока, потерпите.

X0E-2003 :: Тутор нормальный, но вот во второй части можно проще описать про PE Address*, например так: Смотрим, какое значение было у защищенного файла армой PE Address* = C0, вот и вписываем в наш дамп это значение. Хотя, каждый должен представлять как это делается вручную. Для начинающих ломать арму этот тутор будет очень хорошим пособием!

Mario555 :: FEUERRADER пишет:
цитата:
Расскажи, что за переход и как до него добраться.


Hardware breakpoint на запись в Iat, прервёшся на цикле формирования Iat. Там уже только трейсить и искать magic jmp, в данном случае он тут:

00AEA733 EB 02 JMP SHORT 00AEA737
00AEA735 ^EB 9E JMP SHORT 00AEA6D5
00AEA737 83BD 84E7FFFF 00 CMP DWORD PTR SS:[EBP-187C],0
00AEA73E 75 3F JNZ SHORT 00AEA77F // !!! на nop
00AEA740 0FB785 88E7FFFF MOVZX EAX,WORD PTR SS:[EBP-1878]
00AEA747 85C0 TEST EAX,EAX

MozgC [TSRh] :: FEUERRADER
Если хочешь, стукнись ко мне в ICQ, я с тобой поделюсь впечатлениями и ченить посоветую.

bUg. :: hxxp://exetools.com/forum/showthread.php?t=3900
тоже неплохой тутор.

dMNt :: да, неплохой
только вот наврали они насчет Win2k/XP
нетути в win2k такой API как DebugActiveProcessStop

блин, нехочу на ХР переходить

bUg. :: dMNt пишет:
цитата:
нетути в win2k такой API как DebugActiveProcessStop


нет значит нет.
dMNt пишет:
цитата:
блин, нехочу на ХР переходить


и не надо я тоже не буду.

nice :: FEUERRADER
Да и не думал, что арма такой простой бывает :)

В туторе исправь:
Надо искать задом на перед 0B 01

А то народ будет искать 01 0B

Взял другую арму, не один из твоих способов на ОЕР меня не вывел.

ИМХО надо все exception в игнор заносить, зачем по ним ходить Shift+F9?

Mario555 :: А кто-нить последнюю арму распаковывал ? ту в которой iat после формирования ещё и «перемешивается», и только потом строятся переходы на неё.




Goodwin777 Как патчить запакованную прогу Сломал прогу, а как ее запачить с...



Goodwin777 Как патчить запакованную прогу Сломал прогу, а как ее запачить с помощью crack не знаю ---› прога пакованная Aspack 2.12. Вообщем как пропатчить запакованную прогу???
GL#0M :: Goodwin777 пишет:
цитата:
Вообщем как пропатчить запакованную прогу???


Инлайн-патчем... почитай у меня на сайте про htmlpad, там хоть и upx, но с аспаком всё также.
http://gl00m.fatal.ru/

Goodwin777 :: Не это конечно прикольно только вопрос-пояснение: crack всегда будет подгружаться будет вместе с прогой?

GL#0M :: Goodwin777
Вот тут чисто по аспаку:
http://www.dreamimpression.co.uk/r!sc/stuff.htm

GL#0M :: Goodwin777

Нет, это полноценный патч! Это не лоадер. Пропатчил и всё.

Goodwin777 :: Надо попробывать! СПБ!

[RU].Ban0K! :: UPX -› http://www.int3.net/?page...eversing&p2=unpack&art=10
ASPACK -› http://www.int3.net/?page...eversing&p2=unpack&art=11




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




ilya unpack Registry Medic 2.95 пробую через olly+svkp



ilya unpack Registry Medic 2.95 пробую через olly+svkp_13x(olly script),но постоянно выбрасывается ошибка скрипта.кто нить сталкивался с этой проблемой??? мож чё не так делаю
WELL :: ilya
А чем запакована?

ilya :: SVKP 1.3

Kerghan :: WELL пишет:
цитата:
А чем запакована?


ilya пишет:
цитата:
svkp_13x


2WELL было бы странно пытаться распаковать upx с помощью этого скрипта
2ilya прежде чем работать со скриптом, лучше сперва распаковать svkp руками тем более что ничего страшного там нет

Mario555 :: Kerghan пишет:
цитата:
svkp руками тем более что ничего страшного там нет


В обычной версии это действительно так (я распаковывал и Registry Medic и ещё пару прог). Но вот с Tweak-XP Pro 3 хрень какая-то :) И с самим svkp.exe тоже (хотя может это потому, что у меня в нём триал закончился, а наг вызывается из кода протектора).

Mario555 :: Да кста проги после svkp легко ломаются, т.к. там используется что-то вроде апи протектора для проверки имени юзера.

ilya :: Kerghan пишет:
цитата:
лучше сперва распаковать svkp руками


да я бы с радостью(тем более что меня в последнее время стало прибивать по распаковке вручную)но у меня мало информации по распаковке данного пакера. если не трудно подкиньте кто нить мыслю (где зациклить , где оеп).я не настолько силён чтобы в одиночку догнать как распаковать




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




XanderDBB инлайн-патч для аспра субж возможен в природе?



XanderDBB инлайн-патч для аспра субж возможен в природе?
MozgC [TSRh] :: Спроси ALEX’а =)

Madness :: XanderDBB
Да.

Kerghan :: Madness
не для любой проги и не для любого аспра полюбому... во всяком случае пока...
MozgC
у Алекса не ин-лайн

MozgC [TSRh] :: Вот только не надо слушать Хекса и говорить говорить что это не инлайн, всем понятен смысл того что спрашивает XanderDBB, и нигде нет четкого определения инлайн патчу и если Хекс один раз зашел на форум и сказал что это не инлайн патч, то это не значит что так и есть. Я вообще придерживаюсь мнения что в таких вещах нет четкого определения, а с учетом того что имеет в виду автор вопроса я ответил то что я ответил.

RottingCorpse :: а нельзя ли подробнее по этому поводу :) ?

XanderDBB :: а как с алексом связаться? он даст исходник?

XanderDBB :: а сама технология хотт какая?

MozgC [TSRh] :: Думаю он сам придет и ответит. Там не все так гладко, но тем не менее...

-= ALEX =- :: я здесь. технологий методом хука апи....

-= ALEX =- :: пока выкладывать и давать ничего не буду, т.к. багов туева куча, потом просто вопросов куча будет....

Quest0 :: -= ALEX =- пишет:
цитата:
технологий методом хука апи....


А какого API ? и как перехватывать? исходники не нужны, была бы какая-нить теория для начала

Kerghan :: MozgC [TSRh]
хэх... ну фактически его можно назвать ин-лайном, поскольку программа «сама себя патчит»
Но один хрен присобачивание секции и поиск свободного места в пакере разные вещи. Это в upx и aspack место жопой есть можно, а ты бы поробовал на y0da Cript написать, где тока хидер свободен.
И опять же таки хрен ты с помощью стандартных патчмейкеров патч сделаешь.

-= ALEX =- :: Quest0 короче если ты знаешь, то аспр юзает MapViewOfFile в дальнейшем для проверки CRC. ну вот я хучу эту апи, потом заново исправляю весь PE HEader, чтоб CRC не изменился, заново делаю MapViewOfFile. Тут же ищу некоторый оффсет, по которому файл уже полностью распакован. дальше идет управление на твой код, ну и возврат....

WELL :: -= ALEX =-
[offtop]
Ты Invisibility еще не глядел?
[/offtop]

MozgC [TSRh] :: Kerghan
Я не считаю проблемой увеличить размер файла.

-= ALEX =- :: WELL неа, забыл блин :) только не пинать...

-= ALEX =- :: да я тоже не вижу проблемы с размером файла. че так сложно сделать свой патч-макер ?!

WELL :: -= ALEX =-
Погляди, если время будет

-= ALEX =- :: WELL угу, а тебе это зачем ? просто это легко отрубить очень....

Madness :: Kerghan
›не для любой проги и не для любого аспра полюбому... во всяком случае пока...
Обоснуй. А то ведь не согласные мы. :P

-= ALEX =- :: Kerghan я тоже на данный момент не согласен :)

WELL :: -= ALEX =- пишет:
цитата:
а тебе это зачем ? просто это легко отрубить очень....


Да в принципе для общего развития. Возможно в какую-нить из прог вставлю

Kerghan :: Madness
-= ALEX =-
я про ин-лайн, где не идет увеличение размера. Щас кажись так тока регет пропатчили... ну и может еще чего-то... кстати, -=Alex=- у твоего патчера тоже кажись траблы были с некоторыми прогами

MozgC [TSRh]
ну ты может и не считаешь, но дофига крякеров разными там codefusion пользуются, так что хрен они уже свой патч напишут

-= ALEX =- :: Kerghan ну нам с Madness’ом известен способ, когда легко сделать ин-лайн патч, когда юзаются апи аспра, и при том очень просто. Я еще один метод предлагал, тоже ин-лайн.... так что возможно сделать....

Kerghan :: -= ALEX =-
только вам двоим?
ну насколько я понимаю на этот раз патчер ты уже делать не собираешься

-= ALEX =- :: Kerghan не наверное не нам двоим, ну на форуме на этом, получается так! Madness уже сделал тулзу :) :)

RottingCorpse :: А затестить :) ?

XanderDBB :: слушайте! вообще я вопрос задал! выслали бы хотяб исходники. в общем присобачиваецца секция и что в ней там дальше?? объясните!

-= ALEX =- :: XanderDBB слишком круто исходники высылать, я помниться несколько недель над ними работал...

-= ALEX =- :: дальше тебе придется написать хукер апи, потом грамотно обработать, восстановить заново CRC, передать управление аспру, поиск «нужных» оффсетов и т.д....

Mario555 :: -= ALEX =- пишет:
цитата:
когда легко сделать ин-лайн патч, когда юзаются апи аспра


В этом способе тоже хук делать надо ?

Madness :: Kerghan
›я про ин-лайн, где не идет увеличение размера.
Ну да.

›только вам двоим?
Я все описывал уже на этом же форуме с месяца 2 назад.

XanderDBB
›вообще я вопрос задал!
А что, мой ответ на прошлой странице не на твой вопрос? Люблю я такие вопросы. Гы. В гугле поищи «Как правильно задавать вопросы».

Mario555
›В этом способе тоже хук делать надо ?
Ни в коем разе.

XanderDBB :: Madness

цитата:
А что, мой ответ на прошлой странице не на твой вопрос? Люблю я такие вопросы. Гы. В гугле поищи «Как правильно задавать вопросы».


ну и хер с ним. раз уж не хотите делиться разработкой, то так и скажите. буду тогда упор на распаковку делать. кстати, у кого есть unpacking tutorial по аспру 1.3 на идише?

Mario555 :: Madness пишет:
цитата:
Ни в коем разе.


Хм... попробовал я сейчас пообходить аспровые проверки... Но так и не понял (пока) где нужно подставить значение, чтобы последняя процедура (та которае с полиморфом и переходом к OEP) правильно расшифровалась...
Help :)

XanderDBB пишет:
цитата:
кстати, у кого есть unpacking tutorial по аспру 1.3 на идише?


Ну я недавно давал ссылку на свой тутор, правда он не про максимальную защиту 1.3, что с максимальной делать пока не знаю.
А что значит «на идише» ?

GL#0M :: Mario555 пишет:
цитата:
Хм... попробовал я сейчас пообходить аспровые проверки... Но так и не понял (пока) где нужно подставить значение, чтобы последняя процедура (та которае с полиморфом и переходом к OEP) правильно расшифровалась...
Help :)


А ты посмотри любой релиз madness’а, где он запатчивает аспр и всё и поймёшь... :)

Mario555 :: GL#0M
А откуда можно скачать сиё чудо :) И как я узнаю, что релиз именно аспровой проги ?

GL#0M :: Mario555
Ну никогда не поверю, что ты не знаешь какая аспр-прога, а какая нет.
Ты ж наверное их уже все пересмотрел...
Заходи на _http://kpteam.com/ и ищи... а потом на форуме _http://www.imho.ws/ попроси у добрых людей, только тему смотри не перепутай...
Хотя можешь и у самого madness’а попросить...

-= ALEX =- :: Mario555 да я могу так объяснить. Короче адреса апи, без ImageBase просто-напросто хранятся покриптованные где-то примерно в конце секции аспра. Тебе остается заминить покриптованные адреса на свои адреса, соответственно тоже покриптованные, вот и все впринципе... Все элементарно находится и высчитывается :)

RottingCorpse :: Так что, тулза на тест в cracklab комьюнити не попадет?

Mario555 :: -= ALEX =-
Пасибо, буду пробовать :)

Mario555 :: Действительно просто !!! Если бы закриптовка была не симметричной, то наверное пришлось бы с ней подолбатся, а так - за пару минут всё делается :) халява :))))

Mario555 :: Гы... оказывается и 1.3 также легко патчится. А я то с распаковкой долбался...

-= ALEX =- :: Mario555 ну а ты боялся :) :)




блокирует закрытие Olly и проходит к tempOEP.


блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!

RottingCorpse :: Мда..... собственно говоря распаковывается руками без особых проблем, с ресурсами - то же самое.

WELL :: MaZaFaKeR пишет:
цитата:
Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел


Ну вот, а ты сразу возбухать...

RideX :: MaZaFaKeR
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?

WELL :: RideX пишет:
цитата:
Мне вот просто ОЧЕНЬ интересно, зачем тебе так нужны ресурсы и именно в рабочем .exe, а не в дампе, например?


Чтобы About пофиксить

SeDoYHg :: RideX

Он тебе как и меня пошлет куда подальше, лучше не спрашивай.

MaZaFaKeR :: Господа , Эбаут править я не собираюсь!
Меня интересует распаковка и работа в распакованном состоянии!

WELL :: MaZaFaKeR
Обычно ресурсы для взлома не нужны.
Если только у кнопок свойства enabled отрубать

MaZaFaKeR :: WELL , я хотел распаковать прогу и чтобы она распакованная работала и ресурсы были в норме!
Поверьте мне, не для взлома или рипа я об этом просил!




SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В...



SLV Кто сможет сломать мой CrackME??? Это мой первый релиз такого рода. В этом крякми я сделал так, что файловые анализаторы не обнаруживают packer. AutoUnpacker-ы также не могут распаковать его. В ручную, я сам не смог его распаковать. Может кто-нибудь сможет... Брать можно отсюда.
sanek :: SLV пишет:
цитата:
Брать можно отсюда.


Чет не запускается!!!!!

Bad_guy :: Было просто:
Bad_guy
8RPZ-154JY-YAX76-E3SSX-J7ZA9
PEiD показывает «UPX» - так что не знаю в чём проблема. Ну что распаковать или не стоит ?

Bad_guy :: ...Даже обидно как-то - никто хотя бы средней сложности крэкми не хочет сделать. (бэсик не предлагать).

RideX :: SLV
Это у тебя новый тип крэкми? Наверное runme называется, кто сможет файл запустить - тот молодец :)))

бара :: извините за оффтоп, но как за***ли уже все эти крякми и тп
давайте хоть начнём ломать проги, к которым нет серийников и тп на кряк сайтах
фигли этот мазохизм - вам сам процесс удовольствия что-ли доставляет ?

Perch :: SLV.
А чего ты сделал один серийник под любое имя?

-= ALEX =- :: бля, задолбали честно гря эти крякми. че автор этим хочет показать, свою «глупость» ИМХО.
Bad_guy мог бы тебе предложить попозже alexprot crackme #3 :) :)

SLV :: Я поменял EP на пакованной проге. На новом EP был jmp на popad (т.е. на старый EP). У меня PeiD показала nothing found. Quick Unpack v0.4 final by FEUERRADER [AHTeam] распаковала, но прога не запускалась. Я распаковал олей, но прога тоже не запускалась. А ещё все стринги в exe-шнике заxor-ены и перед сравнением с серийником идёт мудёжная процедура «проверки» серийника. Следущие попробую сделать посложнее.

Snowbit :: Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!

sanek :: Snowbit пишет:
цитата:
Под 2K/XP не работет, неплохо было протестить этот самый крякмис на всех осях... я на секции посмотрел - с табуретки чуть не упал...
Как это вообще может работать??!


Заработало под WIN98
А сернУм действительно один у меня такой же. Хоть на русском пиши имя
8RPZ-154JY-YAX76-E3SSX-J7ZA9
Вылетает месага: you reallywin! it is great!

ZX :: SLV пишет:
цитата:
А ещё все стринги в exe-шнике заxor-ены


Лучше бы ты серийник заксорил

Mafia32 :: Блин, ни хрена не запускается. (WinXP) Зря 150 кб качал...

DZmey :: SLV

Она и без распаковке не пускается ....

бара пишет:
цитата:
давайте хоть начнём ломать проги, к которым нет серийников и тп


Полностью согласен !!!

WELL :: SLV
Мог бы проверить под 2k/XP...

KLAUS :: Да короче, желающим чтоб она заработала под 2k/XP открываете (допустим в LORD-PE) за ходите в section и оставляете только первые три, а остальные удаляйте наХ**.....

SLV
Типа хотел замаскировать UPX
анализаторы не обнаруживают packer - сам глазами чтоли анализировал?

Mario555 :: -= ALEX =- пишет:
цитата:
alexprot crackme #3


Ждёмс... ;)
Жаль вот только сессия начинается - времени вообще нет...




GPcH UnpackMe (C++) Кому надоели крякми - вот:



GPcH UnpackMe (C++) Кому надоели крякми - вот:

http://gpch.int3.net/other/UnpackMe.rar
KLAUS :: Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно

Bad_guy :: Да уж, C++ Builder тоже не подарок

ZX :: Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)


Mafia32 :: А в чем прикол? Запаковал аспром и все? Не понял я зачем качал...

XoraX :: Bad_guy пишет:
цитата:
Да уж, C++ Builder тоже не подарок


дык :) это ж почти дельфи :))

KLAUS :: Mafia пишет:
цитата:
Не понял я зачем качал...


Вот таже фигня....

Styx :: А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ

GPcH :: KLAUS пишет:
цитата:
Короче:«Необходимый дайл динамической библиотеки VCL60.BPL не найден»
ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov ---- если кому интерестно


Неа! Это новый аспр - 1.3.1 Вот и спрашиваю, никто не научился находить OEP в этом чуде,

GPcH :: Mafia32 пишет:
цитата:
А в чем прикол?


Я и не прикалываюсь
Mafia32 пишет:
цитата:
Запаковал аспром и все?


Да, правда распаковать вручную сколько не пытался не получилось, может кто копал новый аспр?Mafia32 пишет:
цитата:
Не понял я зачем качал...


Не знаю - я никого не заставлял, тем более сказал, что это всего лишь UnpackMe

GPcH :: Styx пишет:
цитата:
А чё так слабо. Надо былу сразу Extrem Protector и всё тип-топ


Не! Надо было GPcH Protect’ом или Alex Protect’ом

RideX :: XoraX пишет:
цитата:
Bad_guy пишет:
цитата

Да уж, C++ Builder тоже не подарок

дык :) это ж почти дельфи :))


A VC++ MFC - это почти VB :))

ViNCE [AHT] :: ZX пишет:
цитата:
Кому надоели крякми - вот:

Advanced CATaloguer Pro 2.4.73 - http://www.evgenysoft.com/files/acatproenglish.EXE (1542 kb)



Слышь, у тебя получилось его ломануть? Именно снять ограничения?

GPcH :: RideX пишет:
цитата:
A VC++ MFC - это почти VB :))


Может еще скажешь, что Asm и QBasic это одно и тоже???

RideX :: GPcH пишет:
цитата:
Может еще скажешь, что Asm и QBasic это одно и тоже???


Я имел ввиду, может быть такое, что из mfcXX.dll, msvcrt.dll, mfcXXXX.dll ты так же не будешь вылазить как это бывает с VB прогами, потому я написал ПОЧТИ :) Продукты от Borland в ЭТОМ случае отлаживать намного проше, т.к. ты находишься в одном модуле, а не скачешь по разным DLL и у тебя перед глазами не call ?AfxMessageBox@@YGHPBDII@Z (или что-нибудь похуже, или в отладчике call по ординалу), а обычный MessageBoxA. Прога MFC VC++ - это, братан, не API C++ ;) Если тебе это не встречалось - это не значит что такого не бывает, не все пишут на Win32 API :) Чем одинаковы Asm и QBasic, я не понял.

В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages, Borland не Microsoft, runtime DLL’ки с Виндой не поставляет :))

GPcH :: RideX пишет:
цитата:
Чем одинаковы Asm и QBasic, я не понял.


это прикол

RideX пишет:
цитата:
В твоём случае, в Builder’e отключи Project -› Options -› Packages -› Build with runtime packages


OK

ZX :: ViNCE [AHT] пишет:
цитата:
Слышь, у тебя получилось его ломануть?


Я посмотрел, что его надо вручную ковырять и отложил на суботу-воскресенье, щас времени нет. И инлайн там сложновато сделать - проверка CRC.

WELL :: GPcH пишет:
цитата:
Надо было GPcH Protect’ом


А это что за ботва ?

KLAUS :: Такое воббще существует...
WELL
Что-то не бось на подобии «Checony.........»

GPcH :: WELL пишет:
цитата:
А это что за ботва ?


Это моя первая и единственная защита на VB: http://gpch.int3.net/soft.php

PS: Это VB, так что не обсирай, и так понятно, что все проги им защищенные MSVBVM60.DLL будут требовать

KLAUS :: GPcH
Печально, а не пробывал переписать на Delphi\Cи ??

WELL :: GPcH
Да. переписать было бы неплохо.

ZX :: ViNCE [AHT] пишет:
цитата:
Именно снять ограничения?


Вроде ни на что не ругается.




musulmanin UnPack Bit-Arts



musulmanin UnPack Bit-Arts
ZX :: musulmanin
Ну ты даешь! Хоть бы ссылку дал. Стукнись в аську.

musulmanin :: ZX пишет:
цитата:
Ну ты даешь! Хоть бы ссылку дал. Стукнись в аську


привет!
меня от сети на пару дней отключили,сегодня только вышел...
а прогу мне знакомый дал в сети....наз.---Fusion v2, типа Джонера,для склейки файлов...
вес--2.7МБ щас в инете поищу ее и ссылку дам...

musulmanin :: Кто руками распаковывал эту дрянь?




andreybh@mail.ru Люди! Помогите крякнуть прогу! Есть такая прога:...



andreybh@mail.ru Люди! Помогите крякнуть прогу! Есть такая прога: http://www.andrew2011.narod.ru/newline.exe - 199168 байт. Не могу понять!
При нажатии на кнопку «получить» прыгает вот на этот код:

cmp dword ptr [eax+00000218],FFFFFFFF
je 004675D0
push 00000030

«je» вызывает окно, что я не ввел данные, а если ввел, то вылетает окно, что прога не зарегена!
Там есть регестрация, я несмог отследить серийник, он че-то то что я ввел переставляет символы местами, но ни с чем не сравнивает! Как узнать правильный серийник?

Заранее Спасибо за отзывы!!!
sanek :: andreybh@mail.ru пишет:
цитата:
Есть такая прога: http://www.andrew2011.narod.ru/newline.exe - 199168 байт. Не могу понять!
При нажатии на кнопку «получить» прыгает вот на этот код:

cmp dword ptr [eax+00000218],FFFFFFFF
je 004675D0
push 00000030


Тебе нужно сюда:
004670ЕЕ 751А JNZ 0046710A

Посмотреть можно W32Dasm а править QVIEW или HVIEW
переправь переход JNZ на JZ но предварительно нужно распаковать.
Запаковано ASpack 2.12
Распаковать мона PEID v0.92 и незабудь ввести OEP

andreybh@mail.ru :: sanek пишет:
цитата:
Тебе нужно сюда:
004670ЕЕ 751А JNZ 0046710A


Там у меня 004670ЕЕ 751А JNE 0046710A

цитата:
но предварительно нужно распаковать.
Запаковано ASpack 2.12
Распаковать мона PEID v0.92 и незабудь ввести OEP


Конечно же я распаковал ее! но только не PEID, т.к. она не распаковывет, а определяет распаковщик, а распаковывал я ее AspackDie v1.41
И ты сам то пробовал? Я сделал, не помогло! Я не знаю работает ли реально прога, не хотелось бы отдавать 11 баков за не работающую прогу, а если бы я был уверен за прогу, то мож я бы и заплатил, но все же хоца проверить!

sanek :: andreybh@mail.ru пишет:
цитата:
Конечно же я распаковал ее! но только не PEID, т.к. она не распаковывет, а определяет распаковщик, а распаковывал я ее AspackDie v1.41


Им то же можно расспаковать ели плуги имеешь
andreybh@mail.ru пишет:
цитата:
И ты сам то пробовал? Я сделал, не помогло! Я не знаю работает ли реально прога, не хотелось бы отдавать 11 баков за не работающую прогу, а если бы я был уверен за прогу, то мож я бы и заплатил, но все же хоца проверить!


Я это считаю разводом поэтому пробовать не буды а ты как хочешь
Но программа говорит спосибо за регестрацию
andreybh@mail.ru пишет:
цитата:
Там у меня 004670ЕЕ 751А JNE 0046710A


JNZ и JNE это одно и то же просто убери N и все буде как те хоЦа

andreybh@mail.ru :: sanek пишет:
цитата:
Но программа говорит спосибо за регестрацию


Я знаю, что она пишет спасибо, но после этого она все равно ругается на то, что программа не зарегистрирована! Я тоже думаю, что это развод, поэтому и занялся ее кряком, я так уже делал как ты писал, что типа прыгать на «спасибо за регистрацию» если серийник не соответствует тому, что надо, это мне не составило труда, но просто я подумал мож он где в реестре прописывает серийник, т.к. при запуске проги регмонитор показывает, что он к такой куче ключей обращается, сож он там его прописывает, если он верный, хотя я не уверен, но тогда что же он делает с тем серийником, который я ввожу, зачем он у него гоняет символы туда-сюда? для отвода глаз??? Странно... Я таких прог полно видел, но все требуют бабок! Зачем они им, если они работают можно сказать на них! А вообще я считаю, что это конечно же полная лажа, я так и понял! Просто может я все таки не доконца разобрался, может там где скрыт какой подвох? Я просто второй раз взламываю прогу! Опыта маловато! Но все равно спасибо за небольшую консультацию!

sanek :: andreybh@mail.ru пишет:
цитата:
Но все равно спасибо за небольшую консультацию!


Я сам здесь новичек поэтому возможно с аспаком такие проблемы с апи, заходи по этому топику возможно кто нить из опытных подскажет и объяснит че не так.

andreybh@mail.ru :: А че говоришь за плаги к PEID, что б распаковать аспак?

SGA :: Самый Лучший и правдоподобный крякер Интернета, из тех котор я видел
Однозначно Покупать. Всего 300р, такая мелоч заГеннератор денежных карт на
MTC
BeeLine
Мегафон
МСС
Сонет
ИМС
KuivStar
ROL
MTU
Сонет
Россия Онлайн
МСС - интернет

Стоит заплатить 300 чтоб увидеть сообщение о правильной регистрации.
LOL ребята

Макс :: Я знаю этот ньюлайн, у меня он даж пропатченный есть,та же шняга

Gloomy :: А вот и автор проги ( SGA ) объявился с рекламной акцией

Я уже раскапывал когда-то эту прогу, помню что серийник там какой-то диковенный был, кажется сумма цифр или что-то типа того. Генерация серийника начинается отсюда:

004670DB ¦› 8B45 FC /MOV EAX,DWORD PTR SS:[EBP-4]

Кому интересно копайте, мне ее снова изучать лень

Ara :: Прога чешуя полная, как и все УНИВЕРСАЛЬНЫЕ КРЯКЕРЫ И-нета!!!

andreybh@mail.ru :: SGA пишет:
цитата:
Стоит заплатить 300 чтоб увидеть сообщение о правильной регистрации.


Я не собираюсь платить за неработающую прогу! Нужно было хотя бы один показать, что прога работает, а потом я уже заплачу! Кто так пишет платные программы? Я же должен проверить работает ли она или нет? Как я могу заплатить не зная за что?

sanek :: andreybh@mail.ru пишет:
цитата:
Я не собираюсь платить за неработающую прогу! Нужно было хотя бы один показать, что прога работает, а потом я уже заплачу! Кто так пишет платные программы? Я же должен проверить работает ли она или нет? Как я могу заплатить не зная за что?


Не плати, нехрен!!!
А по поводу плугинов нажми на кнопку -› и зайди в Plugins там PEID generic unpacker толь нужно OEP продетектить и прописать такой же ручками ниже в поле.
А если нет то на их сайт сходи.

KLAUS ::
цитата:
MTC ,BeeLine ,Мегафон ,МСС ,Сонет ,ИМС ,KuivStar ,ROL ,MTU ,Сонет ,Россия Онлайн ,МСС - интернет


Хм, просто интерестно, даже если это НЕ на**ка( в чём я лично сомневаюсь) и генератор выдаёт правильный номер, то просто допустим у МТС более миллиона пользователей - эт же сколько раз он может вывести карточки кот. уже использованны...

[ChG]EliTe :: Я столько не выпью, что бы поверить в работоспособность этой проги!

andreybh@mail.ru :: Конечно же спасибки за комментарии! Но вразумительного ответа по кряку я так и не получил! Там действительно не работает генератор? Или все таки можно вычислить серийник?

ZX :: andreybh@mail.ru
Да кидалово это все, как ты еще не понял.

andreybh@mail.ru :: ZX пишет:
цитата:
Да кидалово это все, как ты еще не понял.


Да понял! Но я же не хочу платить, а убедиться что это кидалово! т.е. Разобраться в алгоритме, а вообще мож кто даст ссылку на учебник по ассемблеру под ВыньДОС?

KLAUS :: andreybh@mail.ru

Зайди на www.wasm.ru там найдёшь...

WELL :: andreybh@mail.ru пишет:
цитата:
а вообще мож кто даст ссылку на учебник по ассемблеру под ВыньДОС?


Сходи на http://www.wasm.ru и на http://asm.shadrinsk.net

Mafia32 :: andreybh@mail.ru

Тебе надо именно правильный серийник или просто чтоб зарегить? А на хрен ты нажимаешь на «получить»? Жать то надо на «зарегистрировать»! Я вот там в 2-ух местах пропатчил и все! Мне сказали: «Спасибо за приобретение проги!». Правда, окно не закрылось и кнопка «Регистрация» не пропала. Ща еще посмотрю.

Mafia32 :: andreybh@mail.ru

Э-э-э-х. Бл***. Короче щас напишу, и больше писать не буду. Чуваки! (это касается тех, кто просит взломать здесь прогу для взлома WebMoney, прова, МТС и проч.) Недели 2 назад .::Demonix::. достаточно четко объяснил все это на примере какого-то дерьма для взлома вэб-мани Максу. Вот. Сейчас такая же ситуация. Во-первых, ты ломал совершенно не с того конца, это раз. Во-вторых, взгяляни на этот замечательный фрагмент кода(раз ассемблер ты не знаешь, я тебе его прокомментирую):

* Reference to control TNLForm.RadioGroup1 : TRadioGroup
¦
004675A8 8B800C030000 mov eax, [eax+$030C]

* Reference to field TRadioGroup.OFFS_0218
¦
004675AE 83B818020000FF cmp dword ptr [eax+$0218], -$01
004675B5 7419 jz 004675D0
004675B7 6A30 push $30

* Possible String Reference to: ’Внимание’
¦
004675B9 B9EC754600 mov ecx, $004675EC

* Possible String Reference to: ’Необходимо зарегистрировать програм
¦ му’
¦
004675BE BAF8754600 mov edx, $004675F8

* Reference to TApplication instance
¦
004675C3 A128934600 mov eax, dword ptr [$00469328]
004675C8 8B00 mov eax, [eax]

¦
004675CA E8AD64FFFF call 0045DA7C
004675CF C3 ret

004675D0 6A30 push $30

* Possible String Reference to: ’Внимание’
¦
004675D2 B9EC754600 mov ecx, $004675EC

* Possible String Reference to: ’Необходимо выбрать оператора’
¦
004675D7 BA20764600 mov edx, $00467620

* Reference to TApplication instance
¦
004675DC A128934600 mov eax, dword ptr [$00469328]
004675E1 8B00 mov eax, [eax]

¦
004675E3 E89464FFFF call 0045DA7C
004675E8 C3 ret

Классно? Эта хрень идет при нажатии на кнопку «Получить», которая по идее ломает прова или ког-то еще. Проверяется выбрана ли хоть одна RadioButton, если да говорят, что прога не зарегена, если нет, что надо выбрать оператора.

вот и все. Так что топик закрыт. Советы по асму дали тебе хорошие, линки всмысле. Могу посоветовать также (не ситайте это только саморекламой :-)) ) статьи SeDoYHg по асму с сайта нашей команды http:\\tlrh.nm.ru и мою статейку для начинающих там же по крякингу.

andreybh@mail.ru :: Все спасибо! Топик закрыт! Я все понял!

Mafia32 пишет:
цитата:
сайта нашей команды http:\\tlrh.nm.ru


Ты как-то ссылку коряво написал: http : // http :// tlrh.nm.ru (без пробелов конечно же!) в общем спасибо!

Mafia32 :: andreybh@mail.ru

Да, я забыл, что здесь http:\\ само приделыватся :-))))

SLV :: andreybh@mail.ru пишет:
цитата:
А че говоришь за плаги к PEID, что б распаковать аспак?


Какой плагин, распаковывай руками! (OEP=67690). И вообще, эта прога - 100% кидалово, причёмЮ относительно, грамотное.

Demode :: Здравствовать и радоваться!

Позвольте направить диспут в рациональное русло:
1. длинна SN 5 x 5 символов :0046706B 83F819 cmp eax, 00000019
2. SN - символы в ASCII (а то как их вводить с клавиатуры?!)
3. суть итераций с SN в :00467093 - :004670A7, :00467075 - :004670C6 не принципиальна, поскольку все символы SN не «теряются», а только ротируются по банальному алгоритму.
4. суммиривание ! ! ! HEX-представлений ! ! ! символов SN в :004670DB - :004670E8
5. контроль итога в :004670EA 837DF86F cmp dword ptr [ebp-08], 0000006F
и последнее:
придумайте последовательность 25-ти ASCII- символов, чтобы сумма HEX-представлений была равна всего «6Fh» ?!?!?!

Выводы за вами . . .

Успехов!

Demode,
R091003@km.ru




RideX ASProtect v1.31 build 05.18 Release Candidate Опять подарок, аспр...



RideX ASProtect v1.31 build 05.18 Release Candidate Опять подарок, аспр обновился :( Взять для опытов можно, как обычно, на инструментах наших братьев.
DZmey :: RideX пишет:
цитата:
Опять подарок, аспр обновился :( Взять для опытов можно, как обычно, на инструментах наших братьев.


Об этом Марио555, давно сказал =) даже ссылку давал

Mario555 :: Да не... это опять что-то новое наверно... Хотя что-то мне его и качать и ковырять влом... вот когда «устаканятся» эти все версии и начнут появлятся проги с какой-нить одной версией, тогда и нужно будет заняться ;)

бара :: Армадилу пока трясите - аспр вряд ли устаканется вообще. А вот Аспак похоже сдох как проект...

ZX :: Mario555
Да когда альфа-клок сломали Солод, наверно, месяц не выползал из-за компа. Теперь остановиться не может :)

бара :: да я думаю он бабки гребёт не хилые чтобы вот так просто их терять... Поэтому он будет сражаться за свой аспротект до конца....
Так как на рынке защит он популярен и приносит доход немалый ему....

Black Neuromancer :: Дамс, АсПак действительно уже устарел, щас уже почти не встречаю, чтобы им было что-то запаковано, в популярности Арма и Аспр. Хотя кроме Алекса, по-моему лучше про распаковку Аспры не писал - если ошибаюсь давайте ссылку. Арму сам еще не пытался распаковывать - вот надыбал три проги которые им или ей запакованы - так что надо посмотреть

DZmey :: Black Neuromancer пишет:
цитата:
Хотя кроме Алекса, по-моему лучше про распаковку Аспры не писал


Очень хорошая статья от того же марио555, и ещё была какае-то ... статьи как кто-то сказал «ЗА которые надо вещать медали»

DZmey :: Mario555 пишет:
цитата:
Да не... это опять что-то новое наверно


ах да сорри это был не ты :)

Rider :: ZX

А кто распаковал AlfaClock ?

DOLTON :: Rider пишет:
цитата:
А кто распаковал AlfaClock ?


Сделали инлайн...

Bad_guy :: бара пишет:
цитата:
да я думаю он бабки гребёт не хилые чтобы вот так просто их терять... Поэтому он будет сражаться за свой аспротект до конца....


Вот-вот, именно поэтому мы всегда будем оставаться на шаг позади. А вообще у солода наверное там уже целый штаб высококлассных программеров сидит над этим аспром и его бэтами и приватными версиями (во всяком случае на его месте...)

бара :: я тоже так думаю.
Если у Касперского целая фирма со спецами, то и у Солодовникова я думаю есть что-то типа этого. Хотя его проект намного слабее... Но всё равно ему помогают, я думаю, спецы... Сам то он вряд ли бы сделал такую защиту - потому что согласитесь - системные знания и знание асма явно имелись при создании защиты. А сам аспр на дельфях...

MozgC [TSRh] :: да нет... думаю и один мог

Mario555 :: DOLTON пишет:
цитата:
А кто распаковал AlfaClock ?


Мне там только Envelope check оставалось обойти... но не получилось :(

А в 1.31 - вообще не врубаюсь как и где stolen bytes заныканы...

ZX :: Mario555
Куда ты спешишь, давай подождем пока проги появятся с этим аспром, а то ты у Солода тестером работаешь, глядя на тебя он будет каждую неделю новый релиз выпускать :)
Bad_guy пишет:
цитата:
Вот-вот, именно поэтому мы всегда будем оставаться на шаг позади


Так по-моему так и должно быть.

бара :: я так думаю надо IP солода вычислить (город то известен) и дружно банить их на всех хак форумах

The DarkStranger :: не у кого часом нету этого аспра ???

Aster!x :: на васм’е последняя версия

The DarkStranger :: угу вот только смысл смотреть UNREGISTERED если там 80 % фич нету
типа ключиком поделитесь ;) ..........

dumbo :: в дельфях стартап код начали «кушать» и со своей блевотиной помешивать... =]
т.е. это теперь не stolen bytes, а скорее stolen functions...

WELL :: The DarkStranger пишет:
цитата:
типа ключиком поделитесь


Да. Ключик заиметь было бы неплохо...

Mario555 :: dumbo пишет:
цитата:
в дельфях стартап код начали «кушать»


Его и в 1.30 «кушали»... в 1.31 просто другой способ их выполнения (*банутый какой-то:)).
Ещё вроде убрали хрень с выполнением команд через SEH (жаль, прикольная штука была... я с ней долго долбался, пока понял как это эмулировать :))

-= ALEX =- :: WELL пишет:
цитата:
Да. Ключик заиметь было бы неплохо...


а кто тебе купить его мешает :) у меня есть уже давно ;) правда раздавать его не собираюсь, обещал людям...

бара :: Да вы что, опомнитесь. Никак Солода кормить собрались Совсем страх потеряли....

RideX :: The DarkStranger пишет:
цитата:
только смысл смотреть UNREGISTERED


Это special build, Registered users only, ключ не нужен. Warez одним словом :)

WELL :: -= ALEX =- пишет:
цитата:
у меня есть уже давно ;)


Ты купил что ли ?

KLAUS :: -= ALEX =- пишет:
цитата:
правда раздавать его не собираюсь, обещал людям...


Давай к тебе дружненько приконектимся и вытяним «НЕЗАМЕТНО» и нам хорошо и слово сдержишь

The DarkStranger :: не если кто то кинет мене ключик то я анпакю 1.31 и раскажу как анпакить его на самом деле у мня был ключик токо вот не задача я его потерял :(
или вот алекс например зажми какуюнить прогу аспром 1.31 и кинь мне в мыло :) токо не забуть все опции выставить а то не интересно будет :)

Killer :: The DarkStranger пишет:
цитата:
не если кто то кинет мене ключик то я анпакю 1.31 и раскажу как анпакить его на самом деле у мня был ключик токо вот не задача я его потерял :(


Авторитетно заявляю - ключик к аспру не нужен - все опции там доступны и без него! Валидный ключ дает всего лишь надпись Registered в самой проге .. накой тебе ключ ?

The DarkStranger :: хе хе вот тут ты ошибаешся опции то есть вот только понтов от них нету !!! так как в не зареганном аспре защита на 80% слабее чем в зареганной я проверял и сравнивал он по разному сжимает и мне нужен именно зареганный аспр ну или прога зажатая со всеми опциями именно за реганным аспром

WELL :: -= ALEX =- Дай ключик The DarkStranger ’y. Он потом тутор напишет про анпак аспр1.31 full.

.::D.e.M.o.N.i.X::. :: Вас почитать - зависть пятилетних пацанов его достижениям. Хочу лишь сказать, что он как работал один над этим проектом, так и работает и никой фирмы у него нет. И он никогда не боялся нас - это факт. Без нас не было бы его продукта и такой известности, что среди нас, что среди производителей софта - это тоже факт.

RideX :: The DarkStranger пишет:
цитата:
нужен именно зареганный аспр ну или прога зажатая со всеми опциями именно за реганным аспром


Попробуй AlfaClock v1.60, http://www.alfasoftweb.com/download/
Там аспр 1.30 full, но сколько с ним здесь ни долбались, так распаковать и не смогли :(

Mario555 :: The DarkStranger
Хотя бы про нахождение stolen code... он есть и в незареганой версии...
Из readme: «this version EntryPoint protection uses a Virtual Machine»... :(

-= ALEX =- :: The DarkStranger, хорошо, выложу крякми... будем ломать, ну или ты будешь :)

-= ALEX =- :: кто-нить, скажите, что такое Virtual Machine. подробненько так... :)

[ChG]EliTe :: -= ALEX =- пишет:
цитата:
кто-нить, скажите, что такое Virtual Machine. подробненько так... :)


Стуки В_асю в подробностях все расскажу... что интересует..

Killer :: [ChG]EliTe пишет:
цитата:
Стуки В_асю в подробностях все расскажу... что интересует..


Ээх вы - всем же наверно интересно, чего же в приват сразу

ps. Подскажите как зарегиться - просто запороленного ника хватит ?

[ChG]EliTe :: Killer пишет:
цитата:
Ээх вы - всем же наверно интересно, чего же в приват сразу


Всем интересно что такое Virtual Machine ???!?!?!!?!?!

Хм.. Нонсанс... НУ да лажно приведу описание виртуальной машины на примере VMWare (Virtual Machine Ware):
››Что такое VMWare? Это эмулятор РС архитектуры на ней же самой. Фактически, вы можете иметь на своем компьютере хоть 10 одновременно загруженных и одновременно работающих операционных систем, при этом практически не теряя в производительности. VMWare эмулирует практически все железо РС, проще сказать что не поддерживается в версии 3.1.1 (уже есть 4.0, в ней основной упор делается на поддержку мультимедиа, а именно просмотр фильмов, прослушивание музыки, игры...).

P.S. это не я писал! Это Цитата с http://linuxshop.ru/linuxbegin/article493.html поэтому по поводу осуждений обращяться туда, по поводу уточнений пишите здесь....

infern0 :: [ChG]EliTe пишет:
цитата:
Всем интересно что такое Virtual Machine ???!?!?!!?!?!

Хм.. Нонсанс... НУ да лажно приведу описание виртуальной машины на примере VMWare (Virtual Machine Ware):


абсолютно не в тему. никаким боком.

WELL :: Вроде писали, что старфорс использует в своей защите виртуальную машину.
Хотя я тоже не знаю что это и как.

nice :: WELL
Батенька вы, что не когда VB Pcode не ковыряли?
Самый наглядный пример ;)

Styx :: WELL
Обыкновенный интерпретотор. К примеру в какуюнить ф-цию пинают 01 а она там какой-нить mov eax, ebx делает .... ( ну эт так для примера, если чё ногами не пинать )

WELL :: nice
Ковырял. Карту города своего. Ты мне помогал её зарегить =)
Ну теперь примерно понял что это за ботва.

nice :: WELL
Хех да это Native был :)
A PCode, по хуже будет...

The DarkStranger :: -= ALEX =-
буду ждать !!!

[ChG]EliTe :: infern0 пишет:
цитата:
абсолютно не в тему. никаким боком.


Упс... Сорри... не прочитал топик Mario

WELL :: nice пишет:
цитата:
Хех да это Native был :)


Ой, ошибся =)

-= ALEX =- :: вот сделал unpackme как и просили ;) www.kpt.fatal.ru/aspr.upm.1.rar

Mario555 :: С импортом всё так же, как и в 1.31 build 04.27... смещения правда немного изменились и last exception по-другому определять надо. Вообщем я скрипт свой минут за 5~10 переделал под этот 05.18 :)

-= ALEX =- :: молодец




X0E-2003 Не могу распаковать ? :(...



X0E-2003 Не могу распаковать ? :( http://www.mp3towav.org/download/midconverter.exe

Народ, чем эта дурь запакована и как ее распаковать?

Вес: 1.20МБ

PeiD и PE Shniffer из PE TOOLS ничего в сигн. не нашли
-= ALEX =- :: хрен знает чем запакована. вообще нахера знать что чем запакована, бери да распаковывай руками. «Не могу распаковать», мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!

Black Neuromancer :: -= ALEX =- пишет:
цитата:
мля на 99% уверен, что ТЫ ДАЖЕ И НЕ ПЫТАЛСЯ !!!


наверно так и есть, он хочет чтобы ему на блюдечке все выложили, а может он просто не включил хардкорного сканирования в PeiD, а вообще правда все ручками делать

Mafia32 :: Ну зачем так народ. Человек помощи попросил, а ему так отвечают... Некоторые прям Unpacking Gods. Без обид!

Mafia32 :: X0E-2003
Это аспр. Версия 1.2X. Как я могу судить из отладчика. Я пробовал после того как сдампил посмотреть PE-Sniffer’ом и PEiD. Последний почему-то слетел с эксепшн, а снифер нормально засвидетельствовал аспр. Обнови сигнутуры!

Mafia32 :: Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.

ZX :: Mafia32 пишет:
цитата:
Если нужна будет сама распакованная прога, скажи, я выложу себе на сайт.


а подсказать, что ее стриппер распаковывает не судьба?

KLAUS :: ZX
Ну а малоли у него 98.....

Mafia32 :: ZX

Да как-то привыкши руками... :-)




Guest007 Вопрос по stripper’у С сожелением обнаружил, что stripper v2.07 уже...



Guest007 Вопрос по stripper’у С сожелением обнаружил, что stripper v2.07 уже не распаковывает
новые версии аспротекта. А нельзя ли где-нибудь скачать версию 2.11 (хотя бы бета версию)?
-= ALEX =- :: если кто-нить расщедриться, то в привате можно... мож даже я расщедрюсь :)

Guest007 Re: -= ALEX =- :: › если кто-нить расщедриться, то в привате можно... мож даже я расщедрюсь :)
Был бы очень благодарен, мой email: guest007@inbox.ru

.::D.e.M.o.N.i.X::. :: -= ALEX =- пишет:
цитата:
мож даже я расщедрюсь


Не советовал бы незнакомым давать:)

bUg. :: -= ALEX =-

может скинеш мне?

-= ALEX =- :: хех, сколько желающих...

sanniassin :: И мне
nik-cracker@rambler.ru

bUg. :: -= ALEX =-
сам же предложил

-= ALEX =- :: не ребят, не буду я автора сей проги подводить, когда он захочет, он выложит полную версию... а пока давайте ручками распаковывайте.

sanniassin :: -= ALEX =-
А кому и за что раздают private билды stripper’а

-= ALEX =- :: друзьям дают... никто не раздает :P

бара :: Алекс, если не замучался скидывать стриппер последний, то скинь мне тоже, pls. Обещаю не распространять, не размещать и тп. Даю Слово.

RottingCorpse :: Хех.... ну сказали же... private build.... ждите паблик релиза...

P.S. А мне скинешь?

бара :: Ну вот и жди. Фигли ты лезешь тогда, умник...

Guest007 :: › когда он захочет, он выложит полную версию... а пока давайте ручками распаковывайте.
Жаль, а я уже кучу прог, запакованных аспротектом наскачивал. :-(

бара :: тогда обратно их закачай... воришка мелкий...шутка

RottingCorpse :: Бара... ты за своим разговорным языком следи. Не с ровесником разговариваешь.

бара :: Так ты за своим базаром следи, сынишка...

bUg. :: началось...

AnteC :: Не ссорьтесь детки :)

бара :: Так вот рассудите какого чёрта он попёр на меня. Типа я всторонку чтобы отошёл и на общих основаниях, а он типа у нас особенный... Немножко задел...

bUg. :: бара
ты про кого?

бара :: я про фраера в красном камзоле с рогами, хвостом и ложкой Щобы Щи хлебать

bUg. :: бара
может он и особенный (ты у него спроси)

WELL :: Вроде насчет стриппера говорили, что 2.11 версия аспр 1.3х один хрен не распаковывает.

Styx :: -= ALEX =-
› а пока давайте ручками распаковывайте
несмешно.

У меня идея народ отправляет тебе файло ты unpack-аешь и шлёшь назад

-= ALEX =- :: Styx ugu, esli ti mne inet oplatish...

XoraX :: да он все равно очень криво анпакит... :\ у меня ни одного рабочего файла из под него не вышло :))

[ChG]EliTe :: Styx пишет:
цитата:
У меня идея народ отправляет тебе файло ты unpack-аешь и шлёшь назад


Это типа: «Я те шлю файло 1 метр ты унпакиш и высылаешь мне метра 4...» :) и так челов например 5... итого АЛЕКС сутки выкачивает народу метров 20...

А вообще.. забейте вы на стриппер покрайне мерее до официального релиза... и то пока чет мне не вериться что проги будут нормально работать после его распаковки... Хотя ниче не буду предсказывать, поживем увидим...

[ChG]EliTe :: XoraX пишет:
цитата:
у меня ни одного рабочего файла из под него не вышло :))


ага! Таже ботва...

RottingCorpse :: Кста, ну нафик стриппер. Когда появится - будет хорошо... А пока hands.sys еще работают (да и brains.vxd вроде тож)

ZX :: RottingCorpse пишет:
цитата:
(да и brains.vxd вроде тож)


у кого VXD а у кого и WDM имеется

DarKSiDE :: Хе...... А вы думаете, что 2.11 распаковывает? Наивные. Нифига! Пробывал я расспаковывать Аспр 1.3, так 50\50. Анпакер не всегда панацея, далеко не всегда...............

Runtime_err0r :: XoraX , [ChG]EliTe

цитата:
у меня ни одного рабочего файла из под него не вышло :))

ага! Таже ботва...


Господа, к вас что-то с руками я им уже туеву хучу прог распаковал и всё работает отлично !

цитата:
Это типа: «Я те шлю файло 1 метр ты унпакиш и высылаешь мне метра 4...» :) и так челов например 5... итого АЛЕКС сутки выкачивает народу метров 20...


ну не совсем так - распакованный EXE’шник можно rar’ом заархивировать

Black Neuromancer :: Хе-хе, все надо делать вручную - когда научишся вручную, тогда можно уже и стрипером распаковывать, чтобы время на распаковку не терять, а сразу преступить к исследованию алгоритма. Думаю, это самое правильное решение.

Mario555 :: Runtime_err0r пишет:
цитата:
туеву хучу прог распаковал


Назови их. Думаю, что все они с 1.30 «lite» и не больше...

RottingCorpse пишет:
цитата:
Кста, ну нафик стриппер. Когда появится - будет хорошо... А пока hands.sys еще работают


Ты так сказал, как-будто бы распаковал этот тоследний аспр... в чём я сильно сомневаюсь... :)

Snowbit :: Mario555 пишет:
цитата:
в чём я сильно сомневаюсь... :)


зря ;))

[ChG]EliTe :: Runtime_err0r пишет:
цитата:
Господа, к вас что-то с руками я им уже туеву хучу прог распаковал и всё работает отлично !


Я грю то что видел.. может проги не те у яеня (у тебя) попадались... я.. хз..
Но вот только в том что нужно с бубеном попрыгать прежде чем кнопку UnPack надавить это согласен

Mario555 :: Snowbit пишет:
цитата:
зря ;))


Если это не «пустые слова», то скажи plz название проги и ссылку на неё распакованную.
Дело в том, что 1.31 появился совсем не давно и соответственно прог с ним практически нет. Я знаю только одну - DzSoft Perl Editor - и то в ней какая-то обрезаная версия аспра - только импорт покарёжен (ну а импорт - халява) и envelope check (или ещё какой-то там check, но в распакованной при нажатии на некоторые кнопки вылазит exception).

Snowbit :: Mario555
Это не пустые слова, просто ты судишь о человеке, совершенно не зная его ;)
Все может быть...

Killer :: Mario555 пишет:
цитата:
Я знаю только одну - DzSoft Perl Editor - и то в ней какая-то обрезаная версия аспра - только импорт покарёжен (ну а импорт - халява)


Вчера наткнулся на _www.internetaccessmonitor.com. Там все продукты последней 1.31 версией запакованы :( причем полной - со всеми опциями кажись. Никто не поможет - с чего начать - дамп + импорт вродебы снял.

Mario555 :: Snowbit пишет:
цитата:
просто ты судишь о человеке, совершенно не зная его ;)


Я не видел от него ни одного толкового поста в форуме, зато вот своими hands.sys он уже не первый раз трясёт :)
Возможно RottingCorpse какой-нить мегакракер и распаковывает всё подряд, но почему тогда не рассказать - как он это делает ? ведь на сколько я понимаю форум создан для обмена опытом, помощи новичкам и т.п., а не для того, чтобы просто выёбываться.

Snowbit пишет:
цитата:
Это не пустые слова


прогу...

ViViseKtor :: Killer пишет:
цитата:
Вчера наткнулся на _www.internetaccessmonitor.com. Там все продукты последней 1.31 версией запакованы :( причем полной - со всеми опциями кажись.


Странненько! Я ее недавно ломал. Так там был обычный 1.23RC4. Или они новую версию выпустили?
Да еще и новым аспром запаковали?
Надо бы глянуть.

ViNCE [AHT] :: Killer пишет:
цитата:
Вчера наткнулся на _www.internetaccessmonitor.com. Там все продукты последней 1.31 версией запакованы :( причем полной - со всеми опциями кажись. Никто не поможет - с чего начать - дамп + импорт вродебы снял.


Недавно ломал у этих ребяток - сначала Internet Access Monitor, потом Mail Access Monitor. Там обычный Аспр 1.23, который распаковался stripper’ом v2.07. ПРавда потом при клике на окошко «about» стало вылазить MsgBox без текста, но я его как повелось - занопил, теперь работает как часы :))

p.s: а регистрация там вообще - лажня (поймал на exception в Олли :))

Killer :: ViNCE [AHT] пишет:
цитата:
Недавно ломал у этих ребяток - сначала Internet Access Monitor, потом Mail Access Monitor. Там обычный Аспр 1.23


Ну да, это раньше.. а сейчас там 1.31. У меня ничего не выходит :( видимо, не для средниг мозгов защита

Mario555 :: Killer пишет:
цитата:
на _www.internetaccessmonitor.com. Там все продукты последней 1.31 версией


Скачал какую-то Printer Activity Monitor - в ней старенький RC4...

ViNCE [AHT] :: Killer пишет:
цитата:
Ну да, это раньше.. а сейчас там 1.31. У меня ничего не выходит :( видимо, не для средних мозгов защита


Ты вроде путаешь.. Мне заказали проги:
Mail Access Monitor v2.2
Internet Access Monitor v2.1
Там 1.23 аспр... Если я не прав - значит стриппер взял 1.3

ViViseKtor :: ViNCE [AHT] пишет:
цитата:
Недавно ломал у этих ребяток - сначала Internet Access Monitor, потом Mail Access Monitor. Там обычный Аспр 1.23, который распаковался stripper’ом v2.07. ПРавда потом при клике на окошко «about» стало вылазить MsgBox без текста, но я его как повелось - занопил, теперь работает как часы :))

p.s: а регистрация там вообще - лажня (поймал на exception в Олли :))


А интересно, если регистрация там лажня - может ты и похеренные функции восстановил? Насколько я помню - вычислять реальный сернум там бессмысленно, так как проверяется только его форма (типа 8Х-4Х-4Х-4Х-12Х), а дальше он отсылается к ним на сайт, где проверяется его правильность (насколько я понимаю по базе заплативших бабки) и выдается ключик в виде файла reg.key.
Кроме того убрать месагу недостаточно. Там куча проверок аспра. Пока их все не вычислишь нормальной работы проги не добьешься. Как минимум она не будет сохранять настройки, и подсчет трафика будет неверным.
Вот так вот!!!

ViViseKtor :: Скачал я их новую версию 2.4с. Ттам действительно, что-то новенькое. По крайней мере стриппер 2.07 не берет.
Надо будет покопаться.
Интересно, а остальную защиту они оставили прежней, или понадеялись на новый аспр?

ViNCE [AHT] :: ViViseKtor пишет:
цитата:
А интересно, если регистрация там лажня - может ты и похеренные функции восстановил? Насколько я помню - вычислять реальный сернум там бессмысленно, так как проверяется только его форма (типа 8Х-4Х-4Х-4Х-12Х), а дальше он отсылается к ним на сайт, где проверяется его правильность (насколько я понимаю по базе заплативших бабки) и выдается ключик в виде файла reg.key.
Кроме того убрать месагу недостаточно. Там куча проверок аспра. Пока их все не вычислишь нормальной работы проги не добьешься. Как минимум она не будет сохранять настройки, и подсчет трафика будет неверным.
Вот так вот!!!


Ууу, как разогнался! Такое ощущение, что ты не веришь что я сломал v2.2 (MAM) и v2.1 (IAM)!
За другие версии я не отвечаю - не видел. Мне дали эти - я сломал. Всё!

ViViseKtor :: Да нет, я верю что ты ломал версию 2.2. Тем более,что твой релиз я вроде где-то видел. Я говорю о том, что ты его не доломал.
А вообще не обижайся, я ничего такого не хотел. Если что извини.

Killer :: ViViseKtor пишет:
цитата:
Скачал я их новую версию 2.4с. Ттам действительно, что-то новенькое. По крайней мере стриппер 2.07 не берет. Надо будет покопаться.


Урра! наконец-то хоть кто-то заметил неладное в этой версии (2.4c) Ну не похоже это на 1.23! не похоже!

Mario555 :: ViViseKtor пишет:
цитата:
Скачал я их новую версию 2.4с


А что там качать ? Какой из файлов ?

DOLTON :: Большинство прог после распаковки ver. 2.07 пишут, что триал период закончился...
Так вот вопрос в том, исправили в 2.10 эмуляцию GetTrialDays и ExecuteApplication?
А то возможности проверить на практике к сожалению не имею...

Mario555 :: DOLTON пишет:
цитата:
Так вот вопрос в том, исправили в 2.10 эмуляцию GetTrialDays и ExecuteApplication?


Гы... А может ты хочешь, чтобы stripper еще и getusername эмулировал ? в Options где-нить вписываешь свой ник, и после распаковки stripper’ом будет сломаная прога зарегеная на твоё имя :) Потом релизишь - по типу «смотрите, я аспр распаковал и прогу сломал - такой вот я крутой кракер» (или крутой нажиматель кнопки unpack) :))))))

RottingCorpse
А где же распакованная твоими hands.sys прога с последним аспром ?

Runtime_err0r :: DOLTON

цитата:
Так вот вопрос в том, исправили в 2.10 эмуляцию GetTrialDays и ExecuteApplication?


Да исправили ! После распаковки stripper’ом v2.11 прога пишет, что до окончания триала осталось столько дней, сколько было на момент распаковки.

цитата:
Гы... А может ты хочешь, чтобы stripper еще и getusername эмулировал ?


К сожалению GetRegistrationInformation stripper пока не эмулирует, но после распаковки нужный адрес (куда надо вписать своё имя) обычно находится за за 5 минут

ViViseKtor :: Mario555 пишет:
цитата:
А что там качать ? Какой из файлов ?


Качать любой из файлов. Только версию Pro. Там просто проги под разные фаерволы и почтовые серверы.

DOLTON :: Mario555 пишет:
цитата:
Гы... А может ты хочешь, чтобы stripper еще и getusername эмулировал ?


Ну.. не плохо бы было ;))
Runtime_err0r пишет:
цитата:
Да исправили ! После распаковки stripper’ом v2.11 прога пишет, что до окончания триала осталось столько дней, сколько было на момент распаковки.


То есть триал не замораживается?

XoraX :: да какая блин разница - все равно триал руками снимать приходится

Runtime_err0r :: DOLTON

цитата:
То есть триал не замораживается?


Я этого не говорил, я имел в виду, что если у тебя на момент рампаковки оставалось 3 дня до конца триала, то после распаковки прога будет писать, что осталось три дня ВЕЧНО (то есть получается вечный триал)

бара :: Mario555
Так его так Mario555 (Rotting Corpses) А то некоторые постоянно долдонят про hands.sys и тп - типа представители самых прямых рук... А сами ни одного аспра не сломали Всё стриппером колбасят... шутка

RideX :: DOLTON пишет:
цитата:
Большинство прог после распаковки ver. 2.07 пишут, что триал период закончился...


Как думаешь, почему при распаковке вручную такого не бывает? Потому что ты дампишь прямо перед OEP, все аспровые переменные уже инициализированы и в GetTrialDays лежит правильное число дней. А теперь подумай, зачем в стриппере есть опция «dump section on OEP», или кроме кнопок «Open» -› «Unpack» ты больше ничего не заметил?

DOLTON пишет:
цитата:
Так вот вопрос в том, исправили в 2.10 эмуляцию GetTrialDays и ExecuteApplication?


Ага, «исправили», теперь он по умолчанию дампит как ты и хотел :)

XoraX пишет:
цитата:
да какая блин разница - все равно триал руками снимать приходится


Почему именно триал руками?

dumbo :: насчет InternetAccessMonitor’a - не парьтесь, там основная фича (сохранение отчетов, ну и принт) покриптована, да и то, в PRO версии этот код вообще отсутствует - у них есть «недокументированные» FULL, вот в них код(криптованный) есть... а толку?..

RottingCorpse :: 2Mario555:

с последним (самым) нету... зато могу показать подарочек с инсталляхой на 550 метров и с экзешником на 30 (Made in India)... Там и без анпака ногу сломать можно :)

Sh[AHTeam] :: Эх, наоффтопить, что ли, немного...

А что можно вместо IAM для ISA поюзать для обработки логов? Искал, искал замену - так пока не нашел даже аналога...
Самому писать обламывает, скажу сразу :)

dMNt :: 2 Sh[AHTeam] попробуй proxyinspector или isa2004 поставь ;)

ViNCE [AHT] :: dMNt пишет:
цитата:
2Sh[AHTeam] попробуй proxyinspector или isa2004 поставь ;)


А по мне дак - UserGate

Sh[AHTeam] :: Сам ISA Server переставить или заменить или обновить на 2004 не выйдет никак :( есть существующие логи и их нужно анализировать. IAM еще версии 1.1 был весьма рулезным.. пойду поищу proxyinspector ;)




SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять...



SeDoYHg ASProtect 1.23 RC4 + OllyDbg Подскажите, как с помощью ОЛЛИ снять аспр, именно этой версии, ну или старше. Пытался сделать как написано в одной статье, но у меня не работает TC EIP‹90000. А когда начинают в ручную трассировать, меня, естественно, выбрасывает в обработку ИС.

MC707 :: Самый банальный способ - пускаем по Ф9, обходим все исключения по Шифт-Ф9 (считая их). Запоминаем количество нажатий, перезапускаемся и делаем то же количество нажатий-1. Ставим бряк на секцию code и последний раз на Шифт-Ф9. Мы на ОЕР.

Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.

Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...

Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.

[ChG]EliTe :: P.S. Найди статью nice по снятию аспра... Она очень удачная на мой взгляд....

nice :: SeDoYHg
Написано с ошибкой, надо TC EIP‹00900000 - обрати внимание, у тебя ноль потерян
Если программа маленька, то нужно писать ‹00500000 всё зависит от расположения аспра в памяти.
То есть: TC EIP‹«Секция аспра»
Вот кстати финальная версия, но если кто ошибки найдет присылайте...
hice.antosha.ru/AsProtect.rar

Mario555 :: MC707 пишет:
цитата:
Второй вопрос - прикручивание импорта. Но об этом по-моему немало уже статей есть.


Третий вопрос - чтобы это всё потом заработало :) И статей об этом почти нету (радуют только в статьи Hex’а).

MC707 пишет:
цитата:
Есть еще и мой собственный способ


Гм... Интересно, это действительно какой-то новый способ или...

MC707 :: Mario555 пишет:
цитата:
Третий вопрос - чтобы это всё потом заработало :)


Ага. Это точно. Но речь щла только о снятии аспра...

Mario555 пишет:
цитата:
Интересно, это действительно какой-то новый способ или...


Да скорее всего нет, но я сам его нашел.

WELL :: MC707 пишет:
цитата:
Есть еще и мой собственный способ, с ним я дамп аспра снимаю за секунд 20. Но его так не рассказать, его показывать надо...


Поставь прогу CamStudio (ftp://listsoft.ru/pub/11241/CamStudio.exe), и запиши в avi-шку. Будет видео-тутор. Правда прога около 9 мб. Если хочешь могу версию постарее выслать (она поменьше).

SeDoYHg :: nice
Я описался только здесь, в Олли я так и пишу TC‹900000. Конкретно не работает вот что - эта команда трассирует по одной команде, т.е. нажал Enter - шаг, еще нажал - еще шаг, а должен он (Olly) сам трассировать. Так?

MC707 пишет:
цитата:
Другой способ - для ОллиСкрипт есть несколько скриптов по нахождению ОЕР. Если надо, могу дать.


Буду признателен, если кинешь в мыло.

nice :: SeDoYHg
Я же сказал не 900000 а 00900000, в ОЛе это важно, причем как я понял она стала различать начиная с 1.10.

MC707 :: SeDoYHg
А че в мыло кидать? Вот они:
http://ollyscript.apsvans.com/scripts/asprbp.txt
http://ollyscript.apsvans.com/scripts/asprsto.txt
http://ollyscript.apsvans.com/scripts/lastex.txt
http://ollyscript.apsvans.com/scripts/asprsoep.txt
http://ollyscript.apsvans...pts/anti-debug_lastex.txt
http://ollyscript.apsvans...otect_13b_stolen_code.txt

WELL
Ну выкачал я ее. Записал. Если кому-то охота 15М ролик выкачивать, пожалуйста, могу выкачать. Блин, залить то есть

nice :: MC707
Это не оптимально, если Flash использовать будет 1Mb
Я по крайней мере аспра так распаковывал, и писал около 50 сек.

SeDoYHg :: MC707

Уже нашел ;-).

vins :: MC707
давай мне vins13_new@mail333.com или выложи куда нибудь

SeDoYHg :: nice
Засада какая-то , написал как ты и сказал - TC EIP‹00900000, пробовал подставлять другие значение, оин фиг -
Enter - шаг, Enter - шаг. Может у меня с опциями не порядок? Ты специально настраиваешь Олли?

Скачал OllyScript, сделал как ты написал в туторе (бросил в папку с Олли), но он не появляется в списке плагинов. Что-нибудь надо прописать в *.ini ?

P.S. Может, с Олли что-то не в порядке, или у меня с руками

[ChG]EliTe :: Тебе нужен плагин OllyScript а вот через него уже эти скрипты юзать...
Взять можно там же...

Что касаеться видео тутора.. я бы выкачал... хотя бы ради спорт интереса Выложи плз.. я скачаю!

WELL :: MC707
А ты его еще в mpeg4 закодируй VirtualDub’ом
А может это дело выложить на cracklab?

MC707 :: Сейчас дожмется - выложу. Может хоть чуть-чуть поменьше будет. Хотя я на www.mc707.nm.ru уже выложил 4хметровый ави, но там практически ничего не видно. Если кто хочет в качестве посмотреть, дожидайтесь, пока сожмется

WELL :: Будем ждать. Видео обучение по распаковке. Это надо на диск от крэклаба для новичков записать.

MC707 :: Ндаа. Не знал я что РАР так сжимает авишки. Знал бы - давно бы оригинал залил, что я щас и сделал http://www.mc707.nm.ru/AsprOEPFind.rar
Размер - где-то 480К.

CReg [TSRh] :: Хехе... :)) Пора кряклабу на видео-туторы переходить вместо статей :) Или хотя бы видео прилагать к статье :)
Познавательно конечно, но в айсе у меня быстрее получается :))

nice :: SeDoYHg
Всё должно работать...
Может ты поставил бряк на секцию в которой находишься?
Какой у тебя EIP?
или скриншот пришли nicesc ‹› yandex.ru

MC707
Ничего я не нашел супер быстрого в твоём методе, со скриптом быстрее получается.
С блокнотом ты оригинально придумал, но в этой программе по мойму можно, надписи добавлять и т.п.

WELL :: CReg [TSRh] пишет:
цитата:
Познавательно конечно, но в айсе у меня быстрее получается :))


Даешь ещё один видео-тутор

WELL :: nice пишет:
цитата:
со скриптом быстрее получается


Скрипт не всегда верно показывает OEP.

Kerghan :: ээээ... кто о чем, только не о том о чем надо, может на crackl@b’е еще полнометражный фильм выложить о жизни крякеров... порнуха наверное получиться

тока nice близок к цели
там верняк адреса типа 3..... или как там... блин я аспр уже руками не распаковываю... там жеш типа написать нужно че-то типа eip›30000...
или наоборот адреса типа b...
nice полюбому знает как правильно

SeDoYHg :: nice пишет:
цитата:
Может ты поставил бряк на секцию в которой находишься?


А на какую надо?
nice пишет:
цитата:
Какой у тебя EIP?


Во время установки бряка?

SeDoYHg :: MC707

А как после такого нахождения OEP, ты на ходишь спертые байты?

А тутор прикольный

nice :: SeDoYHg пишет:
цитата:
А на какую надо?


Шутишь? :)
Да не надо вообще никаких бряков при прохождении до ОЕР.

SeDoYHg пишет:
цитата:
Какой у тебя EIP?
Во время установки бряка?


Во время трейса.

Почитай мою статью: http://hice.antosha.ru/AsProtect.rar - там и про краденые байты всё расписано

SeDoYHg :: nice
В том то и дело, что прочитал 8), только видно не судьба мне с помощью TC EIP‹00900000 найти OEP :-(.

Сейчас поробую еще раз перечитать, может что-то упистил ;-).

nice пишет:
цитата:
Да не надо вообще никаких бряков при прохождении до ОЕР.


привожу отрывок из твоего тутора

++++++++++++++++++++++++++++++++++++++++++++++
Установили брейкпоинт, нажимаем Shift+F9 и мы на строке 00A53A29.
Теперь про трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000
Теперь отладчик будет идти по коду программы, пока исполняемый код не будет лежать в диапазоне от 0 до 00900000.
+++++++++++++++++++++++++++++++++++++++++++++++

Или я тебя не совсем правильно понял

nice :: SeDoYHg
Что за программа?

Пришли скриншот, посмотреть, что ты перед трейсом делаешь...

DiveSlip :: Попробуй тогда другим способом, MC707 в самом первом сообщении описал его (установив точку останова на секцию code).

SeDoYHg :: Способом, который описал MC707, дамп снимается (ресурсы не калеченные). Но возникает другая проблема - как найти спертые байты, если у нас нет trace log.

nice
Кстати, в своем туторе ты порекомендовал плагин-хайдер от Aster!x’a, но на него DrWeb ругается, мол вирусняк злобный

nice :: SeDoYHg
Да веберу дай, волю...
Давно от него отказался, много берет на себя, и 1С у меня с ним не работала.

прогграмма то как называется?

XoraX :: SeDoYHg пишет:
цитата:
А как после такого нахождения OEP, ты на ходишь спертые байты?


пижженые байты ИМХО удобнее в сайсе искать, нежели в оле. грузись в сайс и в плавание.. :)

nice :: XoraX
не согласен, чего стоит только один плагин DeJunk.dll...

SeDoYHg :: nice

Вот все мои шаги:

- загружаем в Олли
- запускаем F9
- жмем N-ное количесвто раз Shift+F9, пока не попадаем на таки строки

00BA2CD1 3100 XOR DWORD PTR DS:[EAX],EAX
00BA2CD3 64:8F05 00000000 POP DWORD PTR FS:[0] ; эта строка, насколько я понимаю, оновной ориентир
00BA2CDA 58 POP EAX
00BA2CDB 833D 7C6DBA00 00 CMP DWORD PTR DS:[BA6D7C],0
00BA2CE2 74 14 JE SHORT 00BA2CF8
00BA2CE4 6A 0C PUSH 0C
00BA2CE6 B9 7C6DBA00 MOV ECX,0BA6D7C
00BA2CEB 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00BA2CEE BA 04000000 MOV EDX,4
00BA2CF3 E8 54E1FFFF CALL 00BA0E4C
00BA2CF8 FF75 FC PUSH DWORD PTR SS:[EBP-4]
00BA2CFB FF75 F8 PUSH DWORD PTR SS:[EBP-8]
00BA2CFE 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
00BA2D01 8338 00 CMP DWORD PTR DS:[EAX],0
00BA2D04 74 02 JE SHORT 00BA2D08
00BA2D06 FF30 PUSH DWORD PTR DS:[EAX]
00BA2D08 FF75 F0 PUSH DWORD PTR SS:[EBP-10]
00BA2D0B FF75 EC PUSH DWORD PTR SS:[EBP-14]
00BA2D0E C3 RETN ; это тот самый ret, на который ты советуешь ставить бряк

››Теперь трассируем программу, жмем Alt+F1 и пишем в строке: TC EIP‹900000

Как раз вот тут облом и настает. Причем это не зависит от того какое число писать после «EIP‹»,
я даже писал TC EIP‹С0000000. Один фиг. Enter - шаг, Enter - шаг...
У меня скоро тик будет 8-).

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++

Почему я так парюсь с этим способом надеюсь понятно, мне нужен trace log.

P.S. Я запротекторил прогу из примеров к MASM32, если хочешь кину в мыло. (60kb)

SeDoYHg :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать


Я сам раньше всегда протекторы снимал только с сайсом, но у моего кориша сайс не пашет. Поэтому я так и заинтересоался
эти вопросом. Уж очень Олли нравится

nice :: SeDoYHg
Кидай! Попробуй просто нажать Ctrl+F11 на 00BA2D0E C3 RETN

Mario555 :: XoraX пишет:
цитата:
пижженые байты ИМХО удобнее в сайсе искать, нежели в оле.


Это чем же удобнее ?

MC707 :: nice пишет:
цитата:
надписи можно добавлять


во первых неохота возиться было, а во вторых не наглядно имхо

Между прочим говорите «не очень-то быстро», а весь тутор - минута с копейками с объяснениями и с тормозами, связанными с записью avi in real time. Сейчас засек - 24 секунды.

А с краденными байтами можно уже отдельно, трейсом.

ЗЫ. Я рад хоть что не запинали меня после такого тутора :)

SeDoYHg :: nice
Уже кинул.

[offtop]
Почему теги не работают ?
[/offtop]

nice :: SeDoYHg
http://hice.antosha.ru/unpack.rar

Посмотри я скриншот положил.
У тебя нет краденных байт.
До трейса идти 15 раз(у меня) по Shift+F9
Трайсил:
TC EIP‹00800000
OEP=00401440

SeDoYHg :: nice
Я не знаю, что и думать , трейс не работает, плагины Олли не видит.
nice пишет:

цитата:
OEP=00401440


Ставлю бряк в айсе на этот адрес, но сайс брякается на нем только после заврешения программы, странная OEP

P.S. Может мне Олли поменять ?

nice :: SeDoYHg
Ну я же выслал распакованный ехе, он рабочий проверь. Т.к. что ОЕР я правильно нашел.

Вот тебе моя Оля:
hice.antosha.ru/olly.rar
там кстати и мой цветовой конфиг лежит ;)

А бряк ставить на ОЕР бесполезно, это же аспр...

SeDoYHg :: nice

Спасибо тебе ОГРОМНОЕ, за то что второй день со мной возишься .

Прога действительно рабочая.

Сейчас буду Оллю качать...

Я дампил чуть раньше - 00401410

nice :: SeDoYHg
Наша задача помогать друг-другу :)
Это не ты рассулку по асму поддерживаешь?

SeDoYHg :: nice пишет:

цитата:
Это не ты рассулку по асму поддерживаешь?


Ага. Только это секрет

SeDoYHg :: nice

Кстати, Олли , и вправду, у меня другой версии стоял (step 4).

Твой Олли плагины все видит, да вот новая беда, пытался запусить скрипт, а он остановливает Олли в том же месте, где
он останавливается полсе первого нажатия Shift+F9...

Бой продолжается

Mario555 :: SeDoYHg
Странно... Что это за скрипт такой... Что в нём написано ?

SeDoYHg :: Mario555

Выложить некуда, поэтому привожу текст целиком (asprsoep)
=========================================
var k
var l
var x
var y
var m

sti
bphws esp,«r»
run
sti
eoe lab3
eob lab3
bphws esp,«r»
esto

lab3:

mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab4
esto
jmp lab3

lab4:

eob lab5
mov k,eip
add k,3d
bp k
mov l,0
esto

lab5:

eob loop6
esto

loop6:

sti
mov y,eip
mov x,400000
shr x,14
shr y,14
sub y,x
mov m,4

loop4:

cmp y,0
sub y,1
log y
je end
sub m,1
cmp m,0
je test
jmp loop4

test:

cmp y,0
jne loop6
MSG » Please click on k toolbar,if is not empty double click on the last address you see at the bottom, Thank you! »
ret

end:

MSG «Please click on k toolbar,if is not empty double click on the last address you see at the bottom,Thank you! »
ret
===========================================

Mario555 :: В конце скрипта (начиная с loop6) написана какая-то бесполезная хрень ( IMHO конечно :))...
Если тебе нужно именно OEP, то

-----------------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var k
var l
eoe lab1
eob lab1
run

lab1:
mov k,esp
add k,1c
mov l,[k]
cmp l,400000
je lab2
esto

lab2:
bprm cbase, csize
eob end
eoe end
esto

end:
cmt eip,«tempOEP»
bpmc
ret
---------------------

Форум может покаверкать »» так что вручную подправишь.

nice :: SeDoYHg
У меня работает :)

SeDoYHg :: nice

А как ты меня вычислил (я про рассылку) ?

Mario555

Спасибо, сейчас попробую.

Mario555 :: nice
А где он у тебя останавливается ?
Там же как-то странно сделано - с остановки по hardware начинает трейс с проверкой eip причём по sti, соответственно у меня доходит до затирания кода аспра STOS BYTE PTR ES:[EDI], и начинает выполнять эту команду по F7 :)
Даже если бы он доходил до OEP - всё равно это медленнее, чем скрипт который я выше запостил.

SeDoYHg :: Mario555

Работает!!! Но когда останавливается выводит MessageBox с такой надписью:

error on line 27
Text: cmt eip, «tempOEP»

Так должно быть ? И останавливается на 00401410, т.е. на том же месте где я дампил раньше. А должен, ведь, останавливаться на OEP (00401440) ?

MC707 :: SeDoYHg
наверное версия OllyScript у тя старая...
Последняя - 0.7

SeDoYHg :: MC707

Так и есть - 0.51. Сейчас посвежей закачаю.

SeDoYHg :: MC707

Поставил новую версию плагина, все равно тот же МессажБокс вылезает. Может в скрипте опечатка (ошибка)?

MC707 :: SeDoYHg пишет:
цитата:
cmt eip, «tempOEP»


Дык в этом «tempOEP» и ошибка

SeDoYHg :: MC707
пишет:
цитата:
Дык в этом «tempOEP» и ошибка


Что так и должно быть? Извини, я со скриптами первый раз работаю

ZX :: Mario555 пишет:
цитата:
Форум может покаверкать »» так что вручную подправишь.


SeDoYHg
Там кавычки другие, где буква Э в английской раскладке в верхнем регистре.

SeDoYHg :: ZX пишет:

цитата:
Э в английской раскладке в верхнем регистре.




SeDoYHg :: ZX

Сенькс тебе!!! МессажБокс больше не вылазет.




Perch Вопрос к FEUERRADER’у FEUERRADER привет!



Perch Вопрос к FEUERRADER’у FEUERRADER привет!
Во-первых спасибо тебе за хорошую тулзу, я имею ввиду QUnpack v0.4 final.
И в связи с этим вопрос, вот к примеру линк на прогу - http://aolej.com/mosaic
обычный UPX ее не берет, UPX-Ripper тоже, твоя распаковывает без проблем...
Вот и вопрос - как обратно теперь ее упаковать...
XoraX :: aspack должен упаковать без проблем

Styx :: Или пробуй upx-ом c ключом -force

AlexZ CRaCker :: (Оффтоп.)
jmp OEP
секций- 4
IAT атопоиск - фуфло. (Хотя при обычном УПХ - рулит)
Что за УПХ то такой? (непохожий на стандарт)

FEUERRADER :: Perch
Похоже проскрэмблена эта прога тулзой-скрэмблером, вот и все дела.
А QUnapck не смотрит на секции и импорт, а ставит бряк на ОЕР, снимает дамп и прикручивает импорт.
Обратно: upx --force proga.exe

AlexZ CRaCker
Возможно, ручной скрэмблинг файла (когда еще дополнительно «защищен руками»).

WELL :: Perch
А лучше сделай инлайн патч

Perch :: Ребята, спасибо Вам за отклик, но вы сами попробовали, что написали...
Я вообщето не первый день пользуюсь UPX’ом...про опцию --force и так хорошо знаю,
она хорошо рулит после распаковки AsPack’а и AsProtect’а, в данном случае нет...
AsPack пакует но после него прога не запускается...пробовал переименовывать секции
безрезультатно...:(
Может еще есть мысли...

Kerghan :: in-line патч рулит
для upx’а за две минуты пишется

WELL :: Perch пишет:
цитата:
но вы сами попробовали, что написали...


Тебе же сказали - инлайн-патч ! Почитай статьи.
И тут погляди http://cracklab.fastbb.ru...87-000-0-0-0-1082360275-0

Aster!x :: А чё вручную UPX распаковывать уже разучились?

WELL :: Aster!x пишет:
цитата:
А чё вручную UPX распаковывать уже разучились?


Я после DOSPrn только вручную и распаковываю

Perch :: Aster!x, дружище.
В данном примере файл распаковывается вручную абсолютно без проблем...:)
Но я ставил обратный вопрос - как его после распаковки упаковать обратно?...
Вобщем, изменив имена секций и изменив флаги секций, файл обратно
упаковывается UPX’ом, и работает нормально, но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...

WELL.
Тебе особое спасибо за твое внимание и ссылки которые ты привел.
Да, inline патч рульная штука...Но в связи с ним, к тебе возникает второй вопрос -
Если ты смотрел в упакованном оригинале секции, то в какое место мне прописать
свой код?...прыжок на реальный OEP проги записан по адресу 0063A198.

WELL :: Perch
Я прогу не качал. А что там нету места для записи патча? По идее начиная с адреса 0063A1AB должны быть нули - вот туда и писать?
Или у тебя что-то по другому? Тогда напиши подробней.

Aster!x :: Perch

Странно.. Хотел было глянуть твой файл, но уж очень большой для меня.

AlexZ CRaCker :: Perch пишет:
цитата:
но даже при максимальной
компрессии размер файла в 2 раза больше оригинального файла...


Я паковал UPX 1.24 :
-8 -no-backup -overlay=copy -compress-exports=1 -compress-icons=2 -strip-relocs=1
и получилось как в исходном, ну + кб так 50-80. Да и всё работало нормально...

WELL :: AlexZ CRaCker
У тебя есть этот файл?

Perch :: AlexZ CRaCker.
Все те же опции, но размер больше...

WELL.
Я выше в посте ошибся с адресом не 0063A198 ( это для Deductus ) правильный
для Mosaic creator 005C5198.
У него на сайте все проги упакованы таким макаром.

Runtime_err0r :: Патч: _http://www.zone.ee/Runtime_err0r/mc.exe

Perch :: Runtime_err0r, привет.
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...

MC707 :: Runtime_err0r пишет:
цитата:
mc.exe


Нехорошо мой ник использовать...

WELL :: Perch пишет:
цитата:
правильный для Mosaic creator 005C5198


Начиная с 005C51AB (или пониже) должны быть нули (add [eax],al).
Исправляешь джамп по адресу 005C5198 на джамп на адрес 005C51AB, пишешь патч и делаешь джамп на OEP.
Например было так:
005C5197 popad
005C5198 jmp OEP
Меняешь на:
005C5197 popad
005C5198 jmp 005C51AB
......................................
005C51AB mov b,[000410000],075 //записать по адресу 410000 байт 75
005C51B2 jmp OEP

Посмотри пример тут http://uinc.ru/articles/07/index.shtml

WELL :: MC707
Я сегодня BMW видел с номером M707MC. Сразу форум вспомнил

MC707 :: WELL
Ужжас какой. Всюду плагиат....

AlexZ CRaCker :: WELL пишет:
цитата:
У тебя есть этот файл?


Который? Запакованый что-ль?

Runtime_err0r :: Perch

цитата:
Спасибо, но честно говоря мне не нужен патч...я и так знаю что патчить, лучше подскажи куда свои коды прописать, желательно под 17 байт...


Ну так пропатчи и сравни с оригиналом

WELL :: AlexZ CRaCker пишет:
цитата:
Который? Запакованый что-ль?


Ну от проги этой mosaic

Bad_guy :: Интересный вопрос тут поднят. Главное прога запакована старым UPX 0.72 - у меня та самая версия была - не распаковала, но где-то читал, что с той версией УПХа вообще какой-то маразм происходит, так что скрэмбилг - врял ли - сам УПХ постарался. Потом после ручной распаковки ещё можно две последние секции отрезать, поменять baseofcode на 1000h, а вот упаковать у меня лично пока не получилось - при работе запакованной программы что-то со стеком происходит... Вот так прикольно УПХ искарёжил обычный Дельфовский файл...

Perch :: WELL, еще раз тебе спасибо за твои ссылки, но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…
Ну ладно, пора подводить итоги данному топику.
WELL, возможно тебе и кому нибудь будет интересно что я сделал с прогой в конечном счете, поэтому максимально сжато, опустив процедуру исследования, расскажу следующее. Сразу оговорюсь, я не пользовался патчем, любезно предоставленным Runtime_err0r, поэтому не знаю что он делает, но не исключаю, что конечный результат может быть одинаков…
Итак поехали…своей задачей я ставил не реверсинг реального кода который генерит прога при регистрации…, а заставить прогу принимать любой код и регаться. Основная процедура проверки регкода лежит по адресу 0052B214. Запускаем прогу, открываем регформу и вводим любое имя и любой код, попадаем в вышеуказанную процедуру, потрейсив доходим до вызова функции call 00403E08, за ней условный переход, притормозим, ниже в кодах видно 2 момента, в ячейку [ebp-08] может грузиться либо 1, либо 2, забегая вперед скажу, если загрузится 1, то мы потом получим поздравления с регистрацией Lite Version, если загрузится 2, то получим позравления с регистрацией Professional Version…но так как мы ввели регкод от балды не произойдет ни одного и не другого – будем прыгать по условным переходам и в конечном итоге получим плохое окно регистрации. Поэтому там где притормозили, первый условный переход либо нопим, либо меняем на безусловный-короткий на адрес 0052B2A5, чтобы в ячеку [ebp-08] выполнилась запись 2, далее получим поздравление с регистрацией Professional Version, в About’е соответственно появится ваше имя и тип версии, и вместе с этим произойдет запись в реестр имени и кода. Точно также эта процедура вызывается при запуске проги, и смотрит есть что в реестре, если нет, дальше идет запуск по не зарегистрированному пути, если есть то доходим до пропатченного участка, но там все путем уже…
Осталось прописать в прогу свой код, место?…WELL, нету в проге места для записи кода ниже адреса прыжка к реальному OEP…, но зато оно есть выше этого адреса – в конце второй секции, именуемой UPX1…Берем любой свободный адрес, к примеру 005C4500, и вколачиваем следующий код:
mov w, [0052B277], 0C2Eb - я делаю прыжок на адрес 0052B2A5, для записи 2.
mov edi, 005323B8
jmp edi - прыжок на реальный OEP
и по адресу 005С5198 меняем jmp на адресс 005C4500
Все. Можно вводить любое имя и любой код. Длина полей в регформе по 40 символов, не советую делать имя больше 15-16 символов, не поместиться в About’е…:), ну а код хоть на всю катушку. Если захочется поиграть с разными именами и кодами, то просто удаляйте ключик реестра - [HKEY_CURRENT_USER\SOFTWARE\Olej\MosaicCreator], запускайте прогу и вводите новые.
Ну вот и все, сорри что занял много места с постом, на этом данный топик можно закрывать.

P.S. Надеюсь в следующий раз мне больше повезет с упаковкой...;)

WELL :: Perch пишет:
цитата:
но мне надо было не что и как патчить, это не сложно, а куда вставить свой код…


Так я тебе и говорил про код. По большому счету главное найти неиспользуемое место, куда и можно вставлять код.
Perch пишет:
цитата:
mov edi, 005323B8
jmp edi - прыжок на реальный OEP


Можно было просто jmp 005323B8.
Главное, что в итоге все получилось

AlexZ CRaCker :: WELL
Не, файл тот я случайно запортил(секцию резанул без бэккапа). Пробовал всё заново переделать(раз 25)... - и уже запаковать нормально не получилось... Блин, как-же там всё работало? сам непойму. Вот я потому и запостил, чтобы он UPX вместо Аспака брал. Всё работало! Ну ладно, будет мне урок бэкапов побольше делать.

Aster!x :: Ребята, вы меня удивляете, место для патча есть всегда.
Ну даже если кто-то постарался и обстругал файл(например как калькулятор от XP ;-),
то всегда можно добавить новую секцию или расширить существующую.

Bad_guy :: А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь ! Чего новые секции то лепить ?!

В общем, я всё таки ради интереса добил эту прогу, чтоб она упаковывалась - взял ресурс ребилдер от Головы, урезал две последние секции УПХ, прилипил ресурсы и тогда аспак упаковал и всё работало (и работает), правда размер проги стал 750 кб.

CReg [TSRh] :: Bad_guy пишет:
цитата:
А вот помню Алекс тот который -= =- инлайн патч к моему крякмису прописал прямо в заголовок PE, там где обычно строка «This program must run only under Win32». Учитесь !


Хехе :) А я думал, что так все делают :)

-= ALEX =- :: CReg [TSRh] возможно, я просто наверное тогда бэд гая удивил :)

Perch :: -= ALEX =-.
А все же интересно, как ты в инлайн патче делаешь прыжок в заголовок файла?

Bad_guy :: -= ALEX =- пишет:
цитата:
просто наверное тогда бэд гая удивил


Да, удивил, но похоже что многие об этом не знают, раз стремятся новые секции добавлять чтобы инлайн патч сделать...

Bad_guy :: Perch
Надеюсь Алекс на меня не обидется, если я отвечу:
imagebase - это начало файла в памяти (400000h обычно) - вот и прыгай на него исходя из этого, хоть на сами «MZ» прыгай.

-= ALEX =- :: Bad_guy че мне обижаться ? даже и не думал... еще могу добавить что прыгать надо на 400040...

Perch :: Bad_guy.-= ALEX =-.
Спасибочки. :)

Aster!x :: Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)

.::D.e.M.o.N.i.X::. :: Aster!x пишет:
цитата:
Писать патч в хидер нехорошо ;-)
На это могут всяческие Касперы и ДрВэбы ругаться :-)


Да они на много чего ругаются (даже на то что очень безобидно если запустить, но не ковыряться ручками), особенно Касперский. Видимо женщины очень «болезнено» относятся к инородным программам:)

WELL :: Др.Вэб версии 4.30 ругался на 1С’ку. Причем лицензонную.




ilya unpack Registry Medic 2.95 пробую через olly+svkp



ilya unpack Registry Medic 2.95 пробую через olly+svkp_13x(olly script),но постоянно выбрасывается ошибка скрипта.кто нить сталкивался с этой проблемой??? мож чё не так делаю
WELL :: ilya
А чем запакована?

ilya :: SVKP 1.3

Kerghan :: WELL пишет:
цитата:
А чем запакована?


ilya пишет:
цитата:
svkp_13x


2WELL было бы странно пытаться распаковать upx с помощью этого скрипта
2ilya прежде чем работать со скриптом, лучше сперва распаковать svkp руками тем более что ничего страшного там нет

Mario555 :: Kerghan пишет:
цитата:
svkp руками тем более что ничего страшного там нет


В обычной версии это действительно так (я распаковывал и Registry Medic и ещё пару прог). Но вот с Tweak-XP Pro 3 хрень какая-то :) И с самим svkp.exe тоже (хотя может это потому, что у меня в нём триал закончился, а наг вызывается из кода протектора).

Mario555 :: Да кста проги после svkp легко ломаются, т.к. там используется что-то вроде апи протектора для проверки имени юзера.

ilya :: Kerghan пишет:
цитата:
лучше сперва распаковать svkp руками


да я бы с радостью(тем более что меня в последнее время стало прибивать по распаковке вручную)но у меня мало информации по распаковке данного пакера. если не трудно подкиньте кто нить мыслю (где зациклить , где оеп).я не настолько силён чтобы в одиночку догнать как распаковать




nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше...



nice Новый пакер ;) Думаю интересно будет как крякми, утверждает, что лучше УПКСа пакует, мои тесты не подтверждают.
Хотя иногда сдампленые файлы пакует :). Утверждает автор, что маленькие файлы точно суперово пакует.
У меня на одном из дампов на выходе получился файл нулевой длинны, так, что аккуратнее.

Ссылка:
http://northfox.uw.hu/down/mew10.zip
SeDoYHg :: Пакует неплохо, даже ассемблерные проги ужимает ;-).

Снимается легче легкого :-), все таки пакер обычный ;-)

WELL :: Для маленьких прог раньше только FSG подходил

.::D.e.M.o.N.i.X::. :: Delphi проги из 2.96мб делает 1.15мб - причем рабочий. Хуже чем UPX (он из этого же сделал 800кб)

Gloomy :: Новый пакер не рулит, большие проги жмет хуже UPX. Мелкие не жмет совсем, сжал прогу «Hello, world!» размером 1 Кб:
FSG - 864 байт
MEW - 812 байт
У MEW размер меньше только файл не работает

SeDoYHg :: Прога написана на MASM’e

Изначально - 16 896

UPX - 8 704

mew10 - 7 028

Во как...

WELL :: У FSG тоже не всегда нормальный результат.
Надо всегда проверять. А вдруг повезет. А вдруг заработает

KLAUS :: Блин, чёт таже проблема как у FSG, некоторые файлы псоле пакковки не работают!!

Bad_guy :: Gloomy пишет:
цитата:
большие проги жмет хуже UPX


И даже гораздо хуже ASPack (Unpacked(Mosaic Creator :) - 2100kb, ASPACK - 749kb, Mew - 882kb, Alexprot :) - 1020kb).

-= ALEX =- :: Bad_guy а ты учел, что alexprot ресурсы пока не пакует ?

Bad_guy :: -= ALEX =-
К тебе никаких претензий - у тебя ведь всё таки протектор, а не пакер. Просто попробовал ради интереса. Вот только скажу по секрету, что запакованный протектором файл не стал работать, но это пока ещё мелочь, ведь ты его не релизил... Кстати какая там у тебя последняя версия - хотел бы посмотреть чем она отличается от той которая у меня лежит.

Bad_guy :: Кстати сделал тут чтобы HidePE и новый PEiD обманывала на тему ASProtect (никак не зарелизить) - всё оказалось достаточно просто... методом последовательного приближения

-= ALEX =- :: я пока отложил работу над протектором...

KLAUS :: Может кому интерестно, что если запаковать прогу UPX а потос пороботать над прогой допустим EPprotector или HidePE, прога станет показывать другой пакер (тот который выбереш), но если потом сделать Rebuild и вновь пройтись Pe-ID, то он сново покажет UPX

ZX :: KLAUS
А ссылку на эту бяку, плиз.

fuck it :: -= ALEX =-
а де скачать мона твой протектор ?

MaZaFaKeR :: Да, меня тоже это интересует...

WELL :: ZX пишет:
цитата:
А ссылку на эту бяку, плиз.


http://bgcorp.narod.ru/download.htm

-= ALEX =- :: fuck it да пока нигде, только запакованные им файлы... была тут тема как-то. Скоро я уже начну работу над протектором...

KLAUS :: -= ALEX =-
Ждёмс ждёмс

WELL :: -= ALEX =-
И Invisibility тоже

KLAUS :: WELL
так эт самое под XP ?

WELL :: KLAUS
Ага

ZX :: WELL
«а также распаковать её ДАЖЕ специальными автоматическими распаковщиками».
Ребята себя явно переоценивают.
Спасибки за ссылку.




XanderDBB инлайн-патч для аспра субж возможен в природе?



XanderDBB инлайн-патч для аспра субж возможен в природе?
MozgC [TSRh] :: Спроси ALEX’а =)

Madness :: XanderDBB
Да.

Kerghan :: Madness
не для любой проги и не для любого аспра полюбому... во всяком случае пока...
MozgC
у Алекса не ин-лайн

MozgC [TSRh] :: Вот только не надо слушать Хекса и говорить говорить что это не инлайн, всем понятен смысл того что спрашивает XanderDBB, и нигде нет четкого определения инлайн патчу и если Хекс один раз зашел на форум и сказал что это не инлайн патч, то это не значит что так и есть. Я вообще придерживаюсь мнения что в таких вещах нет четкого определения, а с учетом того что имеет в виду автор вопроса я ответил то что я ответил.

RottingCorpse :: а нельзя ли подробнее по этому поводу :) ?

XanderDBB :: а как с алексом связаться? он даст исходник?

XanderDBB :: а сама технология хотт какая?

MozgC [TSRh] :: Думаю он сам придет и ответит. Там не все так гладко, но тем не менее...

-= ALEX =- :: я здесь. технологий методом хука апи....

-= ALEX =- :: пока выкладывать и давать ничего не буду, т.к. багов туева куча, потом просто вопросов куча будет....

Quest0 :: -= ALEX =- пишет:
цитата:
технологий методом хука апи....


А какого API ? и как перехватывать? исходники не нужны, была бы какая-нить теория для начала

Kerghan :: MozgC [TSRh]
хэх... ну фактически его можно назвать ин-лайном, поскольку программа «сама себя патчит»
Но один хрен присобачивание секции и поиск свободного места в пакере разные вещи. Это в upx и aspack место жопой есть можно, а ты бы поробовал на y0da Cript написать, где тока хидер свободен.
И опять же таки хрен ты с помощью стандартных патчмейкеров патч сделаешь.

-= ALEX =- :: Quest0 короче если ты знаешь, то аспр юзает MapViewOfFile в дальнейшем для проверки CRC. ну вот я хучу эту апи, потом заново исправляю весь PE HEader, чтоб CRC не изменился, заново делаю MapViewOfFile. Тут же ищу некоторый оффсет, по которому файл уже полностью распакован. дальше идет управление на твой код, ну и возврат....

WELL :: -= ALEX =-
[offtop]
Ты Invisibility еще не глядел?
[/offtop]

MozgC [TSRh] :: Kerghan
Я не считаю проблемой увеличить размер файла.

-= ALEX =- :: WELL неа, забыл блин :) только не пинать...

-= ALEX =- :: да я тоже не вижу проблемы с размером файла. че так сложно сделать свой патч-макер ?!

WELL :: -= ALEX =-
Погляди, если время будет

-= ALEX =- :: WELL угу, а тебе это зачем ? просто это легко отрубить очень....

Madness :: Kerghan
›не для любой проги и не для любого аспра полюбому... во всяком случае пока...
Обоснуй. А то ведь не согласные мы. :P

-= ALEX =- :: Kerghan я тоже на данный момент не согласен :)

WELL :: -= ALEX =- пишет:
цитата:
а тебе это зачем ? просто это легко отрубить очень....


Да в принципе для общего развития. Возможно в какую-нить из прог вставлю

Kerghan :: Madness
-= ALEX =-
я про ин-лайн, где не идет увеличение размера. Щас кажись так тока регет пропатчили... ну и может еще чего-то... кстати, -=Alex=- у твоего патчера тоже кажись траблы были с некоторыми прогами

MozgC [TSRh]
ну ты может и не считаешь, но дофига крякеров разными там codefusion пользуются, так что хрен они уже свой патч напишут

-= ALEX =- :: Kerghan ну нам с Madness’ом известен способ, когда легко сделать ин-лайн патч, когда юзаются апи аспра, и при том очень просто. Я еще один метод предлагал, тоже ин-лайн.... так что возможно сделать....

Kerghan :: -= ALEX =-
только вам двоим?
ну насколько я понимаю на этот раз патчер ты уже делать не собираешься

-= ALEX =- :: Kerghan не наверное не нам двоим, ну на форуме на этом, получается так! Madness уже сделал тулзу :) :)

RottingCorpse :: А затестить :) ?

XanderDBB :: слушайте! вообще я вопрос задал! выслали бы хотяб исходники. в общем присобачиваецца секция и что в ней там дальше?? объясните!

-= ALEX =- :: XanderDBB слишком круто исходники высылать, я помниться несколько недель над ними работал...

-= ALEX =- :: дальше тебе придется написать хукер апи, потом грамотно обработать, восстановить заново CRC, передать управление аспру, поиск «нужных» оффсетов и т.д....

Mario555 :: -= ALEX =- пишет:
цитата:
когда легко сделать ин-лайн патч, когда юзаются апи аспра


В этом способе тоже хук делать надо ?

Madness :: Kerghan
›я про ин-лайн, где не идет увеличение размера.
Ну да.

›только вам двоим?
Я все описывал уже на этом же форуме с месяца 2 назад.

XanderDBB
›вообще я вопрос задал!
А что, мой ответ на прошлой странице не на твой вопрос? Люблю я такие вопросы. Гы. В гугле поищи «Как правильно задавать вопросы».

Mario555
›В этом способе тоже хук делать надо ?
Ни в коем разе.

XanderDBB :: Madness

цитата:
А что, мой ответ на прошлой странице не на твой вопрос? Люблю я такие вопросы. Гы. В гугле поищи «Как правильно задавать вопросы».


ну и хер с ним. раз уж не хотите делиться разработкой, то так и скажите. буду тогда упор на распаковку делать. кстати, у кого есть unpacking tutorial по аспру 1.3 на идише?

Mario555 :: Madness пишет:
цитата:
Ни в коем разе.


Хм... попробовал я сейчас пообходить аспровые проверки... Но так и не понял (пока) где нужно подставить значение, чтобы последняя процедура (та которае с полиморфом и переходом к OEP) правильно расшифровалась...
Help :)

XanderDBB пишет:
цитата:
кстати, у кого есть unpacking tutorial по аспру 1.3 на идише?


Ну я недавно давал ссылку на свой тутор, правда он не про максимальную защиту 1.3, что с максимальной делать пока не знаю.
А что значит «на идише» ?

GL#0M :: Mario555 пишет:
цитата:
Хм... попробовал я сейчас пообходить аспровые проверки... Но так и не понял (пока) где нужно подставить значение, чтобы последняя процедура (та которае с полиморфом и переходом к OEP) правильно расшифровалась...
Help :)


А ты посмотри любой релиз madness’а, где он запатчивает аспр и всё и поймёшь... :)

Mario555 :: GL#0M
А откуда можно скачать сиё чудо :) И как я узнаю, что релиз именно аспровой проги ?

GL#0M :: Mario555
Ну никогда не поверю, что ты не знаешь какая аспр-прога, а какая нет.
Ты ж наверное их уже все пересмотрел...
Заходи на _http://kpteam.com/ и ищи... а потом на форуме _http://www.imho.ws/ попроси у добрых людей, только тему смотри не перепутай...
Хотя можешь и у самого madness’а попросить...

-= ALEX =- :: Mario555 да я могу так объяснить. Короче адреса апи, без ImageBase просто-напросто хранятся покриптованные где-то примерно в конце секции аспра. Тебе остается заминить покриптованные адреса на свои адреса, соответственно тоже покриптованные, вот и все впринципе... Все элементарно находится и высчитывается :)

RottingCorpse :: Так что, тулза на тест в cracklab комьюнити не попадет?

Mario555 :: -= ALEX =-
Пасибо, буду пробовать :)

Mario555 :: Действительно просто !!! Если бы закриптовка была не симметричной, то наверное пришлось бы с ней подолбатся, а так - за пару минут всё делается :) халява :))))

Mario555 :: Гы... оказывается и 1.3 также легко патчится. А я то с распаковкой долбался...

-= ALEX =- :: Mario555 ну а ты боялся :) :)




DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO...



DOLTON UltraProtect 1.x -› RISCO Software Inc. UltraProtect 1.x -› RISCO Software Inc. - как я понял так PEid определяет файлы, упакованные ACProtect.
Грустно...
RottingCorpse :: И что же тут грустного

DOLTON :: RottingCorpse
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.

И вообще мне он не нравится.

RottingCorpse :: 1) напишут
2) с кем не бывает

хых... мдя.... на вкус и цвет, как говорится
я, например, flexlm 8 недолюбливаю :)

DOLTON :: RottingCorpse пишет:
цитата:
1) напишут


Так мне прогу отломать нужно сейчас, а не ждать невесть сколько.
Так это точно ACProtect?

Mario555 :: DOLTON пишет:
цитата:
1) Нет анпакера.
2) При ручной распаковке возникают проблемки с восстановлением импорта.


1) Мало к каким протекторам есть анпакеры... А если и есть, то private.
2) Я вобще-то прог с этой хренью не видел, но читал, что проблемы там скорее могут быть со stolen code.

SLV :: Зачем распаковывать? bpx GetWindowTextA; bpx GetdlgItemTextA; bpx hmemcpy...

WELL :: SLV пишет:
цитата:
Зачем распаковывать?


Ну-ну

KLAUS :: SLV
Ну узнаешь ты при помощи SoftOci к каким адресам он обращается, ну а дальше...

DOLTON :: Mario555 пишет:
цитата:
Я вобще-то прог с этой хренью не видел


Как я понял ты специализируешься на распаковке протекторов типа Аспра, Армы , etc.
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.
Она запакованна как раз этим пресловутым ACProtect...
Это отличный преферанс «Пуля 1.1».
Кому интересно, могу выслать отломанный мной exe-шник от версии 1.0.

CReg [TSRh] :: А по-моему проще написать кейген к версии 1.0 и уверен, что он будет работать в 1.1.

DOLTON :: CReg [TSRh]
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


CReg [TSRh] :: DOLTON пишет:
цитата:
В файле справки читаем:
«Регистрационные номера от предыдущих версий программы НЕ подходят для данной версии, однако
зарегистрированные пользователи, приобрётшие программу ранее, получают регистрационные номера
для текущей версии абсолютно БЕСПЛАТНО.»


Ну виноват :) Я просто 1.0 смотрел, а что в 1.1 - не знаю. Просто почти всегда бывает так, как я сказал.

DOLTON :: CReg [TSRh] пишет:
цитата:
Я просто 1.0 смотрел, а что в 1.1 - не знаю.


Ты в 1.0 докопался до серийника?
Я просто патчил.

Mario555 :: DOLTON пишет:
цитата:
Думаю тебе будет интересно посмотреть вот эту программку:
http://www.ka-tet.nm.ru/download/pulya11.zip ~ 2351 Kb.


Там ACPROTECT 1.09g (пытается закрыть olly, таблица stolen code не защифрована). Распакованная прога показывает splash, грузит dll’ки, а потом виснет... причём виснет на каком-то странном коде который явно добавлен протектором, этот код многократно расшифровывается и шифруется обратно, при этом в распакованной проге какой-то из последних циклов расшифровки выполняется не верно, что и приводит к ошибке. Вообще это всё смахивает на проверку наличия протектора, добавленную самим протектором:)
Примерно такие же лаги и с распаковкой самого ACPROTECT (и v 1.09g и v 1.10) только там распакованый exe хоть и запускается (правда с какими-то месагами аля memory access violation), но файлы протектить не хочет :(

ZX :: Ночью возился с этой пулей, точнее с ультрапротектом, прикольная штука но для коммерческих прог вряд ли подойдет - закрывает все проги которые ставят хуки попадающие на эту прогу. Наверно с некоторыми вирусами так бороться можно - запустил пулю она все поубивала . Интересно чего они этим хотели добиться?
Mario555
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя, а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.

Mario555 :: ZX пишет:
цитата:
Интересно чего они этим хотели добиться?


А ты в Olly запусти и увидишь...

ZX пишет:
цитата:
Ты говоришь распаковал, у меня ОЕР не совсем похож сам на себя


Стандартный OEP для С- проги. Я тут от нефиг делать скрипт написал
----------
var cbase
gmi eip, CODEBASE
mov cbase, $RESULT
log cbase
var csize
gmi eip, CODESIZE
mov csize, $RESULT
log csize

var addr

gpa «Process32First»,«kernel32.dll»
mov addr,$RESULT
bphws addr,«x»
eob lab1
eoe lab2
run

lab1:
var k
add k,1
cmp k,3
je lab11
esto

lab11:
bp [esp]
bprm cbase, csize
eob lab12
run
lab12:
sti
sti
mov [eip],000228e9
eob final
eoe final
run

lab2:
esto

final:
var l
mov l,cbase
add l,csize
log l
cmp eip,l
jb end
esto

end:
cmt eip, «Tipa tempOEP tuta»
bpmc
ret
----------
блокирует закрытие Olly и проходит к tempOEP.

ZX пишет:
цитата:
а как там найти stolen code, не имею понятия, мож подскажешь чуток с чем его едят.


stolen code - это спёртые байты, тоесть будет типа
call xx // здесь вместо call должны быть другие команды
xx JMP DWORD PTR DS:[адрес вне exe]
этот адрес - ячейка таблицы, которая состоит из ссылок на краденые байты (тоже таблица).
Тоесть команды которые заменены на call выполняются в протекторе.
В v 1.09g можно обойтись перенаправлением jmp и правкой таблиц (что бы всё это было направлено в пространоство exe), делается правкой начальных значений в циклах создания таблиц и jmp’ов.
В v 1.10 обращения к stolen code устроено несколько подругому, и там уже нужно свою процедуру писать, чтобы
поправить вызовы stolen code.

PS почитай туторы Рикардо, там всё подробно расписано.

PPS кста в новой арме тоже есть stolen code.

ZX :: Так я в оле и извращался, мне ж интересно было, хотя потом выловил айсом TerminateProcess 655E1A pop eax и pop eax, ну и дальше возюкайся, для детей защита, только раздражает и хочется еще больше все переломать. Вот у меня обжектДок висит, пулю запускаешь и нет обжектДока. У программеров с мозгами невпорядке.
Mario555 пишет:
цитата:
которая состоит из ссылок на краденые байты (тоже таблица).


О видел я ее, даже восстановил, одну функцию, я ж не знал шо ето тако. Ну она там огромная, тем способом которым я восстанавливал вся ночь уйдет. Ну пошел нашел тот экцепшин потом бац таблица (я ж не зал, что это за гадость, хотя она не такая страшная, как мне казалось :) ), а она нулями заполнена, я тогда из живой проги адрес и функцию подсунул.
значит 474А32 это настоящий ОЕР? Да, одно уже радует
00474F32 /$ 53 PUSH EBX
00474F33 ¦. 56 PUSH ESI
00474F34 ¦. 57 PUSH EDI
00474F35 ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00474F38 ¦. FF15 90F26600 CALL DWORD PTR DS:[‹&kernel32.#456›] ; kernel32.GetVersion
А где пуш ~ п? или я торможу?

ZX :: Нда, скриптик симпатичный, несколько вопросов отпало , на счет того где искать ОЕР, да.. Пошел искать сдк.

Mario555 :: ZX пишет:
цитата:
А где пуш ~ п? или я торможу?


Там просто есть ещё и stolen bytes, в самом протекторе это выглядит так:

0066BAF3 PUSH EBP
0066BAF4 MOV EBP,ESP
0066BAF6 PUSH -1
...................
0066BECE JMP DWORD PTR DS:[66BED4] ; Pulya.00474F17 // переход к tempOEP

Попасть на этот код можно по hardware бряку на какое-нить там 12ffc0 или 12ffa4, можно и мой скрипт немного доделать... чтобы он на stolen bytes останавливался.

Теперь самое интересное - JMP DWORD PTR DS:[66BED4] , на EP протектора по адр. 66BED4 лежит
17 4F 07 00, тоесть tempOEP без ImageBase и в обратном порядке :)
А пахнет это всё inline патчем, не то слово «пахнет», там «за милю несёт» :))))) тем более, что ни CRC, ни проверки целостности памяти в этом ACProtect нету...
Я уже попробовал сделать inline, всё прекрасно работает - вначале прыгает в header, выполняет там мой код
00400680 40 INC EAX
00400681 48 DEC EAX
00400682 -E9 90480700 JMP 11.00474F17 и прыгает на tempOEP :)

PS получается inline к ACProtect, сделать не сложнее, чем к UPX

ZX :: Да на счет инлайна, я думал сразу, а потом когда полез распаковывать, уже не могу остановится, там импорт из двух частей, и еще какая-то фигня, с простыми процедурами, хочется разобраться как все это работает, я ж скачал прогу не из-за преферанса.
В принципе пока ничего сложного, да и еще ты меня на скрипт подсадил, так что развлечения мне теперь обеспечены.

Mario555 :: ZX пишет:
цитата:
импорт из двух частей


С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp

Mario555 :: Во блин я протупил... Нет там никакой проверки на наличие отладчика, так что и распаковал я всё правильно, а проблема была связана с проверкой зарегености проги (скорее всего использовалась апи ACProtect, после распаковки она отвалилась и прога считая себя зарегеной пыталась то ли считать имя юзера то ли ещё что-то, причём делала это довольнотаки извратно...). Я это всё заметил, когда inline стал делать и нашел проверку зареганости...
Так что теперь и распакованная тоже работает.
Кста кто в этот преферанс играл ? Там кроме двадцати запусков (их уже отламал:)) ограничения ещё есть ?

ZX :: Mario555
Я забабахал етот гр..ый столен код, хош глянуть на скрипт для восстановления этой беды? Большой тебе фенкс


Mario555 :: ZX пишет:
цитата:
хош глянуть на скрипт для восстановления этой беды?


Угу, хочу.
Кста это уже наверно третий способ восстановления будет...
Я например менял начальные значения в циклах, таким образом перенаправляя stolen code в пространство exe.
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.

ZX :: bphws 0065a39f,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc 0065a39f
bphws 00654d3e,«x»
eob stolcod
run
stolcod:
mov eax,66e000
bphwc 00654d3e
bphws 00655e1a,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc 00655e1a
ret

тока я не нашел достаточно места в проге и руками увеличил последнюю секцию до 20000 в виртуальном сайзе.
скрипт останавливается в том месте где прога пытается кого-нибудь убить, естественно патчит эту гадость.

Теперь у меня сплэш показывает и улетает в неизвестный код.

ZX :: Mario555 пишет:
цитата:
А Рикардо в своём туторе приводит пример процедуры, которая будет возвращать байты на их «законные» места.


Это круто, мне трудно пока это себе представить. Дай ссылку на статью плиз. Кстате скрипт еще и импорт поправляет как ты сказал.

Mario555 :: ZX
Э-э ну а зачем нужен такой скрипт ? Он ведь подходит только для данной проги... Используя фиксированные адреса, которые всё равно надо было находить вручную... А когда их знаешь, то поменять значения быстрее без скрипта.
Да, кста у меня он не работает...

ZX пишет:
цитата:
Дай ссылку на статью плиз.


http://www.crackslatinos.....net/paginas/favorite.htm - здесь ссылки с паролями на ftp cracklatinos.

ZX пишет:
цитата:
Теперь у меня сплэш показывает и улетает в неизвестный код.


Как раз об этом я и говорил выше. Когда поставишь заглушку на функцию проверки, тогда распакованная прога станет запускаться.

Этот ACProtect оказывается довольнотаки часто обновляется. Сейчас последняя версия - 1.22, в ней замут с «начальной» процедурой по типу как в аспр 1.3, тоесть она почти вся находится в протекторе, причем используются метаморфозы, для байтов до первого Call какие-то мутные (ну эти байты можно восстановить и не копаясь в протекторе:)), а для последующих простенькие. Вообщем будет время - займусь этим 1.22.
Кста inline там теперь тоже на халяву не сделаешь (хотя есть у меня одна идея... правда придётся разбираться с расшифровкой, чтобы вставить нужный адрес).
Солод наверно бесится, когда этот протектор видит :) мало того, что название хапнули, так ещё и идеи внаглую п*здят.

ZX :: Mario555 пишет:
цитата:
Да, кста у меня он не работает..


А у тебя 98-е? Вообще я идею пытался тебе показать, а зачем сразу для всех прог один скрипт? Но переделать я его переделаю, это факт, хотя энтузиазма к этому не испытываю.

Mario555 :: ZX
Да не в этом дело... Возможно если что-то подправить, то скрипт и заработает, но ТОЛЬКО с этой прогой. Твой скрипт практически ничего не автоматизирует, т.к. адреса ты искал сам вручную.
Вот например посмотри на мой скрипт, я там использовал бряк на Process32First и т.д. для обхода закрытия Olly, думаешь зачем я это делал ?! ведь мог же просто вписать адрес перехода и всё, но работало бы тоже только с этой прогой.

PS аськи у меня сейчас нет :(

ZX :: Mario555
Хочешь сказать, ты писал скрипт не исследуя проги? И хочешь сказать ОТНОСИТЕЛЬНЫЕ адреса работать не будут? Вообще этот скрипт, который я тут написал, работает со всеми мне известными на данный момент прогами с ACProtect этой версии, но, естественно, при использовании относительных адресов. Я не релизер и не собираюсь этим заниматься, а вот идеи - это другое дело.

ZX :: Кстате, ACProtect 1.23 бета 1 на делфях написан, если кому интересно. :Р
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк

Mario555 :: ZX пишет:
цитата:
Хочешь сказать, ты писал скрипт не исследуя проги?


Я его писал для ACProtect.exe, так же он без каких либо изменений работает со всеми, известными мне, прогами запаковаными этим протектором версии 1.09g. Тоесть для работы этого скрипта не нужно ничего в него дополнительно вписывать, просто грузишь прогу в Olly и запускаешь скрипт, и не надо искать адреса и смещения.

ZX пишет:
цитата:
ОТНОСИТЕЛЬНЫЕ адреса


Это ты о чём ? У тебя в скрипте чётко прописаны СТАТИЧЕСКИЕ адреса именно этой проги.

ZX пишет:
цитата:
на данный момент прогами с ACProtect этой версии


А какие ты ещё проги с ним знаешь ? ссылочки plz :)

ZX пишет:
цитата:
Я не релизер


Я тоже :)

ZX пишет:
цитата:
а вот идеи - это другое дело


Какие собственно говоря новые идеи ты применил в скрипте ? Постановка бряка на адрес что ли ? :)

ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится, это у них входит в фирменный почерк


Ничего, они и импорт скоро с аспра скоммуниздят :)

ZX :: Mario555 пишет:
цитата:
чётко прописаны СТАТИЧЕСКИЕ адреса


И хочешь сказать, этот скрипт у тебя на этой проге не пашет? Я его проверял с этими адресами и на 98-х и на 2000-х и на ХР, как не удивительно, он работал. Я потом состряпал, попросили, этот скрипт для другой проги ссылку спрошу, адреса я сделал относительно начала секции протектора, и ту прогу распаковали, о чем мне говорили.
Mario555 пишет:
цитата:
Какие собственно говоря новые идеи ты применил в скрипте ?


Идея как найти стибренный код -
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.
Вот собственно и идея, скрипт это так чтоб показать ее работоспособность

ZX :: Mario555
Это в тему о статьях Рикардо, полиглот ты наш.
http://imaxel.no-ip.com/b...rc/article_read.asp?id=16
Ваще конечо супер

Mario555 :: ZX пишет:
цитата:
1)увеличиваешь секцию протектора(вручную)
2)правишь процедуру расшифровки и перезаписи энтого кода, только в начале инициализации цыклов, перенаправляя это дело в увеличенную секцию протектора.


Ну и что ? Я запихивал stolen code внутрь exe на свободное место, по-моему это делать быстрее, т.к. нужно только поменять значения регистра, а у тебя кроме этого ещё секцию увеличивать. Вот если бы не было свободного места, то действительно пришлось бы увеличивать секцию.

ZX пишет:
цитата:
Я потом состряпал, попросили, этот скрипт для другой проги


Блин, скрипты не стряпают для каждой новой проги. Посмотри хотя бы на те, что лежат на сайте olly скрипта, они все подходят для любой проги с соответствующим пакером.
Скрип нужен для ускорения распаковки - это просто повторение действий которые делаются вручную. А переделывать скрипт под каждую прогу не имеет смысла, т.к. вручную распаковать будет быстрее.

ZX пишет:
цитата:
И хочешь сказать, этот скрипт у тебя на этой проге не пашет?


Я гружу прогу в Olly и запускаю скрипт - он ессно не пашет, т.к. не увеличен размер последней секции. К твоему скрипту мануал надо прилагать :)

ZX пишет:
цитата:
адреса я сделал относительно начала секции протектора


Но этого-то скрипта я не видел ! А видел только тот, который ты выложил здесь... в нём - СТАТИЧЕСКИЕ адреса.

Mario555 :: ZX пишет:
цитата:
Ваще конечо супер


Что это ?!
Я такую хрень читать не могу. Буквы русские, а слова - херня какая-то, такое в трезвом состояние читать нельзя (зато по пьяне наверно прикольно ).
Лучше уж переведённые испанские... Электронный переводчик хоть и касячит много, но с ним прочитать вполне реально.

GL#0M :: болгарско - русский переводчик надобно раздобыть :)

ZX :: Вот такой извратный скриптик, останавливается он не на ЕР, а при попытке убить олю. Дальше можно искать энту ЕР, импорт и стибренный код уже в порядке, если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.

var cbase
mov cbase,eip
var addr

mov addr,cbase
add addr,939f
bphws addr,«x»
eob import
run
import:
mov [eip],#EB31#
bphwc addr
mov addr,cbase
add addr,3d3e
bphws addr,«x»
eob stolcod
run
stolcod:
bphwc addr
mov addr,cbase
mov eax,addr
add eax,1d000
add addr,4e1a
bphws addr,«x»
eob killproc
esto
killproc:
mov [eip],#585890909090#
bphwc addr
ret

Mario555 :: ZX
Ну вот это уже другое дело... :)
Правда косяк есть:

mov eax,addr
add eax,1d000 == !!! нельзя использовать константу, т.к. размер секции протектора в разных прогах разный
add addr,4e1a
bphws addr,«x»

Из ACPR.exe
-----
Memory map, item 24
Address=00597000
Size= 00021000 (135168.)
Owner=ACProtec 00400000
Section=.perplex
Contains=SFX,imports
Type=Imag 01001002
Access=R
Initial access=RWE
----
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT

ZX пишет:
цитата:
если прогу отпустить то после этого импреком можно с нее содрать чистый импорт.


Интересно, почему многие думают, что для того, чтобы Imprec распознал таблицу обязательно нужно отпускать прогу...

Aster!x :: ACProtect юзает переходники вида:
push (RVA xor X)
xor [esp], X
ret

Поэтому чтобы получить чистую IAT нужно заставить ACProtect
вместо этого X юзать 0. Сделать это просто, в последнем ACProtect 1.23
есть такой код создания этих самых переходников:
push ebx
push eax ; ‹-в eax настоящий RVA API
call ...
mov ebx, eax ; ‹-функция вернула то число с которым будет xor’ить RVA API
pop eax ; ‹-в eax у нас опять настоящий RVA
xor eax, ebx ; ‹-xor’им :-)

Нужно чтобы этот call вернул 0, там в конце этой функции даже место удобное
есть чтоб вписать xor eax, eax заместо какой-то двухбайтовой команды(непомню
точно какой).

Потом следующий код протектора пропишет переходники:

mov BYTE [esi], 68h
mov [esi+1], eax ; ‹-теперь здесь будет чистый RVA
mov [esi+5], 00243481h
mov [esi+8], ebx ; ‹-а ebx теперь == 0
mov [esi+0Ch], C3h
После этого ImpRec через дизасм возьмёт всю IAT, хоть стопори прогу, хоть
отпускай, но правильнее всё-таки стопорить.

А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)

ZX :: Mario555 пишет:
цитата:
Так что для получения размера нужно использовать
gmi eip, CODESIZE
mov csize, $RESULT


Вообще, конечно, косяк. Да и у тебя тоже - нужно использовать не CODESIZE, а MODULESIZE, т.к. первый покажет размер секции кода, а секцию протектора он за код не считает. Потом отнять от MODULESIZE+MODULEBASE размер на который мы увеличили секцию протектора $3000, это и будет то место куда мы будем писать, по-моему с ACProtectom 1.09g разобрались, как думаешь?

ZX :: Aster!x
А зачем такие извраты?
Mario555 пишет:
цитата:
С импортом там всё просто, один переход, и чистая Iat.
0065A39F 7F 31 JG SHORT Pulya.0065A3D2 -- на jmp


ZX пишет:
цитата:
И опять таблица импорта одним байтом корректится


Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Интересно - почему?

Aster!x :: › А зачем такие извраты?

Исправить два байта - изврат?

› Интересно - почему?

С импортом косяк будет, по крайней мере в ACProtect 1.23 ;-)
Я наблюдал этот косяк, хотя прога, почему-то, при этом нормально
работала :-)

ZX :: Aster!x пишет:
цитата:
Я наблюдал этот косяк


И в чем косяк? Не томи душу признавайся.

Mario555 :: ZX пишет:
цитата:
по-моему с ACProtectom 1.09g разобрались, как думаешь?


Угу, и с 1.10 тоже, причём давно, а на последних двух страницах этого топика просто возились со скриптами :)

Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.
Её нетрудно пропатчить...
Нужные адреса зашифрованы не симметричным алгоритмом и вдобавок расшифровка впередистоящего Dword зависит от значения последующего, но искомый адрес обычно лежит в начале цикла расшифровки, поэтому считать придётся всего 8~12 байт. В разных прогах циклы раскриптовки разные, так например для самого протектора у меня получилось сделать полностью работающую процедуру обратную закриптовке (всего строчек 10), тоесть там вообще не имеет значения где находится искомый адрес, т.к. написанная процедура без какого либо ручного вмешательства может зашифровывать байты. А вот в проге которую я запаковал алгоритм раскриптовки был другой и там обратная процедура у меня получилась кривенькая, т.к. каждый оборот цикла нужно было подставлять определённую цифру, потому, что я понятия не имею, как можно обратить команду
ADD EAX,CONSTANTA
ведь почти каждый раз происходит переполнение регистра и лишнее отбрасывается... разве что посохранять все эти значения в таблицу...
Но это уже нужно будет в случае если искомый адрес лежит далеко от начала, и соответственно нужно считать дофига байт, а т.к. адрес лежит близко к началу, то и вручную можно поподставлять :)

А насчёт распаковки, так там вроде всё также, как в 1.10, ну кроме краденого куска, который восстановить вроде не сложно, но нудно, и мне что-то лень :) Вот если бы запакованная им шароварка была...

Aster!x пишет:
цитата:
ACProtect 1.23


А что в нём нового ? Байты крадёт так же как v 1.10 или как-нить веселее ?

Aster!x пишет:
цитата:
А вот менять переход для получения чистого импорта я бы не рекомендовал ;-)


Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый получится :)

ZX :: Mario555 пишет:
цитата:
Кста а откуда 1.23 ?


http://www.ultraprotect.com/acpr_std.exe
А скрипты у ольки вещь кульная, я что-то раньше не обращал на них внимания. Большой спасиб за идею. :)))
А вот на поиск краденных байтов у меня уходит много времени, пока :)

Aster!x :: › Кста а откуда 1.23 ? Я качал пару дней назад, и последней была 1.22.

Оф. сайт, я брал версию PRO.

› который восстановить вроде не сложно, но нудно, и мне что-то лень :)

А вроде сложно, по крайней мере покруче чем у АСПра, хотя я смотрел его
не более получаса.

› Да вроде одно и тоже, хоть переход правь, хоть ноль подставляй, всё равно результат одинаковый

Кажется не одно и тоже, я попервой тоже переход поправил и половина переходников,
на импорт, которые jmp [...] сглючило, мне показалось это странным, но всё же..
Хотя прога работала после того как я ее отпустил :-)))
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..

ZX :: Aster!x пишет:
цитата:
Но вобще-то переходы типа jg лучше не трогать или нужно разбираться с логикой его
работы, именно почему например авторы не использовали что-то попроще типа je,
здесь может быть подвох..


Я вот похожим скриптом, 1.23 ковырял все типа восстановилось, отпускаешь прогу работает протектит и т.д, и это уже с единой таблицей импорта.

Mario555 :: Гы... оказывется inline в 1.22 делается проще чем я думал... То, о чём я писал выше (расшифрофка адреса и т.п.) нужно только в случае, когда проверка зарегености идёт до «главного» call ( того который находится на своём законном месте).
А если проверка внутри него то всё патчится точно так же, как и v 1.09g, тоесть переход к «главному» call выглядит так:
006ECF04 -FF25 46CF6E00 JMP DWORD PTR DS:[6ECF46] ; ACProtec.004CC953
по адресу 6ECF46 лежит незашифрованный адрес call’a (ессно без ImageBase). Ставим туда свой адрес и...

Aster!x пишет:
цитата:
по крайней мере покруче чем у АСПра


в аспре всё запрятано в кучах мусорного кода, и к тому же там ещё крадутся первые байты из call’ов, которые входят в код который протектор забрал в себя.

В ACProtect 1.22 код не так сильно замусорен и из call’ов ничего не крадут. Правда почти все push/mov переделаны в несколько команд, по типу так:
push EBP и т.п.

PUSH ECX
MOV ECX, tempAddress
MOV DWORD PTR DS:[ECX],EBP
POP ECX
PUSH DWORD PTR DS:[tempAddress]

Push address - это будет:

PUSH ECX
MOV ECX,Address
MOV DWORD PTR DS:[tempAddress],ECX
POP ECX
PUSH DWORD PTR DS:[tempAddress]

MOV EDX,Address

PUSH Address
POP DWORD PTR DS:[tempAddress]
PUSH EAX
MOV EAX,tempAddress
MOV EDX,DWORD PTR DS:[EAX]
POP EAX

и тому подобное... тоесть всегда используется адрес из секции протектора («tempAddress»), а это сразу бросается в глаза.

Aster!x пишет:
цитата:
которые jmp [...] сглючило, мне показалось это странным


У меня, как и у ZX , ничего не глючило... чистая Iat и правильные jmp [].

DOLTON :: Mario555
ZX
Спасибо, очень познавательный топик, постараюсь всё-таки разобраться с распаковкой этого протектора.

Mario555
Ты говоришь отломал ограничение на количество запусков, если не тяжело выложи распакованный не поломанный exe-шник - хочется попытаться найти серийник или пропатчить самому.

Mario555 :: DOLTON пишет:
цитата:
распакованный не поломанный exe-шник


Это невозможно :) Чтобы распакованный заработал его по-любому нужно сломать, т.к. защита построена на апи протектора.

Mario555 :: Такс... по поводу 1.23:
краденые байты:

004D10EB ›PUSH EBP
004D10EC MOV EBP,ESP
004D10EE SUB ESP,8
004D10F1 PUSH EBX
004D10F2 MOV EAX,Unpacked.004D0ED4
004D10F7 CALL Unpacked.00406EDC
004D10FC MOV EAX,DWORD PTR DS:[4F85E4]
004D1101 MOV EAX,DWORD PTR DS:[EAX]
004D1103 CALL Unpacked.0046261C
004D1108 MOV ECX,DWORD PTR DS:[4F83A0]
004D110E MOV EAX,DWORD PTR DS:[4F85E4]
004D1113 MOV EAX,DWORD PTR DS:[EAX]
004D1115 MOV EDX,DWORD PTR DS:[47FEA4]
004D111B CALL Unpacked.00462634
004D1120 MOV ECX,DWORD PTR DS:[4F82D0]
004D1126 MOV EAX,DWORD PTR DS:[4F85E4]
004D112B MOV EAX,DWORD PTR DS:[EAX]
004D112D MOV EDX,DWORD PTR DS:[47FB14]
004D1133 CALL Unpacked.00462634
004D1138 MOV EAX,DWORD PTR DS:[4F85E4]
004D113D MOV EAX,DWORD PTR DS:[EAX]

тут один байт лишний, какой не знаю :) Просто оказалось, что 004D10EB - это адрес последнего байта таблицы «call eax» (той её части которая используется при закрытии проги), но там можно один переход поправить и обращения к таблице не будет. Или вообще можно этот найденый кусок разместить где-нить в другом месте, а не на его законном.
Всё остальное так же, как и в 1.10 - таже поXOR’реная таблица stolen code и т.п.

PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(

DOLTON :: Mario555 пишет:
цитата:
Это невозможно :)


Обидно.
Mario555
Не пытался найти правильный серийник?
Там защита очень интересная...

ZX :: Mario555 пишет:
цитата:
PS распакованный протектор, как обычно, матерится и не хочет паковать проги :(


Там слишком много данных созданных протектором, которые используются прогой, я пытался их все впихнуть в экзешник, но это изврат, а выковыривать всю эту бяку из экзешника работа неблагодарная - овчинка выделки не стоит(как раз тот случай) :)




MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу:...



MaZaFaKeR Немогу распаковать :( Собственно не могу распаковать данную прогу: http://download.ahteam.or...les/oursoft/nfoviewer.zip (180 kb)
PEiD говорит, что UPX. Пробовал самим PEID’ом распаковывать (после распаковки вообще не работает), также Quick Unpack’ом (вроде бы всё в норме, но при открытии тем же Ресторатором пишутся, что ресурс повреждён). Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(
Если кто может, помогите распаковать или выложите распакованный exe’шник!
Заранее всем благодарен!
WELL :: MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато


Так если не будешь, то откуда опыто-то появится?

WELL :: MaZaFaKeR пишет:
цитата:
пишутся, что ресурс повреждён


resource rebuilder by Dr. Golova

WELL :: MaZaFaKeR
Давай мыло, скину.

MaZaFaKeR :: WELL , ок, maza_nc_ru

WELL :: MaZaFaKeR
Ушло

MaZaFaKeR :: WELL , пасибо, брат!

MaZaFaKeR :: WELL , а ты сам пробовал перед тем как мне присылать распакованный EXE’шник открывать его Restorator’ом? Мне кажется что нет! Иначе бы ты мне его не присылал. Так как распаковал ты, я и сам распаковывал
P.S. DeDe тоже нормально его не открывает, хоть и написана прога на Делфях...

MaZaFaKeR :: Господа, неужели никто нормально распаковать не може? (WELL не в обиду)

SeDoYHg :: MaZaFaKeR

А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.
Если только самим UPX’ом распаковать.

ViViseKtor :: А сам распакованный файл то работает?
А то у меня бывало, что ресторатор ругается, а файл пашет как ни в чем не бывало.

SeDoYHg ::
Я не совсем понимаю, чего его так ресурсы волнуют, главное чтобы код был нормальным. А если нужно выдрать ресурсы, из проги пожатой УПиКСом, то можно её скормить PE Explorer’у, у него плагин есть для автораспаковки.

WELL :: MaZaFaKeR
Я пробовал его Exescope’м все ресурсы нормально работают.

XoraX :: SeDoYHg пишет:
цитата:
А не получится полностью ресурсы востановить, либо иконки, либо курсоры, или еще что-то останутся битыми.


хм.. если распаковывать УПХ *прямыми* руками, то и все ресурсы можно без проблем восстановить.

WELL :: Для восстановления ресурсов можно resource rebuilder’ы использовать

SeDoYHg :: XoraX

А оно тебе надо?

ZX :: MaZaFaKeR
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.

AlexZ CRaCker :: Я как-то этой-же проблемой занимался:
Обрезал дамп, потом загружал восстановленые ресурсы, потом вживлял импорт. Итог:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!
Хотя бывало всё ОК! Но там надо было с секциями химичить (RVA, VA, Size...) да в Directories лесть...
MaZaFaKeR пишет:
цитата:
Вручную не пробовал и пока не буду, т.к. опыта маловато, если не сказать что вообще нет :(


Ну и ты после этого хочеш файл оперировать? Хирург... Хотя, попробуй.

-= ALEX =- :: MaZaFaKeR опыта нет UPX распаковать.... хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...

XoraX :: SeDoYHg пишет:
цитата:
А оно тебе надо?


распаковывать нормально, пусть даже упх по любому нужно уметь.. или ты думаешь тебе всегда всякие умные дяденьки будут писать автоанпакеры? времена автоматических анпакеров имхо потихоньку уходят :) скоро, совсем скоро будут протекторы и пакеры, которые на автомате будет тоеретически не распаковать... :¦

MaZaFaKeR :: AlexZ CRaCker пишет:
цитата:
Либо файл работал, ресЕдиторы кричали: повреждено,
либо файл не работал, а ресурсы пучком!


Совершенно согласен, сам сталкивался с этим!

-= ALEX =- пишет:
цитата:
хех, а какой там опыт ? А еще и ресурсы хотишь восстановить, да это по твоим меркам будет покруче асрпа...


Ты если не можешь помочь или не хочешь, тогда бы помолчал!

XoraX , согласен, буду учиться

WELL пишет:
цитата:
Я пробовал его Exescope’м все ресурсы нормально работают.


Ага, точно ЭкзеСкоп взял , а Ресторатор не захотел

ZX пишет:
цитата:
Ты еще не распаковал? Если очень надо могу сбросить с рабочими ресурсами.


Всё ОК, разобрался!

SeDoYHg пишет:
цитата:
Я не совсем понимаю, чего его так ресурсы волнуют


А тебя это и не должно волновать!

НА ЭТОМ ЗАКОНЧУ! ВСЕМ СПАСИБО!

-= ALEX =- :: MaZaFaKeR пишет:
цитата:
Ты если не можешь помочь или не хочешь, тогда бы помолчал!


За тебя распаковать файл ? а в чем смысл ?

SeDoYHg :: XoraX

Я не про то, что руками не надо уметь делать, а про то что для крэка целосноть иконок или курсоров не важна. Я сам никогда анпакерам не доверяю, покрайней мере последний год.

MaZaFaKeR пишет:
цитата:
А тебя это и не должно волновать!


У меня нет слов, ему пытаются помочь, а он хамит.

GL#0M :: MaZaFaKeR

~ меня ~ а л и твои посты... ~ е ц!




Макс ручная распаковка Можно ли что -нибудь распаковать при помощи Peid(ведь...



Макс ручная распаковка Можно ли что -нибудь распаковать при помощи Peid(ведь там есть пункты OEP , Import Table,etc.),и если можно,то как??
- = $pY = - :: Можно, есть плагин наз. Peid Generic Unpacker v0.1

http://peid.has.it/ тут смотри, там все плангины и т.д.

Grim Fandango :: а есть еще FSG 1.33 unpacker тоже плагин.

SLV :: Надо чтоб ось NT-подобная (NT; XP; 2k) была.

KLAUS :: SLV

С чего вдруг? У меня на 98 всё тип ....оп

SLV :: Generic Unpacker у меня не работает. И тоже 98

Макс :: а у меня по-любому XP.Работает.Спасибо.

AlexZ CRaCker :: У меня 98, так в ней всякие AsprDebug, AsprIAT и прочие приятные вещи неработают как надо. Его переходники ничё не берёт. Хоть бы где в туторах кто-нить упомянул как искать IAT вручную... ато самому догонять приходится =)

DillerXX :: А почему токо в НТ бодобных системах фурычит? С чем это связано?

Mario555 :: AlexZ CRaCker пишет:
цитата:
У меня 98, так в ней всякие AsprDebug, AsprIAT и прочие приятные вещи неработают как надо


Это потому, что в 98 ОЧЕНЬ много ограничений на работу с kernel и т.п.




PalR Не могу определить что за донгл Exe-шник запакован. Сходу в ручную...



PalR Не могу определить что за донгл Exe-шник запакован. Сходу в ручную распаковалось криво. Поэтому можно распаковать Guw32. Это всё фигня. Вот какой донгл не понятно. Точно что не хасп и не сентинел. Кому интересно вот ссылка.
http://palrru.amillo.net/vl/ctp3.rar.bin (900 кило)
MoonShiner :: Сигнатуры накладывать, искать, к каким либам обращается и имена донглов пробовал?

PalR :: По bpio 378 (278) обращения не ловятся. Кроме того код полиморфный какой то. В айсе вид один, а в вдасме другой по тем же адресам. Ида половину вообще пропускает или у меня чего не настроено.
Затычка должно быть в COM1-8. Так прога пишет.

MoonShiner :: ехе-шник выложи куда нить, а то я нихрена не понял:)

mnalex :: PalR
Слушай, а он случаем не в двойной упаковке?

emmibox :: донгл оригинальный - самодельный. подключен к com порту по 3-м линиям квитирования. искать сигнатуры безсмысленно.
вывод из компа осуществляется по 2-м линиям через «EscapeCommFunction» а ввод по одной через «GetCommModemStatus» ищите эти вызовы и думайте че c этим можно сделать.

PalR :: Я же ссылку дал.
Можно здесь http://web1.t79.greatnet....hpBB2/download.php?id=424
Вот что про неё написали
»...только без ключа у тебя ничего не получится, распаковать и запустить ее и дурак может, а заставить нормально работать - вряд-ли, данные из ключа используются в проге.

hasp и sentinel - это детский сад работающий через стандартные API без выкрутасов и эмулируемые на 1-2. Сдесь ключ оригинальный и работа с ним идет непосредственно из проги через com порт.»

PalR :: emmibox
Привет. Это я тебя цитировал.

emmibox :: да я уж понял. Кстати распаковалась она у меня quick unpack v0.3. причем вроде целиком.

PalR :: Какой размер EXE-шника? У меня 1 599 488 байт после GUW32.

emmibox :: 1 689 114

emmibox :: короче что я пока накопал:

4d55fc - подпрограмма основной функции донгла, занимается преоборазованием 4-х байтового слова внутри донгла по различным законам. На входе eax - адрес буфера в котором идет преобразование.
ecx - номер функции. (байт). функций всего бывает 3 штуки - D0,E2,E0. на выходе в al статус - 0-нет донгла, 1-нормал.

PalR :: emmibox пишет:
цитата:
3-м линиям квитирования


Попрошу в моем присутствии не выражаться :))
4D55FC - ты не перепутал?

.::D.e.M.o.N.i.X::. :: PalR пишет:
цитата:
4D55FC - ты не перепутал?


Может я че-то не допираю, но насколько я помню это OEP после распаковки самодельного пакера...

emmibox :: чтоб не получался разговор слепого с глухим - http://emmibox.nm.ru/123/unpacked_.zip (не запихвайте в reget - cначала нажимте на ссылку а только потом в окне newmail.ru выберите сохранить файл - особенности nm.ru)

короче она дораспаковывает через ключ куски кода, проверяет кучу чексумов, но делает это довольно по детски. Хотя я пока своего мнения о необходимости живого ключа для победы над врагом не изменил..

PalR :: .::D.e.M.o.N.i.X::.
Не OEP 0050AE2C.




RottingCorpse Ресурсы в exe Есть экзешник (VB6)... Чем вытащить ресурсы?...



RottingCorpse Ресурсы в exe Есть экзешник (VB6)... Чем вытащить ресурсы? reshacker, execope не помогают.
SeDoYHg :: RottingCorpse

Попробуй PE Explorer он с MFC умееет работать.

nice :: RottingCorpse
Попробуй
http://www.wasm.ru/tools/4/VBReFormer.zip

RottingCorpse :: Точно определил что это GIF (но их там до .....).... Вопрос как определить какой из них и похерить?

Vbreformer не катит

nice :: RottingCorpse

URL:http://www.wasm.ru/tools/4/raceex.zip
Размер: 1470KB
Время Сохранения:Sun Oct 19 04:01:10 2003
Race 3.1 by sargeant_g NEW!
Программа извлекает формы из программ, написанных на VB 6. Если здесь есть любители поковыряться в VB-программах (б-р-р), то берите, может, подойдет...
Сайт программы: sargeant_g@hotmail.com
А эту смотрел, мне она больше нравилась

RottingCorpse :: хмм.... думаю это тоже что и реформер.... там в рантайме на vrml заготовку этот гиф кидается

GPcH :: RottingCorpse пишет:
цитата:
Есть экзешник (VB6)... Чем вытащить ресурсы? reshacker, execope не помогают.


Берешь DragonUnpacker - он находит в EXE смещение GIF’а - далее зная смещение можешь хоть
выдрать GIF, хоть посмотреть откуда он вызывается и mov eax, GIF_offset забить NOP’ами

Если же p-code, то с удалением mov’а может не получиться.

PS: Не поможешь с адинской панелью? А? Очень надо!

Grim Fandango :: а ты попробуй рипперами

Grim Fandango :: Например, MultiRipper выдирают за милую душу.




GPcH Зацените мою новую тулзу DotFix Protector v1.0



GPcH Зацените мою новую тулзу DotFix Protector v1.0

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика, а также для защиты от автораспаковки различными распаковщиками (хотя находятся такие, которые могут это распаковать). И еще: если антивирус определяет Вашу программу как вирус, то после ее обработки данным протектором антивирус будет молчать! Это связано с тем, что данный протектор встраивает во все секции Вашей программы ряд переходов и антиотладочных функций, ноторые не обрабатываются большинством отладчиков, распаковщиков и антивирусов, что блокирует их функции.

Основные возможности программы:

Добавление в код программы дополнителных кусков кода, затрудняющих трассировку и распаковку программы.

Снифферы (определители упаковщиков) после обработки Вашей программы данным протектором будут выдавать, что Ваша программа защищена довольно навороченным протектором. Хотя возможно скоро снифферы начнут определять данный протектор, но это никак не поможет крэкерам определить реальный упаковщик Вашей программы
При загрузке защищенных программ в некоторых дизассемблерах, те начинают глючить и не дизассемблируют код

Поддержка практически всех упаковщиков, в том числе FSG, UPX, Petite, Aspack. Это значит, что перед использованием данной программы Вы можете запаковать защищаемую программу любым EXE упаковщиком

Возможность изменения имен секций (как на одинаковые, так и на имена различных упаковщиков)

Скрамблер UPX 0.6, UPX 1.24, UPX 1.9, FSG, Petite
Программа ведет детальный лог своей работы

Имеется удобный мастер упрощающий работу с программой

Также в программе имеется справка в которой можно прочитать ответы на возможные вопросы

Имеется возможность выбора внедряемой сигнатуры, обманывающей PEiD и подобные снифферы

Присутствует также возможность выбора метода защиты

При тестировании данной версии протектора на программах написанных на MFC C++ были замечены ошибки, в результате которых данные программы после обработки протектором не функционировали. Напротив, протестировав протектор на программах написанных на Dalphi, C++ Builder и Visual Basic протектор показал себя с лучшей стороны

Короче, кто хочет заценить данную тулзу (140 kb) : вот она

WELL :: Это продожение что ли PEStubOEP?
Щас качнем заценим ;)

TITBIT :: Неплохая тулза. Peid вот такое выдает :: Nothing found * ::
Pe sniffer :: Unknown ::
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил... Еще в доработке?

RottingCorpse :: Ненадолго.... неужто сигнатур никаких нету? :)
скоро и peid и sniffer определять будут

GPcH :: TITBIT пишет:
цитата:
Peid вот такое выдает :: Nothing found * ::


В хардкорскане должен выводить ту сигнатуру, что ты выбрал

TITBIT пишет:
цитата:
Кстате, че там c REGISTRATION? Вводил свой Ник и ключи от балды но не какой месаги не получил...


Это чтобы сложней крякать было. Мессага будет только при правильной регистрации.

TITBIT пишет:
цитата:
Еще в доработке?


Нет, релиз как никак

GPcH :: RottingCorpse пишет:
цитата:
Ненадолго.... неужто сигнатур никаких нету? :)


Сигнатуры есть. Но это все равно затруднит определение оригинального упаковщика

RottingCorpse пишет:
цитата:
скоро и peid и sniffer определять будут


первый точно (кто нибудь да доложит snaker’у) а вот втоорой помоему уже давно не обновлялся

TITBIT :: GPcH пишет:
цитата:
В хардкорскане должен выводить ту сигнатуру, что ты выбрал


Ты прав - k.kryptor 9 / kryptor a -› r!sc & noodlespa

guest007 :: Попробовал на программе, написанной на дельфи. Если
exe-шник вначале упаковать upx-ом, то все нормально (но peid говорит Nothing found, а
если сразу подсунуть его DotFix Protector’у то появляется ошибка:
«Sorry, program can not patch this file» и exe-шник уже не запускается.

[DDA] :: Note: to have cool result you need to pack application by EXE packer tool (like
UPX, FSG and other). This tools is free.

TITBIT :: [DDA] пишет:
цитата:
you need to pack application by EXE packer tool (like
UPX, FSG and other


Во-во... неплохая дея.

бара :: Sorry, но метод регистрации нагло спиз*ен у BG....

Halt :: оффтоп
GPcH
А распаковщик под эту штуку планируется хотя бы в будущем? а то как начнут поголовно криптовать - ASProtect отдыхает(и не только он).
Да, жизнь становится все проще и проще

Попробовал, сорри но у меня падает, точнее даже не запускается. система winXP SP1 обновленная до SP2
падает где-то тут:
d5fd6c add dword ptr [ebx+00], esi где ebx=0, [ebx] = ???? , esi = baa990b2, [esi] = 0024
d5fe02 mov byte ptr [ecx],5e где ecx=0, [ecx]=????


И еще а нельзя ее на русском или хотя бы хелп?

GPcH :: бара пишет:
цитата:
Sorry, но метод регистрации нагло спиз*ен у BG....


Метод состоит из моего второго крякми, аспра и еще горы прикольных защит написанных мной (кроме аспра ;))
Тем более что я даже исходники Bad_guy’я не видел, а крякми второй написал до того, как Bad_guy’евский взломали,
так что ты не прав.
Halt пишет:
цитата:
А распаковщик под эту штуку планируется хотя бы в будущем?


Кому надо, то думаю напишет
Halt пишет:
цитата:
И еще а нельзя ее на русском или хотя бы хелп?


Хелп - Readme_rus.txt, остальное только на английском

ExeSh :: А эти проги
http://bgcorp.narod.ru/product.htm
вроде что то подобное делают.
К примеру
О программе
Stealth PE поможет авторам платных программ более качественно защитить свои программы от взлома. Основное назначение Stealth PE - скрыть от взломщика информацию о программе, ее компиляторе. Если программа была предварительно упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого файла с помощью Stealth PE будет практически невозможно определить чем упакована программа, а также распаковать её даже специальными автоматическими распаковщиками.

fuck it :: всё рульно !

Mario555 :: GPcH пишет:
цитата:
аспра


Фи как некрасиво :) Если уж написал прогу и назвал её протектором, то и паковать нужно ей самой, чтобы так сказать продемонстрировать будующим покупателям всю мощь защиты... Нахрена им будет покупать твою прогу, если они видят, что даже сам автор не верит в свой протектор... Короче Солода рекламируешь LOL.

PS гм... 10 триал запусков - случаем не апи аспра ?

Grim Fandango :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


лол

fuck it :: а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.

GPcH :: Mario555 пишет:
цитата:
PS гм... 10 триал запусков - случаем не апи аспра ?


нет. защиту писал всю сам. Аспр юзал только как упаковщик

GPcH :: fuck it пишет:
цитата:
а что-то я непонял, каким макаром аспр 10 запусков делает, смотрел remon’aм вроде ничего он там не сверяет.


это не аспр, а моя защита

GPcH :: Тем более сейчас думаю прогу изрядно улучшить

-= ALEX =- :: GPcH давай-давай... надоешь скоро, будет generic unpacker делать %)

sanniassin :: Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда

Grim Fandango :: о так! ентересно. =)

fuck it :: sanniassin офигеть, крута !!!
как просёк ? я смотрел filemon нихера небыло !

Grim Fandango :: GPcH писец, пиши новую защиту. =)
шучу конечно.

[DDA] :: В часах храниться количество запусков

GPcH :: Ладно ребята, крякнули вы триал. Спасибо Вам - но ~ илды буду более защищенными делать.

sanniassin пишет:
цитата:
Ставим аттрибут ReadOnly на файл %WinDir%\Taskman.exe и 10 запусков будут всегда


Плиз расскажи, как ты до этого дошел????
Ведь это максимальная секретность, которую можно добится при подсчете запусков.
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))

Grim Fandango :: ну демо это уже не интересно. =(

GPcH :: Grim Fandango пишет:
цитата:
ну демо это уже не интересно. =(


точнее не демо, а full, только без триала - пока пароль не введешь - пахать не будет
Функции заблокирую самые интересные. Оставлю только те, что были в PeStubOEP

Grim Fandango :: жестоко, но серьёзно.

WELL :: Этого стоило ожидать...

Grim Fandango :: WELL пишет:
цитата:
Этого стоило ожидать...


Ну да, в принципе. Комерческий продукт как ни как.

sanniassin :: GPcH пишет:
цитата:
Плиз расскажи, как ты до этого дошел????


Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)

GPcH :: sanniassin пишет:
цитата:
Использовал Total Uninstall (запустил 2 раза DotFix Protector и смотрел, что поменялось)


Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно

sanniassin :: GPcH пишет:
цитата:
Да, я и вправду подумал, что ты весикий реверсер. Так не прикольно


А я не собирался кидать понты, зачем придумывать чёто извратное, если всё так легко обходится

Понты: к тому же аспр я патчить умею (кста мне 14 лет (сорри, не удержался))

Grim Fandango :: Возраст не показатель ето раз. А вот сломать без инструментов это клпассно.

Mario555 :: sanniassin пишет:
цитата:
к тому же аспр я патчить умею


В принципе вероятно, что можно и распаковать, т.к. GPcH явно написал прогу на VB, а аспр всё-таки под дельфи заточен и на VB многие его фичи могут не действовать ;)

Grim Fandango :: Mario555 пишет:
цитата:
на VB многие его фичи могут не действовать ;)


хорошая мысль, как-то я раньше не думал.

fuck it :: офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели

Grim Fandango :: Довольно многое. Но, компу предпочитал улицу, баскетбол и ваще за компом мало сидел.

Mario555 :: Хе, распаковал ;)
OEP:
0040317C PUSH 1_xx.00404588 ; ASCII «VB5!6&*»
00403181 CALL ‹JMP.&msvbvm60.ThunRTMain›

и одна эмулированная функция &msvbvm60.DllFunctionCall, тоесть почти эта функция :)
Кста в TweakXP 3 её же svkp эмулирует.

WELL :: sanniassin пишет:
цитата:
запустил 2 раза DotFix Protector и смотрел, что поменялось


GPcH пишет:
цитата:
Так не прикольно


А по-моему как раз прикольно =)

Buggy :: Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...

GPcH :: fuck it пишет:
цитата:
офигеть 14 лет, во дети пошли
да, лучше вспомните что вы в 14 лет делать умели


Я в 14 лет в dendy рубал и мечтал стать радиотехником ;)))

Buggy пишет:
цитата:
Думаю тебе (GPcH) стоит сказать спасибо за некоторые нововведения тов. Крису Касперскому...


А ты в About версии 1.1 смотрел?

PS: Кстати, всем забыл сказать, что обновил программу - добавил криптовку
Брать там же

GPcH :: ~ Внауре старую версию выложил!!! Сейчас обновил. Можете качать

http://gpch.int3.net/soft...DotFix%20Protector%20v1.0

GPcH :: -------------------------------
NEW VERSION
-------------------------------
+ Cripto
-------------------------------

MaZaFaKeR :: GPcH , нормально, только с версиями определись!

WELL :: GPcH пишет:
цитата:
+ Cripto


Своё крипто забодяжил ?

AlexZ CRaCker :: GPcH пишет:
цитата:
Ведь это максимальная секретность, которую можно добится при подсчете запусков.


FileMon
GPcH пишет:
цитата:
Придется следующие версии демо делать. Триал против таких как мы не поможет ;)))


Надо будет - скардят

ssx :: GPcH, можно вопрос? Кто-нибудь купил твой протектор?

Grim Fandango :: так еще же мао времени прошло, чтобы купили. =)

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, нормально, только с версиями определись!


Версия там стоит 1.1 - ты наверное по ошибке 1.0 скачал - качни еще раз (я просто не сразу после поста прогу обновил - извиняюсь)

GPcH :: WELL пишет:
цитата:
Своё крипто забодяжил ?


Типа того

ssx пишет:
цитата:
GPcH, можно вопрос? Кто-нибудь купил твой протектор?


Кто его купит, если его знают пока только читатели данного форума.
Как выйдет новый Xakep - тогда может кто и купит.
Хотя что тебя то этот вопрос волнует?

Grim Fandango пишет:
цитата:
так еще же мао времени прошло, чтобы купили. =)


Во во

Grim Fandango :: а при чём тут Хакер?

MaZaFaKeR :: GPcH , ок, качну сейчас

GPcH :: Grim Fandango пишет:
цитата:
а при чём тут Хакер?


Эта прога будет там на диске лежать

Mafia32 :: GPcH

Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.

GPcH :: Mafia32 пишет:
цитата:
Вот на пару минуток смог вырваться, скачал протектор посмотреть... Ты вот все насчет денег думаешь, я б на твоем месте лучше защиту улучшил. $ тоже надо за что-то брать... Пока защита программы нулевая. Один SEH-трюк, повторяющийся несколько раз, да и все пожалуй. Я снял меньше, чем за 2 минуты. Но все равно молодец, что занялся. Сейчас так, а в дальнейшем мож чего и улучшишь.


Ты криптовку не видел. Она только в зарегистрированной версии. Я планирую еще увеличить число сигнатур

AlexZ CRaCker :: Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»

GPcH :: AlexZ CRaCker пишет:
цитата:
Мне это напомнило рекламный трюк: «Данный менеджер закачек скачивает файлы из интернета в 3 раза быстрее, но в незарегистрированной версии, вы не можете это использовать»


Чем критиковать лучше почту забери. Я тебе сейчас письмо отправил

AlexZ CRaCker :: GPcH
Не, не, ни в коем случае критиковать не собирался. Просто ассоциации такие вот.
Если обидел чем - извини.

Mario555 :: GPcH пишет:
цитата:
Ты криптовку не видел. Она только в зарегистрированной версии


Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.

ExeSh :: Mario555
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка.
Голосую двумя руками и ногами за это!!!

Ждемсь откуда скачать!

-= ALEX =- :: мда. прочитал. во-первых слово криптовка будет «crypt» а не «cript». во-вторых кто будет покупать что-то, не видя этих функций. в-третих, действительно, при чем тут журнал ХАКЕР, его не разработчики читают, а всякие, слова не подберу ИМХО %). в-четвертых покажи реально, что за чудо крипто, я пока тока видел простой XOR с твоих слов.

-= ALEX =- :: да и вообще будет ли кто-то покупать, пока на рынке существуют такие мощные протекторы. с таким расчетом я бы уже давно разбогател :)))

-= ALEX =- :: ЗЫ. это вот критика %)

volodya :: GPcH

Теперь и я нашел минутку поглядеть твое творение.
По поводу продаж оставим вопрос в стороне. Меня он не интересует.
По поводу самой тулзы.
1) Грамматические ошибки в английском языке.
«This tools is free» -› is заменить на are.
Слово «cool» не звучит. Это попса. Заменять по контексту. Пример:
«to have cool result» -› «to achieve the best results» и т.п.
2) На STEP 3 меня умилили как английские ошибки, так и пояснения. Фраза про SEH вообще технически безграмотна, т.к. это прием против отладчиков, а не против дизассемблеров. Если ты это и имел в виду, то незачем было приплетать WDasm. Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.
Правишь эти ошибки -› буду думать. А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.

Grim Fandango :: ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.

DFC :: GPcH .
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...
без обиняков, плиз.
Мало головной боли от Солодовникова...еще ты приплюсовываешся...

GPcH :: Mario555 пишет:
цитата:
Дык ты запакуй какой-нить небольшой exe этой своей зарегеной версией и выложи его, тогда можно будет сказать чего стоит твоя криптовка. Хотя я не очень понимаю, что это за опция защиты такая - «криптовка». Если это runtime patching или куски кода расшифровываемые только при наличии валидного ключа, то для этого нужно добавлять в исходник проги СallMark’и, а в help’e твоей проги об этом ничего нет, да и самих сигнатур СallMark тоже нет.


Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.
Но оговорюсь. Заявки принимаются только от постоянных посетителей данного форума. Остальных прошу даже
не просить - ответ будет категоричен - НЕТ. Тем кто мне активно помогал тестить PeStubOEP я уже выслал халявные ключи,
для желающих потестить предлагаю данную процедуру. Кто не против - пишите. Я никогда не заставлю платить за софт
настоящих профессионалов в крякинге, единственное, почему я раздаю ключи, потому что обязательно найдется тот кто
их будет распространять и релизить

По поводу грамматики:

Я живу в России и в английском шарю не нна высшем уровне. Все ошибки думаю уберу после защиты диплома

По поводу продаж:

Купят не купят не нам с вами решать, тем более, что я планирую из этой программы в будующем сделать настоящий протектор. По мере знаний я ее постоянно улучшаю. VB правда налагает гору ограничений (нет асмовских вставок),
посему мне действительно тяжело делать протектор на данном языке.

Grim Fandango пишет:
цитата:
ща мы ему всем флрумом тулзу сделаем, а он её продавать будет.


Без обид, но лично ты мне ничем не помог. А кто помогал тестингом или чем другим получили бесплатные ключи,
те же, кто помогал на деле занесены в About. Так что нечего наезжать.

DFC пишет:
цитата:
Я тебе както намекал...но ты не понял...
На этом форуме ребята тебе всячески сопутствуют...с твоими прогами.
Вот если бы ты на реверсинг.нет выложил, отшили бы...


Я ценю помощь и в долгу еще не оставался

volodya пишет:
цитата:

1) Грамматические ошибки в английском языке.


Исправлю. Спасибо за проверку.
volodya пишет:
цитата:
Согласно закону Мерфи, если тебя МОГУТ понять неправильно, то тебя и поймут неправильно.


C этим законом я согласен и знаю его
volodya пишет:
цитата:
А вообще, КОММЕРЧЕСКИЕ программы на wasm я предпочитаю НЕ выкладывать.


А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннее. И вообще,
если тебе нужен ключ обращайся, только если его зарелизить или раздавать будешь - обижусь

volodya :: ›А аспр, а арма, а ida, да много чего еще, я просто перечислил те, что распространеннеe

Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.

DFC :: GPcH .
цитата:
Я ценю помощь и в долгу еще не оставался



Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)

SeDoYHg :: GPcH

Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...

DFC :: SeDoYHg .
Внутри какой команды ?

Grim Fandango :: Стоп. Я на тебя наезжал? Ну пипец...

SeDoYHg :: DFC

Этой

CReg [TSRh] :: GPcH пишет:
цитата:
Короче качаем отсюда прогу, запускаем у себя на компе.
Она выведет серийник Вашего диска C. Шлем его мне на мыло gpch_soft@tula.net
и я в прогу встраиваю отмену регистрации, если прога запущена на ваших компах. Так можно будет всегда тестить прогу.


вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)

DFC :: SeDoYHg .
Понял, спасибо :)

Dr.Golova :: › Иды у меня на сайте не было и не будет. А в каком виде лежат аспр и арма, хи-хи.
› Ты хочешь, чтобы и твоя прога также лежала? :)))) Тебе не понравится.

volodya, хватит глумиться - люди делают как умеют ;-)
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix

Grim Fandango :: Dr.Golova пишет:
цитата:
infected: HackTool.DotFix


а чё, мысль.

FEUERRADER :: Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?

Buggy :: FEUERRADER
Потому, что базу надо пополнять антивирам - чем больше сигнатур тем быстрее можно конкурентов опустить.

GPcH :: CReg [TSRh] пишет:
цитата:
вааааауу :)) супер защита :) только есть небольшая проблема: серийник HDD поменять можно :)


Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)

Dr.Golova пишет:
цитата:
Но лично мне ох как не нравятся такие инструменты, звезды мне подсказывают что это скоро будет infected: HackTool.DotFix


Врядли. насчет Stop’а вообще могу 100% гарантию дать, что туда не занесут

DFC пишет:
цитата:
Да не в этом фишка, дружище...ну да ладно...
Вообще уважаю людей в борьбе за свою идею...и тебя в частности :)


Спасибо за маральную поддержку. Рад что ты меня понимаешь.

FEUERRADER пишет:
цитата:
Почему хактулзы заносят в базу антивирусы? Ведь разрушающего кода они не содержат и не внедряют.
Кто может разъяснить?


В принципе они мешают антивирусам определить вирус - следовательно рано или поздно их занесут в HackTool.

SeDoYHg пишет:
цитата:
Вон сколько всего нашлось, а ты не хотел сначала в внутри команды потестировать...


Глюков то никто и не нашел пока. Только критика в мой адрес по поводу моего английского и шароварности программы.

volodya пишет:
цитата:
А в каком виде лежат аспр и арма, хи-хи. Ты хочешь, чтобы и твоя прога также лежала? :))))
Тебе не понравится.


Я конечно в курсе, что 90% шаровар лежат уже пропатченные и прокряченные, иногда даже с ухмылкой,
что типа только у нас ПРАВИЛЬНАЯ версия. Я конечно же не хочу этой участи, так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь. И еще: какой твой личный мейл? Если тот, что я знаю - так и скажи.
Насчет ключа к проге побеседуем.

ssx :: мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)

-= ALEX =- :: ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.

GPcH :: ssx пишет:
цитата:
мда....
взял я первый попавшийся exeшник, «защитил». OEP находится прямо в hiew, импорт целый. ну и какой это на хрен протектор? EP поменял в заголовке - получил рабочий .exe ладно, только не кричи: «ты еще не видел супер-крипта». сегодня посмотрю тот файл что ты выложил на растерзание(там ведь крипт присутствует?)


Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP

-= ALEX =- пишет:
цитата:
ну во-первых скачать по ссылке ничего не смог. а охота было бы ключик поиметь... охота «протектор» посмотреть, хотя эта тулза не относится к разряду протекторов ИМХО.


Вот верная ссылка: http://gpch.cracklab.ru/pass.zip

ssx :: или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)

тоже что ли написать протектор на каком-нить VB, или лучше фортране или коболе :)
и продавать за 6$ :)))))

Grim Fandango :: EnableButton работает, всё идёт.

ssx пишет:
цитата:
супер-крипт - это XOR


правда? хм...вау

GPcH :: ssx пишет:
цитата:
или я чего-то не понимаю, или достаточно просто заэнэблить окно с текстом «use sections crypt blablabla» и супер-крипт можно использовать :) (супер-крипт - это XOR)


Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет

Grim Fandango пишет:
цитата:
правда? хм...вау


Это еще не протектор, я уже заколебался говорить. Это всеголишь более рульная вещь, чем PeStubOEP

Grim Fandango :: Значит ждём следующую версию.

ssx :: GPcH пишет:
цитата:
Enable не поможет - галочку то ты поставишь, а криптоваться все равно ничего не будет


да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором

GPcH :: ssx пишет:
цитата:
да? странно. просто у меня с включенной/выключенной этой галочкой разный .exe получался. с включенной добавлялось «расшифровка» ксором


Чтож молодец. Повезло тебе. Просто бейсик обычно встроенную блокировку имеет

CReg [TSRh] :: GPcH пишет:
цитата:
Я думаю ты его не будешь менять в тот день, когда хочешь посмотреть прогу. Тем более
данная возможность только для крэкеров и я ее не использую в обычных регистрациях,
так как знаю, какие будут последствия после форматирования винта (серийник изменится)


Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)

volodya ::
цитата:
так как авторы данных
прог уже достаточно срубили бабла и срубят еще, а я еще даже рубля на этой проге не заработал.
Думаю ты меня поймешь.


http://rsdn.ru/article/shareware/pavlina.xml?print

Как тебе сказать... Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.
Ну, если хочешь попробовать поспорить, пиши на wasm_soft/dog/umr/dot/ru.

WELL :: GPcH пишет:
цитата:
Во первых я не говорил, что это протектор! Это всего лишь усовершенствованная версия PeStubOEP


А почему тогда прога называется DotFix Protector ?

.::D.e.M.o.N.i.X::. :: volodya пишет:
цитата:
Я резко негативно отношусь к коммерческим программам у себя на сайте. А если они и есть, то сам знаешь в каком виде.


Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...

Grim Fandango :: Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?

DFC :: Grim Fandango .
А ты не хочешь поговорить с ним на прямую...на wasm’е...:))???

Grim Fandango :: мне просто интересно. =)

DFC :: Grim Fandango .
Дак вперед :)
www.wasm.ru
Там найдешь :)

GPcH :: Grim Fandango пишет:
цитата:
Тут кто-то говорил про Криса Касперского. Он и в Гритсах сидит. Так вот, объясните мне чего он там делает?


Мне понравилась его статья про SEH

GPcH :: CReg [TSRh] пишет:
цитата:
Ты меня не совсем понял :) Я говорю про то, что сейчас любой человек зайдет на форум и напишет тебе письмо от имени любого из «ветеранов форума». После этого он может эту инфу где-нибудь выложить (просто написав, какой у него серийник HDD) и ей сможет воспользоваться кто угодно. Дело всё в том, что можно поменять серийник HDD на любой, в том числе и на тот, который зашит в твоей программе. И это можно сделать без форматирования диска :)


Как это сделать (прописать новый серийник)?

GPcH :: Написал версию 1.2 программы

+ 52 новые сигнатуры
+ криптовка OEP
+ багфиксы с английскими фразами

Grim Fandango :: GPcH пишет:
цитата:
Мне понравилась его статья про SEH


Тогда всё ясно.

volodya ::
цитата:
Лукавишь... цитата:Данная версия - это демка с органиченной функиональностью, но вы можете получить полную, если будете активными бета-тестерами... есть еще несколько тулз от твоих знакомых, которые естественно без «редакции wasm»...



Ну и ключевое слово тут знаешь какое? «ЗНАКОМЫХ». Разумеется, для своих я положу так.

ZX :: А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор

Grim Fandango :: ZX пишет:
цитата:
А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает этот протектор


Lol

Dr.Golova :: › А я, наверно, совсем тупой, потому как не могу никак понять ЧТО и от КОГО защищает
› этот протектор

Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.

Grim Fandango :: Жестоко.

GPcH :: Dr.Golova пишет:
цитата:
Трояны от антивируса он защищает. Видимо всетаки придется задетектить тулзу, ибо нефиг - три версии за два дня это слишком, мне хватает другой работы кроме как писать под нее парсеры.


Плиз, не заноси мою прогу в Касперского. Она нужна не для того, для чего ты подумал.
Я ее развиваю как новый протектор. Уже внес протект начала секций, OEP, сейчас делаю
стыренные байты. Добавил 52 новые сигнатуры. Так что зря ты так подумал. И плиз
не детекть ничего, так как это обычный коммерческий протектор и если он у его пользователей будет
детектиться как HackTool мне будет даже обидно.

WELL :: GPcH
Придется тебе потом каждую новую версию еще и от каспера отучать =)
Хотя с каспером там все элементарно...

Buggy :: А доктор голова на лаб. Касперского работает?

Mario555 :: GPcH пишет:
цитата:
сейчас делаю
стыренные байты


А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.

.::D.e.M.o.N.i.X::. :: Mario555 пишет:
цитата:
Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)

Mario555 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Stripper тоже не расшифровывает стыренные байты от аспра, а просто копирует их в отдельную секцию и ставит на них OEP:) Просто, оригинально и со вкусом:)


Да, но это проходило только со старым аспром, к сожалению, Солод придумал этот свой новый способ выполнения stolen bytes, и что с ними теперь делать - неясно...

GPcH :: Mario555 пишет:
цитата:
А вот это не имеет смысла, если они выполняются в секции протектора. Так например ACPR тырит очень много байт (OEP obfuscation), переделывает их на свои метаморфные аналоги (почти каждая инструкция заменена) и выполняет их не напрямую, а расшифровывая по кускам, но всё это безполезно, т.к. можно просто поставить OEP на начало этих байт.


Я пока не знаю как сделать лучше

Halt :: GPcH

цитата:

Я пока не знаю как сделать лучше



Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже

GPcH :: Halt пишет:
цитата:
Сделай какой-нить ключик, в зависимости от которого они будут по разному паковаться, а ключик будет генериться по ходу всего кода, так-что выкидывать будет особо нечего, все нужно.
ЗЫ счет пришлю позже


Да ты не понял, все равно прогу распаковать легко будет.
Нужно сделать как в аспре, но я не знаю как там сделано, а вникать времени нет

GPcH :: Вот добавил в прогу 204 сигнатуры

Щас парюсь над криптовкой

Grim Fandango :: Когда ждать новую версию? Кстати, что там с ключом, у меня уже десять запуском прошли. =)

MaZaFaKeR :: GPcH , какое-то парево с ключами придумал

Grim Fandango :: GPcH пишет:
цитата:
Вот добавил в прогу 204 сигнатуры


Господи, что ж ты туда добавляешь? Весь PEiD что ль?

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Когда протект доведу до ума. Пока мусорный движок, SEH и стек наебки готовы.
Как доделаю - напишу.

Grim Fandango пишет:
цитата:
Кстати, что там с ключом, у меня уже десять запуском прошли. =)


Скачай прогу: gpch.cracklab.ru/pass.zip - она выведет число - пришли его мне - я тебе приват билд пошлю

Grim Fandango пишет:
цитата:
Господи, что ж ты туда добавляешь? Весь PEiD что ль?


Уже половину PEiD’а добавил

Grim Fandango :: Ушло.

GPcH :: Grim Fandango пишет:
цитата:
Когда ждать новую версию?


Только что выложил

Grim Fandango :: Приятно. =) Зарегана. =) Чекай ящик.

Grim Fandango :: Ты писал, что добавил много сигнатур. Но я их там не увидел.

nice :: GPcH
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки

Твоя программа пакует длл? (не успел проверить)

И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!

Ну а так выглядит неплохо, понравилась идея с мастером (но можно сделать и вариант expert или что то такое)

MaZaFaKeR :: GPcH , а мне можно приват билд?

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, а мне можно приват билд?


Если согласен потестить - можно. качай прогу: http://gpch.cracklab.ru/pass.zip,
запускай, она серийник твоего винта выведет - шли его мне - я тебе приват билд

GPcH :: Grim Fandango пишет:
цитата:
Ты писал, что добавил много сигнатур. Но я их там не увидел.


они доступны только зарегистрированным пользователям.
В private build’ах разблокирую со следующей версии

nice пишет:
цитата:
Твоя программа пакует длл? (не успел проверить)


Сам не пробовал

nice пишет:
цитата:
Посмотрел я твою прогграмму, значит пожелания:
1) Сделать обработку множества файлов, и включитть галочку обрабатывать вложенные директории.
2) Сделать опцию: выбрать сигнатуру случайно.
3) Создать аля ини файл, где бы лежали мои настройки


Подумаю над этим

nice пишет:
цитата:
И убери этот скрипт, который не даёт правой кнопкой мыши бросить в донлоадер, это нервирует и не есть гуд!


Он уж давно убран, ты что?

Grim Fandango :: GPcH пишет:
цитата:
Он уж давно убран, ты что?


всё работает.

GPcH :: Обновил прогу

добавил много чего

главное - супер мусорный движок - теперь PEiD нервно будет курить - создание сигнатуры на мой протектор невозможно

Grim Fandango :: GPcH пишет:
цитата:
создание сигнатуры на мой протектор невозможно


Ты ТОЧНО в этом уверен?

По ходу, только заметил, какая версия у протектора? 1.4? в Абаут написано 1.3, а на сайте 1.4. Непорядок.

MaZaFaKeR :: GPcH , жду приват билд...

GPcH :: MaZaFaKeR пишет:
цитата:
GPcH, жду приват билд...


Качай с сайта - он для тебя уже приватный

MaZaFaKeR :: GPcH , ок, пасиб!

Grim Fandango :: продолжаем искать баги. =)

WELL :: Скачал я сегодня новую версию.
Распаковывается пока в лёгкую.
В ольке за минуту.

Grim Fandango :: Вау, за минуту? вау...

GPcH :: v1.5 relized

.::D.e.M.o.N.i.X::. :: GPcH
Ты собираешься за неделю дойти до версии 3.0 такими темпами???:)

sanniassin :: Plz и мне private (1146360323)

Grim Fandango :: sanniassin пишет:
цитата:
Plz и мне private (1146360323)


ох, зря ты запостил тут номер.
Фиксятся баги, вот и релизятся версии. =)

nice :: GPcH
Не знаю парни как у вас, у меня, пока я не вырезал кусов java_скрипта, ПРАВАЯ КНОПКА НЕ РАБОТАЛА!
Браузер - FireFox

Вот скрипт:
‹script language=«JavaScript» type=«text/javascript»›‹!--
function cu(){return false}function omu(e){if(e.which==1){window.releaseEvents(Event.M OUSEMOVE);window.onmousemove=null}}function nr(e){if(e.which==1){window.captureEvents(Event.MO USEMOVE);window.onmousemove=cu}if(e.which==3){retu rn false}}function cv(){vp=event.button;if(vp==2¦¦vp==3)alert(unescap e(»»))}io=document.all;ae=document.getElementById; if(io){if(ae){
и т.д.

nice :: И можно ещё размер программ писать на сайте, это будет очень хорошо

nice :: Глючит программа, у меня при законченном периоде не выгружается из памяти.

Триал патчится 1 байтом ;)
Ну если надо чтоб в прошлом работала, то 2-3 байтами.

nice :: Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.

sanniassin :: GPcH
Исправь опечатку в readme «криптует первые 20 бат точки входа»

Mindb0t :: GPcH
Если уж и говорить про опечатки, то на третьем шаге внизу окна измени «...has only 30 sign’s» на «...has only 30 signs» и в русском ридми измени «...написанных на Dalphi...» (это в конце файла) на сам знаешь что...

Grim Fandango :: я ему все опечатки давно пофиксил, он просто еще почту не чекал. =)

GPcH :: Grim Fandango
nice пишет:
цитата:
Почти добил:
name: NiceSC
pass1: 4463696F5949
pass2: 7A5D5556657A
pass3: 4E6963655343
pass4: 3434343434343434
+ патч на 2 байта, и говорит, что всё окей, 4 пасс найти терпения не хватило, еслибы был рабочий вариант 4 ключа, а так надоело искать. Идея с 4 ключом классная, но первые 3 проблем особо не составляют.


3 и 4 пассворды неверные ;)
Наепиши мне мылом, как ты прогу патчишь с примером

WELL :: Скачал версию 1.5
Закриптованые файлы распаковываются за 1 минуту =)

GPcH
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много

GPcH :: WELL пишет:
цитата:
Неплохо бы листбокс со списком сигнатур побольше размером сделать
А еще лучше разбить по группам и сделать типа TreeView в делфи.
То есть например ASPack -› и все его разные версии.
ИМХО так удобнее будет, т.к. сигнатур уже много


С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить

Grim Fandango :: GpcH, мои прогнозы сбываются?.. =)

GPcH :: Grim Fandango пишет:
цитата:

GpcH, мои прогнозы сбываются?.. =)


ты о чем?

Grim Fandango :: я вообще-то на канале сижу.

WELL :: GPcH пишет:
цитата:
С сигнами возиться зря влом, тем более что чтобы к бейсику TeeView прикрутить - нужно размер проги на 300 килов увеличить


Плохо... Тогда хоть размер листбокса увеличь




FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41



FEUERRADER Quick Unpack 0.41 *bugfix* has been released Quick Unpack 0.41
---------------------
Поправил ImpREC.dll, теперь тулза сама меняет в импорте ResoreLastError на SetLastError (привет MozgC :)).
Если кто будет юзать у себя ImpREC.dll - советую юзать из этого релиза Quick Unpack.

P.S. И только не говорите мне типа «Почему она не бкркт PEcompact свежий?». Тулза для распаковки только для UPX, ASPack.

Качать отсюда
Grim Fandango :: Всё равно приятно.

DOLTON :: FEUERRADER
Спасибо. Хорошая вещь.

XoraX :: FEUERRADER а, кстати, почему она не берет pecompact свежий? :) там что-то существенно отличается от старого? (я не видел) :)

GL#0M :: Помнб в одном из первых билдов второй версии EP равняля OEP :)
Хотя может чего и намутили сейчас... врятли %)




ZX Не хочу на новый форум... Ну не хотелось бы мне чтоб форум кряклаба...



ZX Не хочу на новый форум... Ну не хотелось бы мне чтоб форум кряклаба умер...
Мамонты вымерли и их не возродить, этот форум лучшее что есть, если его убить, народ разбежится по другим форумам или создаст еще один форум в альтернативу новому и вряд ли новый форум сможет соперничать с вновь создавшимся..

MoonShiner :: Присоединяюсь к ZX. Прикипели мы душой к этому форуму.

TITBIT :: ZX пишет:
цитата:
Ну не хотелось бы мне чтоб форум кряклаба умер...


А давайте проголосуем, кто за новый форум, а кто нет

[ChG]EliTe :: Лично я не считаю что данный форум есть какая то божя искра (с) Oper или ченить подобное... но тот что сделали реальный тормоз.. я пришел к выводу что на новом форуме реально читать только одну страницу при модемном соединении.. хотя на фасте я открываю сразу ВСЕ!! новые поста и без проблем...

P.S. Это не предирка или выеб ~ он просто имхо..

SeDoYHg :: TITBIT пишет:
цитата:
А давайте проголосуем


Кому наши голоса нужны??? (риторический вопрос) Все уже решено, все таки у этого проэкта есть командир. Если только мы не утроим «сидячую забастовку» :), не будем посещать тот форум :)))

Mad :: Хоть я и нюб на форуме , но этот форум м больше нравится.

ZX :: Я думаю, забастовок не понадобится, я искренне уважаю БГ и уверен что он прислушатся к нашему мнению. Будем ждать, что он скажет.

SeDoYHg :: Я понимаю, что БГ хочет сделать как лучше, что ему приходится отдавать «копеечку» за хост. Я обеими руками за то, чтобы был «свой» форум, но только не в таком виде в котором он прибывает сейчас... Так что в ожидании лучшего форума обитаем тут :).

Dred :: походу это бунт

CReg [TSRh] :: SeDoYHg пишет:
цитата:
Кому наши голоса нужны??? (риторический вопрос) Все уже решено, все таки у этого проэкта есть командир. Если только мы не утроим «сидячую забастовку» :), не будем посещать тот форум :)))


Обидно. Хотели как лучше, а получилось как всегда
Но лично мне не нравится форум без личных сообщений и с убогой функциональностью.

Ara :: ZX пишет:
цитата:

Ну не хотелось бы мне чтоб форум кряклаба умер...
Мамонты вымерли и их не возродить, этот форум лучшее что есть, если его убить, народ разбежится по другим форумам или создаст еще один форум в альтернативу новому и вряд ли новый форум сможет соперничать с вновь создавшимся..


ZX, я тоже за

SeDoYHg :: CReg [TSRh]

Прочти мой второй пост! Я за новый УДОБНЫЙ, ЛЕГКИЙ, в меру ФУНКЦИОНАЛЬНЫЙ форум. но сейчас он не такой :(.

Noble Ghost :: Все-таки я за новый форум. Прикипел душой к пхпбб и фастбб мне кажется убожеством.

[ChG]EliTe пишет:
цитата:
я пришел к выводу что на новом форуме реально читать только одну страницу при модемном соединении..


Это что у тебя за коннект такой?

CReg [TSRh] :: SeDoYHg пишет:
цитата:
Я за новый УДОБНЫЙ, ЛЕГКИЙ, в меру ФУНКЦИОНАЛЬНЫЙ форум. но сейчас он не такой :(.


Удобство - это PM. А вовсе не посты типа «2Snowbit» и т.п.
По удобству и функциональности новый форум куда лучше. Единственное, в чем он проигрывает - страницы тяжелее.

Noble Ghost пишет:
цитата:
Все-таки я за новый форум. Прикипел душой к пхпбб и фастбб мне кажется убожеством.


:) и я тоже :)

SeDoYHg :: CReg [TSRh] пишет:
цитата:
По удобству и функциональности


Как раз удобства в нем 0! Пока найдешь тему :(, сотни килобайт потратишь. Так что, ждем изменений к лучшему :)

WELL :: Простота - залог успеха.
Мне лично эти навароты на новом форуме не нужны.
Тем более разделение по темам.
Здесь открыл http://cracklab.fastbb.ru и сразу видишь все темы, а там пока везде заглянешь... где мегабайт? а уже нету магабайта.
Да и сами страницы тяжёлые.
Короче я пока за этот форум

GL#0M :: Я тоже за этот. А новый зверюга тяжелая, а для сообщений всяких есть мыло.

RideX :: CReg [TSRh] пишет:
цитата:
Но лично мне не нравится форум без личных сообщений и с убогой функциональностью.


Я тоже так думаю. На новом форуме можно сделать три раздела, типа:
Unpacking
Cracking
Flame
и облегчить страницы (или сделать на другом движке, miniBB?) IMHO, сейчас этот форум превращается в помойку, всё больше ничего не значащих ответов, состоящих из одних смайлов, многоточий и пустых реплик, которые не несут в себе никакой смысловой нагрузки и которым самое место только во флейме. Это, как мне кажется, единственный форум где это дозволено, на реверсинге или васме этого бы недопустили, там есть для этого отдельный раздел. Заметно снизилось количество постов от опытных крэкеров, потому как форум стаёт всё менее крэкерским, но зато более массовым, популярным и готов «отдаться» любому журналу типа Хакер.
Может мне кажется, но год назад этот форум был чище и полезнее.

ZX :: RideX пишет:
цитата:
Это, как мне кажется, единственный форум где это дозволено, на реверсинге или васме этого бы недопустили, там есть для этого отдельный раздел. Заметно снизилось количество постов от опытных крэкеров, потому как форум стаёт всё менее крэкерским, но зато более массовым, популярным


Этим он и хорош.
RideX пишет:
цитата:
и готов «отдаться» любому журналу типа Хакер


Интресно, с чего ты это взял?
RideX пишет:
цитата:
Может мне кажется, но год назад этот форум был чище и полезнее


Возможно..

Но сейчас этот форум место встречи людей объединенных одной идеей, что ли, людей достаточно умных, чтобы не посвящать жизнь одному крякингу, отсюда так называемый «флейм», который полноценной жизнью зовется.

CReg [TSRh] :: Давайте не будем вести обсуждение в разных ветках - неудобно.

http://cracklab.fastbb.ru...1-000-0-0-48-1089733901-0




GPcH ** ›› ПЕРЕЕЗД НА НОВЫЙ ФОРУМ ‹‹ ** РЕБЯТ, ПОМОЕМУ УЖЕ ПОРА НА НОВЫЙ...



GPcH ** ›› ПЕРЕЕЗД НА НОВЫЙ ФОРУМ ‹‹ ** РЕБЯТ, ПОМОЕМУ УЖЕ ПОРА НА НОВЫЙ ФОРУМ ПЕРЕХОДИТЬ

АДМИН ЕГО УЖЕ ОБЛЕГЧИЛ - ТРАФФИК ТЕПЕРЬ НЕ ОСОБО ЖРЕТ ФОРУМ

КОРОЧЕ ЛУЧШЕ ТЕПЕРЬ ВСЕ ОБСУЖДАТЬ ЗДЕСЬ

ИМХО
Макс :: интересно,какую роль в создании форума принял ЧЛЕН МАМОНТА?

newborn :: Макс пишет:
цитата:
интересно,какую роль в создании форума принял ЧЛЕН МАМОНТА?


ГЫ...

GPcH :: Макс пишет:
цитата:
интересно,какую роль в создании форума принял ЧЛЕН МАМОНТА?


это чтобы привлечь внимание

Макс :: GPcH
да ясен перец

XoraX :: GPcH пишет:
цитата:
ЧЛЕН МАМОНТА




SGA :: Как только там Появятся РАзделы Кроме ’TEst Forum 1’ так Сразу/

Noble Ghost :: SGA пишет:
цитата:
Как только там Появятся РАзделы Кроме ’TEst Forum 1’ так Сразу/


Я про это уже грил. Нафиг флудить на тестовом форуме??

XoraX :: предлагайте разделы.

dMNt :: a-la fravia надо
я предлагаю так:
1. Для профи (или в том же духе)
2. Упакованно
3. Для новичков
...
...
Х. Всякая пижня (о сайте, флейм и т.д.)

Dred :: согласен с dMNt полностью

Noble Ghost :: General
Newbies
Crypto?
Coding?
Unpacking
Tools
Flame =)

Что-то типа так.

Ри :: чейто там народу маловато... надеюсь через некоторое время эт изменится=)

Grim Fandango :: NG, полностью ЗА!

Runtime_err0r ::
цитата:
цитата: ------------------------------
интересно,какую роль в создании форума принял ЧЛЕН МАМОНТА?
------------------------------

это чтобы привлечь внимание


И что в этом привлекательного ??? У меня всё равно больше

P.S. А что за движок юзается ? похож на phpBB ...

Grim Fandango :: это он и есть.

GPcH :: Runtime_err0r пишет:
цитата:
У меня всё равно больше


Зато тоньше!

Grim Fandango :: пошёл конкретный флкйм...

Mario555 :: Ри пишет:
цитата:
чейто там народу маловато...


Пока будет существовать этот форум там много народу и небудет...
А то, что на сайте ссылку на новый сделали, так это ничего не значит и идея о том, что этот форум сам по себе постепенно «умрёт» из за отсутствия новичков которые заходят по этой ссылке ИМХО неверна. Тут восновном одни и те же люди общаются, ну может один-два новых человека в месяц появятся (я про тех кто остаются, а не про «однодневок») - дык сколько времени при таком раскладе займёт «умирание» форума ?!

Grim Fandango :: и что ты предлогаешь?

dMNt :: забанить фсех :)
или редирект поставить :)

TITBIT :: dMNt пишет:
цитата:
или редирект поставить :)


Лучше это чем бан.

Mario555 :: Конечно нужен редирект.

Grim Fandango :: тогда ждём редирекста.

Grim Fandango :: Xorax, сижу, смотрб на то, как разделы появляются. Прикольно. =))))

MozgC [TSRh] :: GPcH пишет:
цитата:
это чтобы привлечь внимание


А еще можно привлечь удаление темы или бан?

TITBIT :: MozgC [TSRh]
Имхо прикольное название топика.

WELL :: А по мне так лучше не делать разные разделы.
Во-первых, так меньше времени (и трафа) потратиться
Во-вторых, один хрен все смешается.

Grim Fandango :: WELL пишет:
цитата:
Во-вторых, один хрен все смешается.


сто пудов, люди не смогут строго по делу.

GPcH :: MozgC [TSRh] пишет:
цитата:
А еще можно привлечь удаление темы или бан?


В принципе да, но согласись - содержание темы актуально

XoraX :: Grim Fandango пишет:
цитата:
сто пудов, люди не смогут строго по делу.


на то и сущетвуют модераторы

Grim Fandango :: XoraX пишет:
цитата:
на то и сущетвуют модераторы


кстати кто?

Bad_guy :: GPcH пишет:
цитата:
Runtime_err0r пишет:
цитата

У меня всё равно больше

Зато тоньше!


Ну вот, чувствую скоро дело дойдёт до прикладывания фотографий

Bad_guy :: ...Я очень надеюсь на то, что MozgC и CReg любезно согласяться стать админами нового форума. По поводу паролей и логинов обращайтесь к Ксораксу - потому как я пока знаю только свой пароль (пользователя).

Пока я хочу поглядеть на то как форум продержиться хотя бы месяц, ну а уж через месяц - ВСЕХ на этом форуме ЗАБАНИТЬ, ВСЕ новые темы удалять

CReg [TSRh] :: Bad_guy пишет:
цитата:
Я очень надеюсь на то, что MozgC и CReg любезно согласяться стать админами нового форума.


Я согласен

Тему я назвал по-другому, а то идиотизм какой-то :)

Grim Fandango :: жестоко. =)

nice :: Bad_guy
Есть отличная поговорка: насильно люб не будешь...

WELL :: Всё-таки здесь пока лучше...

GPcH :: CReg [TSRh] пишет:
цитата:
Тему я назвал по-другому, а то идиотизм какой-то :)


Правильно, ведь мы все уже знаем суть темы.

бара :: ссуть...ссуть... и мамоны, мля, тут уже летают...

Madness :: Кто-нить посчитайте во сколько раз времени больше расходуется на посещение того количества разделов, какое там сейчас, а то мне лениво. 3 раздела max. А лучше оставить 1, не так уж и много сообщений в день тут оставляется, да и проверять НАМНОГО проще.
Не делайте из мухи мамонта (того вместе с которым) ;)

SeDoYHg :: Раз уж тут высказывают свое мнение, то скажу и свое. Был один живой форум, стало два полудохлых :(. Ждем окончательного решения. Мое мнение - здесь тепло и мамонты не воняют %). Все-таки, форум в таком виде для общения более удобен, хотя он менее структурирован. Но это только ИМХО... Все равно оно ничего не решает...

Styx :: Помоему тоже надо это дело решать побыстрее.
И если всё таки есть возможность не съежжать отсюда, провести голосование

[ChG]EliTe :: ИМХО разделов ну ооооочень много... не потянуть нам столько... 3 макс.. Madness прав..

XoraX :: разделы переделывать = 15 секунд максимум.
решайте чо будет и все.

Noble Ghost :: XoraX пишет:
цитата:
разделы переделывать = 15 секунд максимум.
решайте чо будет и все.


Такой вопрос. Реально ли сделать как на миниББ? В смысле чтоб были и разделы и список свежих тем.

SeDoYHg :: Noble Ghost пишет:
цитата:
В смысле чтоб были и разделы и список свежих тем.


Это будет лучше всего!!! Думаю все будут за.

WELL :: Я против разделов
Madness пишет:
цитата:
А лучше оставить 1, не так уж и много сообщений в день тут оставляется, да и проверять НАМНОГО проще.


Полностью согласен

-= ALEX =- :: согласен с ребятами, чекать удобнее когда один раздел...

AlexZ CRaCker :: Во прикол:
Сначала собираемся на новый форум, всех забанить, редирект, обсуждаем, какие разделы там будут,.. Кто-то предлагал: для новых, для дедов, анпак etc. А щас вобще здесь хотят остаться. Может уже стоит определиться? Ато уже топиков этих, насчёт форумов.. много

Grim Fandango :: Я за переезд. Сменится адрес, сменится движок, но люди останутся. Тажекомнапия. Всё будет.

CReg [TSRh] :: Grim Fandango пишет:
цитата:
Я за переезд. Сменится адрес, сменится движок, но люди останутся. Тажекомнапия. Всё будет.


Это верно. Еще несколько месяцев назад решили, что переезд нужен. Наконец нашелся человек, который все-таки сделал нам форум (XoraX aka Zer0). И теперь появились недовольные Ребят, вы предлагайте, мы совместными усилиями придем к решению, которое устраивало бы как можно большее число людей
Если всем так не нравится такое огромное число разделов, то их число можно сократить.
Но я предлагаю не делать меньше трех: General/Newbies/Requests. А иначе мы опять будут появляться сообщения, типа «у меня не работает sice», «взломайте xxx v. yyy» и т.п. Так что я просто советую сделать хотя бы эти три раздела, чтобы общение не мешалось со всяким хламом. А тех, кто будет нарушать правила, т.е. постить подобные мессаги в разделе General - можно сразу банить (будут висеть прикрепленные правила).

DFC :: CReg [TSRh] .
Меня устраивает новый форум, а что касательно количества разделов, то и так видно где уже есть посты, а где их нет, сама собой фильтрация может произойти, в смысле ненужности каких-то или наоборот добавления...да и зарегался я там уже...

Bad_guy :: AlexZ CRaCker пишет:
цитата:
Может уже стоит определиться? Ато уже топиков этих, насчёт форумов.. много


Лично я уже определился. А здесь просто пустая болтовня идёт. Вот по поводу разделов нового форума стоит подумать, но то что переезд будет - 100% гарантия (моя).

Bad_guy :: CReg [TSRh] пишет:
цитата:
Но я предлагаю не делать меньше трех: General/Newbies/Requests. А иначе мы опять будут появляться сообщения, типа «у меня не работает sice», «взломайте xxx v. yyy» и т.п. Так что я просто советую сделать хотя бы эти три раздела, чтобы общение не мешалось со всяким хламом. А тех, кто будет нарушать правила, т.е. постить подобные мессаги в разделе General - можно сразу банить (будут висеть прикрепленные правила).


Полностью поддерживаю. Три раздела - в самый раз.

[ChG]EliTe :: NJ что переезд нужен это 100% (я уже об этом писал)... т.к. давно пора свой форум заиметь... (Свой в моем понимании это тот к которому имееш доступ не только через какую нить там админку...)
Потом надо все же работать в направлении как можно быстрой загрузке/меньшего веса страниц...
Что касаеться разделов что я согласен с CReg’om!

WELL :: Ну давайте хоть по разделам голосование проведём




MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking...



MARcoDEN Автоматическая распаковка Прочитул тут недавно статью Unpacking DDeM. И вот возникнула одна идея: создать автоматический распаковщик. Я бы с радостью за это взялся, но знаний не хватает . Поэтому, уважаемые реверсеры, большая к вам просьба - возьмитесь за это!

PS. UnDDeM на сайте eoda.by.ru работает просто отвратно. В связи с этим потребность в автораспаковке DDeM’a возросла еще больше.
PPS. Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?
nice :: MARcoDEN
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить

Grim Fandango :: у меня сайт тот не открывается.

nice :: Grim Fandango
http://www.wasm.ru/tools/6/qunp.zip

Grim Fandango :: не, Найс, у меня есть QUnpack. Я про eoda.by.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Интересно, почему в OllyDbg не удается получить тот же листинг, который выдает сайс?


Гон.

SGA :: MARcoDEN
прочти статью на сайте Рубанка http://int3.net/?page=art...1=reversing&p2=uncd&art=9 .
Этот DDem вообще не надо распаковывать.
Бывает ещё что сверху пакована Аспаком - Caspr тебе в руки.
А если и про инлайны в пакерах почитаешь. то вообще красота.

зы а qunpack тож рапакоыввает аспак, но DDem Нет

MARcoDEN :: nice пишет:
цитата:
Попробуй тулзу http://download.ahteam.or...files/oursoft/qunpack.zip
автор FEUERRADER, программа эффективна и проста в использовании, у меня нет программ защищенных этой пакостью, что бы проверить


Эту тулзу я пробовал, но DDeM она не берет, да и некоторые модифицированные FSG-паковку. Если тебе интересно, могу забросить запакованный exe-шник на мыло.

MARcoDEN :: Noble Ghost
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?

nice :: MARcoDEN
Бросай для коллекции nicesc GaVGav yandex.ru

Noble Ghost :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


А ты бряки как ставишь?

Grim Fandango :: MARcoDEN пишет:
цитата:
Тогда скажи, почему бряк на GetDriveTypeA в Олли не срабатывает, в то время как сайс все прекрасно ловит?


он наверное одними командами пробует... хотя хз, пусть сам скажет.

Mario555 :: MARcoDEN пишет:
цитата:
почему бряк на GetDriveTypeA в Олли не срабатывает


А у тебя ось какая ?

MARcoDEN :: Mario555
Ось - Win XP Pro SP1

Noble Ghost
Бряки ставлю через command bar: bpx GetDriveTypeA и т.п.

Дело в том, что сняв протектор, мы уберем и проверку CD. Вот почему автоматический распаковщик не помешал бы .

SGA :: MARcoDEN
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??

MARcoDEN :: SGA пишет:
цитата:
Выложи куданить екзешку, посмотреть охота.
а если делать атоматическую распаковку, то придётся автораспаковку для fsg аспака UPX а затем уже DDEM.
Мне быстрее всё сделать ручками чем сидеть ногти ломать об гламу прогриммить такую утилу.
Ещё раз говорю почитай туторы на сайте рубанка про DDEM и про инлайны в пакерах, и тебе не буит надобности уже что-то распаковывать.
Ты сам то DDEM открутил ??


Да, сам протектор открутил, причем достаточно просто. Зачем же делать дополнительно распаковку FSG, UPX? Во-первых, они тут совершенно ни причем. Во-вторых, последние версии DDeM’a поливаются ASPack’ом, который легко снимается тулзой AsPackDie. Вот после этого, когда загрузчик лежит в DDeMCod, пригодился бы автораспаковщик самого протектора. Если кому интересно, то я выложил экзешник сюда.

SGA :: MARcoDEN пишет:
цитата:
Зачем же делать дополнительно распаковку FSG, UPX


Я встречал DDEM пакованный и этим.
Можно Зафигачить простой seek and destroy универсальный патчик ddem, для распакованной игрушки.

Mario555 :: MARcoDEN пишет:
цитата:
Бряки ставлю через command bar: bpx GetDriveTypeA


bp GetDriveTypeA... ну или там просто нажми CTRL-G, введи GetDriveTypeA и там уже ставь бряк по F2 куда-нить в эту апи.

SGA :: анпак аспака и патч
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.
должен прокатить для всех игрушек.

MARcoDEN :: SGA пишет:
цитата:
10.42.CC.B6.AA.97.B6.67
06.48.D8.33.6A.**.**.**.


Не совсем понимаю что это. Скрипт?

nice :: MARcoDEN
Как я понимаю это цепочка байт ищещь верхнюю, меняешь на нижнию

SGA :: MARcoDEN
Это цепочка байт для так называемого seek and destroy патча. т.е Независимо от offset’a расположения этих байт, патч их найдёт и изменит. Надеюсь понятно что ** - оставить как было.

MARcoDEN :: Что ж, теперь понятно. Спасибо!

MARcoDEN :: SGA пишет:
цитата:
должен прокатить для всех игрушек.


Чего-то ни хрена не прокатывает

Noble Ghost :: Чет я забыл про эту тему.
MARcoDEN
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)

Сорри, тороплюсь, ухожу.

SGA :: MARcoDEN пишет:
цитата:
Чего-то ни хрена не прокатывает


и Для ТОй на которую здесь Ссылку Дал ???

MARcoDEN :: SGA пишет:
цитата:
и Для ТОй на которую здесь Ссылку Дал ???


Именно на ней и пробовал . В качестве seek&destroy патча использовал dUP [http://navig8.to/diablo2oo2].

Noble Ghost пишет:
цитата:
Фигня такая, bpx в CommandBar’е зачастую не bpx’ит :)


А че делать тогда? Через Names Window брякать? Или как советует Mario555?

SGA :: MARcoDEN
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6. 63
06.48.D8.33.6A.**.**.**.
Это правилные байты.
Проверил и на твоей екзешке и на игрушке Call Of Duty. Работает.

НА старых ддемах ещё без Аспака как в игре Game Red Faction II v1.0.1
нужна така цепочка
E2.CB.02.46.EE.
61.63.FD.15.F2

Noble Ghost :: MARcoDEN пишет:
цитата:
А че делать тогда? Через Names Window брякать? Или как советует Mario555?


Когда как. Лучше делай как марио грит.

MARcoDEN :: SGA пишет:
цитата:
Извиняюсь Ошибся на один байт, очепятка.
10.42.CC.B6.AA.97.B6.63
06.48.D8.33.6A.**.**.**.
Это правилные байты.


Окей, еще раз спасибо! Только скажи откуда ты эти байты брал?

SGA :: MARcoDEN пишет:
цитата:
Только скажи откуда ты эти байты брал


http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)

MARcoDEN :: SGA пишет:
цитата:
http://int3.net/?page=art...1=reversing&p2=uncd&art=9 :)


Ясно




FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.



FEUERRADER Ищется тестер Quick Unpack 0.42 сабж.
Давайте свое мыло. Вышлю 0.42. Надо погонять на как можно больше скрэмблерах (всякие новые DotFix, PEStubOEP и пр.), FSG 2.0, новый PECompact и прочие другие + включая старые пакеры.
Просто исправил большой баг, теперь не будет кучей вылезать exception at... а если попадается SEH, то прога его обходит и просто показывает его в репорте. Т.о. прерывается только на ОЕР, а не на первом же exception’e.
TITBIT :: Кинь мне на : saniok@xxx.lt

nice :: FEUERRADER
Присылай мне, у меня будет хорошая новость для тебя, если ты SEH сделал
nicesc # yandex.ru

-= ALEX =- :: ну скинь и мне тогда, гляну. мыло знаешь.

WELL :: FEUERRADER
12(at)netman(dot)ru

FEUERRADER :: Хм..всем отослал, а ответил только WELL

GPcH :: И мне пошли ;)) Как никак помогу потестить по дружбе

fuck it :: FEUERRADER
left_mail [at] tut.by

WELL :: FEUERRADER пишет:
цитата:
Хм..всем отослал, а ответил только WELL


Сегодня еще потестю ;)

nice :: FEUERRADER
До дома пока не добрался :(

MaZaFaKeR :: FEUERRADER , ну и мне на maza[nc]ru

-= ALEX =- :: а у меня самого унпакера 0.41 нету :) надо будет скачать...

broken :: cnbroken[at]hackermail.com

fuck it :: FEUERRADER
ну чё, трохи пашет :)




MARcoDEN Проблемы со stripper’ом Вообщем, такая трабла: ни одна из версий...



MARcoDEN Проблемы со stripper’ом Вообщем, такая трабла: ни одна из версий (даже 2.07) стриппера не может распаковать файл, защищенный аспротектом. Я пробовал много файлов, включая пакованные мною триальным аспром 1.2. Стоит только загрузить в него файл и нажать unpacking, как выдается сообщение «Программа допустила какую-то там ошибку и будет закрыта». Иногда при повторном действии система зависает наглухо и спасает только reset . Может надо стриппер настраивать специальным образом? Подскажите как решить эту проблему!
бара :: всё работает как часы
просто сначала загрузчик надо запущать и потом всё делать надлежит как написано там, т.е. не на W98 и тп

XoraX :: не ну если со стриппером не разобрался - это талант иметь надо :\
стриппер может не распаковать некоторые файлы - тогда бери олли в руки и вперед..

FEUERRADER :: MARcoDEN
Пока я лицензионную WinXP pto eng не поставил - у меня стриппер тоже не распаковывал.
Теперь правда, «как часы» :)

-= ALEX =- :: мде. такие траблы еще возникают :)

EGOiST[TSRh] :: хе..это может быть, если у тебя включен Hyper Threading, как известно стриппер с ним НЕ работает...просто нужно отрубить HT в биосе...ну или как всегда ручками

бара :: у меня включен HT и всё работает как часы на W2003

EGOiST[TSRh] :: очень странно...не видел такого ..на 2003 у меня также вылетал..

MC707 :: Надо будет у меня дома тоже попробовать, я себе тож вчера комп с гипердредингом купил :)




Nahim распаковка inno setup в общем есть файл...



Nahim распаковка inno setup в общем есть файл http://www.ksdev.com/file...6_sw/themeengine-4_49.zip Inno Unpacker его не распаковывает. есть ли какие ещё распаковщики для inni setup?
GL#0M :: Цытата в wasm.ru
«Дополнительно на wasm мы выкладываем Inno Setup Unpacker для работы с Inno- самораспаковывающимися exe-файлами. Однако в этой статье технология Inno не рассматривается.»

Видать только он, больше нет :(

Но:
http://wasm.ru/tools/15/innounp.zip
Там сорцы есть, так что дерзай, всмысле дописывай, паскаль всё же...

Nahim :: а есть способ просто отключить проверку данных в реестре?

GL#0M :: Ссылка битая, так что я не знаю о чём ты. :)
И ещё, если тебе просто прога сломанная нужна, то ты темой ошибся...




XPiS NeoLite 2 распаковывается то он хорошо даже PEiD generic unpacker, но...



XPiS NeoLite 2 распаковывается то он хорошо даже PEiD generic unpacker, но скачал пакер и хотел запаковать, так
он trial - кто нить ломал? Все в нете крэки левые и не после них вообще пакер не запускается.
Runtime_err0r :: h++p://www.zone.ee/Runtime_err0r/NeoLite.zip - NeoLite 2.0 [retail]




MaZaFaKeR Вопрос Dr.Golov’e... Как я понял, ты работаешь на Каспера и должен...



MaZaFaKeR Вопрос Dr.Golov’e... Как я понял, ты работаешь на Каспера и должен знать ответ на мой вопрос: за каких }{уе м заносят в базу эксплоиты и клиенты бэкдурей? Ведь ни те, ни другие деструкции (на сколько мне известно) не несут...
SLV :: MaZaFaKeR пишет:
цитата:
эксплоиты и клиенты бэкдурей? Ведь ни те, ни другие деструкции (на сколько мне известно) не несут...


Со сплоитом хаЦкер может получить Root-Shell и принести деструкции, больше чем вирь.

nice :: MaZaFaKeR
Вирус не всегда несет в себе деструктивные ф-ии, возьми к примеру некоторых почтовых червей которые проникая в систему рассылают себя и этим просто убивают траффик...

infern0 :: проявление недобросовестной конкуренции - напишешь прикоьлный протектор, который каспер недектирует - сразу получишь место в hacker tool а отмазка будет звучать так, что типа с его помощью можно вирусы и трояны прятать. Смешно.

MC707 :: Вот у меня тож есть вопрос... базы обновлений почему-то не увеличиваются, а уменьшаются, а по идее должно быть наоборот... :) Вернее не вся база, а именно конкретные файлы.

SLV :: nice пишет:
цитата:
Вирус не всегда несет в себе деструктивные ф-ии


А нервы

MaZaFaKeR :: Абсолютно согласен с infern0

MC707 :: Даешь аспр с армой в базы каспера :)

TankMan :: MC707
Я за! Вот было бы круто! :) сразу каталог указываешь на проверку и «лечишь» лечишь лечишь... :)....

Zak[ZxTeam] :: Ну а в общем раньше прокатывало трои аспром защищать - и каспер не видел ( ну прокатывало с LD v 2.6)! А ЩАС orien канает!!! Каспер до сих пор не видит!!!
А ОРИЕН ЕЩЕ НЕ В БАЗЕ! Млин... занести бы надо(заодно аспр 2.0)!

fuck it :: это политика компании

Dr.Golova :: › Даешь аспр с армой в базы каспера :)

Спокойно, все будет. Obsidium уже там =)
А на вопрос про эксплоиты и клиенты за меня уже ответили.

ssx :: может и анпакер встроите, чтобы людям прще жилось? :)

Dr.Golova :: › может и анпакер встроите, чтобы людям прще жилось? :)

Так он и встроен в unpack.avc тока кнопочка «сохранить на диск» есть не у всех ;)

MC707 :: LOL

Black Neuromancer :: Да уж, темка прикольная получилось - посмеялся вдоволь

ssx :: Dr.Golova пишет:
цитата:
Так он и встроен в unpack.avc тока кнопочка «сохранить на диск» есть не у всех ;)


хм. надо посмотреть. труды z0mbie все еще применимы к вашему творению?

Noble Ghost :: Dr.Golova пишет:
цитата:
тока кнопочка «сохранить на диск» есть не у всех ;)


FIX THIS GNUSNIY BUG!!!






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS